Patientendaten bleiben Verschlusssache
NEU-ISENBURG (tru/maw). Mit den gerade aktualisierten Empfehlungen zu Datenschutz und Datenverarbeitung von Bundesärztekammer und KBV zeigt sich einmal mehr, wie wichtig der Datenschutz in der Arztpraxis ist. Gefahren lauern immer dann, wenn Unbefugte im Praxis-PC oder -Laptop auf sensible Patientendaten zugreifen wollen. Mit technischen Möglichkeiten und einem konsequenten Umgang mit Passwörtern kann man sich vor Blicken und Zugriffen Neugieriger schützen.
Veröffentlicht:Wer im freien Internet online unterwegs ist, läuft immer Gefahr, dass seine Daten ausgespäht werden. Schon seinen Privat-PC sollte man daher gut gegen Viren und Spionageprogramme schützen. Beim Praxis-PC raten Experten zu noch größerer Vorsicht. Die neuen Empfehlungen von KBV und BÄK erlauben es Ärzten jetzt auch, mit einem Rechner mit Patientendaten ins Internet zu gehen - allerdings nur über einen sicheren Provider. Dazu zählen zum Beispiel solche Dienstleister, die für das Datennetz der KVen, das KV-Safenet zertifiziert sind.
Zwei Firewalls sind das Mindestmaß an Sicherheit
Um die Daten auf den Praxisrechnern bestmöglich zu schützen, ist nach Experteneinschätzung mindestens der Einsatz von zwei Firewalls unabdingbar - eine auf Netzwerkebene und eine am Rechner selbst. Zusätzlich sollte man immer darauf achten, dass man die neuesten Sicherheits-Updates für das Betriebssystem - in den meisten Fällen wird dies Windows von Microsoft sein -und die verwendete Software herunterlädt. Der Einsatz einer Antiviren- und einer Anti-Spywaresoftware sollte ebenfalls selbstverständlich sein. Der Leitfaden zu den Empfehlungen der Körperschaften beschreibt, worauf Praxischefs beim Internet-Zugang achten sollten.
Ebenso sollte vom Praxisteam die Regel befolgt werden, nach der die Rechner mit sensiblen Daten auf keinen Fall zum Surfen im Internet oder für den E-Mail-Verkehr genutzt werden. Lediglich die Praxis-Software und die entsprechenden Updates für Programme dürfen hier laufen beziehungsweise aufgespielt werden.
Auch Passworte sind nicht für ewig in Stein gemeißelt
Praxisrechner sollten auch in der Praxis selbst vor unbefugtem Zugriff geschützt werden - durch Passworte. Wer wirklich auf der sicheren Seite sein will, braucht Codes mit mindestens acht Zeichen, am besten aus unterschiedlichen Kategorien, also auch mit Sonderzeichen und Ziffern. Kündigt ein Mitglied des Praxisteams oder geht es zum Beispiel in die Elternzeit - und gehört damit für diesen Zeitraum formell nicht mehr zu den Mitarbeitern -, sollten alle Passworte umgehend geändert werden.
Die Kassenärztliche Vereinigung Bayern rät übrigens, Passworte generell in bestimmten Abständen zu erneuern. Weitere Tipps: Die Software auf den Rechnern sollte so konfiguriert sein, dass sie nach mehrmaligen fehlerhaften Eingabeversuchen den Zugriff komplett verweigert und dass das System für den Betroffenen gesperrt wird.
Sinnvoll ist auch ein passwortgeschützter Bildschirmschoner auf Rechnern, die in Behandlungsräumen stehen. Der Arzt oder das Praxispersonal können ihn aktivieren, wenn der Patient allein im Zimmer bleibt. So bleiben die Daten für Dritte nicht einsehbar. Grundsätzlich sollten die Bildschirme der Computer so aufgestellt sein, dass Unbefugte sie nicht einsehen können.
Patientendaten können aber auch auf ganz anderen Wegen in falsche Hände geraten. Zum Beispiel bei einem allzu offenherzigen Gespräch einer Arzthelferin mit einem Patienten im Wartebereich. Schon aus rechtlichen Gründen sollten Ärzte so etwas in ihrer Praxis nicht dulden. Es kommt im hektischen Praxisalltag auch gelegentlich vor, dass Patientendatenblätter offen herumliegen und für jeden einsehbar sind.
Der Datenschutzbeauftragte im Team ist teilweise Pflicht
Auch für solche Fälle ist der Datenschutzbeauftragte einer Praxis zuständig. Denn die Organisation einer Praxis - vom Wartebereich bis hin zum Verhalten der Angestellten - ist mindestens so wichtig, wie der Schutz elektronischer Patientendaten. Nicht jede Praxis ist verpflichtet, einen Datenschutzbeauftragten zu bestellen. Generell gilt: Wenn mehr als neun Personen ständig mit der automatischen Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter her. Aber wann ist ein Mitarbeiter "ständig" mit der Datenverarbeitung beschäftigt?
"Wenn er auf unbestimmte, längere Zeit dafür vorgesehen ist", erläutert Philipp Stachwitz die Gesetzeslage. Der stellvertretende Referent für Telematik bei der Bundesärztekammer weiß, worauf es ankommt. ,Ständig‘ müsse nicht heißen, dass der Mitarbeiter hauptsächlich Daten verarbeitet. Anders ausgedrückt: Zu diesen neun Personen zählen die Angestellten am Empfang sowie diejenigen, die mit der Abrechnung zu tun haben. Ausgenommen ist nur der Praxisinhaber.
Auch Praxisfremde können für Datensicherheit zuständig sein
Trifft einen die Verpflichtung, einen Datenschutzbeauftragten zu benennen, kann das nach dem neuen Leitfaden der KBV und BÄK auch ein Praxisfremder sein. Wichtig ist nur, dass der- oder diejenige ausreichende Fachkenntnisse - unter anderem zur ärztlichen Schweigepflicht - und die nötige Zuverlässigkeit nachweisen kann.
Die Kenntnisse dafür vermitteln unter anderem auch Seminare der KBV oder der Landesärztekammern. Wird ein externer Datenschutzbeauftragter bestellt, hat auch er ein Zeugnisverweigerungsrecht und unterliegt der Schweigepflicht.
Datenschutz für Praxen im Web
Nützliche Websites zum Thema Datenschutz in Arztpraxen:
- www.datenschutzzentrum.de/medizin/arztprax/download.htm : Selbstcheck für Ärzte. Erfülle ich alle datenschutzrechtlichen Bestimmungen?
- www.kvb.de : Unter "Themen A-Z" gibt es unter "D" den Punkt "Datenschutz in Arztpraxen". Dort gibt es ein Datenschutzhandbuch zum Download.
- www.bfdi.bund.de (tru)
Lesen Sie dazu auch: Das Internet ist für Praxisrechner mit Patientendaten nicht mehr tabu
Lesen Sie dazu auch den Kommentar: Fortschritt für den Datenschutz
