Sicherer und datenschutzgerechter IT-Einsatz

Wie in vielen anderen Lebensbereichen ist der Einsatz von Informations- und Kommunikationstechnik (IT) auch in Heilberufspraxen kaum mehr wegzudenken. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Der berufliche Einsatz von IT in der Heilberufspraxis ist dabei aus datenschutz-, straf- und haftungsrechtlichen Gründen besonderen Anforderungen unterworfen.

Aufgrund des erhöhten Schutzbedarfs derartiger Daten und Systemen sind organisatorische und technische Sicherheitsmaßnahmen erforderlich, mit denen bestehenden Risiken wirksam begegnet werden kann. Diese rechtliche Verpflichtung der Inhaber von Heilberufspraxen wird mit der im Mai 2018 wirksam werdenden EU Datenschutz-Grundverordnung, die insbesondere die Verarbeitung besonders schutzbedürftiger Daten wie z.B. Gesundheitsdaten in den Blick nimmt, noch deutlich verstärkt (siehe u.a. Art 5 Abs. 2 und Art. 32 DS-GVO). Insbesondere die Aufforderung, bestehende Sicherheitsvorkehrungen wiederkehrend auf ihre Effektivität hin zu evaluieren, stellt eine weitere Handlungspflicht für die Praxisinhaber als datenschutzrechtlich Verantwortliche dar. Von der Vergabe geeigneter Passwörter über die Zugriffsbefugnisse der Praxismitarbeiter bis hin zur Internet-Anbindung der Praxis-IT und die elektronische Übermittlung von Patientendaten müssen dabei alle Nutzungsszenarien in den Blick genommen werden.

Ein angemessenes Sicherheitsniveau für die in der Praxis eingesetzte Informations- und Kommunikationstechnik sicherzustellen wird angesichts der Komplexität der Technik und beschränkter Ressourcen oft als Herausforderung empfunden, der man sich mitunter nur zögerlich stellt. Ein vernünftiger Informationsschutz wie eine Grundsicherung der IT sind jedoch schon mit verhältnismäßig geringen Mitteln zu erreichen.

Einen kompakten und allgemeinverständlichen Überblick über Maßnahmen für einen sicheren und datenschutzgerechten Betrieb der Praxis-IT gibt die Technische Anlage der "Empfehlungen der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung zu Datenschutz und Datenverarbeitung in der Arztpraxis".

In eine ähnliche Richtung zielt der „Leitfaden Informationssicherheit“ des Bundesamtes für Sicherheit in der Informationstechnik. Neben einem Überblick über die wichtigsten Maßnahmen zur Informationssicherheit konkretisiert er bestehende Risiken anhand von Praxisbeispielen.

  1. Habe ich einen aktuellen Überblick über meine IT-Struktur, die auf den jeweiligen Systemen vorhandenen Anwendungen und die darin verarbeiteten Daten?
  2. Habe ich eine aktuelle Übersicht über die Personen und Stellen, die intern oder extern auf die Praxis-IT zugreifen können?
  3. Kennen die Praxis-Mitarbeiter(innen) die relevanten Datenschutzanforderungen und sind Sie für die Bedeutung der Informationssicherheit für den Praxisbetrieb sensibilisiert?
  4. Ist meine IT-Struktur gegen wesentliche Risiken wie den Ausfall von IT-Systemen, Datenverlust oder unbefugte Datenzugriffe hinreichend geschützt?
  5. Sind die vorhandenen Zugriffsmöglichkeiten von Mitarbeitern und Dienstleistern an deren Aufgabenstellung ausgerichtet und nach Art der Daten und dem Umfang der Berechtigungen differenziert?
  6. Bin ich in der Lage, die Nutzung der eingesetzten Systeme und erfolgte Datenzugriffe bei Bedarf nachzuvollziehen?
  7. Sind Daten, die ich in elektronischer Form an andere Stellen weitergebe, bei der Übertragung ausreichend geschützt?
  8. Habe ich mit den für die Praxis-IT befassten Dienstleistern vertragliche Vereinbarungen, welche die Datenschutz- und Sicherheitsfragen abdecken?
  9. Habe ich ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d DS-GVO)