Beim Einsatz von EDV in der Praxis ist der Arzt verpflichtet, die Sicherheit der Patientendaten zu gewährleisten. Neben den berufsrechtlichen Vorgaben zur ärztlichen Schweigepflicht enthält die Datenschutzgrundverordnung (DSGVO) Vorgaben für die Datenverarbeitung und -sicherheit. Bundesärztekammer (BÄK) und Kassenärztliche Bundesvereinigung (KBV) hatten angekündigt, die hierfür geltenden Empfehlungen an die DSGVO anzupassen. Am 9. März 2018 haben BÄK und KVB die Änderungen veröffentlicht: www.bundesaerztekammer.de/….
Die DSGVO schreibt eine „Datenschutzfolgenabschätzung“ vor, wenn umfangreich besondere Kategorien von Daten verarbeitet werden, zu denen Gesundheitsdaten zählen. Im Rahmen der Datenschutzfolgenabschätzung kommt den technischen und organisatorischen Maßnahmen, die zur Einhaltung des Datenschutzes und zur Sicherheit der Datenverarbeitung getroffen wurden, erhebliche Bedeutung zu. Ärzte und andere Verarbeiter von Gesundheitsdaten, wie Kliniken oder Pflegeeinrichtungen und -dienste, sollten daher diesen Maßnahmen besondere Beachtung schenken.
Beim Einsatz von EDV sollten die folgenden Punkte immer umgesetzt werden:
• der Einsatz von Passwörtern,
• ein stets aktueller Virenschutz sowie
• die Einführung eines Zugriffs- und Berechtigungskonzepts.
Passwörter richtig vergeben
Nach wie vor wird oft für die Mitarbeiter zusammen lediglich ein gemeinsames Passwort eingerichtet, zum Beispiel „Schwester“, weil häufig wechselnde Anmeldungen und die angebliche Vergesslichkeit der Mitarbeiter individuelle Passwörter als unpraktikabel erscheinen lassen. „Allerdings erfüllt das nicht die Anforderungen an eine Lese- und Zugriffsprotokollierung. Dieses Vorgehen ist datenschutzrechtlich problematisch“, sagt Axel Keller. Um angemessenen Schutz zu erhalten, empfiehlt Rechtsanwalt Keller:
• Für jeden Mitarbeiter ist ein eigenes, individuelles Passwort einzurichten;
• Passwörter sind regelmäßig zu erneuern und
• dabei ist auf die Länge und die Verwendung von verschiedenen Zeichen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) zu achten.
Sich gegen Angriffe von außen gut wappnen
In jüngster Zeit hat es immer wieder größere Angriffe mit Schadsoftware gegeben, die auch Auswirkungen auf den Endanwender solcher Software hatten. „Aktuelle Viren-Schutzprogramme sind unverzichtbar. E-Mails und jegliche Kommunikation über das Internet sollten zentral auf Viren untersucht werden“, empfiehlt Keller. Zusätzlich sollte jeder Computer mit einem lokalen Viren-Schutzprogramm ausgestattet sein, das ständig im Hintergrund läuft. Im Rahmen eines Zugriffs- und Berechtigungskonzepts sollten daher
• rollen- oder personenbezogene Zugriffsrechte auf das EDV-System eingeräumt werden, die sich auf das Notwendigste beschränken, und
• keine Administratorrechte für einfache Nutzer vergeben werden.
„Daneben sind Vorgaben zur Datensicherung und -wiederherstellung zu erarbeiten, damit im Notfall kurzfristig zumindest eine eingeschränkte Funktionsfähigkeit des Betriebs und der Patientenversorgung hergestellt werden kann“, rät Keller.
Der Dritte im Bunde
In der Zusammenarbeit mit Dritten ist vor allem der Auftragsverarbeiter von Bedeutung. In aller Regel sind dies Rechenzentren oder die Abteilung Fernwartung von Softwareunternehmen, aber auch – im Rahmen der Lohn- und Finanzbuchhaltung – der Steuerberater. „Zwischen Auftraggeber und Auftragsverarbeiter ist ein Vertrag über die Auftragsverarbeitung zu schließen, in dem verschiedene Aspekte zwingend geregelt sein müssen“, sagt Keller. Dazu gehören beispielsweise, dass die Verarbeitung von Daten nur auf dokumentierte Weisung des Verantwortlichen stattfinden darf, die Verpflichtung der Mitarbeiter zur Vertraulichkeit sowie die Gewährleistung der Sicherheit der Datenverarbeitung.
Tipps
– Überlegen Sie, ob an den Arbeitsplätzen tatsächlich überall USB-Anschlüsse erforderlich sind. Sie lassen sich deaktivieren, was die Datensicherheit deutlich erhöht.
– Haben Sie Ihren Laptop oder PC mit einem Passwort geschützt? Sehr gut! Leider schützt dies die Daten auf der Festplatte gar nicht. Denken Sie daher an den Einsatz einer Festplattenverschlüsselung.
Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter
Das Beratungsunternehmen Ecovis unterstützt mittelständische Unternehmen. In Deutschland zählt es zu den Top 10 der Branche. Etwa 5.000 Mitarbeiterinnen und Mitarbeiter arbeiten in den mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 60 Ländern. Ecovis betreut und berät Familienunternehmen, inhabergeführte Betriebe sowie Freiberufler und Privatpersonen. Um das wirtschaftliche Handeln seiner Mandanten nachhaltig zu sichern und zu fördern, bündelt Ecovis die nationale und internationale Fach- und Branchenexpertise aller Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater. Jede Ecovis-Kanzlei kann auf diesen Wissenspool zurückgreifen.
Darüber hinaus steht die Ecovis Akademie für fundierte Ausbildung sowie für kontinuierliche und aktuelle Weiterbildung. All dies gewährleistet, dass die Beraterinnen und Berater ihre Mandanten vor Ort persönlich gut beraten.
www.ecovis.com
ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com
