Nicht nur durch den Telekom-Skandal rückt der Datenschutz immer stärker in das
Augenmerk der Öffentlichkeit. Einen vergleichbaren Daten-GAU in der Praxis kann man
jedoch vermeiden, wenn man grundlegende Maßnahmen getroffen hat. Ein besonderes Risiko
kann dabei das alltägliche Arbeitsmittel der Ärzte darstellen, die Praxissoftware. Während
früher Patientenkarten oder -akten einzeln durchgeblättert und auf den Kopierer gelegt
werden mussten, können heute mit modernster Technik alle vorhandenen Daten in kürzester
Zeit vervielfältigt werden und dies in einer Art und Weise, dass der Praxisinhaber davon
nicht einmal etwas bemerkt. Der Schutz der Daten ist dabei gerade in der Praxis
außerordentlich wichtig. Aufgrund der Verschwiegenheitspflicht von Ärzten und
Psychotherapeuten sind besondere Schutzvorkehrungen zu treffen, die z. B. im
Bundesdatenschutzgesetz anschaulich geregelt sind.
Allein schon weil das Bundesdatenschutzgesetz inhaltlich sinnvolle Regelungen enthält,
sollte dessen Anwendung gewissenhaft geprüft werden. Insbesondere die technischen und
organisatorischen Maßnahmen aus dem Anhang des § 9 Bundesdatenschutzgesetz bieten einen
idealen Leitfaden für einen Abgleich, ob die eigene Praxissoftware datenschutzgerecht
gestaltet ist. Dabei sollten die Maßnahmen wie nacheinander aufgebaute Hürden gestaltet
werden, um einen etwaigen Missbrauch weitestgehend zu erschweren bzw. zu vermeiden.
Eine erste Hürde sollte dabei die Zugangskontrolle (Login) sein. Dabei sollte
die Praxissoftware nicht durch jedermann benutzt werden können. Insoweit sollte mit
„Ja“ auf die Frage geantwortet werden können, ob beim Start der Praxissoftware
nach individuellem Benutzernamen und Passwort gefragt wird.
Eine weitere Hürde stellt die Zugriffskontrolle (Benutzerrechte) dar. So sollte
nach dem erfolgreichen Login der Benutzer nicht auf alle Bereiche zugreifen können,
sondern nur auf solche, für die er auch die fachliche bzw. die ihm zugeteilte
Berechtigung besitzt. Mithin sollte die Frage, ob in der Software Benutzerrechte vergeben
werden können, mit „Ja“ beantwortet werden können.
Ein weiteres Sicherheitskriterium sollte die Weitergabekontrolle
(Verschlüsselung) sein. Während ihres Transportes und nach ihrer Speicherung sollten die
Daten auf Datenträgern so geschützt sein, dass Unbefugte die Daten nicht lesen,
verändern oder löschen können. Bei einem sogenannten Fernarbeitsplatz, mit dem auf die
Praxissoftware zugegriffen werden kann, sollte dies durch eine verschlüsselte
Internetleitung erfolgen (VPN). E-Mails, die sensible Daten enthalten, dürfen dabei nicht
unverschlüsselt verschickt werden. Folglich sollte die Frage, ob die Software eine
Datenverschlüsselung unterstützt, mit „Ja“ beantwortet werden können.
Ein weiteres wichtiges Kriterium ist die Eingabekontrolle (Logdatei). Um
fehlerhafte Eingaben in der Software entdecken zu können, sollte man die einzelnen
Vorgänge nachvollziehen können. Letztendlich ist nicht auszuschließen, dass neben einem
einfachen Vertippen auch bösartige Manipulationen oder gar Softwarefehler verantwortlich
sein könnten. Insoweit müsste auch mit „Ja“ beantwortet werden können, ob die
Software in der Lage ist, das Anlegen, Verändern und Löschen von Datensätzen zu
protokollieren.
Als letztes wichtiges Kriterium ist die Verfügbarkeitskontrolle (Sicherung) zu
nennen. Auch die besten geschützten Daten nützen nichts, wenn sie durch einen
Hardwaredefekt oder durch einen Wasser- oder Feuerschaden nicht mehr lesbar sind. Insofern
sollte auch die Frage, ob die Software in einem sicherungsfähigen Format vorliegt und ob
ein Backup erfolgt, gleichfalls mit „Ja“ beantwortet werden können.
Sollten Sie in der Lage sein, alle vorgenannten Fragen mit „Ja“ zu
beantworten, erscheint Ihre Praxissoftware datenschutzgerecht gestaltet. Darüber hinaus
möchte die KV jedem empfehlen, sich von seinem Anbieter umfassend beraten zu lassen,
wobei man sich auch über Zusatzfunktionen, wie etwa die E-Mail-Verschlüsselung,
erkundigen sollte. Schließlich geht es in einem Schadensfall nicht nur darum, den guten
Ruf zu wahren.
|
