Daten sind Gold wert! Schützen Sie diese auch so?
Wertsachen werden gut gesichert. Je teurer sie sind, umso größer wird der Aufwand dafür. Dabei kann der Verlust versichert werden. Das ist bei vertraulichen Daten anders. Wie bei der Büchse der Pandorra gibt es kein Zurück mehr, sind die Daten erst einmal entwichen. Wie Sie die Ihnen anvertrauten Daten optimal schützen, erfahren Sie hier.
Kleine Fehler, schwere Folgen
In Kassel, so berichtete eine Zeitung im Jahr 2013, wurden umfassende Kundenakten eines Finanzdienstleisters im Müllcontainer entsorgt und von Dritten gefunden. Die Presse nahm das Thema dankbar auf und erwähnte auch das Unternehmen. Zusätzlich zum Reputationsverlust und dem damit verbundenen Vertrauensverlust kam noch eine Strafe durch den Landesdatenschutzbeauftragten hinzu. Wem eine Datenpanne passiert, der ist sogar verpflichtet, den Datenschutzbeauftragten und die betroffenen Personen zu informieren. Alles ausreichende Gründe, um gut aufzupassen und seine Arbeitsabläufe zu optimieren.
Dieses fängt in Ihrem Fall bereits bei den Patientenakten an. Sie gehören nach jeder Behandlung in einen verschließbaren Schrank und dürfen in gar keinem Fall im Behandlungszimmer offen liegen bleiben. Achten Sie immer darauf, dass sich die Patientenakten beim Verlassen des Raums an ihrem sicheren Aufbewahrungsort befinden.
Daten
Durch das Bundesdatenschutzgesetz (BDSG) soll der Missbrauch von personenbezogenen Daten verhindert werden (§ 1 Abs. 1 BDSG). Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Angaben über die Gesundheit sind besondere Daten und unterliegen verschärften Sicherheitsbedingungen. Beispiele für Daten sind: Name, Geburtsdatum, Wohnort, Beruf, Erkrankungen.
Bereits die Tatsache, dass eine Person bei Ihnen Patient ist, unterliegt dem Datenschutz. Es genügt, dass die Daten einer Person zugeordnet werden können, damit die Datensammlung in den Anwendungsbereich des BDSG fällt. Denn selbst ohne den Namen kann oft auf eine Person geschlossen werden. Dabei spielt es keine Rolle, ob die Daten in Papierform verwahrt werden oder elektronisch auf einem Speichermedium. Beide Arten der Datenarchivierung erfüllen den Tatbestand der Datenspeicherung. Ein rechtlicher Unterschied besteht nicht.
Zugang zur Praxis
Datenschutz beginnt am Eingang zur Praxis. Besucher müssen sofort bemerkt werden. Dafür gibt es mehrere Möglichkeiten:
- Die Tür zur Praxis kann nur von innen geöffnet werden.
- Es gibt einen besetzten Empfang.
- Es gibt zumindest einen (akustischen) Eintrittsmelder.
Wenn Personen selbstständig die Praxis betreten können oder warten müssen, so sollten alle weiteren Räumlichkeiten, in denen sich Patientendaten befinden, verschlossen sein. Neugier wird oft unterschätzt.
Aufteilung der Praxis
Bereits die Gestaltung der Räumlichkeiten entscheidet über die Vertraulichkeit der Patientenbeziehung. Ein offener Raum ist ungeeignet. Arbeiten mehrere Personen in einer Praxis muss, die Behandlung in einem separaten Raum erfolgen, sodass Dritte – auch Kollegen – nicht mithören können, soweit es nicht für die Behandlung notwendig ist. Gelegentlich werden Räumlichkeiten nur durch Wände in Leichtbauweise errichtet und mit dünnen Türen versehen. Es verwundert dann nicht, wenn Gespräche trotz verschlossener Tür mitgehört werden können. Besonders bei Telefonaten über ein Handy und bei gleichzeitig schlechtem Empfang neigen Menschen dazu, wesentlich lauter zu sprechen, ja fast zu schreien. Es schadet nicht, einmal einen Test mit Mitarbeitern oder Freunden durchzuführen, ob und wann die eigene Stimme im Behandlungszimmer in anderen Räumen der Praxis hörbar ist.
Arbeitsplatz
Mit dem Arbeitsplatz ist der Ort gemeint, an dem Gespräche mit Patienten oder Dritten geführt werden, unabhängig davon, ob es sich um einen Behandlungsraum handelt, den Empfang oder ein Büro. Arbeitsplätze müssen so eingerichtet werden, dass ungewollt keine Informationen weitergegeben werden können. Bei Wartenden ist sicherzustellen, dass
- sich dort keine Unterlagen oder sonstige Daten anderer Patienten finden lassen,
- sie keine Möglichkeit haben, sich über Patienten oder deren Behandlung zu informieren,
- Schränke im Wartebereich und im Behandlungsraum abgeschlossen sind,
- eingehende Faxe nicht entnommen und eingesehen werden können,
- Computer nur von autorisiertem Personal eingesehen werden können - ggf. muss ein Sichtschutz installiert werden,
- beim Verlassen des Arbeitsplatzes der Bildschirm gesperrt wird.
Organisatorisch ist ein Arbeitsablauf vorzuziehen, bei dem keine längeren Wartezeiten entstehen.
Datenschutz bei der Kommunikation
Das Telefon ist wichtiger Bestandteil jeder Praxis. Es darf aber nicht zur Quelle der Indiskretion werden. Am Telefon sollte nicht nach sensiblen Daten gefragt werden, wenn umstehende Personen daraus eine bestimmte natürliche Person ableiten könnten. Vertrauliche Telefonate dürfen nur geführt werden, wenn keine Unbefugten mithören.
Vor einem Gespräch sollte die Identität festgestellt werden. Bestehen Zweifel, kann z. B. das Geburtsdatum oder der Geburtsort abgefragt werden. Werden ungewöhnliche Fragen zur Krankengeschichte gestellt, müssen weitere Identifikationsmerkmale erfragt werden oder es dürfen keine Auskünfte erteilt werden.
Obiges gilt für Faxe und E-Mails genauso. Vertrauliche Daten dürfen nicht offen durchs Netz verschickt werden, denn es geht um sensible Krankendaten. Dieses ist selbst dann verbindlich, wenn der Patient per E-Mail angefragt hat. Wird dieser Kommunikationsweg ausnahmsweise doch genutzt, so sollte der Patient vor dem Versenden persönlich benachrichtigt werden und die Adresse/Faxnummer noch einmal verglichen werden. Weiterhin muss der Patient auf die Unsicherheit der Datenverbindung hingewiesen werden und dem zustimmen.
Am Telefon kann die Identität nie uneingeschränkt festgestellt werden, sodass vertrauliche Informationen besser im Vieraugengespräch übermittelt werden. DieWeitergabe von Daten an Dritte z.B. Ärzte erfolgt wenn möglich schriftlich.
Akten und deren Lagerung
Es versteht sich, dass Akten nur in verschlossenen Schränken aufbewahrt werden dürfen. In Praxen, in denen die Akten nicht dauerhaft im Blickfeld mindestens einer Person sind, müssen die Schränke oder Zugänge zu den Räumen auch tagsüber verschlossen sein. Behandlungsunterlagen vorhergehender Behandlungen sollen immer sofort in die Ablage zurückgelegt werden.
Räumlichkeiten, in denen sich die Praxis-EDV oder die Patientenakten befinden, müssen gesondert gegen Einbruch/Diebstahl gesichert sein, ggf. durch eine Alarmanlage. Spätestens mit Praxisschluss müssen die Akten in abschließbaren Aktenschränken verwahrt werden.
Diese Sicherheitsvoraussetzungen müssen bei ausgelagerten Altakten oder ausgemusterten PCs ebenfalls eingehalten werden. Daten in Nebenräumlichkeiten, wie Keller oder Dachboden, dürfen nicht weniger geschützt sein. Besonders in Kellern von Mehrfamilienhäusern in Städten wird gern eingebrochen. Die Täter sind oft ungestört. In keinem Fall reicht ein einfaches Vorhängeschloss. Die sicherste Methode, ältere Daten vor dem Zugriff Unbefugter zu schützen, ist ihre Vernichtung (s. Abschnitt Datenschutz und Vernichtung). Voraussetzung ist, dass die Unterlagen selbst nicht mehr benötigt werden und keine Aufbewahrungspflicht besteht.
Patientenakten und Daten müssen sicher vor den Zugriff Unbefugter geschützt sein – auch gegen Einbruch. Dazu gehören verschließbare Aktenschränke.
Umgang mit Fehldrucken
Eine häufige Schwachstelle ist Altpapier, das aus Fehldrucken besteht. Dieses können verschmierte Blätter des Druckers sein oder am Kopierer erstellte Duplikate. Wohin damit? Patientenakten, Rechnungen und Korrespondenz gehören einfach nicht in den Papierkorb! Stellen Sie an zentraler Steller z. B. am Drucker oder Kopierer eine Datenschutztonne auf.
Der Papierkorb ist unsicher. Schnell können Papiere – auch von Reinigungskräften – entnommen werden oder sie gelangen ins Altpapier. Dort gehören personenbezogene Daten nicht hin. Erst im Jahr 2016 hatte eine Versicherung alte Bewerbungsunterlagen (fallen auch unter den Datenschutz) im Altpapier entsorgt, was ein aufmerksamer Bürger der Datenschutzbehörde meldete und dann in der Presse veröffentlicht wurde.
Auch fehlgeschlagene Ausdrucke, Kopien, Faxe mit vertraulichem Inhalt gehören in die Spezialentsorgung. Zur Zwischenlagerung ist eine Datenschutztonne in unmittelbarer Nähe empfehlenswert. Es handelt sich dabei um einen verschlossenen Behälter mit einem dünnen Schlitz. Damit ist sichergestellt, dass nur der Schlüsselinhaber notfalls vor der Vernichtung an diese Papiere gelangt. Der Behälter sollte so aufgestellt sein, dass er im normalen Büroalltag schnell erreicht wird. Anderenfalls siegt die menschliche Bequemlichkeit.
Die spätere Entsorgung kann von einer zertifizierten Firma übernommen oder selbst durchgeführt werden.
Der eigene PC
Die Praxishardware (Notebook, PC, Server etc.) sollte von der privaten getrennt werden. Grund ist, dass die Anforderung an die Praxissicherheit höher ist als an die private Daten. Mit privaten Geräten wird im Internet gesucht, gebucht und unbekannte Seiten werden geöffnet. Teilweise nutzen Familienmitglieder die Geräte. Die Praxis zeigt, dass dieses besonders häufig der Fall ist, wenn Kinder im Haushalt leben. Hier wird schnell mal eine Ausnahme von den sonst so strengen Regeln gemacht.
Trennen Sie strikt private von dienstlichen Rechnern. Ein zweites preisgünstiges Gerät ist billiger als ein Fehler bei der Sicherheit.
Passwortschutz
Zugriff auf den PC und dessen Daten darf nur nach Eingabe eines Passworts erfolgen. Es muss sich um das individuelle Passwort eines jeden Nutzers handeln. In keinem Fall darf ein Passwort als Notiz unter der Schreibtischunterlage liegen oder an der Pinnwand kleben. Notfalls kann ein Masterpasswort außerhalb der Praxis in einem verschlossenen Umschlag gelagert werden – für den Fall, dass man das Passwort vergisst. Beim Verlassen des Arbeitsplatzes muss der Bildschirm immer gesperrt werden. Damit ist sichergestellt, dass nur mit Kenntnis des Passworts ein erneuter Zugriff möglich ist.
Regeln für Passwörter sind:
- Passwörter dürfen nur einer Person bekannt sein.
- Passwörter dürfen niemals weitergegeben werden.
- Passwörter sind immer individuell.
- Beim Verlassen muss der Arbeitsplatz gesperrt werden.
- Passwörter müssen regelmäßig (mind. alle sechs Monate) geändert werden.
- Ein Passwort muss aus mind. sechs Zeichen mit Sonderzeichen bestehen, unsichere Passwörter sind „123456“, „ABCDEF“ oder Tastaturfolgen „qwertz“.
- Jeder Computer muss durch ein Passwort geschützt werden.
Einschränkung der Nutzungsberechtigungen
Wenn mehrere Personen die Hardware nutzen, sollte ein Administrator eingerichtet werden, der die Berechtigungen verwaltet. Bei Bedarf kann der Administrator (temporär) Rechte erweitern. Mit dieser Maßnahme kann eine große Anzahl von Fehlerquellen ausgeschaltet wird.
Internetnutzung und Viren
Die Internetnutzung stellt ein großes Sicherheitsrisiko dar. Nach Berichten aus dem Jahr 2017 ist in den USA besonders das Gesundheitswesen (Ärzte/Krankenhäuser) Angriffen ausgesetzt, um an Daten zu gelangen.
Schnell können Viren, Trojaner und andere Schadware auf den (ungeschützten) PC dringen. Wichtig ist, dass eine Firewall und ein Virenschutzprogramm vorhanden sind. Selbst wenn die eingesetzte Software aktuell ist, hinkt diese immer etwas hinterher. Trotz aktuellster und teuerster Software sollte man sich darauf alleine nicht verlassen. Der beste Virenschutz gegen Angriffe von außen hilft wenig, wenn die Mitarbeiter oder sogar Familienmitglieder selbst die Viren „von innen“ z. B. über einen USB-Stick mitbringen. Das geschieht meist dann, wenn der PC „kurz“ mal für private Zwecke genutzt wird.
Laufwerke
Alle externen Laufwerke, z. B. USB-Anschlüsse, müssen gesperrt werden. So werden gefundene USB-Sticks mal schnell geöffnet. Diese können Viren enthalten, die dann unter Umgehung der Firewall ins System gelangen. Im schlimmsten Fall wird nicht nur die Festplatte gelöscht, sondern die Daten werden über die Internetleitung übermittelt und dann vom Virenersteller zur Nutzung weitergegeben.
Ein weiterer Vorteil der eingeschränkten Laufwerke ist, dass dadurch die Spiegelung der Festplattendaten auf externe Medien unterbunden wird. Damit wird die Mitnahme von Daten erschwert.
Installation von Programmen
Programme aus dem Internet sollten nicht einfach mal eben von jedem Nutzer installiert werden können. Dieses kann durch die Rechteverwaltung eingeschränkt werden. Die Gefahr liegt hier in einer ungewollten Änderung des Systems. Ebenso können Programme oder Dateien eingeschleust werden, die zum Datenverlust oder zur Übernahme des PC führen. Neben möglicher Spionagesoftware könnten Lizenzverletzungen begangen werden. Nicht alle Programme, die zur freien Nutzung im Internet kostenlos angeboten werden, dürfen für geschäftliche Zwecke umsonst genutzt werden. Bei geschäftlicher Nutzung verliert oft Freeware den kostenlosen Charakter hin zu einer kostenpflichtigen Software. Am sichersten ist es, wenn der Rechner mit den Patientendaten nicht mit dem Internet verbunden ist.
Festplattenverschlüsselung
Es werden immer wieder Geräte gestohlen. Besonders der Verlust an mobilen Geräten ist hoch, seit es Notebooks, Tablets oder Smartphones gibt. Ebenso sind stationäre Computer gefährdet. Normale Passwörter bieten nur noch einen geringen Schutz, wenn mit ausreichender Zeit und professionellen Mitteln versucht wird, an die Daten zu gelangen.
Wesentlich schwieriger wird es bei verschlüsselten Daten. Hier gibt es zwei Möglichkeiten. Es wird eine verschlüsselte Festplatte genutzt oder ein Verschlüsselungsprogramm. Beides ist finanziell erschwinglich und erhöht die Sicherheit der Daten erheblich. Sollte die Hardware privat und geschäftlich genutzt werden darf daran kein Weg mehr vorbeiführen.
Datensicherung
Eine regelmäßige Datensicherung ist unerlässlich. Das separate Speichermedium (externe Festplatte) sollte ebenfalls verschlüsselt sein und sicher aufbewahrt werden. Vorzugsweise nicht in den Praxisräumen, damit nach einem Brand, Wasserschaden oder Einbruch auf die Daten noch zurückgegriffen werden kann.
Allein auf die Technik kann man sich nicht verlassen, auch wenn sie unverzichrbar ist. Der logische Menschenverstand, die Suche nach Fehlerquellen und wie sie ausgeschaltet werden können, ist bei der Sicherheit unerlässlich.
Datenschutz und Vernichtung
Daten dürfen nur solange aufbewahrt werden, wie sie tatsächlich benötigt werden oder gesetzliche Vorschriften dieses fordern. Während eines Patientenverhältnisses besteht diese Berechtigung. Wenn eine Patientenbeziehung beendet ist, müssen die Unterlagen nach Ablauf der Aufbewahrungsfrist vernichtet werden. Eine Vernichtung bedeutet, dass die Daten nicht wieder hergestellt werden können. Dieses betrifft die elektronischen Daten und die Akten.
Bei der Vernichtung muss sorgfältig vorgegangen werden. Eine Möglichkeit ist, die Datenträger einem Unternehmen zu übergeben, das sich auf die Vernichtung nach den Anforderungen des Datenschutzes spezialisiert hat. Das ist besonders bei Festplatten empfehlenswert. Die Wiederherstellungstechnik wird immer besser und einfacher, sodass eine physische Vernichtung der Festplatte immer höhere Anforderungen stellt. Allein ein paar Schläge mit dem Hammer reichen nicht aus, und ebenso wenig ein bis zwei Löcher mit der Bohrmaschine.
Verschlüsselte Festplatten sind ausreichend vor dem Zugriff Dritter geschützt. Jedoch schreitet auch hier die Entschlüsselungstechnik laufend voran, sodass der Schutz veraltet sein kann, wenn die Festplatte im Müll landet.
Bei Papier ist die Vernichtung einfacher. Eine Möglichkeit der ordnungsgemäßen Vernichtung ist ein Schredder gemäß DIN-Standard. Ein einfacher Aktenvernichter (vom Discounter oder Schreibwarenhändler) ist nicht ausreichend, da eine Aktenvernichtung in Deutschland nach DIN 66399 zu erfolgen hat. Für besonders sensible Daten muss die Vernichtung nach Stufe P4, noch besser nach P5 (geheim zu haltende Informationen) erfolgen. Ein Schredder muss diesen Standard erreichen können.
Eine weitere Möglichkeit ist die Entsorgung durch einen zertifizierten Datenvernichter. Die Entsorgung kann durch Fachfirmen erfolgen und wird oft vor Ort von einem befugten Mitarbeiter vorgenommen. Am Ende wird ein Vernichtungsprotokoll erstellt – darin sind die Informationen zur Person, zum Gegenstand, zur Menge, zur Uhrzeit, zum Ort und zur Sicherheitsstufe nach DIN 66399 gelistet.
Faxe und E-Mails
Das Bayerische Landesamt für Datenschutzaufsicht hat in seinem 7. Tätigkeitsbericht darauf hingewiesen, dass in der Praxis das höchste Risiko bei Faxen und E-Mails liegt.
Es kommt immer wieder vor, dass Patientenunterlagen falschen Personen zugehen. Der Grund liegt in der täglichen Hektik. Dadurch werden falsche Faxnummern eingegeben oder falsche E-Mail-Adressen ausgewählt. Eine genaue Kontrolle vor der Versendung ist also unerlässlich. Verwendet werden dürfen ausschließlich Adressen, die die Patienten selbst angegeben haben. Sensible Daten dürfen auch nicht (zumindest nicht ohne Absprache) an „info“-Adressen verschickt werden, da immer die Gefahr besteht, dass weitere Personen Zugriff haben.
Verschlüsselung
Erforderlich ist, dass auch die Datensicherung verschlüsselt ist. Wird ein unverschlüsselter Datenträger mit Patientendaten gestohlen, müssen die jeweilige Landesdatenschutzaufsicht und die Patienten informiert werden.
Fazit
Datenschutz ist in der Praxis mit wenigem Aufwand erfüllbar. Dazu gehört der Aufbau der Praxis und ein bewusster Umgang mit Akten und Daten. Einiges mag zuerst ungewohnt sein und Zeit kosten. Datenschutz ist ein Grundpfeiler der Psychotherapie. Darauf verlassen sich die Patienten. Ein schlechtes Image in diesem Bereich und entsprechende Mundpropaganda können das berufliche Ende bedeuten.
Ass. jur. Björn Fleck
M. A.
Foto: fotolia©maxsim