ABC DER DATENSICHERHEIT

Der Umgang mit Patientendaten verpflichtet niedergelassene Ärzt:innen zu umfassende Sicherheitsstrategien. Allein mit externen Festplatten oder der Auslagerung auf eine Datenwolke ist es nicht getan.

Von Josef Ruhaltinger

© Springer Wien

Ärztin und Arzt sind Vertrauenspersonen – und stehen gegenüber ihren Patient:innen in der Pflicht. Sie wissen Kraft ihrer Heilkunst über intimste Angelegenheiten ihrer Patient:innen Bescheid und sind verpflichtet, dieses Wissen und die dazugehörigen Daten mit entsprechender Sorgfalt sichern. Dabei ist Datensicherheit in Ordinationen breiter zu verstehen als die Abschottung nach außen. Viele grundlegende Prozesse in einer Ordination haben streng genommen nichts mit der IT zu tun. Doch können gerade in diesem Bereich ohne Aufwand wesentliche Verbesserungen erzielt und damit die Datensicherheit in der Ordination erhöht werden.
 

DAS BEDROHUNGSBILD

Einst waren Hackerangriffe auf Ordinationen kein ernstes Bedrohungsszenario, zu wenig ergiebig waren die einzelnen Attacken. „Das hat sich drastisch geändert“, sagt Thomas Baumann. Er ist Teilhaber des auf Ärztepraxen spezialisierten Wiener IT-Unternehmens Spineffect: „Wir erleben in den vergangenen Monaten individuelle Zugriffe, in denen gezielt eine ganze Ordinations-IT in Geiselhaft genommen wurde.“ Da würden nur mehr Bitcoin-Zahlungen oder Neuinstallationen der Back-ups helfen – „so es welche gibt“, warnt Baumann. Seine Erfahrung ist leider eine andere: „Das Bewusstsein in heimischen Ordination in Sachen IT-Sicherheit ist ausbaubar.“

Die Alltagsroutine bedeutet eine ständige Gefährdung der Ordinations-IT: Unsachgemäße Bedienung, ein falscher Link, ein unautorisierter Zugriff aus der Ordination, ein Brand bzw. Diebstahl und schon sind die Patienten- und Ordinationsdaten gestohlen, nicht mehr vertrauenswürdig oder vernichtet. Dazu gibt es auch eine Zahl: 80 Prozent der Datenverluste und Netzzusammenbrüche haben ihre Ursache innerhalb der Unternehmen und Ordinationen.

AUCH HIER GIBT ES DOKUMENTATIONSPFLICHT

Um diesen unterschiedlichen Herausforderungen gerecht zu werden, braucht es einen Plan, der Regeln und Dokumentationspflichten beschreibt. Was nicht unbedingt ganz oben in der To-do-Liste der Ordinationsinhaber steht: Ärzt:innen sind durch das Gesundheitstelematikgesetz (GTelG) 2012 gesetzlich verpflichtet, alle Datensicherheitsmaßnahmen schriftlich zu protokollieren. Die gesamte Dokumentation wird dabei als IT-Sicherheitskonzept bezeichnet. Damit kann im Anlassfall nachgewiesen werden, dass die Ordinationschef:in die „unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit" (Datenschutzgesetz DSG 2017) zumutbaren Maßnahmen getroffen haben. Das Konzept enthält Regeln und – ganz wichtig – aktuelle Dokumentationen, wie wer mit welchen Daten umgehen darf (siehe Kasten „Grundlagen eines IT-Sicherheitskonzeptes“). In diesem Plan werden Regeln für Mitarbeiter:innen, IT-Dienstleister, aber auch für das Arbeitsumfeld in der Rezeption festgehalten. Das Ziel: Die Vertraulichkeit im Umgang mit Patienteninformation muss gewahrt bleiben - gegenüber Dritten, aber auch gegenüber unberechtigten Teammitgliedern oder IT-Dienstleistern.

Datensicherheit beginnt in der Rezeption. Die Monitore der Mitarbeiter:innen müssen für Dritte uneinsehbar sein, was meist ohne Aufwand möglich ist. Schwieriger ist es, die Vertraulichkeit am Telefon und am Empfang zu wahren: Der Diskretionsabstand ist hier sehr wichtig, um die oft unbeschwert plaudernden Patient:innn vor Lauschern zu beschützen. Nicht vergessen werden darf auch das Faxgerät: Auch wenn diese Art der elektronischen Informationsübertragung am Aussterben ist – eingehende Schreiben – nicht selten Befunde – dürfen nur von berechtigten Personen eingesehen und kontrolliert werden. Daher ist der Standort des Gerätes nicht unwesentlich!

AKTUELLE BACKUPS

Datensicherungen gehören zum Ordinationsalltag wie das Formulieren von Befunden. Sie erlauben, Daten wieder zu rekonstruieren. Die tägliche Spiegelung der Daten auf eine mobile Festplatte ist dafür ein gängiges Prozedere. Das Backup darf freilich nicht in denselben Räumlichkeiten sein wie die Ordination. Bei einem Einbruch in Arztordinationen sind PCs und alle andere IT-Geräte erfahrungsgemäß weg. Feuersichere Brandtresore können Abhilfe leisten. Für Spineffect-Experte Baumann sind Datenspeicherungen in der Cloud weitere „State-of the Art“-Techniken. Voraussetzung für deren Einsatz sei „die Verschlüsselung der Daten – in der Cloud genauso wie auf der externen Festplatte.“ Eine aus dem Auto geklauten Hard-Disk dürfe kein Passierschein zu den Patientendaten sein. Ebenso wichtig: Das Backup ist die Basis für den Wiederaufbau der IT-Strukturen. Nicht nur die Daten, auch die Software muss im Fall eines IT-Zusammenbruchs wieder herstellbar sein.
 

VERTRÄGE MIT MITARBEITER:INNEN

Die Ärztekammer weist darauf hin, dass Ordinationsbetreiber schon aus Gesetzesgründen festlegen müssen, welche Mitarbeiter:innen Zugriff auf sensible Daten haben. Es empfiehlt sich, nur den unbedingt notwendigen Kreis zu definieren. Die Vereinbarungen über Datenzugriff, die Belehrungen über die Verschwiegenheits- und andere Pflichten werden am besten bereits im Dienstvertrag geregelt. Ein personalisiertes Login ist dabei für jedes Teammitglied Voraussetzung. Gute Software protokolliert für die Chefin oder den Chef automatisch, welcher Mitarbeiter:in auf welche Weise (lesen, schreiben, ändern) auf welche Daten zugegriffen hat.
 

REMOTE-ZUGRIFF MUSS GEREGELT WERDEN

Die meisten IT-Dienstleister haben die Möglichkeit, über Schnittstellen in die Arztsoftware von außen einzugreifen. Dieser Remote-Zugriff –  oder zu Deutsch Fernwartung –  erleichtert Updates bzw. Reparaturen an der Software. Dies verlangt aber ganz spezielle Klauseln in den Kooperationsverträgen. Die IT-Dienstleister müssen schriftlich die Einhaltung des Datenschutzes garantieren. Für alle Fernzugriffe sind die technische Sicherheit und der Schutz vor unbefugtem Zugriff zu garantieren. Alle entsprechenden Maßnahmen sind zu dokumentieren und der Ordination mitzuteilen.

Weiterführende Quellen: www.aerztekammer.at/it-sicherheit