Klären Sie diese zwei Rollen in Ihrer Praxisorganisation
Mit dem neuen Datenschutzgesetz sind seit dem 1. September 2023 neue gesetzliche Verpflichtungen in Kraft getreten, die einige Anpassungen oder Erweiterungen der bisherigen Richtlinien und Datenbearbeitungsprozesse erfordern. Unverändert ist die Geschäftsleitung (die Praxisinhaberin oder der Praxisinhaber) hauptverantwortlich für die Datensicherheit, den Datenschutz und für die zur Verfügung stehenden Informations- und Kommunikationstechnologien (ICT). Es empfiehlt sich aber insbesondere unter den neuen, erhöhten Sicherheitsanforderungen, in der Praxisorganisation zwei Rollen klar zu regeln: Jene des oder der Datenschutz- und Datensicherheitsverantwortlichen (DSDS-V) und jene des oder der ICT-Betriebsverantwortlichen.Die Datenschutz- und Datensicherheitsverantwortliche erlässt die Sicherheitsvorgaben und überwacht danach deren Umsetzung und Einhaltung. Sie regelt, wer auf welche Daten und Ressourcen zugreifen darf und verwaltet die dazugehörigen Berechtigungen.
ICT-Betriebsverantwortliche/r
Die ICT-Betriebsverantwortliche verantwortet im Unternehmen den Aufbau, den Betrieb sowie den Unterhalt der ICT-Umgebung. Sie ist zuständig für die Implementierung der Anforderungen an den Datenschutz und die Datensicherheit auf technischer Ebene.
Sind diese Aufgaben nicht klar delegiert, fungiert der oder die Praxisinhaber/in als DSDS-V und ICT-Betriebsverantwortliche/r.
Vertraulich oder geheim: Klassifizieren Sie Ihre Daten
Die Gründe für den Schutz von Daten können unterschiedlich sein. Personendaten sind beispielsweise aufgrund gesetzlicher Vorgaben vertraulich zu behandeln. Ziel einer Datenklassifizierung ist es, den Schutzbedarf vorhandener Daten festzulegen und zu kategorisieren. Die verschiedenen Kategorien legen dabei fest, wie schützenwert bestimmte Informationen sind und wie mit ihnen umzugehen ist. Dem sollte auch bei der Datenspeicherung Rechnung getragen werden.Die vier Informationsklassen
ÖFFENTLICH
Als öffentlich eingestufte Daten und Informationen sind entweder veröffentlicht oder für die Veröffentlichung bestimmt. Zum Beispiel öffentliche Geschäftsberichte, Werbematerial oder Inhalte einer externen Webseite.
INTERN
Diese Daten und Informationen sind zwar intern und nicht für die Veröffentlichung vorgesehen, doch eine Veröffentlichung hätte keine oder nur sehr geringe negative Folgen. Zum Beispiel Korrespondenzen mit Lieferanten, aber auch Konzepte und diverse weitere Dokumente.
VERTRAULICH
Die Veröffentlichung von Informationen der Datenklasse Vertraulich zieht rechtliche, finanzielle oder reputationsbedingte Folgen mit sich. Eine ungewollte Veröffentlichung muss deshalb verhindert werden. Zum Beispiel Kunden- und Mitarbeiterinformationen, interne Finanzzahlen oder Lohninformationen.
GEHEIM
Geheime Daten und Informationen sind besonders schützenswert. Wenn sie in unbefugte Hände gelangen, könnte das weitreichende Konsequenzen zur Folge haben. Zum Beispiel Gesundheits- und Patientendaten.
Korrekte Entsorgung von sensitiven Informationen
Bei GEHEIMEN und VERTRAULICHEN Informationen ist sicherzustellen, dass eine Entsorgungsart gewählt wird, die eine Wiederherstellung nachhaltig verunmöglichen. Diese Angaben gelten sinngemäss auch für Geräte, die repariert werden müssen. Die Daten sind vor der Reparatur zu löschen, falls dies noch möglich ist. Ansonsten muss die Festplatte ausgebaut oder gar das ganze Gerät zerstört werden. Von einem Verkauf der nicht mehr benötigten IT-Mittel mit ehemalig sensitiven Daten raten wir aus Sicherheitsgründen ab.Wir stellen Ihnen hierzu unser Merkblatt «Entsorgung von Informationen» zum Download zur Verfügung.Die IT-Inventar-Liste ist Ihre Orientierungshilfe in der IT-Landschaft
Die Basis für Ihre Praxisorganisation in Sachen IT bildet die IT-Inventarliste. Denn, es können nur Systeme geschützt werden, die in der Praxis bekannt sind. Mit der IT-Inventarliste erhalten Sie eine gute Übersicht über alle Systeme: von Computern, Datenträgern bis hin zu Labor- und medizinischen Geräten, wie auch über Betriebssysteme und Zugriffsrechte. Ebenso wichtig ist eine Prozessdefinition. Fehlende Verantwortlichkeiten, ferien- oder krankheitsbedingte Absenzen führen schnell dazu, dass das Bild der IT-Landschaft unvollständig wird oder veraltet.Laden Sie unsere Vorlage für eine IT-Inventarliste herunter.
Denken Sie auch an die physische Sicherheit Ihrer Praxis
Das Thema Datensicherheit wird oft auf die digitale Sphäre eingeengt. Eine ganzheitliche Sichtweise bezieht jedoch auch die Gestaltung der Räumlichkeiten mit ein, die eine wesentliche Grundvoraussetzung für den sicheren Betrieb einer Praxis ist. Räumlichkeiten sind so einzurichten, dass eintretende Personen sofort bemerkt werden. Physische Daten sind entweder wegzuschliessen oder zu vernichten, und Bildschirme sollten so positioniert sein, dass nur berechtigte Personen diese einsehen können. Server, Netzwerkkomponenten, Speicher und externe Festplatten müssen, soweit möglich, in einem Raum betrieben und aufbewahrt werden, der für Dritte nicht zugänglich ist. Dieser Raum muss ebenfalls abgeschlossen sein. Falls kein separater Raum vorhanden ist, sollten diese Komponenten in einem dafür konzipierten, abschliessbaren Schrank betrieben werden.Prozesse dienen präventiv
Indem Sie Verantwortlichkeiten, Prozesse und Massnahmen definieren, sind Sie bei einer kritischen Anfrage oder bei einem Notfall schnell reaktionsbereit und haben einen geringeren Daten- oder Reputationsverlust. Sich aktiv um die Sicherheit der Daten zu kümmern, ist also eine präventive Arbeit, die sich auszahlt. Mit der Umsetzung unserer Empfehlungen und der Minimalanforderungen der FMH zum IT-Grundschutz können Sie für sich und Ihre Mitarbeitenden ein Klima des Vertrauens und der Ruhe schaffen. Und geben Ihren Patientinnen und Patienten die Gewissheit, dass ihre Daten bei Ihnen in sicheren Händen sind.Health Info Net AG: Mustervereinbarung Datenschutzverantwortlicher
Health Info Net AG: Merkblatt Entsorgung von Informationen
Health Info Net AG: Vorlage IT-Inventar
Autor: Daniel Huser - Mitglied der erweiterten Geschäftsleitung, Bereichsleiter Projektmanagement & IT-Architektur
Als Experte für innovative Lösungen und Projekte berichte ich über neue Produkte, Services aber auch Anschlüsse an neue Anwendungen von Drittanbietern. Auch den einen oder anderen Sneak Peek vor Lancierungen kann ich Ihnen gewähren. Tauchen Sie mit mir in die einzigartige Welt des Engineerings ein und lernen Sie, wie Lösungen vor Problemen entstehen können.