- Created by Alexander Wilms on May 19, 2018
Natürlich haben Sie ein großes Interesse daran, dass Ihre Daten sicher sind - schließlich sind diese unter anderem für Ihre Abrechnung wichtig. In diesem Zusammenhang werden die unterschiedlichsten Begriffe verwendet, um die Arten von Daten und Zuständen zu beschreiben, die abgesichert werden müssen.
Datenschutz bezeichnet den Schutz persönlicher und personenbezogener Daten vor dem Missbrauch durch Dritte. Die Pflicht zum Datenschutz gründet sich auf das Verfassungsprinzip der informationellen Selbstbestimmung, dass die Privatsphäre des Individuums schützt. Eine Verletzung des Datenschutzes liegt beispielsweise vor, wenn ohne Einwilligung eines Patienten persönliche Daten wie beispielsweise Diagnosen an Dritte, etwa Versicherungsunternehmen, weitergegeben werden.
Datensicherheit bezeichnet den Schutz aller relevanten Daten einer Organisation oder eines Unternehmens vor unbemerkten Veränderungen, Verlust oder Nichtverfügbarkeit oder dem Verlust der Vertraulichkeit. Eine Verletzung der Datensicherheit liegt beispielsweise vor, wenn Daten durch technische Defekte (etwa eine kaputte Festplatte) gelöscht werden oder wenn ein Mitarbeiter der Praxis unerlaubt im System gespeicherte Diagnosedaten verändert.
IT-Sicherheit bezeichnet den allgemeinen Schutz der Informationsverarbeitung, hierunter fallen neben Datenschutz und -sicherheit beispielsweise auch der korrekte Betrieb von Hardware und Software. Eine Verletzung der IT-Sicherheit liegt beispielsweise vor, wenn eine Software aufgrund eines Fehlers nicht ordnungsgemäß arbeitet, wenn Hacker in das System eindringen können oder wenn nach einer Störung (wie etwa einem Feuer oder Einbruch in den Betriebsräumen) das System nicht wieder in Betrieb genommen werden kann.
Der Schutz persönlicher und personenbezogener Daten vor dem Missbrauch durch Dritte bezieht sich auf jede Person und umfasst Ihre Daten genauso wie die in der Datenbank des Systems gespeicherten Daten der Patientinnen und Patienten. Der Datenschutz ist ein gesetzlich verankertes, durch Grundrechte begründetes Recht, das in den verschiedenen Datenschutzgesetzen des Bundes und der Länder ausgeführt ist.
Datenschutz im Strafgesetzbuch
Im ärztlichen Umfeld und seinem besonderen Verhältnis zwischen Arzt und Patient kommen neben den Datenschutzgesetzen weitere Gesetze zum Tragen. Insbesondere der § 203 StGBist hier wichtig, da seine Verletzung strafrechtliche Konsequenzen nach sich zieht.
§ 203 StGB verpflichtet die bestimmte Berufsgruppen, darunter auch Ärzte, ihnen von Patienten in ihrer Eigenschaft als Arzt anvertraute Geheimnisse nicht an Dritte weiterzugeben. Ein Geheimnis im Sinne der Vorschrift ist jede Tatsache, die nur einem begrenzten Kreis bekannt ist und an deren Geheimhaltung ein Patient ein schutzwürdiges Interesse hat. Im medizinischen Umfeld umfasst dies alle personenbezogenen Daten und Tatsachen wie beispielsweise:
- die Tatsache, dass überhaupt ein Behandlungsverhältnis zu einer bestimmten Person bestanden hat
- die Art der Verletzung oder Erkrankung
- der Unfallhergang, Krankheitsverlauf etc.
- die Ergebnisse der Untersuchung, die Diagnostik und (Verdachts-)Diagnose
- die durchgeführten Maßnahmen sowie
- alle übrigen Informationen, die während des Behandlungsverhältnisses bekannt werden, wie etwa Wohn- und Lebenssituation, Sucht, sexuelle Vorlieben, Vermögenslage oder körperliche Hygiene
Die Weitergabe umfasst das Geheimnis selbst und die Offenbarung der betreffenden Person, wobei diese nicht ausdrücklich namentlich genannt werden muss. Es ist ausreichend, wenn man aus dem offenbarten Geheimnis auf ihre Identität schließen oder diese mit geringem Nachforschungsaufwand ermitteln kann.
Die Schweigepflicht des § 203 StGB umfasst auch Mitarbeiterinnen und Mitarbeiter des Arztes, die dem behandelnden Arzt oder der behandelnden Ärztin in irgendeiner Funktion zuarbeiten und dabei Kenntnisse von der betreuten Person erlangen. Der Administrator des vom Arzt eingesetzten Informationssystems gehört, erst Recht, wenn es sich um einen externen Dienstleister handelt, jedoch nach der derzeit geltenden Rechtsauffassung nicht zu diesem Personenkreis. Danach ist die Auslagerung von Tätigkeiten aus einer Arztpraxis, die eine Offenbarung von Patientendaten mit sich bringen, nur möglich, wenn
- die ausdrückliche Einwilligung des Patienten vorliegt. Dies ist möglich, wenn die Auslagerung nur einen bestimmten, zeitlich begrenzten Vorgang betrifft, etwa die privatärztliche Abrechnung eines Quartals. Für dauerhafte Vorgänge ist diese Option nicht praktikabel, denn der Patient kann ja seine Einwilligung jederzeit widerrufen.
- an Stelle der Beauftragung eines Dritten die Einbindung weiterer Personen in die Praxis, etwa durch eine (Teilzeit-)Anstellung. Hierbei ist eine tatsächliche Einbindung der Person in die Organisation der Arztpraxis erforderlich, eine nur formal vertragliche Einbindung, etwa durch die abstrakte Einräumung von Weisungsbefugnissen, ist nicht ausreichend.
- die Anonymisierung bzw. Pseudonymisierung der zu offenbarenden Daten durch Verschlüsselung oder Entfernung aller personenidentifizierenden Datenbestandteile. RED Medical hat dieses Verfahren gewählt, um einen gesetzeskonformen Rechenzentrumsbetrieb des Arztinformationssystems zu gewährleisten.
Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz verpflichtet alle Stellen, die personenbezogene Daten verarbeiten, zu besonderen technischen und organisatorischen Schutzmaßnahmen. Der Gesetzgeber hat diese Schutzmaßnahmen gefordert, da es sich bei diesen Daten regelmäßig um sensible Daten von hohem ideellem und finanziellem Wert (medizinischen Diagnosen, Abrechnungsdaten) handelt.
Da RED Medical bereits in einem sicheren Rechenzentrum betrieben wird und die personenbezogenen Daten nur dort gespeichert werden, müssen Sie viele dieser Maßnahmen nicht selbst umsetzen. So übernimmt RED Medical für Sie viele Maßnahmen der IT- und Datensicherheit wie beispielsweise den Schutz der Daten vor zufälliger Zerstörung oder Verlust, etwa durch kontinuierliche Datensicherungen, Brandschutzmaßnahmen oder Virenschutz.
Ganz kann RED Medical Ihnen die technischen und organisatorischen Schutzmaßnahmen leider nicht abnehmen, denn die Arbeitstationen, mit denen Sie auf die Daten zugreifen, befinden sich ja in Ihrem Zugriffsbereich. Zwar werden auf diesen Arbeitstationen keine patientenbezogenen Daten dauerhaft gespeichert, Angreifer könnten aber diese Arbeitstationen verwenden, um so auf die im Rechenzentrum gespeicherten Daten zuzugreifen. Dazu müsste ein Angreifer beispielsweise
- physischen Zugriff auf die Arbeitstation haben - beispielsweise in einem unbeobachteten Moment oder durch unbefugtes Eindringen in die Praxisräume nach Dienstende
- in der Lage sein, die Arbeitstation zu starten und den Webbrowser aufzurufen. Dies wird beispielsweise dadurch erleichtert, dass die Arbeitstation nicht mit einem Passwort ausgestattet ist
- in der Lage sein, sich in RED Medical ordnungsgemäß anzumelden. Dazu müssen dem Angreifer Ihre RED Medical Zugangsdaten bekannt sein. Die Zugangsdaten können durch Schadsoftware ausgespäht werden, aber auch durch Mitarbeiter verraten oder offenbart werden, beispielsweise, wenn Passwörter an bestimmten Stellen notiert werden.
Um sich vor einem solchen Bedrohungszenario wirksam zu schützen, können Sie eine Reihe von technischen und organisatorischen Maßnahmen ergreifen.
Zutritts- und Zugangskontrolle
Generell sollte verhindert werden, dass sich Unbefugte Zutritt zu den Arbeitstationen verschaffen. Dies kann beispielsweise verhindert werden, indem die Gebäude bzw. Räumlichkeiten gesichert werden, in denen sich die Arbeitstationen befinden (etwa durch Zäune, Schlösser, Überwachungs- oder Alarmanlagen). Auch der Zugang zu den Arbeitstationen selbst bzw. zu bestimmten Funktionen kann verhindert oder erschwert werden (etwa durch Einschließen der Geräte).
Benutzer sollten sich immer mit einem Benutzernamen und einem Passwort an der Arbeitstation anmelden (Authentifizierung). Idealerweise werden zudem biometrische Zugangskontrollmechanismen (z.B. Fingerabdruckleser) eingesetzt. Zu beachten ist auch, dass bei einem mit dem Internet verbundenen System ein Zugang auch von außen über Methoden des “Hackings” vorgenommen werden kann. Ein solches System muss daher mit entsprechenden Schutzmaßnahmen (wie beispielsweise einer Firewall) ausgestattet sein, auch sollte es über eine aktuelle Anti-Virus-Software verfügen.
Aktuelle Updates von Betriebssystem und Webbrowser sollten zeitnah eingespielt werden, denn diese dienen oft dazu, entdeckte Sicherheitslücken zu schließen. Betriebssystem und Webbrowser sollten so eingestellt sein, dass sie in regelmäßigen Abständen selbständig nach Updates suchen und diese automatisch installieren.
Zugriffskontrolle
Anwender und Anwenderinnen eines Informationssystems sollten ausschließlich auf Daten zugreifen können, für die sie auch berechtigt sind, wobei für personenbezogene Daten gilt, dass der Zugriff auf diese so weit wie möglich eingeschränkt sein sollte. Beispielsweise sollte eine Benutzerin, die ausschließlich administrative Tätigkeiten an der Anmeldung (z.B. Terminvergaben) durchführt, keinen Zugriff auf die medizinische Dokumentation, Diagnosen oder Leistungsziffern haben. Betreut ein Benutzer nur eine Untergruppe von Patienten, sollte er keinen Zugriff auf Daten von Patienten haben, die dieser Gruppe nicht angehören.
Diese Einschränkung des Datenzugriffs kann beispielsweise durch Vergabe entsprechender Benutzerrechte im Rahmen eines Berechtigungskonzeptes erfolgen.
Eine sehr wichtige Maßnahme zur Kontrolle des Zugriffs auf Arbeitstation, Betriebssystem, Daten und Funktionen ist die Vergabe eines eigenen Benutzernamens und eines eigenen Passworts für jeden Benutzer und jede Benutzerin. Dies wurde in der Vergangenheit von vielen Praxen aus Gründen der Bequemlichkeit und Schnelligkeit unterlassen. Die Verwendung eines gemeinsamen Benutzernamens und Passwortes erhöht aber nicht nur die Gefahr unbefugter Zugriffe, es verhindert auch das Nachvollziehen von Änderungen sowie die automatische Dokumentation bestimmter Ereignisse.
Bei einem webbasierten System wie RED Medical, welches generell den Zugriff von jedem internetfähigen Gerät ermöglicht, besteht auch die Gefahr, dass berechtigte Benutzerinnen oder Benutzer versuchen, von privaten Arbeitstationen außerhalb der Praxis zuzugreifen, um Daten zu privaten Zwecken zu verwenden. RED Medical verlangt daher zwingend, dass eine Arbeitstation durch einen dafür berechtigten Benutzer für den Zugriff autorisiert wird. Diese Autorisierung kann jederzeit wieder zurückgenommen werden. Die Zugriffskontrolle beinhaltet auch, dass personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. Auch hier kann beispielsweise durch Vergabe entsprechender Benutzerrechte gesteuert werden, ob ein Benutzer oder eine Benutzerin Daten überhaupt löschen darf.
Weitergabekontrolle
Es muss verhindert werden, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Außerdem muss die Möglichkeit bestehen, Übermittlung solcher Daten nachzuvollziehen.
RED Medical verwendet für die Übertragung der Daten zwischen den Arbeitstationen und den Servern im Rechenzentrum ausschließlich das HyperText Transfer Protocol Secure. Dieses Kommunikationsprotokoll wird im World Wide Web benutzt, um Daten abhörsicher zu übertragen. Sie erkennen seine Verwendung an dem Präfix “https” in Ihrer Browser-Adresszeile angezeigt. Zusätzlich verschlüsselt RED Medical alle personenbezogenen Daten bereits vor dem Versenden an den Server. Damit wird bei der elektronischen Übertragung ein Maximum an Sicherheit erzielt.
Eingabekontrolle
Es muss sichergestellt werden, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind. RED Medical protokolliert automatisch alle Änderungen an den Daten mit, so dass aus diesen Protokollen später nachvollzogen werden kann, wer welche Änderungen gemacht hat. Hierbei ist es allerdings zwingend notwendig, dass sich jede Benutzerin und jeder Benutzer mit einem eigenen Benutzernamen im System anmeldet und dass dieser Zugang niemand anderem offenbart wird. Nur so kann sichergestellt werden, dass die in den Änderungsprotokollen aufgeführten Benutzer die protokollierten Änderungen auch tatsächlich durchgeführt haben.
Auftragskontrolle
Werden personenbezogene Daten im Auftrag verarbeitet werden, muss der Auftraggeber sicherstellen, dass die Verarbeitung gemäß seiner Weisungen erfolgt. Hierzu kann der Auftraggeber beispielsweise Weisungsbefugnisse festlegen, einen Datenschutzvertrag gemäß den Vorgaben nach § 11 BDSG abschließen oder seine Daten stichprobenhaft auf korrekte Verarbeitung überprüfen. Der zwischen RED Medical und Ihnen geschlossene Vertrag deckt diese Möglichkeiten ab.
Verfügbarkeitskontrolle
Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Hierzu dienen beispielsweise entsprechende wirksame Brandschutzmaßnahmen, der Einsatz von Überspannungsschutz und unterbrechungsfreier Stromversorgung, die Ausstattung von Rechnerräumen mit Klimaanlagen, der Einsatz von RAID-Systemen (Festplattenspiegelung), die Definition und Umsetzung eines Backupkonzeptes, der Einsatz von Virenschutzmassnahmen oder der Schutz vor Diebstahl. Durch den Betrieb in einem Hochsicherheitsrechenzentrum erfüllt RED Medical nachweislich diese Verpflichtungen
Gewisse Maßnahmen zur Sicherstellung der Verfügbarkeit sollten jedoch auch für die Arbeitstationen sowie für das Netzwerk angewendet werden. Fällt eine Arbeitstation aufgrund eines technischen Defektes aus, gehen zwar keine Daten verloren, denn diese werden ja auf dem Server im Rechenzentrum gespeichert. Um aber Unterbrechungen im Praxisbetrieb zu vermeiden, sollte festgelegt werden, wie die Station ersetzt werden kann. Idealerweise wird ständig ein Ersatzgerät in der Praxis vorgehalten. In gleicher Weise sollte ein Ersatz für den Ausfall der Netzwerk- bzw. Internetverbindung bereitstehen (beispielsweise über eine Mobilfunkverbindung).
- No labels