Datenschutz im Gesundheitswesen: Arztpraxen

August 29, 2019 DSGVO
August 29, 2019

Einrichtungen wie Arztpraxen, Labore, Therapieeinrichtungen gehen nicht nur mit personenbezogenen Daten um, sondern auch mit Gesundheitsdaten, die laut DSGVO zu den besonders schützenswerten Informationen gehören. Die Sensibilität dieser Daten erfordert einen den Vorgaben entsprechenden sorgfältigen Umgang.

Obwohl die Übergangsfrist für die Umsetzung der DSGVO seit mehr als einem Jahr vorbei ist und Maßnahmen zur Verhinderung von Datenpannen greifen müssten, gibt es Anzeichen, dass sich ein angemessener Schutz noch nicht überall etabliert hat. So diagnostiziert der Gesamtverband der Deutschen Versicherungswirtschaft bei Ärzten ein „Passwortproblem“. Die Studie führt außer schwachen Passwörtern und gemeinsamen Zugängen auch veraltete Verschlüsselungstechnologie für E-Mails sowie ein fehlendes Bewusstsein für Bedrohungen bei den Mitarbeitern als Risiken an.

Datenschutzverletzungen in Arztpraxen nehmen zu

Zudem warnt der Datenschutzbeauftragte von Baden-Württemberg aufgrund der stark gestiegenen Zahl gemeldeter Datenschutzverletzungen vor Datenpannen in Arztpraxen. Ursache seien vor allem Verschlüsselungstrojaner sowie der Fehlversand von E-Mails mit Gesundheitsdaten wie Patientenberichten, Rezepten oder Röntgenbildern. Als Schutzmaßnahmen fordert er die Umsetzung technischer und organisatorischer Maßnahmen wie Schutz vor Datenverlust und Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter.

Punktuelle Fehlerbehebung statt datenschutz-konforme Modernisierung

Obwohl die weitaus meisten Praxen ohne IT nicht arbeitsfähig sind, sind Mitarbeiter im Gesundheitsbereich häufig wenig IT-affin und schon gar keine IT- oder Datenschutzspezialisten. Bei der Pflege des Praxisnetzes und dessen Anpassung an Standards und Regelungen wie die DSGVO sind die Praxen daher auf externe Unterstützung angewiesen. Allerdings scheuen viele den Aufwand und die Kosten für die Schulung der Mitarbeiter und für eine an den neuen Datenschutz-Anforderungen orientierte Modernisierung und Anpassung ihrer IT, sondern lassen lediglich punktuell akute Störungen beheben, die den Arbeitsablauf in der Praxis beeinträchtigen. Sie unterschreiben, dass der Datenschutzbeauftragte, dem die Unterrichtung und Beratung des Verantwortlichen in der Praxis obliegt, seinen Verpflichtungen nachgekommen ist, ohne dass dies die Umsetzung von Verbesserungen nach sich zöge.

Typische Datenschutzverstöße

Über die Jahre summieren sich daher in vielen Praxen organisatorische und technische Mängel zu einem Konglomerat riskanter Verhaltensweisen und durch Gewohnheit eingerissene Datenschutzverstöße:

  • Bildschirme oder Faxgeräte sind so positioniert, dass jeder Anwesende mitlesen kann.
  • Auf dem Bildschirm im Behandlungszimmer ist die Krankenakte des vorherigen Patienten noch offen und kann gelesen werden.
  • Rechner werden während der Abwesenheit von Mitarbeitern nicht gesperrt.
  • Die USB-Ports von Rechnern in Behandlungsräumen sind offen zugänglich.
  • Befunde werden über Webmailer wie Gmail versendet.
  • Obwohl für die E-Mail-Kommunikation mit sensiblen Informationen Verschlüsselung vorgeschrieben ist, wird nicht verschlüsselt, oder es werden Lösungen mit unsicheren Standards verwendet.
  • E-Mails mit sensiblen Informationen werden versehentlich an falsche Adressaten geschickt.
  • Mitarbeiter öffnen auch E-Mails, die möglicherweise Schadcode enthalten, und klicken dort sogar auf Links und Anhänge.
  • Software-Updates werden nicht eingespielt.
  • Es werden unsichere Passwörter verwendet.
  • Verfügbare Rechtesysteme werden nicht genutzt, Einstellungen nicht an aktuelle Anforderungen angepasst.

Dass „noch nie etwas passiert“ ist, ist kein Argument, den Datenschutz und die Umsetzung der DSGVO schleifen zu lassen, denn die DSGVO zielt darauf ab, die Risiken im Umgang mit sensiblen Daten zu minimieren. Allein schon dass überhaupt die Möglichkeit besteht, dass ein Patient auf einem Bildschirm Daten eines anderen Patienten sehen kann, ist ein Verstoß gegen die DSGVO.

Viele oben aufgeführten Risikofaktoren und Fehler lassen sich durch einen verantwortungsbewussten IT-Dienstleister beheben, andere durch eine Umgestaltung der Praxisräume und die Sensibilisierung der Mitarbeiter. Wieder andere bedürfen des Einsatzes aktueller oder zusätzlicher Hard- und Software, beispielsweise die E-Mail-Verschlüsselung oder eine DLP-Lösung. Sie verhindert beispielsweise unerwünschten Datenabfluss über USB-Ports sowie den Fehlversand von sensiblen Informationen per E-Mail.

Nachweispflichten erfüllen

Darüber hinaus sind DLP-Lösungen entscheidend im Hinblick auf die Erfüllung von Nachweispflichten im Rahmen der DSGVO und des Patientenrechtegesetzes, denn sie zeichnen alle Übertragungen von personenbezogenen bzw. Gesundheitsdaten revisionssicher auf. Mit den Auswertungen der Logfiles sind Praxen bei Audits nachweisfähig und bei einem Datenverlust in der Lage, Verursacher und Umfang des Schadens sowie Austrittspunkte zu ermitteln, die Meldepflichten entsprechend DSGVO zu erfüllen und forensische Untersuchungen zu betreiben.

Sinnvoll investieren statt draufzahlen

Die Aufwendungen, mit denen sich ein Praxisnetz auf Vordermann bringen und an die Anforderungen der DSGVO anpassen lässt, sind gut investiertes Geld. Bei einer Datenpanne sind diese Investitionen ohnehin nicht zu vermeiden, denn die Datenschutzbehörde erteilt Auflagen hinsichtlich der notwendigen Maßnahmen und prüft die Umsetzung. Obendrauf kommt das Bußgeld, das in schmerzhafter Höhe festgelegt werden kann. Zusätzlich hat die Praxis den Imageschaden, denn sie muss bei einem Vorfall nicht nur die Datenschutzbehörde, sondern auch die Betroffenen benachrichtigen, von denen wohl nicht alle als Patienten in die Praxis zurückkehren werden.

Related Post

Hinterlasse einen Kommentar

avatar