Als Arzt müssen Sie und Ihr Team dafür sorgen, dass Patientendaten nicht in falsche Hände geraten. Zum Datenschutz zählen dabei nicht nur digitale Sicherheit, sondern auch die ärztliche Schweigepflicht und der richtige Platz für den PC. Wir zeigen Ihnen, was es zu beachten gilt.
Wichtiger Bestandteil der Arzt-Patienten-Beziehung ist die ärztliche Schweigepflicht. Ärzte haben über alles, was Patienten Ihnen in ihrer Funktion als Arzt anvertrauen, zu schweigen. Diesen und viele weitere Artikel finden Sie in unseren DocCheck Praxistipps. Darüber hinaus gilt für Ärzte aber auch das Bundesdatenschutzgesetz (BDSG), welches den Umgang mit personenbezogenen Daten und die Anforderungen an die Datensicherheit regelt. Nach § 9 BDSG müssen entsprechende technische und organisatorische Maßnahmen getroffen werden um den Schutz der Patientendaten zu gewährleisten. Um diesen Anforderungen nachzukommen, sollten Sie Ihre Praxisräume entsprechend gestalten und auch Ihre Verwaltung und Infrastruktur an diese Maßnahmen anpassen.
Gestalten Sie Ihre Praxisräume (Empfangsbereich, Wartebereich und Behandlungsräume) so, dass Unbefugten kein Einblick oder Zugriff auf Patientendaten und -informationen möglich ist. Stellen Sie Ihre Bildschirme so auf, dass keine Einsicht durch Dritte möglich ist. Achten Sie darauf, dass Bildschirme auch nicht durch das Fenster von außen eingesehen werden können. Lassen Sie den Eingang zu den Praxisräumen nicht unbeaufsichtigt und stellen Sie sicher, dass Unbefugte keinen Zugriff zur Ablage und Aufbewahrung der Patientenakten haben. Vermeiden Sie es unbedingt, Krankenakten im Bereich der Anmeldung, in den Sprech- und Behandlungszimmern frei herumliegen zu lassen. Um Ihren Patienten ausreichende Diskretion zu ermöglichen, trennen Sie den Empfangsbereich vom Wartebereich ab, sodass vertrauliche Daten ohne Kenntnisnahme durch andere Patienten erhoben werden können. Vertrauliche Gespräche mit Ihren Patienten sollten stets in geschlossenen Behandlungsräumen stattfinden. Auf diese Weise wahren Sie das informationelle Selbstbestimmungsrecht Ihrer Patienten.
Bewahren Sie vertrauliche Papierunterlagen unbedingt in abschließbaren Aktenschränken auf und stellen Sie sicher, dass diese nach Dienstschluss verschlossen werden. Wichtig ist auch, dass das Reinigungspersonal keinen Zugang zu Patientendaten hat. Schützen Sie darüber hinaus Ihre Praxis gegen Einbruch, Diebstahl und Brand – insbesondere die Räume, in denen die Patientenakten und Praxis-EDV aufbewahrt werden.
Lassen Sie sich zudem von Ihren Mitarbeitern die Verpflichtung zur Vertraulichkeit im Umgang mit sensiblen Daten schriftlich bestätigen. Die Verpflichtung auf das Datengeheimnis folgt aus § 5 BDSG: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.“ Personenbezogene Daten umfassen dabei Mitarbeiter-, Kunden- oder auch Lieferantendaten. Grundsätzlich sollten Sie jede mit der Datenverarbeitung beschäftigte Person auf das Datengeheimnis verpflichten. Hierzu zählen auch Auszubildende, Aushilfen, Praktikanten und freie Mitarbeiter. Laden Sie sich hier ein Muster einer Vertraulichkeitsvereinbarung herunter: docc.hk/vertraulichkeitsvereinbarung
In größeren Arztpraxen mit mindestens 10 Arbeitnehmern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines betrieblichen Datenschutzbeauftragten laut Bundesdatenschutzgesetz zwingend erforderlich. Arztpraxen, in denen weniger als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, brauchen keinen Datenschutzbeauftragten, müssen aber die Datenschutzvorschriften des BDSG einhalten. Bei dem Datenschutzbeauftragten kann es sich um ein Mitglied des Praxisteams handeln oder um eine externe Person, die sich darauf spezialisiert hat. Zu den Aufgaben eines Datenschutzbeauftragten gehörten unter anderem die Beratung der Praxisleitung im Hinblick auf die personenbezogene Datenverarbeitung, die Kontrolle der Einhaltung des Datenschutzes sowie die Schulung von Mitarbeitern. Um Interessenskonflikte zu vermeiden, darf keine Personalunion des Datenschutzbeauftragten mit der Praxis-, IT- oder Personal-Leitung bestehen.
Aufgrund der stetig steigenden Komplexität der IT-Infrastruktur, ist die Etablierung und Aufrechterhaltung eines angemessenen IT-Sicherheitsstandards eine zunehmend schwierigere Aufgabe. Um eine umfassende Sicherheit der Daten und EDV-Systeme zu gewährleisten, sind weitreichende organisatorische wie auch technische Maßnahmen erforderlich. Scheuen Sie sich nicht, hierfür einen entsprechenden IT-Dienstleister in Anspruch zu nehmen! Aber auch ohne tiefgreifende IT-Kenntnisse können Sie selber einiges tun, um die Sicherheit der Patientendaten zu gewährleisten.
Verwenden Sie in jedem Fall Passwörter um Unbefugten den Zugang zu personenbezogenen Daten zu verwehren. Ihre Passwörter sollten bestimmten Qualitätsanforderungen genügen. Ändern Sie unbedingt voreingestellte Standard-Passwörter in der Software und verwenden Sie den gesamten, verfügbaren Zeichenvorrat zur Erstellung eines Passwortes. Bei diesem sollte es sich nicht um ein echtes Wort handeln und es sollte aus mindestens acht Zeichen bestehen. Generieren Sie ein Passwort, das aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen besteht. Passwörter dürfen nur dem jeweiligen Benutzer bekannt sein und keinesfalls unter der Tastatur, in der Schreibtischschublade oder an anderen leicht zugänglichen Orten aufbewahrt werden. Passwörter sollten auch nicht gespeichert werden und zudem in regelmäßigen Abständen geändert werden. Die Verfallszeiträume der Passwörter sollten dabei mit einem Wiederverwertungsgebot bereits gebrauchter Passwörter verbunden werden. Gewöhnen Sie sich und Ihrem Team an, bei Verlassen des Arbeitsplatzes den Bildschirm zu sperren. Die Entsperrung erfolgt dann erst nach Eingabe des korrekten Passwortes.
Unentbehrlich ist ein aktueller Virenschutz auf allen in der Arztpraxis vorhandenen Rechnern, da Sie Ihren PC beim Surfen im Internet sowie beim Versenden und Empfangen von eMails nach außen hin öffnen. Auch Rechner ohne Internetanschluss oder Netzanbindung benötigen ein Virenschutzprogramm, da sich Viren nicht nur über das WWW, sondern auch über Datenträger verbreiten können. Die sicherste Möglichkeit ist es, nur mit einem Rechner ins Internet zu gehen, auf dem keine Patientendaten gespeichert sind und der auch nicht an das interne Praxisnetz angebunden ist. Damit alle PC-Geräte optimal geschützt sind, müssen Sie Ihre Anti-Virus-Software kontinuierlich aktualisieren. Führen Sie in regelmäßigen Abständen Updates durch und lassen Sie alle Dateien auf schädliche Viren und Software durchsuchen. Darüber hinaus sorgen einfache Verhaltensweisen, wie etwa das Öffnen von eMail-Anhängen nur bei bekanntem Absender, für mehr Sicherheit im Praxisalltag.
Der komplette Verlust aller Patientendaten kann im Extremfall die berufliche Existenz gefährden. Um dem Vorzubeugen, sollten Sie regelmäßig eine Datensicherung (Backup) durchführen. Erstellen Sie hierfür ein Backup-Konzept, das festlegt in welchen regelmäßigen Abständen (täglich, monatlich, quartalsweise) die Sicherung der Daten erfolgt. Darüber hinaus muss sichergestellt werden, dass das Backup im Notfall auch wirklich funktioniert und die Daten bei Bedarf zurückgespielt werden können. Wichtig ist auch eine sichere Aufbewahrung des Backups: Lagern Sie die Sicherungskopie so, dass sie nicht entwendet oder durch Wasser oder Feuer beschädigt werden kann.
Datenschutz und EDV stehen heutzutage in einem sehr engen Zusammenhang. IT-Sicherheit stellt eine komplexe Thematik dar und umfasst neben den oben angesprochenen Bereichen beispielsweise auch Verschlüsselungstechnologien, Fernwartung, elektronische Dokumentation und Archivierung. Um hier stets up to date und optimal versorgt zu sein, sollten Sie die Inanspruchnahme eines entsprechenden Dienstleisters in Erwägung ziehen. Wie ist es um Ihre Informationssicherheit bestellt? Machen Sie den Test unter: docc.hk/sicherheitstest
