• Keine Ergebnisse gefunden

Datenschutz in der Arztpraxis

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Datenschutz in der Arztpraxis"

Copied!
1
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 1 Seite )

Volltext

(1)

BLÄK informiert

Bayerisches Ärzteblatt 3/2015

89

Backup-Medien verschlüsseln

Auch Backup-Medien müssen ausreichend vor unbefugtem Zugriff geschützt werden. Zu die- sem Zweck sollten Datenträger nicht nur phy- sikalisch (zum Beispiel durch einen abschließ- baren Schrank), sondern auch durch eine kryptografische Verschlüsselung (zum Beispiel AES 256-Bit) gesichert werden. Ohne eine sol- che Verschlüsselung stellt der Diebstahl eines Datenträgers mit Patientendaten grundsätzlich eine Datenpanne dar, über die der Arzt gemäß

§ 42a BDSG nicht nur die Aufsichtsbehörde, sondern auch die Patienten informieren muss.

Akten zuverlässig vernichten

Nach Ablauf der Aufbewahrungsfristen sind Papierakten zu vernichten bzw. Daten zu lö- schen. Informationen zur erforderlichen Si- cherheitsstufe des Aktenvernichters finden sich auf den Internetseiten des Bundesamts für Sicherheit in der Informationstechnik. Erfolgt die Aktenvernichtung durch einen externen Dienstleister, ist ein Vertrag zur Auftragsda- tenverarbeitung gemäß § 11 Abs. 2 BDSG zu schließen.

Bei Fragen Rat suchen

Für weiterführende Informationen sind die von der Bundesärztekammer und der Kassen- ärztlichen Bundesvereinigung erarbeiteten

„Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ sowie das Handbuch „Datenschutz in der Arzt-/Psychotherapeutenpraxis“ der Kassenärztlichen Vereinigung Bayerns zu emp- fehlen; beide Publikationen finden sich im In- ternet. Bei Fragen steht das Bayerische Landes- amt für Datenschutzaufsicht gerne beratend zur Verfügung.

Information des Patienten voraus. So ist in der Einwilligungserklärung unter anderem aus- drücklich darauf hinzuweisen, dass sich die Ein- willigung auch auf Gesundheitsdaten bzw. auf Diagnose- und Behandlungsdaten erstreckt.

Erklärt sich ein Patient nicht mit der Abrech- nung durch die Verrechnungsstelle einverstan- den, ist sicherzustellen, dass die Rechnungs- stellung durch die Praxis selbst erfolgen kann oder die medizinische Versorgung auf andere Weise gewährleistet ist.

Sichere Passwörter wählen

Um den Zugriff unbefugter Dritter auf Patien- tendaten zu verhindern, kommt der Verwendung von sicheren Passwörtern große Bedeutung zu.

Hierfür spielt neben der Länge des Passworts – ein Passwort sollte in der Arztpraxis mindestens zwölf Stellen haben – die Komplexität des Pass- worts eine entscheidende Rolle. Passwörter soll- ten daher Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten.

Sicherheit beim E-Mail-Verkehr gewährleisten

Immer mehr Arztpraxen bieten ihren Patien- ten eine Kontaktaufnahme per E-Mail oder Web-Formular an, um Termine zu vereinbaren, Rezepte zu bestellen oder medizinische Infor- mationen zu erhalten. Als Mindestschutz be- darf es hierfür einer Transportverschlüsselung mit SSL/TLS (einschließlich Perfect Forward Secrecy). Bei E-Mails ist zudem grundsätz- lich eine Ende-zu-Ende-Verschlüsselung oder eine gleichwertige Sicherung vorzusehen.

Bei Web-Formularen oder Internet-Portalen sind wegen des dort in verstärktem Maße bestehenden Hacking-Risikos weitergehende Anforderungen zu erfüllen, um dem hohen Schutzbedarf von Patientendaten Rechnung zu tragen.

Wartungsvertrag für Praxis-IT abschließen Wird mit der (Fern-)Wartung der Praxis-IT ein externer Dienstleister beauftragt und kann da- bei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden, bedarf es neben dem zivilrechtlichen Wartungsvertrag eines datenschutzrechtlichen Vertrags mit Festle- gungen zur Gewährleistung der Datensicher- heit (vgl. § 11 Abs. 5 BDSG). Nicht abschließend geklärt ist allerdings, wie bei der Einschaltung externer IT-Dienstleister eine Verletzung der ärztlichen Schweigepflicht nach § 203 des Strafgesetzbuchs zuverlässig ausgeschlossen werden kann. Hier besteht dringender Hand- lungsbedarf für den Gesetzgeber.

Datenschutz in der Arztpraxis

Der Datenschutz in Arztpraxen bildet seit einigen Jahren einen Schwerpunkt der Prüftätigkeit des Bayerischen Landesamtes für Datenschutzaufsicht. Im Rahmen ihrer Vor-Ort-Prüfungen in Praxen (Anmerkung der Redaktion: wir berichteten im „Baye- rischen Ärzteblatt“ 7-8/2012, Seite 364 f.) weist die Behörde regelmäßig insbesondere auf die folgenden zehn Punkte hin:

Auf Sicht- und Hörschutz achten

Praxisräume und Arbeitsabläufe sind so zu or- ganisieren, dass ein unbefugtes Mithören oder Mitlesen von Patientendaten durch Dritte, ins- besondere durch wartende Patienten, möglichst ausgeschlossen ist. Dies ist für Ärzte grundsätz- lich eine Selbstverständlichkeit. Häufig können aber vergleichsweise einfache Maßnahmen, wie ein anderes Positionieren von Bildschirmen oder das Aufkleben von Sichtschutzfolien, noch Ver- besserungen bringen. Zudem sind beispielsweise Sitzgelegenheiten in Hörweite des Empfangs oder das Bereitlegen von Patientenakten auf dem Empfangstresen zu vermeiden.

Mitarbeiter für Datenschutz sensibilisieren Von zentraler Bedeutung für einen verlässli- chen Datenschutz ist die regelmäßige Schu- lung und Sensibilisierung der Mitarbeiter für die Erfordernisse eines datenschutzgerech- ten Umgangs mit Patientendaten. In diesem Zusammenhang ist auch darauf zu achten, dass Mitarbeiter nach § 5 des Bundesdaten- schutzgesetzes (BDSG) bei der Aufnahme ihrer Tätigkeit gesondert auf das Datengeheim- nis verpflichtet werden. Ein bloßer Passus im Arbeitsvertrag genügt hierfür nicht.

Datenschutzbeauftragten bestellen

Sind in der Praxis – einschließlich des Arz- tes – mehr als neun Personen beschäftigt, die personenbezogene Daten verarbeiten, ist nach

§ 4f Abs. 1 BDSG ein Datenschutzbeauftragter zu bestellen. Diese Aufgabe kann wahlweise einem internen oder einem externen Daten- schutzbeauftragten übertragen werden.

Einwilligung für Verrechnungsstelle einholen

Erfolgt die Abrechnung privatärztlicher Leis- tungen über eine externe Verrechnungsstel- le, bedarf die hierfür erforderliche Daten- übermittlung der schriftlichen Einwilligung des Patienten. Dies setzt eine transparente

Autorin

Karin Vedder, Bayerisches Lan- desamt für Daten- schutzaufsicht, Promenade 27 (Schloss), 91522 Ansbach, Internet:

www.lda.bayern.de

Referenzen

Jetzt herunterladen ( PDF - 1 Seite - 121.35 KB )

ÄHNLICHE DOKUMENTE

IT-Service-Management – Ein Modell zur Bestimmung der Folgen von Interoperationalitätsstandards auf die Einbindung externer IT-Dienstleister

Für eine (syntaktische) Beschreibung der Services kann bspw. auf Standards wie WSDL zurückgegrif- fen werden. Service-Choreographie: Bedingt durch hohe Kosten bei der Einbindung

Die Praxis der IT-Sicherheit:

÷ Sichere Hardware gegen denjenigen, der sie betreibt z Möglichkeiten zum Selbstschutz stärken und fördern. ÷ leicht

PI-191113-Praxis-IT

Angesichts dieser Bedeutung kann sich der Minis- ter jetzt nicht hinstellen und mit dem Finger auf die Ärzte und Psychothera- peuten zeigen, die ja selbst für die sichere

IT-Outsourcing und Digitalisierung in der Praxis

Für die erfolgreiche Realisierung all dieser Formen müssen vielfältige Aspekte beachtet und einige wesentliche Voraussetzungen erfüllt sein. Daher werden in der jetzt

Datenschutz in der Praxis

3.1 Datenschutz durch technische und organisatorische

Ihr Dienstleister für IT-Fachkräfte aus Indien

Ihre indischen Mitarbeiter arbeiten ausschließlich und exklusiv für Ihr Unternehmen.. Berufserfahrung (Junior,

Ihr IT Dienstleister / IT-Betreuer / Programmierer / Webentwickler

2/2013 - laufend: ProTec 24 GmbH, Nürnberg (Dienstleistungsbranche) Position: Systemadministrator. Meine Aufgaben

IT in der Arztpraxis Schnittstellenbeschreibung Koronare

Bei diesem Parameter enthält das Element sciphox:Ergebnistext im V-Attribut entweder den Wert „Quartalsweise“ oder „Jedes zweite Quartal“. Als Beispiel sei hier folgender