Wie Sie Patientendaten richtig schützen

Sensible Patientendaten in Arztordinationen zu schützen ist in den vergangenen Jahren immer komplexer geworden. Heute ist Informationstechnologie (IT) ein integraler Bestandteil dessen, wie die Versorgungen von Patienten/-innen koordiniert, Krankenakten verwaltet oder Rechnungen gehandhabt werden. Das bietet eine neue Angriffsfläche und befeuert die Dringlichkeit, klare Strategien zu implementieren, um sicherzustellen, dass private Gesundheitsinformationen vertraulich bleiben.

Traditionelle Angriffsfläche – physischer Schutz von Patientendaten

Als niedergelassene Arzt/Ärztin oder Leiter/in einer Einzel- beziehungsweise Gemeinschaftspraxis weiß man, wie sich physische Gesundheitsdaten von Patienten/-innen sicher aufbewahren lassen. Dinge wie das sichere Verwahren gedruckter Dokumente, das Abschließen von Aktenschränken und wichtigen Türen oder solider Diebstahl- und Einbruchsschutz zählen zu den Grundvoraussetzungen jeder Arztpraxis.

Auch die „Schwachstelle“ Mensch haben viele fest im Visier. Durch die Sensibilisierung von Mitarbeitenden zum Thema Datenschutz und den Verweis auf die Dienstverträge und die Geheimhaltungspflicht lässt sich bereits viel erreichen. Zusätzlich ist es sinnvoll zu überlegen, wer welche Dateneinsicht wirklich braucht. Gestaffelte beschränkte Zugriffsrechte für das Personal verhindern, dass Mitarbeitende unbeabsichtigt Dateneinsicht haben, die sie für ihre Arbeit eigentlich gar nicht brauchen. Dies muss schriftlich dokumentiert und kann bereits im Dienstvertrag festgehalten werden.

Neue Angriffsfläche IT – digitale Daten schützen

Heutzutage gibt es aber eine neue und wichtigere Angriffsfläche, die IT. Ordinationen müssen sich gegen Einsicht und Eingriffe in ihre digitalen Patientendaten schützen. Die Gesundheitsinformationen auf einer externen Festplatte zu verwahren oder in die Cloud auszulagern, ist kein ausreichender Schutz gegen Datendiebstahl und Datenverlust.

Computer müssen stets mit einem aktuellen Betriebssystem und Browser betrieben sowie regelmäßige Sicherheitsupdates durchgeführt werden. Für die Arbeit genutzte mobile Geräte wie Notebooks, Tablets oder Smartphones müssen immer auf dem aktuellen Stand der Sicherheit sein. Für das WLAN ist ebenfalls ein aktueller Schutz wichtig. Wird auf das Internet ohne das e-card-Netzwerk GIN ist eine Software-Firewall zu aktivieren.

Back-ups, Verschlüsselung und Netzwerke

Alle Daten müssen verschlüsselt sein, das gilt genauso für den Ordinationsserver oder eine externe Festplatte wie für die Cloud. Ein weiterer wichtiger Aspekt ist die tägliche Sicherung der Daten und der Software als Back-up. Sollte die Ordination von einem Hackerangriff betroffen sein, einen Einbruch oder Brand erleiden, lassen sich durch das Back-up Software und Daten zügig wiederherstellen. Damit das Back-up in jedem Fall sicher bleibt, muss es extern verwahrt werden (verschlüsseltes Sicherungsmedium im brandsicheren Safe oder verschlüsselte Cloud). In periodischen Abständen sollte die Wiederherstellbarkeit geprüft werden. Vor allem dann, wenn physische Sicherungsmedien benutzt werden, da sie begrenzte Schreibzyklen und damit eine begrenzte Lebensdauer haben können.

Da Netzwerkzusammenbrüche und Datenverluste zu 80 Prozent eine interne Ursache in der Ordination haben, müssen Mitarbeitende im korrekten Umgang mit Hardware und Software geschult werden, um eine unsachgemäße Bedienung zu vermeiden. An dieser Stelle gilt es eindeutig zu regeln und schriftlich zu dokumentieren, auf welche Programme und Daten jede/r Mitarbeiter/in zugreifen darf. Berechtigungen sollten auf die notwendigen Daten beschränkt und alle Zugriffe protokolliert werden. Mitarbeiter/innen sollten personalisierte Passwörter nutzen. Gemeinschaftlich genutzte Passwörter müssen eine hohe Sicherheitsqualität aufweisen (gewisse Länge haben sowie Zahlen, Buchstaben und Symbole enthalten) und regelmäßig geändert werden.

Darüber hinaus ist es wichtig, Mitarbeitende für mögliche Gefahren zu sensibilisieren. Cyberkriminelle nutzen unterschiedliche Taktiken, um sich Zugang zu privaten Informationen zu verschaffen. Gefälschte Links und E-Mails sind beliebte Methoden, aber auch telefonisch kann versucht werden, Zugangstaten zum Ordinationsnetzwerk zu erhalten. In diesem Zusammenhang ist es sinnvoll, Fernwartungszugänge zu beschränken, damit Mitarbeitende nicht mit uneindeutigen Situationen konfrontiert werden.

Geheimhaltungspflicht

Die Geheimhaltungspflicht für Patientendaten gilt uneingeschränkt und muss auch IT-Dienstleister umfassen. Dienstleisterverträge sollten Klauseln enthalten, die die IT-Profis zur Einhaltung des Datenschutzes verpflichten sowie Zugriffe auf Sicherungsmedien, Daten und Software sowie Möglichkeiten der Fernwartung klar regeln.

Werden IT-Komponenten ausgetauscht, müssen alte Computer, Datenträger und Speichermedien restlos gelöscht werden. Im Zweifelsfall sind Festplatten physisch zu zerstören.

Fazit

Ein solides Sicherheitskonzept zum Schutz von Patientendaten bewahrt Ordinationen vor Sicherheitslücken und Rechtsverstößen, die durch die schärferen Regeln der DSGVO schneller entstehen können. Zudem hilft es, dass Daten vertrauenswürdig und unverändert bleiben, nicht verloren oder vernichtet werden. Im Fall von Datendiebstahl oder Datenverlust lassen sich die IT-Strukturen der Ordination mit dem Back-up schnell wieder herstellen.