Checkliste Datenschutz in der Arztpraxis

Die Landeszahnärztekammer von Baden-Württemberg veröffentlichte im März 2019 eine Merkblatt zu den TOMs in Arztpraxen. Diese wird hier zusammenfassend wiedergegeben.

Die Initiative „Mit Sicherheit gut behandelt.“ stellt auf Ihrer Homepage in zu verschiedenen Themengebieten Fragen zum Selbstcheck zur Verfügung. Diese Fragen wurden seitens der Datenbeschützerin zu einer gesamtheitlichen Checkliste zusammengetragen und noch ergänzt.

Es handelt sich hierbei um eine Zusammenfassung seitens der Datenbeschützerin der relevanten Inhalte aus dem Papier. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren.

Organisatorische Maßnahmen

Gestaltung des Empfangsbereich

Bildschirme sollten so gestellt werden, dass keinen Einsichtnahme seitens der Patienten möglich ist
Bei Abwesenheit der Empfangsmitarbeiter den Bildschirmschoner und Passwortsperre aktivieren
ggf. eine Diskretionszone einrichten (wenn dies räumlich möglich ist)
Verschluss bzw. Verdeckung der Dokumente im Empfangsbereich
Vertrauliche Telefongespräche (z.B. Übermittlung von Diagnosen) in separaten Zimmern führen

Wartezimmergestaltung

wenn möglich, abgetrennter / abgeschlossener Raum
Beachtung durch Mitarbeiter, dass die Tür zum Wartezimmer stets verschlossen wird
Vermeidung von offenen Wartebereichen unmittelbar zur Rezeption

Empfehlung der Datenbeschützerin

Sofern wegen Platzmangels kein eigenes Wartezimmer angeboten werden kann, empfiehlt es sich den Patienten möglichst nach Aufnahme in die freien Behandlungszimmer zu geleiten.

Behandlungszimmer

sämtliche Dokumente (Karteikarten/Röntgenbildern auf den Monitoren) des vorhergehenden Patienten aufräumen oder unter Verschluss nehmen
erst danach den nächsten Patienten in das Zimmer geleiten
wenn möglich, sollte der Patient auch nicht alleine im Zimmer warten, damit ein unbefugtes „Herumschnüffeln“ vermieden wird

Allgemeine Kommunikation innerhalb der Praxis

wenn möglich, keine Nennung von Patientennamen (persönlich als auch telefonisch), wenn Dritte mithören könnten

Anmerkung der Datenbeschützerin

Das BayLDA hat in seinem 8. Tätigkeitsbericht auch Stellung zum Aufrufen von Patientennamen genommen.

Technische Maßnahmen für Softwareanwendungen (allgemeine Empfehlungen)

Technische Sicherung der Daten

wenn möglich, zentrale Verwaltung der Daten über einen Server
Back-Up-Konzept (Wiederherstellung bei Datenverlust)
Sicherungsintervall: tägliche, wöchentliche, monatliche auf verschiedenen Speichermedien (z.B. externe Festplatte)
Verschlüsselung der externen Speichermedien
regelmäßige Überprüfung der Wiederherstellung der Sicherungen

Annahme von fremden Datenträgern

Vor dem Einlesen sollte ein Virenscan den Datenträger überprüfen
Dieser Ablauf sollte mit den Mitarbeitern kommuniziert werden
Die Benutzung von privat mitgebrachten Datenträgern sollte vermieden werden

Empfehlung der Datenbeschützerin

Es kann ggf. auch ein Stand-Alone-PC für die Prüfung von externen Datenträgern eingerichtet werden. Des Weiteren bestünde die Möglichkeit, den Datenträger über eine VM bzw. Sandbox zu prüfen.

Zugriffsschutz auf die Patientendaten

PC mit Passwörtern versehen
eigene Passwörter für jeden Mitarbeiter
regelmäßige Änderung der Passwörter
Bei Ausscheiden eines Mitarbeiters, den Zugriff auf das Benutzerkonto sperren

Softwarenutzung

regelmäßige Installation von Updates des Betriebssystems und Programme
Bei Datenübermittlung bei Updates ist zu prüfen, ob diese Übermittlung wirklich notwendig ist
ggf. Datenübermittlung unterbinden

Einsatz von E-Mail-Programmen

Empfehlung des BSI (Bundesamt für Sicherheit)
Einsatz eines Virenschutzprogramms zum Scannen von ein- und ausgehenden E-Mails
Spamfilter, um unerwünschte E-Mails auszusortieren
Phishingfilter, um gefälschte E-Mails von Betrügern nicht zu erhalten
Personal Firewall, um ein- und ausgehende Verbindungen zu filtern
ggf. eigenen PC für den Empfang von E-Mail einrichten

Des Weiteren ist die Sensibilisierung der Mitarbeiter unerlässlich.

Fernwartung durch Softwareanbieter

Vorherige Abstimmung seitens des Anbieters mit der Arztpraxis
Praxis erteilt dann die Freigabe für den Zugriff
Es muss die Möglichkeit bestehen, den Zugriff jederzeit zu unterbinden

Einrichtung Fernzugriff

Empfehlung einer Zwei Faktoren-Authentifizierung
Sichere Verbindung zwischen Endgerät und Praxis (VPN-Tunnel)

Technische Maßnahmen für die Hardware (allgemeine Empfehlung)

praxisinternes Netzwerk

Zugang zum Internet sollte über Router mit Firewall erfolgen
Alternative: Nutzung eines (Proxy) Servers
Stand-Alone-PC für den Zugriff zum PC als Alternative
Bei WLAN-Verbindung sollte das Netzwerk vom Praxisnetzwerk getrennt sein und über eine sichere Verschlüsselung (WPA2) verfügen

Entsorgung Praxisunterlagen

Unterlagenvernichtung richtet sich nach DIN 66399
Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen

Papiervernichtung nur mit entsprechenden Aktenschredder (das BayLDA beschreibt die Anforderung des Schredders in seinem 8. Tätigkeitsbericht)
bei Beauftragung eines Entsorgers ist ebenfalls dessen Zertifizierung zu prüfen
Bei Vernichtung von Patientenmodellen ist der Name abzunehmen oder unkenntlich zu machen

Entsorgung / Vernichtung technischer Hardware: Überprüfung, dass die Daten auf dem Träger nicht mehr zu lesen sind
Auch bei Rückgabe von geleasten Geräten sind die Daten auf den Speicher gelöscht sind

Aufstellung der Hardware

abschließbarer Serverraum oder Serverschrank
wenn dies nicht möglich, sollte die Hardware außerhalb des Sicht- und Zugangsbereichs für Patienten stehen
Verriegelung von USB-Eingängen, CD-Laufwerken

Selbstcheck für Arztpraxen

Die Initiative „Mit Sicherheit gut behandelt.“ behandelt unterschiedliche Themengebiete rund um die Praxisorganisation. In den einzelnen Themen stellen Sie verschiedene Fragen zum Selbstcheck zur Verfügung. Diese Fragen wurden seitens der Datenbeschützerin zusammengetragen und noch ergänzt.