Recht


Informationssicherheit in der Zahnarztpraxis

Quelle: © Antje Delater/pixelio.de
Quelle: © Antje Delater/pixelio.de

Abgesehen von berufsrechtlichen Vorgaben hat der Gesetzgeber mit § 203 Strafgesetzbuch (StGB) für bestimmte Berufsgruppen ein ausdrückliches Verbot in Bezug auf die Offenbarung von Privatgeheimnissen geschaffen. Der mit dieser Vorschrift festgelegte schweigepflichtige Personenkreis erfasst dabei bekanntermaßen auch die Zahnärzteschaft. Insoweit besteht grundsätzlich eine Verschwiegenheitspflicht hinsichtlich aller personenbezogener Daten und Tatsachen. Das fängt mit der Tatsache an, dass ein Patient überhaupt eine zahnärztliche Behandlung in Anspruch genommen hat, über Diagnosen sowie Ergebnisse von Untersuchungen bis hin zu sonstigen Informationen, die während der Behandlung bekannt geworden sind (Lebenssituation, Vermögenslage etc.).

Somit steht außer Frage, dass in einer Zahnarztpraxis besondere Vorkehrungen zu treffen sind, um diese Informationen hinreichend zu schützen. Zu beachten sind insoweit die folgenden Grundwerte der Informationssicherheit:

Vertraulichkeit: Vertrauliche Informationen sind vor einer unbefugten Preisgabe geschützt.

Verfügbarkeit: Der Zugang zu Informationen und Anwendungen ist möglich, wann immer der Bedarf hierzu besteht.

Integrität: Die Daten sind vollständig und unverändert. Sofern Änderungen (Modifikationen) durchgeführt wurden, welche nicht nachvollziehbar sind, geht die Integrität verloren.

Nicht selten wird die Gewährleistung der Informationssicherheit im Praxisalltag jedoch insbesondere von Versäumnissen in Bezug auf die o. g. Grundwerte beeinträchtigt. Hier beispielhaft drei typische Fälle:

A. „Klassiker“

I. Rechtevergabe ist nicht restriktiv genug

PCs und Server sind oftmals untereinander vernetzt. Zugriffsbeschränkungen existieren insoweit kaum. Ist dies der Fall, besteht die Möglichkeit, die Daten anderer Benutzer auch entgegen ihrem ausdrücklichen Willen zur Kenntnis zu nehmen. Das Risiko eines Datenmissbrauchs, sei es in Unkenntnis oder gezielt, wird dadurch deutlich erhöht.

Was kann man besser machen?

Es sollte dafür Sorge getragen werden, dass jeder, der in einer zahnärztlichen Praxis tätig ist, auch nur auf diejenigen Datenbestände Zugriff hat, die er im Praxisalltag tatsächlich benötigt. Gleiches gilt in Bezug auf entsprechende Programme. Insoweit empfiehlt sich die Einrichtung entsprechender Benutzerkonten. Darüber hinaus sollte geklärt werden, wer berechtigt ist, Veränderungen an den Daten vorzunehmen und wem lediglich ein Leserecht zusteht. Auf jeden Fall sollten „normalen Benutzern“ keine Administratorrechte eingeräumt werden.

II. Internet-Anbindung und drahtloses Praxisnetzwerk

Praxisarbeitsplätze sind nicht selten mit einem Internetzugang ausgestattet. Auch erfolgt ein Arbeiten zunehmend im Wege drahtloser Praxisnetzwerke. Dies erfordert allerdings erhöhte Sicherheitsmaßnahmen, welche sich nicht nur auf die Existenz einer Firewall beschränken. So führt die Kassenzahnärztliche Bundesvereinigung in ihrem aktuellen „Datenschutz- und Datensicherheits-Leitfaden für die Zahnarztpraxis-EDV“ (Stand: September 2013) aus:

„Häufig wird als Firewall von verschiedenen Anbietern eine Software angeboten, die auf dem jeweiligen Rechner installiert Firewall-Funktionalitäten bieten soll. Bei diesen Lösungen handelt es sich jedoch nicht um einen Schutz der gesamten Praxis- Infrastruktur, sondern lediglich um den Schutz des einzelnen Rechners. Um die gesamte Praxis-Infrastruktur zu schützen, empfiehlt sich der Einsatz einer dedizierten Firewall-/Proxylösung an zentraler Stelle. (…) Insbesondere ein drahtloses Praxisnetzwerk kann Sicherheitslücken aufweisen. Hierbei ist zu beachten, dass das Netzwerk durch Unbefugte außerhalb der Praxisräume angewählt werden kann, wenn keine zusätzlichen Sicherungsmaßnahmen – insbesondere der Einsatz von ausreichend sicheren kryptografischen Verschlüsselungsverfahren – ergriffen werden und damit kein ausreichender Passwortschutz (möglichst durch Verschlüsselung mittels WPA2-Verfahren) besteht. Hier ist in besonderer Weise der Nutzung durch Dritte vorzubeugen.“

Was kann man besser machen?

Im Idealfall nutzen Sie einen unabhängigen „Internet-PC“, d. h. einen Rechner, mit welchem auf das Internet zugegriffen werden kann, der seinerseits jedoch nicht mit den anderen PC-Arbeitsplätzen per Netzwerk verbunden ist. Sollen alle Praxisrechner mit einem Internetzugang ausgestattet sein, sollte dies nur unter Nutzung eines VPN-Gateways mit diversen Schutzmechanismen (Firewall, Virenschutz etc.) erfolgen.

III. Passwort: 0815

Passwörter - sofern sie überhaupt existieren - werden regelmäßig zu kurz gewählt oder können zu schnell erraten werden. Auch erfolgt eine Aufbewahrung nicht selten an einem Ort, auf den Dritte problemlos zugreifen können (z. B. in der obersten Schreibtischschublade, unter der PC-Tastatur oder Schreibtischunterlage).

Was kann man besser machen?

Die Ausgestaltung und Länge von Passwörtern sollte stets kritisch betrachtet werden. Im Zweifel sind konkrete Vorgaben in Bezug auf die Passwortlänge zu machen und auch die Nutzung von Sonderzeichen etc. zu fordern. Außerdem gilt im Sinne der Informationssicherheit:

  • Passwörter sind in regelmäßigen Abständen zu ändern.
  • Bei Verdacht, dass ein Passwort von einem Unbefugten wahrgenommen worden ist, ist dieses umgehend neu zu erstellen.
  • Wird ein Arbeitsverhältnis beendet, ist die Zugriffsberechtigung des ausscheidenden Mitarbeiters unmittelbar zu löschen.
  • Die Eingabe eines falschen Passwortes sollte nach mehreren Versuchen automatisch dazu führen, dass der Zugang in das System gesperrt wird.

B. Informationssicherheit unter zahnärztlichen Kollegen

Sofern die zahnärztliche Tätigkeit im Rahmen einer Berufsausübungsgemeinschaft ausgeübt wird, gilt, dass diese dem Patienten als eine „Einheit“ gegenüber auftritt. Mithin schließt der Patient grundsätzlich mit allen in der Praxis tätigen Zahnärzten einen Behandlungsvertrag, so dass diese untereinander nicht nur zur gegenseitigen Vertretung berechtigt sind, sondern insoweit auch eine Befreiung von der ärztlichen Schweigepflicht gegeben ist.

Eine Vernetzung sämtlicher Praxisarbeitsplätze und ein Zugriff auf denselben Datenbestand sind daher im Hinblick auf das geltende Datenschutzrecht sowie die damit zusammenhängende Informationssicherheit im Regelfall unproblematisch.

Vorsicht ist allerdings dann geboten, wenn ein weiterer Zahnarzt in eine bestehende Berufsausübungsgemeinschaft eintritt oder sich zwei Einzelpraxen zu einer solchen zusammenschließen. In diesen Fällen sollte zunächst die ausdrückliche Zustimmung des Patienten eingeholt werden.

Während das Thema der Informationssicherheit damit im Hinblick auf eine Berufsausübungsgemeinschaft relativ unkritisch erscheint, gilt es im Falle einer Praxisgemeinschaft zu beachten, dass diese sich dadurch auszeichnet, dass die ihr angehörenden Praxen rechtlich selbständige Einheiten sind.

Folglich besteht auch zwischen den dort tätigen Zahnärzten die ärztliche Schweigepflicht, so dass zu gewährleisten ist, dass die Datenbestände der einzelnen Zahnärzte strikt voneinander getrennt sind und keine unberechtigten Zugriffe erfolgen können.

Ebenso gilt der Grundsatz zur Verschwiegenheit bei einer Tätigkeit in einem Medizinischen Versorgungszentrum, so dass auch hier ein besonderes Augenmerk darauf zu legen ist, wer in welchem Umfang auf die Patientendaten zugreifen kann.

C. Externe Hilfe: Fernwartung

Zunehmend greifen Praxen zur Bewältigung ihrer EDV-Schwierigkeiten auf externe Hilfe zurück. Nicht selten geschieht dies im Wege einer Fernwartung, in deren Rahmen sich entsprechende Spezialisten per Datenleitung in das EDV-System einwählen und damit grundsätzlich vollen Zugriff auf alle gespeicherten personenbezogenen Daten erhalten. Datenschutzrechtlich handelt es sich dabei um einen Fall der Auftragsdatenverarbeitung, welcher wiederum eines speziellen Auftragsdatenverarbeitungsvertrages bedarf. Die maßgebliche Rechtsgrundlage ist hierbei § 11 Bundesdatenschutzgesetz (BDSG), nach welcher insbesondere folgende Einzelheiten zu regeln sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers (z. B. Wahrung des Datengeheimnisses), insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Landesbeauftragten für den Datenschutz stellen hierzu regelmäßig datenschutzrechtliche Musterklauseln für die Vertragsgestaltung zur Verfügung, die dementsprechend zur Vermeidung von Haftungsfällen herangezogen werden sollten.

Davon unabhängig hat die Kassenzahnärztliche Bundesvereinigung in o. g. Leitfaden folgende Rahmenbedingungen im Hinblick auf die Fernwartung formuliert:

  • Die Fernwartung muss vom Praxisrechner initiiert werden. Ein Zugriff von außen ohne vorherige Freischaltung am Praxisrechner ist unzulässig.
  • Während der Dauer der Fernwartung, bei der unter Umständen auch personenbezogene Daten genutzt werden müssen, darf der Rechner nicht ausschließlich allein demjenigen überlassen werden, der die Wartungsarbeiten durchführt. Die Wartungsarbeiten sind für die gesamte Dauer am Praxisrechner zu beobachten, so dass ggf. bei Missbrauch sofort eingegriffen und beispielsweise die Verbindung getrennt werden kann.
  • Nach Abschluss der Fernwartung ist der Rechner wieder vom Internet zu trennen, es sei denn, er ist entsprechend abgesichert (...).
  • Da wie bereits erwähnt ggf. auch der Umgang mit personenbezogenen Daten notwendig sein kann, sind bei Auftragsvergabe an ein Unternehmen, das Fernwartung anbietet, die strengen Voraussetzungen gem. § 11 BDSG (...) zu beachten, was u. a. die Einforderung einer Verschwiegenheitserklärung vom jeweiligen Unternehmen beinhaltet.
  • Es empfiehlt sich, den Umfang und den Zeitpunkt von Wartungstätigkeiten unter Angabe des Namens des Servicetechnikers zu protokollieren. Im Protokoll sollte auch die Neuinstallation von Programmen und Hardwareteilen dokumentiert werden.

D. Mitarbeitersensibilisierung

Neben den vorangegangenen Ausführungen gibt es zahlreiche weitere Punkte, die in Bezug auf die Informationssicherheit in der Zahnarztpraxis von Relevanz sind. Zu nennen sind hier beispielsweise die Anfertigung von Backups, die Durchführung regelmäßiger Sicherheits-Updates sowie die Nutzung einer zuverlässigen elektronischen Dokumentation und Archivierung. Letztendlich haben jedoch alle weiteren Themen, die für die Gewährleistung der Informationssicherheit entscheidend sind, eins gemeinsam:

Die in einer Zahnarztpraxis hinterlegten personenbezogenen Daten können nicht allein durch technische Vorkehrungen hinreichend vor Sicherheitslücken geschützt werden. Vielmehr kommt es maßgeblich auf die Sensibilisierung der Mitarbeiter an.

Aus diesem Grunde empfiehlt es sich insbesondere:

  • einer in der Praxis tätigen Person offiziell die Verantwortung für die Informationssicherheit zu übertragen,
  • die Erstellung eines Sicherheitskonzepts, in welchem sich z. B. Vorgaben in Bezug auf die Passwortgestaltung finden oder auch das Verhalten bei einer versehentlichen Datenlöschung,
  • Mitarbeiter schriftlich zur Datensicherheit und zur verantwortungsbewussten Nutzung der Informationstechnologie der Praxis zu verpflichten,
  • Schulungen zum Thema Informationssicherheit wahrzunehmen.

Fazit

Die Informationssicherheit ist ein grundsätzlich komplexes Thema, was im Falle des Gesundheitswesens aufgrund der dort anfallenden sensitiven Daten und des informellen Selbstbestimmungsrechts der Patienten noch verschärft wird. Nicht umsonst wird dieses Thema daher regelmäßig von Organisationen wie der Kassenzahnärztlichen Bundesvereinigung oder auch den Zahnärztekammern angesprochen.

Selbstverständlich ist die Gewährleistung von Datenschutz und Informationssicherheit dabei mit diversen organisatorischen sowie technischen Maßnahmen und damit einem „Aufwand“ verbunden. Letztendlich schafft dieser jedoch Sicherheit und damit auch Vertrauen.

Näheres zum Autor des Fachbeitrages: Sandra C. Linnemann

Bilder soweit nicht anders deklariert: Sandra C. Linnemann


Führungskräfte-Coaching für Zahnärzte
Teaser dentaltrainer

Machen Sie mit den DentalTrainer-Coachings Ihre Zahnarztpraxis erfolgreicher und vereinbaren ein kostenloses Erstgespräch, in welchem Sie uns ganz unverbindlich all Ihre Fragen stellen können.

Kostenloses Live-Webinar

Im kostenlosen Live-Webinar „Professionelle Materialwirtschaft heute: Herausforderungen und Lösungsansätze“ von Wawibox am 06.10.2021 von 14:00–15:00 Uhr erhalten Sie einen Einblick in den Dentalmarkt Deutschland.

Aktuelle Umfrage zu Keramikimplantaten

Noch immer fehlt neben Langzeitdaten auch ein konkreter Einblick in den täglichen Umgang mit Keramikimplantaten in der Praxis. Um Antworten auf möglichst viele der offenen Fragen zu bekommen, startet die ESCI eine europaweite Umfrage.