Die Landeszahnärztekammer von Baden-Württemberg veröffentlichte im März 2019 eine Merkblatt zu den TOMs in Arztpraxen. Diese wird hier zusammenfassend wiedergegeben.
Die Initiative „Mit Sicherheit gut behandelt.“ stellt auf Ihrer Homepage in zu verschiedenen Themengebieten Fragen zum Selbstcheck zur Verfügung. Diese Fragen wurden seitens der Datenbeschützerin zu einer gesamtheitlichen Checkliste zusammengetragen und noch ergänzt.
Es handelt sich hierbei um eine Zusammenfassung seitens der Datenbeschützerin der relevanten Inhalte aus dem Papier. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren.
Inhaltsverzeichnis
Organisatorische Maßnahmen
Gestaltung des Empfangsbereich
- Bildschirme sollten so gestellt werden, dass keinen Einsichtnahme seitens der Patienten möglich ist
- Bei Abwesenheit der Empfangsmitarbeiter den Bildschirmschoner und Passwortsperre aktivieren
- ggf. eine Diskretionszone einrichten (wenn dies räumlich möglich ist)
- Verschluss bzw. Verdeckung der Dokumente im Empfangsbereich
- Vertrauliche Telefongespräche (z.B. Übermittlung von Diagnosen) in separaten Zimmern führen
Wartezimmergestaltung
- wenn möglich, abgetrennter / abgeschlossener Raum
- Beachtung durch Mitarbeiter, dass die Tür zum Wartezimmer stets verschlossen wird
- Vermeidung von offenen Wartebereichen unmittelbar zur Rezeption
Empfehlung der Datenbeschützerin
Sofern wegen Platzmangels kein eigenes Wartezimmer angeboten werden kann, empfiehlt es sich den Patienten möglichst nach Aufnahme in die freien Behandlungszimmer zu geleiten.
Behandlungszimmer
- sämtliche Dokumente (Karteikarten/Röntgenbildern auf den Monitoren) des vorhergehenden Patienten aufräumen oder unter Verschluss nehmen
- erst danach den nächsten Patienten in das Zimmer geleiten
- wenn möglich, sollte der Patient auch nicht alleine im Zimmer warten, damit ein unbefugtes „Herumschnüffeln“ vermieden wird
Allgemeine Kommunikation innerhalb der Praxis
- wenn möglich, keine Nennung von Patientennamen (persönlich als auch telefonisch), wenn Dritte mithören könnten
Anmerkung der Datenbeschützerin
Das BayLDA hat in seinem 8. Tätigkeitsbericht auch Stellung zum Aufrufen von Patientennamen genommen.
Technische Maßnahmen für Softwareanwendungen (allgemeine Empfehlungen)
Technische Sicherung der Daten
- wenn möglich, zentrale Verwaltung der Daten über einen Server
- Back-Up-Konzept (Wiederherstellung bei Datenverlust)
- Sicherungsintervall: tägliche, wöchentliche, monatliche auf verschiedenen Speichermedien (z.B. externe Festplatte)
- Verschlüsselung der externen Speichermedien
- regelmäßige Überprüfung der Wiederherstellung der Sicherungen
Annahme von fremden Datenträgern
- Vor dem Einlesen sollte ein Virenscan den Datenträger überprüfen
- Dieser Ablauf sollte mit den Mitarbeitern kommuniziert werden
- Die Benutzung von privat mitgebrachten Datenträgern sollte vermieden werden
Empfehlung der Datenbeschützerin
Es kann ggf. auch ein Stand-Alone-PC für die Prüfung von externen Datenträgern eingerichtet werden. Des Weiteren bestünde die Möglichkeit, den Datenträger über eine VM bzw. Sandbox zu prüfen.
Zugriffsschutz auf die Patientendaten
- PC mit Passwörtern versehen
- eigene Passwörter für jeden Mitarbeiter
- regelmäßige Änderung der Passwörter
- Bei Ausscheiden eines Mitarbeiters, den Zugriff auf das Benutzerkonto sperren
Softwarenutzung
- regelmäßige Installation von Updates des Betriebssystems und Programme
- Bei Datenübermittlung bei Updates ist zu prüfen, ob diese Übermittlung wirklich notwendig ist
- ggf. Datenübermittlung unterbinden
Einsatz von E-Mail-Programmen
- Empfehlung des BSI (Bundesamt für Sicherheit)
- Einsatz eines Virenschutzprogramms zum Scannen von ein- und ausgehenden E-Mails
- Spamfilter, um unerwünschte E-Mails auszusortieren
- Phishingfilter, um gefälschte E-Mails von Betrügern nicht zu erhalten
- Personal Firewall, um ein- und ausgehende Verbindungen zu filtern
- ggf. eigenen PC für den Empfang von E-Mail einrichten
Des Weiteren ist die Sensibilisierung der Mitarbeiter unerlässlich.
Fernwartung durch Softwareanbieter
- Vorherige Abstimmung seitens des Anbieters mit der Arztpraxis
- Praxis erteilt dann die Freigabe für den Zugriff
- Es muss die Möglichkeit bestehen, den Zugriff jederzeit zu unterbinden
Einrichtung Fernzugriff
- Empfehlung einer Zwei Faktoren-Authentifizierung
- Sichere Verbindung zwischen Endgerät und Praxis (VPN-Tunnel)
Technische Maßnahmen für die Hardware (allgemeine Empfehlung)
praxisinternes Netzwerk
- Zugang zum Internet sollte über Router mit Firewall erfolgen
- Alternative: Nutzung eines (Proxy) Servers
- Stand-Alone-PC für den Zugriff zum PC als Alternative
- Bei WLAN-Verbindung sollte das Netzwerk vom Praxisnetzwerk getrennt sein und über eine sichere Verschlüsselung (WPA2) verfügen
Entsorgung Praxisunterlagen
- Unterlagenvernichtung richtet sich nach DIN 66399
- Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen
- Papiervernichtung nur mit entsprechenden Aktenschredder (das BayLDA beschreibt die Anforderung des Schredders in seinem 8. Tätigkeitsbericht)
- bei Beauftragung eines Entsorgers ist ebenfalls dessen Zertifizierung zu prüfen
- Bei Vernichtung von Patientenmodellen ist der Name abzunehmen oder unkenntlich zu machen
- Entsorgung / Vernichtung technischer Hardware: Überprüfung, dass die Daten auf dem Träger nicht mehr zu lesen sind
- Auch bei Rückgabe von geleasten Geräten sind die Daten auf den Speicher gelöscht sind
Aufstellung der Hardware
- abschließbarer Serverraum oder Serverschrank
- wenn dies nicht möglich, sollte die Hardware außerhalb des Sicht- und Zugangsbereichs für Patienten stehen
- Verriegelung von USB-Eingängen, CD-Laufwerken
Selbstcheck für Arztpraxen
Die Initiative „Mit Sicherheit gut behandelt.“ behandelt unterschiedliche Themengebiete rund um die Praxisorganisation. In den einzelnen Themen stellen Sie verschiedene Fragen zum Selbstcheck zur Verfügung. Diese Fragen wurden seitens der Datenbeschützerin zusammengetragen und noch ergänzt.
Empfehlung der Datenbeschützerin
Das BayLDA hat in seinem 8. Tätigkeitsbericht auch über den Datenschutz in Arztpraxen berichtet.
Quelle
Landeszahnärztekammer Baden-Württemberg: https://lzk-bw.de/fileadmin/user_upload/user_upload/Merkblatt-Technisch-Organisatorische-Maßnahmen-zum-Datenschutz.pdf
„Mit Sicherheit gut behandelt“ ist eine Initiative von dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz sowie der Kassenärztliche Vereinigung Rheinland-Pfalz: https://www.mit-sicherheit-gut-behandelt.de/praxisorganisation.html