EU-Datenschutzgrundverordnung: Unterstützung Ihrer Praxis-EDV |
01.04.2018 |
Am 25. Mai wird in Deutschland die europäische Datenschutzgrundverordnung (EU-DSGVO) nach einer zweijährigen Übergangszeit endgültig in nationales Recht überführt. Damit treten für alle EU-Bürger und damit für Patienten stark erweitere Auskunfts- und Löschrechte in Kraft, die jedoch im Alltag einer Arztpraxis nur sehr selten 1:1 angewendet werden können.
Denn im Gegensatz zu Firmen, die Kundendaten verarbeiten, erfassen Arztpraxen sensible Patientendaten entweder auf Basis gesetzlicher Anforderungen aus dem SGB V oder auf Basis von Behandlungsverträgen (Privat-Patienten, HzV). Hier haben standes-/berufsrechtliche Auskunfts-Regelungen und Aufbewahrungsfristen (Ärztliche Aufzeichnungen 10 Jahre, bildgebende diagnostische Verfahren 30 Jahre) regelmäßig Vorrang vor den erweiterten (Patienten-) Datenschutzrechten.
Diese Ausnahmen schützen eine Arztpraxis jedoch nicht vor den ebenfalls neuen, mit Blick auf Facebook und Google konzipierten, empfindlichen Strafen bei Verstößen oder Nachlässigkeiten im Umgang mit personenbezogenen Daten. Lag es bisher im Ermessen des jeweiligen Landesdatenschutzes, bei Datenschutz-Verstößen zu ermahnen oder Bußgelder zu verhängen, so tritt am 25. Mai hier ein saftiger Bußgeldkatalog in Kraft, der für Datenschützer keine Ermessensspielräume mehr vorsieht und nicht nur Unternehmen, sondern auch Arztpraxen schnell an existenzbedrohende wirtschaftliche Grenzen führen kann.
Aus diesem Grund lohnt es sich, einmal einen intensiveren Blick auf die Thematik zu werfen. Wir haben daher im Helpdesk (Aufruf über den Menüpunkt
Bei der Entwicklung des Praxis-Programms und Betreuung von EDV-Systemen in Arztpraxen haben wir uns naturgemäß schon immer sehr intensiv um die technischen Aspekte von Datenschutz und Datensicherheit gekümmert. Viele der diesbezüglich im Praxis-Programm häufig seit Jahrzehnten vorhandenen Eigenschaften und Funktionen dürften den meisten Praxen bisher zumindest verborgen geblieben oder sogar völlig unbekannt sein.
Daher geben wir Ihnen im Folgenden eine kurze Auflistung der relevanten Datenschutz- bzw. Datensicherheitsmechanismen ihrer Praxis-EDV.
Denn im Gegensatz zu Firmen, die Kundendaten verarbeiten, erfassen Arztpraxen sensible Patientendaten entweder auf Basis gesetzlicher Anforderungen aus dem SGB V oder auf Basis von Behandlungsverträgen (Privat-Patienten, HzV). Hier haben standes-/berufsrechtliche Auskunfts-Regelungen und Aufbewahrungsfristen (Ärztliche Aufzeichnungen 10 Jahre, bildgebende diagnostische Verfahren 30 Jahre) regelmäßig Vorrang vor den erweiterten (Patienten-) Datenschutzrechten.
Diese Ausnahmen schützen eine Arztpraxis jedoch nicht vor den ebenfalls neuen, mit Blick auf Facebook und Google konzipierten, empfindlichen Strafen bei Verstößen oder Nachlässigkeiten im Umgang mit personenbezogenen Daten. Lag es bisher im Ermessen des jeweiligen Landesdatenschutzes, bei Datenschutz-Verstößen zu ermahnen oder Bußgelder zu verhängen, so tritt am 25. Mai hier ein saftiger Bußgeldkatalog in Kraft, der für Datenschützer keine Ermessensspielräume mehr vorsieht und nicht nur Unternehmen, sondern auch Arztpraxen schnell an existenzbedrohende wirtschaftliche Grenzen führen kann.
Aus diesem Grund lohnt es sich, einmal einen intensiveren Blick auf die Thematik zu werfen. Wir haben daher im Helpdesk (Aufruf über den Menüpunkt
Bei der Entwicklung des Praxis-Programms und Betreuung von EDV-Systemen in Arztpraxen haben wir uns naturgemäß schon immer sehr intensiv um die technischen Aspekte von Datenschutz und Datensicherheit gekümmert. Viele der diesbezüglich im Praxis-Programm häufig seit Jahrzehnten vorhandenen Eigenschaften und Funktionen dürften den meisten Praxen bisher zumindest verborgen geblieben oder sogar völlig unbekannt sein.
Daher geben wir Ihnen im Folgenden eine kurze Auflistung der relevanten Datenschutz- bzw. Datensicherheitsmechanismen ihrer Praxis-EDV.
- Alle Patientendaten und Inhalte der elektronischen Patientenakten werden zu jeder Zeit ausschließlich verschlüsselt auf der Festplatte des Systems sowie den Datensicherungen abgelegt. Dabei werden stets aktuelle kryptografische Verfahren eingesetzt.
- Datensicherungen auf externen Sicherungsmedien sind grundsätzlich verschlüsselt.
- Datensicherungen werden täglich durchgeführt und auf Vollständigkeit geprüft.
- Die Entschlüsselung und damit Zugang zu den Einzeldaten können nur Nutzer erhalten, die sich gegenüber dem System mit einem korrekten Passwort authentifiziert und die entsprechenden Zugriffsrechte haben.
- Zugriffsrechte: Benutzer erhalten nur Zugriff auf diejenigen Daten und Programmfunktionen, die ihnen gemäß ihres Benutzerprofils vom Praxisinhaber/Verantwortlichen zugeteilt worden sind.
- Die Vergabe der Zugriffsrechte kann für jeden Nutzer individuell bis auf jeden einzelnen Befehl innerhalb einer Patientenakte für das Anlegen, Lesen, Ändern und Löschen festgelegt werden. So können die Rechte sehr differenziert zwischen z.B. Azubi, PraxismanagerIn und Arzt/Ärztin unterschieden werden.
- Der Bildschirmschoner kann mit Passwort geschützt werden.
- Alle Änderungen an Patientenakten werden revisionssicher dokumentiert und können jederzeit sichtbar gemacht werden, aufrufbar in der jeweiligen Akte über den Menüpunkt
.Dabei werden nicht nur die jeweils von der Änderung betroffenen Akteneinträge historisiert, sondern auch Ort, Datum, Uhrzeit, Arbeitsplatz und Benutzer gerichtsfest aufgezeichnet. - Externe Dokumente (z.B. Bilder, Faxe, Scans) werden bei Übernahme in die Patientenakten mit einem Zeitstempel sowie einer digitalen Signatur des Systems versehen. Damit wird eine nachträgliche Veränderung an den Dokumenten ausgeschlossen.
- Alle im System angelegten Akten- und Dokumentenarchive werden mindestens einmal je Arbeitstag einer vollständigen Integritäts- und Konsistenzprüfung unterzogen, um z.B. Beschädigungen am Datenbestand durch Hardwaredefekte oder vom Virenscanner unentdeckte Schadsoftware frühzeitig zu entdecken und Gegenmaßnahmen einleiten zu können.
- Das Praxisnetzwerk wird gegenüber dem Internet von einer aktiv gewarteten Firewall mit automatischem Intrusion-Detection-System im LANCOM-Router geschützt. Dabei kommt eine Deny-All-Strategie zum Einsatz.
- Jeder Praxis-PC mit Internetzugriff und Zugriff auf die Patientendaten ist mit einem aktuellen Virenscanner ausgestattet. Bei Fehlfunktion des Virenscanners (veraltete Signaturen, abgelaufene Updatelizenzen etc.) sperrt die Firewall des LANCOM-Routers automatisch den betroffenen Praxis-PC vom Internetzugriff aus.
- Fernwartungszugriffe erfolgen nur nach vorheriger Genehmigung der Praxis über BSI-konform verschlüsselte Verbindungen und werden vollständig protokolliert.
- Alle von Patienten online gebuchten Termine, Rezept- und Überweisungsbestellungen werden sofort beim Buchungsvorgang mit dem öffentlichen Schlüssel der Praxis verschlüsselt undzwischengespeichert. Die Entschlüsselung ist nur mit dem privaten Schlüssel der Praxis in der Praxis selber möglich. Damit wird zu allen Zeitpunkten sichergestellt, dass personenbezogene Daten ausschließlich Ende-zu-Ende verschlüsselt übermittelt werden und auch alle beteiligten Systeme sowie deren Administratoren keinen Einblick in die Daten haben können.
