Vertrauen-gewinnen-dank-sicherer-patientendaten

IT-Grundschutz: Vertrauen gewinnen dank sicheren Patientendaten

Daniel Huser
Daniel Huser

Patientendaten sind ein lukratives Ziel für Cyberangriffe. Wie Sie als Ärztin oder Arzt datenbezogene Verantwortlichkeiten und Prozesse regeln, hat grossen Einfluss auf die Verwundbarkeit Ihrer Praxis. Mit unseren Tipps sorgen Sie für mehr Sicherheit und stärken das Vertrauensband zu Ihren Patienten.

Ärztinnen und Ärzte gehören zu den Berufsgruppen, die am meisten Vertrauen geniessen in der Bevölkerung.

 

Psychologen der Universität Basel konnten sogar zeigen, dass dieses Vertrauen einen positiven Einfluss auf Zufriedenheit, Gesundheitsverhalten, Lebensqualität und subjektiv wahrgenommene Beschwerden der Behandelten hat. Im Zuge der Digitalisierung befinden sich die Patientendaten nicht mehr direkt in der Schublabe beim vertrauenswürdigen Arzt oder bei der vertrauenswürdigen Ärztin, sondern digital auf den Praxissystemen. Die hochsensiblen, medizinisch personenbezogenen Daten sind aber ein lukratives Ziel für Cyberangriffe und besonders schützenswert.

 

Wir zeigen Ihnen die wichtigsten organisatorischen Massnahmen auf, um diese Daten adäquat zu schützen und das Vertrauen in Sie und Ihre Praxis auch im digitalen Zeitalter zu sichern.

 

Mit dem neuen Datenschutzgesetz sind seit dem 1. September 2023 neue gesetzliche Verpflichtungen in Kraft getreten, die einige Anpassungen oder Erweiterungen der bisherigen Richtlinien und Datenbearbeitungsprozesse erfordern. Unverändert ist die Geschäftsleitung (die Praxisinhaberin oder der Praxisinhaber) hauptverantwortlich für die Datensicherheit, den Datenschutz und für die zur Verfügung stehenden Informations- und Kommunikationstechnologien (ICT). Es empfiehlt sich aber insbesondere unter den neuen, erhöhten Sicherheitsanforderungen, in der Praxisorganisation zwei Rollen klar zu regeln: Jene des oder der Datenschutz- und Datensicherheitsverantwortlichen (DSDS-V) und jene des oder der ICT-Betriebsverantwortlichen.

Klären Sie diese zwei Rollen in Ihrer Praxisorganisation

Datenschutz- und Datensicherheitsverantwortliche/r (DSDS-V)

Die Datenschutz- und Datensicherheitsverantwortliche erlässt die Sicherheitsvorgaben und überwacht danach deren Umsetzung und Einhaltung. Sie regelt, wer auf welche Daten und Ressourcen zugreifen darf und verwaltet die dazugehörigen Berechtigungen.

ICT-Betriebsverantwortliche/r

Die ICT-Betriebsverantwortliche verantwortet im Unternehmen den Aufbau, den Betrieb sowie den Unterhalt der ICT-Umgebung. Sie ist zuständig für die Implementierung der Anforderungen an den Datenschutz und die Datensicherheit auf technischer Ebene.

Sind diese Aufgaben nicht klar delegiert, fungiert der oder die Praxisinhaber/in als DSDS-V und ICT-Betriebsverantwortliche/r.

Um Interessenkonflikte zu vermeiden, sollte die Position der datenschutzverantwortlichen Person idealerweise nicht von der IT- oder HR-Leitung übernommen werden, da sie in dieser Doppelrolle über ihre eigenen Entscheidungen überprüfen müsste. Diese Festlegung der Verantwortlichkeiten bezweckt, dass Datenschutz und -sicherheit intern Thema sind, aber auch gleichzeitig eine Ansprechperson für Herausforderungen und Fragen zur Verfügung steht. Mit der oder dem ausgewählten Datenschutzverantwortlichen wird eine schriftliche Vereinbarung über diese Tätigkeit abgeschlossen.

Mustervereinbarung herunterladen

Vertraulich oder geheim: Klassifizieren Sie Ihre Daten

Die Gründe für den Schutz von Daten können unterschiedlich sein. Personendaten sind beispielsweise aufgrund gesetzlicher Vorgaben vertraulich zu behandeln. Ziel einer Datenklassifizierung ist es, den Schutzbedarf vorhandener Daten festzulegen und zu kategorisieren. Die verschiedenen Kategorien legen dabei fest, wie schützenwert bestimmte Informationen sind und wie mit ihnen umzugehen ist. Dem sollte auch bei der Datenspeicherung Rechnung getragen werden.

Die vier Informationsklassen

 

ÖFFENTLICH
Als öffentlich eingestufte Daten und Informationen sind entweder veröffentlicht oder für die Veröffentlichung bestimmt. Zum Beispiel öffentliche Geschäftsberichte, Werbematerial oder Inhalte einer externen Webseite.

INTERN
Diese Daten und Informationen sind zwar intern und nicht für die Veröffentlichung vorgesehen, doch eine Veröffentlichung hätte keine oder nur sehr geringe negative Folgen. Zum Beispiel Korrespondenzen mit Lieferanten, aber auch Konzepte und diverse weitere Dokumente.

VERTRAULICH
Die Veröffentlichung von Informationen der Datenklasse Vertraulich zieht rechtliche, finanzielle oder reputationsbedingte Folgen mit sich. Eine ungewollte Veröffentlichung muss deshalb verhindert werden. Zum Beispiel Kunden- und Mitarbeiterinformationen, interne Finanzzahlen oder Lohninformationen.

GEHEIM
Geheime Daten und Informationen sind besonders schützenswert. Wenn sie in unbefugte Hände gelangen, könnte das weitreichende Konsequenzen zur Folge haben. Zum Beispiel Gesundheits- und Patientendaten.

Der Schutz von Informationen kann zeitlich unbegrenzt oder begrenzt sein, oder sich auf Dauer verändern – beispielsweise, wenn eine vertrauliche Information veröffentlicht wird. Die periodische Überprüfung der Informationsklasse und deren eventuelle Anpassung obliegt einzig dem DSDS-V oder dem Praxisinhaber.

Die entsprechende Klasse (GEHEIM oder VERTRAULICH) ist auf Dokumenten auf jeder Seite, gut sichtbar anzubringen. Auf anderen Informationsträgern ist der Vermerk so anzubringen, dass er nicht übersehen wird. Nicht klassifizierte Dokumente haben automatisch den Status INTERN. Die Auflage geheimer Dokumente ist auf ein Minimum zu begrenzen.

Korrekte Entsorgung von sensitiven Informationen

Bei GEHEIMEN und VERTRAULICHEN Informationen ist sicherzustellen, dass eine Entsorgungsart gewählt wird, die eine Wiederherstellung nachhaltig verunmöglichen. Diese Angaben gelten sinngemäss auch für Geräte, die repariert werden müssen. Die Daten sind vor der Reparatur zu löschen, falls dies noch möglich ist. Ansonsten muss die Festplatte ausgebaut oder gar das ganze Gerät zerstört werden. Von einem Verkauf der nicht mehr benötigten IT-Mittel mit ehemalig sensitiven Daten raten wir aus Sicherheitsgründen ab.
Merkblatt «Entsorgung vo Informationen» herunterladen

Das IT-Inventar ist Ihre Orientierungshilfe in der IT-Landschaft

Die Basis für Ihre Praxisorganisation in Sachen IT bildet die IT-Inventarliste. Denn, es können nur Systeme geschützt werden, die in der Praxis bekannt sind. Mit der IT-Inventarliste erhalten Sie eine gute Übersicht über alle Systeme: von Computern, Datenträgern bis hin zu Labor- und medizinischen Geräten, wie auch über Betriebssysteme und Zugriffsrechte. Ebenso wichtig ist eine Prozessdefinition. Fehlende Verantwortlichkeiten, ferien- oder krankheitsbedingte Absenzen führen schnell dazu, dass das Bild der IT-Landschaft unvollständig wird oder veraltet.

Vorlage IT-Inventar herunterladen

Wir haben bereits drei Blog-Artikel zum IT-Grundschutz veröffentlicht. Im ersten geht es ums Thema Backup, im zweiten um den Netzwerkschutz und im dritten um den Zugriffschutz. Die Artikel helfen Ihnen, Ihre IT-Inventarliste zu erstellen und à jour zu halten.

Denken Sie auch an die physische Sicherheit Ihrer Praxis

 

Das Thema Datensicherheit wird oft auf die digitale Sphäre eingeengt. Eine ganzheitliche Sichtweise bezieht jedoch auch die Gestaltung der Räumlichkeiten mit ein, die eine wesentliche Grundvoraussetzung für den sicheren Betrieb einer Praxis ist. Räumlichkeiten sind so einzurichten, dass eintretende Personen sofort bemerkt werden. Physische Daten sind entweder wegzuschliessen oder zu vernichten, und Bildschirme sollten so positioniert sein, dass nur berechtigte Personen diese einsehen können. Server, Netzwerkkomponenten, Speicher und externe Festplatten müssen, soweit möglich, in einem Raum betrieben und aufbewahrt werden, der für Dritte nicht zugänglich ist. Dieser Raum muss ebenfalls abgeschlossen sein. Falls kein separater Raum vorhanden ist, sollten diese Komponenten in einem dafür konzipierten, abschliessbaren Schrank betrieben werden.

Prozesse dienen präventiv

 

Indem Sie Verantwortlichkeiten, Prozesse und Massnahmen definieren, sind Sie bei einer kritischen Anfrage oder bei einem Notfall schnell reaktionsbereit und haben einen geringeren Daten- oder Reputationsverlust. Sich aktiv um die Sicherheit der Daten zu kümmern, ist also eine präventive Arbeit, die sich auszahlt. Mit der Umsetzung unserer Empfehlungen und der Minimalanforderungen der FMH zum IT-Grundschutz können Sie für sich und Ihre Mitarbeitenden ein Klima des Vertrauens und der Ruhe schaffen. Und geben Ihren Patientinnen und Patienten die Gewissheit, dass ihre Daten bei Ihnen in sicheren Händen sind.

Weiterführende Dokumente

Health Info Net AG: Mustervereinbarung Datenschutzverantwortlicher
Health Info Net AG: Merkblatt Entsorgung von Informationen
Health Info Net AG: Vorlage IT-Inventar
Daniel Huser
Autor: Daniel Huser - Mitglied der erweiterten Geschäftsleitung, Bereichsleiter Projektmanagement & IT-Architektur

Als Experte für innovative Lösungen und Projekte berichte ich über neue Produkte, Services aber auch Anschlüsse an neue Anwendungen von Drittanbietern. Auch den einen oder anderen Sneak Peek vor Lancierungen kann ich Ihnen gewähren. Tauchen Sie mit mir in die einzigartige Welt des Engineerings ein und lernen Sie, wie Lösungen vor Problemen entstehen können.

 

Expertise
Im Bereich Business Engineering und Projektmanagement für das Gesundheitswesen bin ich zuhause. Mehrere Jahre im technischen Support und Solution Engineering brachten mich schliesslich zum Projektmanagement, wo ich unter anderem bis heute tätig bin. Probleme zu lösen, bevor sie entstehen, gehört zu meinen obersten Zielen. Sei es mit neuen Funktionen, Updates oder der Entwicklung von Ideen für völlig neue Services. Seit 2015 bin ich in dieser Funktion unterwegs für HIN.

Redaktionelle Inhalte
Als Experte für innovative Lösungen und Projekte berichte ich über neue Produkte, Services aber auch Anschlüsse an neue Anwendungen von Drittanbietern. Auch den einen oder anderen Sneak Peek vor Lancierungen kann ich Ihnen gewähren. Tauchen Sie mit mir in die einzigartige Welt des Engineerings ein und lernen Sie, wie Lösungen vor Problemen entstehen können.

Ganz persönlich
Meine Familie bedeutet mir alles, Zeit mit ihr ist mir absolut wichtig. Sei es beim gemeinsamen Reisen oder einfach nur an einem gemütlichen Tag zuhause.

 

Weitere Artikel von Weitere Artikel von Daniel Huser