Vom Empfang bis zur Cloud – sichere Daten in der Praxis

Berlin, 22.07.2020


Vom Empfang bis zur Cloud – sichere Daten in der Praxis

Im Zuge der Digitalisierung fallen auch in diabetologischen Praxen immer mehr Daten an, die gut geschützt werden müssen – vor neugierigen Blicken anderer Patienten genauso wie vor Hackerangriffen. Welche neuralgischen Punkte es gibt und wie Sie den Schutz Ihrer Daten verbessern können, war Thema eines DDG-Webinars Anfang Juli.

Dass das Thema Datenschutz und -sicherheit auf der Agenda des DDG-Webinars stand, kam nicht von ungefähr: Zum einen hat sich die DDG schon früh dem Thema Digitalisierung angenommen und mit dem „Code of Conduct Digital Health“ ethisch basierte Standards zur digitalen Transformation formuliert. Zum anderen tritt voraussichtlich im Oktober 2020 die neue IT-Sicherheitsrichtlinie für Kassenärzte, Zahnärzte und Psychotherapeuten in Kraft. Darin sind die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt. Ziel der Richtlinie ist, sensible Gesundheitsdaten in der Praxis noch besser zu schützten. Arztpraxen haben dann ein Jahr lang Zeit, die Richtlinie umzusetzen.

Wie Sie schon jetzt den Schutz Ihrer Daten verbessern können, dazu gab es praxisnahe und praktische Tipps, u. a. von Rechtsanwalt Dr. Thorsten Thaysen aus München.


Simulierte, aber reale Szenarien


Der Empfang hat große Ohren: Hinweise zur Wahrung der Diskretion
„Guten Tag, Herr Müller, Sie kommen wegen Ihrem diabetischen Fuß, richtig?“
Eine durchaus relevante Frage und dazu auch nett gemeint – doch schon wissen alle Umstehenden Bescheid.

Da jedoch kein Außenstehender mitbekommen sollte, wer Patient Ihrer Praxis ist und warum, sollten Sie Empfang und Wartebereich gut voneinander trennen und Hinweisschilder zur Wahrung der Diskretion aufstellen.

Neugierige Einblicke: PC-Lock schaltet Rechner ab
Während Herr Schmitz im Sprechzimmer noch ein paar Minuten auf Sie wartet, wirft er schnell einen Blick auf Ihren Monitor – auf dem noch die Akte der vorherigen Patientin Frau Schöller mit Schwangerschaftsdiabetes geöffnet ist.
Damit solche Einblicke ausgeschlossen sind, sollten Sie beim Verlassen des Raums den Monitor stets abschalten. Damit das nicht vergessen wird, sind sogenannte Dongles äußerst praktisch: Dieses Sicherheitssystem besteht aus einem USB-Stecker, der über eine Funkverbindung mit einem mobilen Sender in Kontakt steht, den Sie bei sich tragen. Entfernen Sie sich weiter als ein paar Meter von Ihrem Rechner, sperrt der Dongle den Zugriff.

Mal eben per E-Mail kommunizieren: Ende-zu-Ende-Verschlüsselung wichtig
„Können Sie mir das Untersuchungsergebnis nicht einfach per E-Mail schicken?“
Wenn Sie mit Ihren Patienten per E-Mail kommunizieren möchten, nutzen Sie Dienste, die eine Ende-zu-Ende-Verschlüsselung gewährlisten, so kann niemand von außen „mitlesen“. „Für eine unverschlüsselte Datenübermittlung benötigen Sie die Einwilligung des Patienten“, erklärte Dr. Thaysen.

Nur für Befugte: sicherer Zutritt, Zugang und Zugriff
„Tach, ich komme wegen der Telekommunikationsstörung. Ich schau grad mal in Ihren Server-Raum, ja?“
Ist der Herr in blauer Arbeitskluft auch wirklich echt? Oder verschafft sich hier gerade jemand unbefugt Zutritt zu Ihrem Server?
Neben einem wachsamen Auge können die „Drei Z“ als Faustformel dazu dienen, wie schützenswerte Daten nicht in falsche Hände geraten.
Zutrittskontrolle: Wer geht bei Ihnen ein und aus?
Zugangskontrolle: Wer hat Zugang zu Rechnern, Akten, Servern und Software?
Zugriffskontrolle: Wer hat Zugriff auf personenbezogene Daten, auf Programme oder Dokumente?

Praxis-PC123: Sichere Passwörter an jedem Arbeitsplatz
„Also, ich benutze überall das gleiche Passwort, kann man sich ja sonst gar nicht alles merken.“
Praxisinhaber sollten alle Arbeitsplätze mit einzigartigen Passwörtern sichern, d. h. nutzen Sie für jeden Account und für jeden Nutzer ein anderes Passwort. Für das Erstellen sicherer Passwörter und deren Verwaltung gibt es Passwort-Manager.

„Datensicherheit-Trias“ schützt vor Hackern
„Da hat mir grad jemand Unbekanntes ein Video geschickt …“
Das Internet bietet viele Möglichkeiten, schnell an Wissen zu gelangen oder Informationen und Daten ans andere Ende der Welt zu schicken. Es ist aber auch eine offene Tür für Missbrauch, das wurde bei dem Webinar deutlich. Eine Firewall schützt Ihre Hardware und Server, ein Virenschutz Ihre Software vor Malware, ein Mailsecurity-System kann vermeiden, dass über Spam-Mails Trojaner auf Ihrem Rechner landen.


Cloud-Speicher – praktisch, aber riskant?


Eine besondere Herausforderung sind die großen Datenmengen, die bei der digitalen Diabetestherapie anfallen, beispielsweise aus CGM-Systemen. Sie helfen dabei, die Behandlung des Diabetes zu erleichtern und zu verbessern. Sie geben aber auch Einblick in die private Lebensgestaltung der Patienten, das macht sie sensibel. Viele Patienten und diabetologische Praxen nutzen für die Speicherung großer Datenmengen eine Cloud, so haben beide Parteien jederzeit Zugriff auf die Daten. Das ist praktisch, doch häufig stehen die Server, auf denen die Daten lagern, gar nicht in Deutschland, sondern in Ländern, in denen andere, oft weniger strenge Datenschutzrichtlinien gelten. „Und nicht immer weiß man, was mit den Daten passiert, ob sie etwa von Dritten weiterverarbeitet werden. Eine Art Datenschutzgütesiegel dafür gibt es leider (noch) nicht“, so Dr. Thaysen.

Lokal oder in der Cloud?
Am sichersten lagern Daten lokal. Doch dann können nicht mehr beide Parteien darauf zugreifen. Wenn Sie aber trotzdem Cloud-Dienste für die Speicherung der Daten nutzen wollen, hat Dr. Thaysen folgende Ratschläge:

  • Die Datenübertragung sollte Ende-zu-Ende-verschlüsselt erfolgen, sodass nur der Empfänger die Daten lesen kann.
  • Idealerweise sollten Daten anonymisiert gespeichert werden, sodass die Daten nicht einem Patienten zuzuordnen sind. Doch nicht alle Anbieter tun das.
  • Entscheidend ist die Tatsache, dass derjenige, der die „Möglichkeit zur Verarbeitung“ bereitstellt, verantwortlich dafür ist, dass die Daten nichtmissbräuchlich verwendet werden können. Die Verantwortung tragen Sie deshalb für den Fall, wenn Sie
    • dem Patienten die Nutzung eines bestimmten Systems verordnen
    • die Daten des Patienten in die Cloud hochladen oder
    • dem Patienten in Ihrer Praxis die Möglichkeit bieten, seine Daten in die Cloud zu laden.

„In allen anderen Fällen besteht meiner Auffassung nach keine datenschutzrechtliche Verantwortlichkeit. Allerdings gibt es dazu bisher keine Äußerungen von Datenschutzbehörden oder gar Entscheidungen von Gerichten.“, erklärte Dr. Thaysen.

Einige Hersteller von CGM-Geräten fordern die Nutzung einer bestimmten Cloud, sonst lässt sich das Gerät nicht nutzen. Eine gute Alternative können produktunabhängige Softwares sein, die eine Datenspeicherung, -verwaltung und -auswertung aus verschiedenen Diabetes-Apps und von unterschiedlichen CGM-Systemen erlauben. Einige Anbieter speichern diese Daten ausschließlich lokal und bieten für den Transfer zwischen Arzt und Patient eine sichere Ende-zu-Ende-Verschlüsselung per E-Mail.


Anmerkung der Redaktion: Diese Zusammenfassung ist keine Rechtsberatung. Zur Umsetzung der Sicherheitsstandards, ist es sinnvoll, professionelle Hilfe in Anspruch zu nehmen.


Quelle:
DDG-Webinar „Digitalisierung und Diabetestechnologie“ vom 1. Juli 2020 Vortrag: Datenschutz und Datensicherheit, Dr. Thorsten Thaysen im Dialog mit Dr. Friedhelm Petry


Weiterführende Informationen und Checklisten


Hotline der KBV

zur Unterstützung der Praxen beim Schutz sensibler Patientendaten
Unter 030 4005 2000 (montags bis donnerstags von 8 bis 18 Uhr und freitags bis 17 Uhr) sowie per E-Mail an it-security@kbv.de

DDG Code of Conduct Digital Health zur digitalen Transformation

Download

Dr. Thorsten Thaysen „Digitalisierung – juristische Aspekte“

In: D.U.T-Report 2019

Informationen der KBV:

Mein Praxis-Check
14 Szenarien, die Sie mit 1 = gut umgesetzt, 2 = zu optimieren, 3 = risikoreich bewerten können. Im Ergebnisbericht finden Sie praktische Tipps, Internetadressen sowie eine Übersicht, wie die eigene Praxis im Vergleich zu den anderen Teilnehmern abgeschnitten hat.

Sicheres Netz
Übersicht über sichere Online-Anwendungen für Arzt-Praxen

Datensicherheit in Praxen
Empfehlungen zum Datenschutz und zur Datensicherheit beim Anschluss an die TI

Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis

Technische Anlage

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Aktion Datenschutz in der Arztpraxis: Selbst-Check für Arzt-/Zahnarztpraxen

Arbeitsgemeinschaft Diabetes & Technologie der Deutschen Diabetes Gesellschaft e.V. (AGDT)

Software, Online-Tagebücher und Apps in der Arztpraxis: Checkliste zur Vermeidung rechtlicher Probleme


Weitere News

Telematikinfrastruktur: Die verschiedenen E-Akten

18.03.2020

ePA, eGA, eAA, eFA – blicken Sie noch durch? Wir geben einen Überblick über die verschiedenen elektronischen Akten und erläutern, welche Konzepte dahinterstecken.

Mehr erfahren

„Mein Alltag als Looperin“

18.03.2020

„Heute passt sich der Diabetes meinem Leben an – nicht umgekehrt.“ Für Lisa Schütte ist klar: Die Digitalisierung hat ihren Alltag als Betroffene enorm erleichtert. In ihrem Film gewährt sie einen Einblick in ihr Leben mit Diabetes.

Mehr erfahren

Telemedizin: Ein Leitfaden für die diabetologische Praxis

18.03.2020

ePA, eGA, eAA, eFA – blicken Sie noch durch? Wir geben einen Überblick über die verschiedenen elektronischen Akten und erläutern, welche Konzepte dahinterstecken.

Mehr erfahren