Schutz der Patientendaten – von Festplatte bis Serverraum
Fest im Praxisalltag verwurzelt sein muss der richtige Umgang mit Datenträgern. Zu den Datenträgern gehören zunächst die Bänder und Server, auf denen abendlich die Datensicherung durchgeführt wird.
Den Serverraum sicherheitshalber hinter Schloss und Riegel
Der Zugang zum Netzwerkschrank sollte in irgendeiner Art abschließbar sein. Innerhalb des Teams sollte geklärt werden, wer die Verantwortung für den Bandwechsel, die Kontrolle über den Zugang anderer Teammitglieder oder des Reinigungsteams und den des Serverraums hat.
Die Verantwortung für den Serverraum der Praxis umfasst neben der Kontrolle der Zugänge auch datensichernde Faktoren wie die Funktion von Lüfter und Batterie, die Raumtemperatur und auch die korrekte Durchführung der Datensicherung – Dinge, die ein Systemadministrator auch mit Fernüberwachung nicht im Blick haben kann. Praktisch ist es, sich einen Wochenplan an die Tür des Serverraums zu hängen – als Selbstkontrolle für das Praxisteam.
USB-Sticks und Notebooks - verschlüsseln!
Bewegliche Datenträger wie USB-Sticks oder Notebooks müssen verschlüsselt werden, damit bei Verlust die Daten nicht an die Öffentlichkeit geraten. Das ist z.B. mit der Windows-7-Funktion Bitlocker in der Enterprise-Lizenz möglich, aber auch mit kostenfreier OpenSource Software wie z.B. TrueCrypt. Während Letztere aber keinen Hersteller-Support bietet und von technisch Versierten eingerichtet werden sollte, kann Bitlocker nach Erstinstallation auch von Laien verwendet werden.
Leider umfassen die mit dem PC ausgelieferten Professional-Lizenzen keine Verschlüsselungssoftware. IT-Sicherheitsexperte Maximilian Beckenbach empfiehlt Netzen bis 20 PCs, die sich für Bitlocker entscheiden, im Speziellen die Mietvariante, die mit monatlichen Beträgen im Portokassenbereich tragbar ist und zusätzlich einen verwalteten Virenschutz, Update-Management sowie eine Fernwartungslösung und Upgrades auf zukünftige Windows-Versionen enthält.
Alte Datenträger unlesbar machen - auch das Faxgerät!
Wer Daten speichert, muss aber auch Daten vernichten können. Gespeicherte Daten müssen nicht nur gelöscht werden, sondern dürfen nicht mehr abrufbar sein! Eine verlässliche Unlesbarkeit der Daten erreicht man erst durch ein rund siebenfaches Überschreiben, erklärt dazu Maximilian Beckenbach. Am sichersten ist es deswegen, die Datenvernichtung einem darauf spezialisierten Unternehmen zu überlassen.
Aber Achtung: Die internen und externen Festplatten (z.B. USB-Festplatten) sind nicht die einzigen Datenträger in einer Arztpraxis: Jeder Drucker, jeder Kopierer und sogar jedes Fax-Gerät hat Datenspeicher. Multifunktionsgeräte tragen oft regelrechte Festplatten in sich, und Zwischenspeicher großer Geräte können bis zu 90 Gigabyte an Daten sichern (zum Vergleich: Die Datenbank Wikipedia besteht gerade mal aus 12 Gigabyte). Kleinere Geräte mit integriertem Flashspeicher speichern natürlich weniger Daten – aber auch diese müssen zuverlässig vernichtet werden.
Der einfache Weg ist es, grundsätzlich beim Hersteller anzufragen, ob die Geräte einen Zwischenspeicher haben, und wenn ja, wie die Daten unwiederbringlich gelöscht werden können. Natürlich: Die Wahrscheinlichkeit, dass jemand versucht, einen Faxspeicher auszulesen, ist nicht groß. Trotzdem darf man sich aufgrund der speziellen Datenschutzanforderungen in einer Arztpraxis nicht mit einer einfachen Anleitung zum Löschen begnügen!
Übersehen wird leicht, dass das Problem der Datenvernichtung auch bei Garantiefällen auftreten kann: Geht eine Festplatte zurück zum Hersteller, muss sie entweder zertifiziert vom Hersteller vernichtet werden – lassen Sie sich dann für die eigene Rechtssicherheit eine schriftliche Bestätigung geben – oder der Hersteller verzichtet auf die Rücklieferung der alten Festplatte, sodass die Praxis ein IT-Unternehmen damit beauftragen kann, die Daten zuverlässig zu vernichten.
In größeren Praxen kann es sinnvoll sein, alle Datenträger der Praxis im Zuge des Projekts- bzw. Qualitätsmanagements zu erfassen und den spezifischen Umgang damit zu regeln.
Der Datenschutzbeauftragte - wer braucht einen, wo finden Sie einen?
Den Datenschutz in einer Arztpraxis zu gewährleisten, erfordert Sachverstand. Laut Bundesdatenschutzgesetz sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn dort mindestens zehn Personen beschäftigt sind (§ 4 f Bundesdatenschutzgesetz), die personenbezogene Daten verarbeiten. Dabei zählt der Praxisinhaber gemeinhin nicht dazu, ansonsten aber jeder Beschäftigte, also auch Teilzeitkräfte und Aushilfen.
Der Datenschutzbeauftragte kann sowohl intern wie auch extern bestellt werden. Bestimmt der Arzt im Rahmen des QM jemanden, der sich – nach entsprechender Fortbildung zum Beispiel bei der IHK – mit den Praxisabläufen sowie den technischen Gegebenheiten in der Praxis beschäftigt, hat dies den Vorteil, dass die Person vertraut ist mit den Organisationsabläufen in der Praxis und ihre Entscheidungen mit dem Qualitätsmanagement verknüpfen kann. Der Praxisinhaber kann übrigens nicht sein eigener Datenschutzbeauftragter sein!
Bei der Auswahl eines Mitarbeiters aus den eigenen Reihen lohnt es sich, auch soziale Kompetenzen und Teamfähigkeit zu beachten, rät Netzmanager und Praxisberater Jörg Hassenpflug: Der Datenschutzbeauftragte ist zwar nicht weisungsbefugt, sein Interessensgebiet greift aber in quasi alle Arbeitsbereiche einer Praxis hinein. Außerdem unterliegt er bis ein Jahr nach seiner Bestellung einem besonderen Kündigungsschutz. In der Bestellungsurkunde sollte benannt sein, dass die Bestellung zum Datenschutzbeauftragten mit dem Arbeitsvertrag endet.
Entscheidet sich der Arzt für einen externen Datenschutzbeauftragten, sollte er auf die Qualifizierung (zum Beispiel von der IHK) achten. Eine Spezialisierung auf Arztpraxen ist dabei von Vorteil, aber nicht unbedingt nötig. Aktiv werden muss ein externer Beauftragter regelmäßig, und zwar mindestens einmal im Jahr – da sich die IT-Welt sehr schnell dreht, reicht „einmal alles aufräumen“ einfach nicht aus.
Als finanzielle Orientierung gilt: Das Gros der unabhängigen IT-Consultanten verlangt Tagessätze zwischen 800 bis 1200 Euro, eine Praxis mit fünf bis zehn Arbeitsplätzen müsste mit einem Einsatz von einem Tag Aufnahme und ein bis zwei Tagen Dokumentation jährlich rechnen.
Juristisch wasserdicht - Haftungsfälle vermeiden
Welche Lösung für welche Praxis die bessere ist, muss jeder selbst entscheiden – im Haftungsfall zählt, dass der Arzt eine gute Absicherung nachweisen kann, um nicht dem Vorwurf der Fahrlässigkeit ausgesetzt zu werden.
Denn trotz der geteilten Verantwortlichkeit, wie sie z.B. durch Fernwartung entsteht, muss der Arzt zu jedem Zeitpunkt die Kontrolle haben über die Auftragsdatenverarbeitung, die in seinem Namen geschieht – so wollen es speziell Paragraf 9 BDSG und Paragraf 11 BDSG (Bundesdatenschutzgesetz), wie der Datenschützer Thomas Gutte, CDC Compliance & Datenschutz Consulting, erklärt.
Im Anhang von Paragraf 9 wird auch spezifiziert, welche Datenschutz-Anforderungen konkret gestellt werden, wie z.B. die Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.