HomeBlogElefant® WissenPatientendatenschutz in der Praxis
Elefant-Wissen
Elefant® Wissen | 18. Dezember 2020

Patientendatenschutz in der Praxis

Die Inhaber einer Praxis, die patientenbezogenen Daten mit besonderem Schutzbedarf verarbeiten (hier: Gesundheitsdaten), sind für den Schutz dieser Daten verantwortlich und haftbar. Dieser Schutzbedarf ist schon immer hoch, erhält mit dem Einzug von weiteren Gesundheitsanwendungen wie der elektronischen Patientenaktie, in der Telematikinfrastruktur jedoch eine neue Brisanz. Dieser Artikel fasst die aktuellen Erkenntnisse zusammen.

Verbindliche IT-Sicherheitsrichtlinie in 2021

Es entspricht leider den Tatsachen, dass der Patientendatenschutz in vielen ambulanten Praxen nicht den Anforderungen des IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entspricht.

Allerdings umfasst dieser IT-Grundschutz knapp 1.900 Seiten und ist nur für IT-Profis verständlich. Deshalb hat der Gesetzgeber die KBV beauftragt, eine IT-Sicherheitsrichtlinie zu verfassen. Diese Richtlinie basiert auf dem BSI IT-Grundschutz und wurde gemeinsam mit der KBV, dem BSI und dem BMG diskutiert und für Ärzte und Therapeuten verständlich formuliert.

Der Praxisinhaber ist verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie (Achtung: Fristen!).

Wir empfehlen dringend, die genannten Maßnahmen entsprechend der Fristen umzusetzen.

IT-Sicherheitsrichtlinie 2021 herunterladen

Was die Richtlinie enthält

Die Richtlinie enthält insbesondere folgende Anforderungen zu den folgenden Themen :

  • Schutz des Internetzugangs und des Praxisnetzwerkes (LAN, WLAN und Powerline)
  • Schutz der Smartphones und Tablets
  • Schutz der Praxis-PCs mit Patientendaten
  • Schutz des Konnektors und des Kartenterminals
  • Umgang mit Wechseldatenträgern wie USB-Sticks
  • Umgang mit Microsoft Office (Word, Excel, PowerPoint, …)
  • Regelmäßiges Einspielen von Updates für Geräte und Software
  • Virenschutz

Die Anforderungen sind also deutlich breiter ausgefallen als die oft geführte Diskussion darüber, wie der Konnektor angeschlossen ist (Reihe / Parallel) oder ob die Praxis eine Hardware-Firewall besitzt (unbestritten der Wichtigkeit dieser Themen)!

Was außerdem zu beachten ist

Bereits 2018 veröffentlichte die KBV gemeinsam mit der Bundesärztekammer ein Dokument mit dem Titel "Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis".

Bitte beachten Sie auch die hier empfohlenen Maßnahmen. 

KBV Dokument 2018 herunterladen

Wenn mal Unterstützung benötigt wird

Obwohl die Hinweise der KBV mit 12 Seiten deutlich übersichtlicher sind als der IT-Grundschutz des BSI kann es ratsam sein, sich von einem Fachmann beraten zu lassen. (PS: Auch die Kollegen vom Elefant-Support fragen Experten aus der IT – selbst wenn es so aussieht, als ob sie Probleme auf dem Elefant-PC wie von Zauberhand lösen können ;-))

Als ersten Ansprechpartner empfehlen wir die Elefant-Service-Partner bzw. bereits vorhandene lokale IT-Dienstleister. Sie können diese Beratung entweder selbst erbringen oder geben Hinweise für einen IT-Dienstleister in der Region.

Hilfreich: Die KBV bietet IT-Dienstleistern die Möglichkeit, sich freiwillig zur korrekten Umsetzung der IT-Sicherheitsrichtlinie mit einem KBV-Security-Zertifikat zertifizieren zu lassen. Sie sollten in Zukunft also darauf achten, dass die Dienstleister diese Zertifizierung besitzen oder diese Zertifizierung aktuell anstreben.

Und nun: Firewall oder Konnektor-Reihenschaltung

Für die ambulante Praxis ergibt sich noch kein klares Bild. Oft wird eine "Firewall" gefordert, aber nicht die Art spezifiziert. Die KBV schrieb 2018: "Niemals sollte ein sicherheitsrelevanter Rechner direkt mit dem Internet verbunden werden. Die Verbindung sollte stets zumindest über einen Router mit NAT- und Firewall-Funktionalität erfolgen." Dieses Kriterium erfüllt der Konnektor im Modus "Reihenbetrieb" mit Bravour.

Allerdings erfüllt eine Praxis mit einem handelsüblicher Internet-Router wie der FritzBox von AVM oder dem Speedport der Telekom und Konnektor im Modus "Parallel" ebenfalls diese Anforderung.

Die gematik schreibt zum Parallelanschluss: Da der Konnektor nicht als Firewall im LAN fungiert, ist der Parallelbetrieb nur für medizinische Einrichtungen geeignet, die über entsprechende Sicherheitsfunktionen verfügen.

PS: Die Berufsverbände waren sich 2018 und 2019 auch nicht einig. Einerseits schreibt der VPP: "Vergessen Sie die Reihenschaltung und nehmen Sie unbedingt die Parallelschaltung!" (Quelle: https://www.vpp.org/meldungen/19/190124_techniktipps.html) und andererseits kommuniziert der BVVP: "Die Empfehlung der gematik für Einzelpraxen lautet klar, die TI im Reihenbetrieb zu installieren. Die Lösung gewährt den derzeit besten Schutz für die Daten. Da der PC nicht separat mit dem Internet verbunden ist, sind auch die Haftungsrisiken minimiert. Aus datenschutzrechtlicher Sicht, sind nur Reihenbetrieb oder Netzwerktrennung zulässig. Daher sollten Sie eine dieser beiden Anschlussarten wählen." (Quelle: Mitgliederinformation vom 07.05.2019)

Leider konkretisiert die IT-Sicherheitsrichtlinie 2021 die Anforderungen an eine Firewall nicht genauer und schafft damit keine Klarheit für Praxen, die den Konnektor im Parallelmodus betreiben.

Unsere Empfehlung

Lassen Sie sich von den Elefant-Service-Partnern oder Ihrem IT-Dienstleister beraten, wie Sie in Ihrer Praxis die Anforderungen der IT-Sicherheitsrichtlinie zu den entsprechenden Fristen umsetzen können.

HASOMED wird diese Anforderungen ebenfalls genau prüfen und – falls möglich – Unterstützungsmöglichkeiten in Elefant anbieten.

Mehr Lesestoff

Die Leselise ergänzen wir mit neuen Informationen:

Sie möchten diesen Beitrag zu einem späteren Zeitpunkt lesen?

Sie können den Beitrag per E-Mail erhalten:

Beitrag per E-Mail erhalten

Sie können den Beitrag drucken:

Dazu nutzen Sie bitte für das Betriebssystem Windows die Tastenkombination "Strg" plus "p" auf Ihrer Tastatur. Für Apple-Tastaturen nutzen Sie bitte "cmd" und "p". Es öffnet sich anschließend ein Fenster, in dem Sie das gewünschte, an Ihren Computer angeschlossene Ausgabegerät auswählen können.

Sie möchten den Beitrag ohne Kommentare drucken:

Im Auswahlfenster Ihres Ausgabegerätes haben Sie die Möglichkeit, die zu druckenden Seitenzahlen anzugeben. Schauen Sie im Vorschaufenster, welche Seite die letzte ohne Kommentare ist. Geben Sie anschließend in das Feld für die individuellen Seitenzahlen ein: 1-[Seitenzahl der letzten gewünschten Seite].

  • Seitenzahl festlegen

    Beispiel ansehen

Schreibe einen Kommentar


Über HASOMED
Social Media
Informationen

2024 HASOMED GmbH © All Rights Reserved

AGB   |   Datenschutz   |   Impressum   |   Cookie-Richtlinie (EU)  |   Kontakt