1 83 Table of Contents 85 116

Zahnärztliche Mitteilungen Nr. 03

zm 109, Nr. 3, 1.2.2019, (210) Konkret geht es um Fragen wie „Wie kann man als Praxisinhaber gewährleisten, dass nur wirklich befugte Personen Zugriff haben?“, „Wie kann man garantieren, dass Daten unverfälscht bleiben?“ oder „Wie sichert man sie gegen Verlust?“. Für Mediziner ist Datenschutz insofern ein heikles Thema, als Gesundheitsdaten aus Sicht der DSGVO ein erhöhtes Risiko für betroffene Personen mit sich bringen und daher unter besonderen Schutz gestellt werden. Es ist leicht einsehbar, dass eine E-Mail mit Patienten- daten, die versehentlich an einen großen Ver- teiler geschickt wird, sehr brisant ist. Bei einer derartigen Datenpanne im medizinischen Bereich wären zum Beispiel die Aufsichts- behörden und unter Umständen auch der Patient unmittelbar zu kontaktieren. Überdies kennt die Verordnung das Instrument der „Datenschutz-Folgenabschätzung”: Bei Ver- arbeitungstätigkeiten, die ein hohes Daten- schutzrisiko erwarten lassen, ist vorab eine detaillierte Abschätzung der Folgen der vor- gesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzu- führen. Erforderlich kann eine Datenschutz- folgeabschätzung beispielhaft in folgenden Konstellationen sein: ! Eine Praxis führt eine Praxisverwaltungs- software oder neue Versionen davon ein, die neue Funktionalitäten, insbesondere mit Aus- wertungsmöglichkeiten, zur Verfügung stellt. ! Werden Patientendaten zur Analyse oder Auswertung an mehrere Standorte oder an Dienstleister weitergereicht, besteht ein erhöhtes Datenschutzrisiko aufgrund der geografischen Reichweite der Datenverar- beitungsvorgänge. Das Bußgeld in Höhe von 400.000 Euro, das im Oktober in Portugal gegen ein Kranken- haus verhängt wurde, weil es die Zugriffs- rechte auf Patientendaten mit der Gießkanne verteilt hatte, ist auch hier durch die Medien gegangen. Doch bedeutet Informations- sicherheit nicht nur IT-Sicherheit, wie anhand eines weiteren Beispiels gezeigt werden soll: So kann es passieren, dass man als Patient in der Notaufnahme eines Krankenhauses zunächst brav an einem Schild mit der Auf- schrift „Diskretion, bitte Abstand halten“ wartet, um dann am Empfang die eigenen Daten zu Protokoll zu geben und die akuten Symptome zu schildern. Anschließend wird man in einen Wartebereich gebeten – der völlig offen hinter dem Empfang liegt. Wäh- rend man also dort der weiteren Behandlung harrt, sprechen alle Personen, die nach einem an in die Notaufnahme kommen, laut und deutlich in dieselbe Richtung, in der man sitzt: Frau X, die wieder Probleme mit der Niere hat; ein Sanitäter, der versehentlich das Insulin von Herrn Y mitgenommen hat und nun dessen Anschrift erfragt; die Kran- kenschwester, die nur darüber lästern will, dass die Kollegin XY vier weitere Wochen wegen Burn-out fehlen wird. In diesem Szenario – das nicht erfunden ist – sind vor allem „organisatorische Maßnahmen“ erforderlich, wie es im Datenschutz-Jargon heißt, die diese Form der Offenlegung von höchst persönlichen Daten unterbinden. Informationssicherheit präventiv gewinnen Die Grenze zu technischen Maßnahmen ist dabei fließend. Man stelle sich eine ge- wöhnliche Arztpraxis vor. Einer der Rechner am Empfang ist unmittelbar am Eingang zum Tresen aufgestellt, damit alle Mitarbeiter, die durch die Räume wirbeln, schnell im Stehen Druckaufträge für Rezepte erteilen oder In- formationen über Patienten abrufen können. Wenn hier der Monitor, der leicht einsehbar für andere Patienten aufgestellt ist, nicht sorgfältig nach jedem Gebrauch gesperrt wird, können Unbefugte Einsicht in höchst persönliche Gesundheitsdaten nehmen. Im schlimmsten Fall könnte jemand einen un- beobachteten Moment ausnutzen, um wei- ter durch Ordner im System zu klicken und sich gezielt Informationen zu suchen. Arztpraxen müssen nicht nur „compliant“ mit den aktuellen Datenschutzgesetzen sein. Auch für das Vertrauen, das Ärzten entgegen- gebracht wird, ist der Umgang mit Patienten- daten wesentlich. Dabei geht es nicht nur um Diskretion und Vertraulichkeit im klassischen Sinn, sondern auch um die technische und organisatorische Umsetzung einer Informa- tionssicherheit, die mit dem aktuellen Stand der Technik Schritt hält. Zusammenfassend bedeutet das in präventiver Hinsicht: Schu- lung von Mitarbeitern, Einsatz von potenten Virenscannern und sinnvolle Trennung von Systemen in den Netzwerken. Was das Vor- beugen für den Schadensfall angeht, sind regelmäßige Back-ups erforderlich, die ge- trennt vom Praxisnetzwerk aufbewahrt und regelmäßig überprüft werden müssen. Tipp: Den Fragebogen, mit dem die Behörde prüft, stellt sie auf ihrer Website unter der Rubrik „Datenschützprüfungen“ zur Verfügung (Adresse siehe unten). Die Prüfungen des BayLDA gehen jedoch IT- seitig noch weiter in die Tiefe und beleuchten die Sicherheit von Arztpraxen gegen Cyber- Angriffe. Während man vielleicht geneigt ist zu denken, dass die eigene Praxis zu unbe- deutend sei, um Opfer von Cyber-Kriminel- Datenschutz und Cybersicherheit So schützen Sie Ihre Daten! Da private Unternehmen und Betriebe immer größere Datenmengen zusammen- führen, will die EU mit ihrer seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) die Regeln zur Verarbeitung personenbezogener Daten EU-weit ver- einheitlichen. Als erste Aufsichtsbehörde hat jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Praxen ins Visier genommen, um zu prüfen, ob die Regelungen auch eingehalten werden. Foto:AdobeStock - NicoElNino 84 Praxis

RkJQdWJsaXNoZXIy MjMxMzg=