Service Hotline

Wir freuen uns auf Ihren Anruf unter
05772 911 610

oder Ihre E-Mail an
beratung@meyer-wagenfeld.de

Digitalisierung in der Arztpraxis - Teil 4 – Sicherheit & Datenschutz

Ich muss zugeben, ich bin manchmal zu flott, wenn es darum geht, Datenschutz-Hinweise wegzuklicken, Cookies zu akzeptieren und meine E-Mail-Adresse preiszugeben. Bislang ist immer alles gut gegangen – Glück gehabt!

Eine viel größere Sorgfalt müssen Sie jedoch an den Tag legen, wenn es um die Daten Ihrer Patienten1 geht. Deshalb ist das Thema Datenschutz ein sehr wichtiger Teil unseres großen Blogs Digitalisierung in den Arztpraxen.

Wir wollen heute kurz beleuchten, worauf Sie in puncto Datenschutz achten müssen, wenn Sie sich für eine Praxishomepage, ein Praxis Tablet oder eine Praxis App entscheiden. Außerdem sprechen wir darüber, wie sicher die digitalen Helfer wirklich sind.

Eines kurz vorweg:

Grundsätzlich sind Sie als Praxisinhaber1 selbst für die Sicherheit Ihrer Patientendaten verantwortlich. Sie sollten daher großen Wert auf eine sichere IT-Infrastruktur in Ihrer Praxis legen. Am besten lassen Sie Ihre Praxis-IT durch einen fachkompetenten IT-Spezialisten1 organisieren und anlegen. 

 

Telematikinfrastruktur – so sicher wie ihr Ruf?

Für die Übermittlung von Patientendaten innerhalb der Telematikinfrastruktur gilt in Deutschland die höchste Sicherheitsstufe. Sie liegt noch oberhalb der Sicherheitsstufe von Online-Banking.

Das Bundesamt für Informationssicherheit (BSI) hat eine Auswahl an externen Gutachtern1 und Prüfern1 zusammengestellt, die sämtliche Komponenten und Produkte der Telematikinfrastruktur unter die Lupe genommen und getestet haben.  

Alle verwendeten Verfahren unterliegen auch langfristig einer regelmäßigen Überprüfung durch das BSI.

Eine zusätzliche Sicherheit gibt eine Kombination aus Passwörtern, Zugangscodes und elektronischem Heilberufsausweis / Institutionsausweis. Erst mit diesen Sicherheits-Komponenten können Sie sich den Zugang zur Telematikinfrastruktur freischalten und die eAU, ePA sowie das e-Rezept nutzen.

Die Telematikinfrastruktur kann somit als sicher eingestuft werden.

Es gibt im Übrigen ein Muster-Installationsprotokoll der gematik. Dieses hilft Ihrem IT-Dienstleister1, alle Vorgaben an die Datensicherheit bei der Installation der Telematikinfrastruktur zu erfüllen.

 

Wie sicher ist das Praxis Tablet?

Das Praxis Tablet bringt durch die digitale Anamnese und Behandlungseinwilligung einen echten Mehrwert für Ihre Praxis.

Leider stehen viele Ärzte1 und Patienten1 diesem System immer noch sehr skeptisch gegenüber. Die Angst vor unbefugten Zugriff auf die Daten oder dem Missbrauch der digitalisierten Unterschrift ist weit verbreitet. Dabei ist diese Sorge unbegründet. Eine veraltete Praxissoftware könnte durch einen Hacker-Angriff viel leichter „geknackt“ werden als ein modernes Praxis Tablet mit einer installierten Firewall und einer sich stets aktualisierenden Antiviren-Software.

Ist die elektronische Signatur fälschungssicher?

Die elektronische Signatur, die der Patient1 auf dem Tablet hinterlässt, ist mittlerweile genauso sicher wie eine handschriftliche Unterschrift auf einem Papier-Schriftstück. Sie hat auch rechtlich gesehen den gleichen Stellwert.

Wenn der Patient1 z. B. einen Behandlungsvertrag auf dem Praxis Tablet unterschreibt, werden Schreibdruck, -geschwindigkeit und -beschleunigung vom Gerät erfasst. Diese biometrischen Daten machen eine Unterschrift unverwechselbar.

Die elektronische Signatur wird in das Dokument eingebettet, als PDF abgespeichert und ist anschließend nicht mehr veränderbar.

In manchen Systemen wird das PDF zudem mit einem Zeitstempel versehen. Somit kann genau dokumentiert werden, wann die Unterschrift geleistet wurde.

Für besonders sensible Daten kann außerdem noch Ihre Signaturkarte (z. B. Heilberufsausweis) ins System eingelesen werden. Sie bestätigen damit, dass der Patient1 in Ihrer Anwesenheit unterschrieben hat. Anschließend erfolgt die Ablage im digitalen Archiv.

 

Praxis App

Es gibt viele verschiedene Praxis Apps auf dem Markt; ihre technischen Möglichkeiten sind vielfältig. Eines haben sie alle gemeinsam: Es werden sehr sensible Patientendaten verwendet, z. B. für persönliche Nachrichten, Therapieerinnerungen oder individuelle Patienten-Tagebücher. Einige Apps arbeiten mit einer Video- und Chat-Funktion.

Deshalb ist der Datenschutz bei einer Praxis App besonders wichtig.

Die Hersteller setzen hierbei auf die Anonymisierung der Patientendaten.

Ich habe mir die Praxis App des Berufsverbandes für Kinder- und Jugendärzte einmal genauer angeschaut.

Der BVKJ hat ein dreiteiliges Sicherheitssystem ausgetüftelt, dass anscheinend gut funktioniert:

So ist es aufgebaut:

Teil 1: Medizinische Daten

  • Die medizinischen Daten lassen keinerlei Rückschlüsse auf den Patienten1 zu.
  • Sie werden separat in einer eigenen Datenbank gespeichert
  • Außerdem werden sie mit einem Referenz-Code versehen, damit Sie später dem Patienten1 wieder zuzuordnen sind.

 

Teil 2: Personenbezogene Daten

  • Die Patientendaten werden automatisch verschlüsselt und in einer eigenen separaten Datenbank gespeichert.

 

Teil 3: Dateianhänge

  • Dateianhänge können medizinische und personenbezogene Daten enthalten.
  • Deshalb werden sie automatisch lokal verschlüsselt.
  • Auch die Dateianhänge werden in einer separaten Datenbank gespeichert.

Die Zusammenführung und Entschlüsselung aller Datensätze erfolgt mit einem speziellen Verschlüsselungsverfahren (2-Schlüssel-Verfahren), dem sogenannten Data-Split®-Verfahren.

Data-Split® wurde vom Landesamt für Datenschutz in Bayern als sicheres Verfahren bewertet und bereits zum Patent angemeldet.

 

Das müssen Sie bei einer Homepage in puncto Datenschutz beachten:

Die SSL-Verschlüsselung

Mit einer SSL-Verschlüsselung ist Ihre Homepage vor unzulässigen Zugriffen geschützt.

So geht´s:

Sie können bei Ihrem Hoster ein sogenanntes SSL-Zertifikat erwerben. Es handelt sich hierbei um einen digitalen kryptografischen Schlüssel, der sich mit Ihrer Homepage verbindet.

Mit einer SSL-Verschlüsselung können nur der Homepagebetreiber1 und der Homepagebesucher1 die Daten auf der Homepage entschlüsselt lesen. Auf dem Weg von Ihrem Server bis zum Browser Ihres Patienten1 sind die Daten verschlüsselt und somit geschützt.

Agenturen, die Ihre Homepage erstellen, kümmern sich in der Regel automatisch darum, dass Ihre Domain mit einem SSL-Zertifikat geschützt ist.

Wie erkenne ich, ob meine Homepage SSL-verschlüsselt ist?

Achten Sie auf das Symbol eines geschlossenen Vorhängeschlosses am Anfang der Browserzeile, also direkt vor Ihrer www-Adresse. 

Ein zweites Indiz ist das Kürzel „https://“ vor Ihrem Domainnamen, z. B. htpps://www.meyer-wagenfeld.de. Dieser steht für Hypertext Transfer Protocol Secure und zeigt an, dass Ihre Homepage vor unzulässigen Zugriffen geschützt ist. 

Brauche ich auf meiner Homepage einen Cookie-Hinweis?

Cookies werden auf vielen Homepages verwendet. Sie sind dazu da, Ihre Daten und Einstellungen, die Sie beim Besuch der Homepage machen, zu speichern. Wenn Sie das nächste Mal auf diese Homepage gehen, werden Ihre gespeicherten Daten abgerufen und für gewisse Voreinstellungen genutzt.

Das ist manchmal ganz praktisch:

Zum Beispiel beim Online-Shopping, wenn Sie Waren in Ihren Einkaufskorb legen und diese dort zwischengespeichert werden sollen oder wenn Sie bei Google-Maps eine Route planen.

Solange der Homepage-Betreiber1 in seinen Datenschutzerklärungen darauf hinweist, dass er diese Dienste nutzt, muss er keinen Cookie-Hinweis auf die Seite stellen.

Erst wenn die Besucherzahlen einer Website mit sogenannten Tracking-Tools (z. B. mit Google Analytics oder Facebook Pixel) auswertet werden sollen, darf ein Cookie-Hinweis auf der Startseite nicht fehlen. Dieser muss „aufploppen“, BEVOR die ersten Daten erhoben werden.

Datenschutzerklärung gemäß DSGVO

Jede Homepage muss mit einer DSGVO-konformen Datenschutzerklärung versehen sein. Agenturen, die sich auf die Betreuung von Arztpraxen spezialisiert haben, wissen genau, welche Inhalte die Datenschutzerklärung Ihrer Praxis enthalten muss.

 

Online-Terminvergabe

Wenn Sie sich für eine Online-Terminvereinbarung entscheiden, sollten Sie bei der Wahl des Anbieters1 darauf achten, dass dieser folgende Datenschutz-Standards einhält:

  • Alle Daten werden über gesicherte https-Protokolle übertragen.
  • Der Anbieter1 sollte die Kundendaten nachweislich auf einem europäischen Server speichern und regelmäßig sichern.
  • Die Daten sollten umgehend gelöscht werden, wenn sie nicht mehr benötigt werden.
  • Der Anbieter1 sollte regelmäßige Sicherheits-Audits nachweisen können.
  • Beim Buchungsprozess sollte vom Patienten1 die Zustimmung zur Weitergabe seiner Daten eingeholt werden. Anderenfalls müssen Sie (der Arzt1) zuvor einen Auftragsverarbeitungs-Vertrag (AVV) mit dem Patienten1 abschließen.

 

Videosprechstunde

Damit Ihre Videosprechstunde den vorgegebenen Richtlinien entspricht, müssen Sie einige Dinge beachten. Auch die KBV hat einige Voraussetzungen formuliert, die bei der Videosprechstunde einzuhalten sind.

(Quelle: www.netdoktor.de)

Hier eine Zusammenfassung:

  • Schaffen Sie ein vertrauliches Umfeld, in dem Sie unter keinen Umständen von Dritten gestört werden.
  • Zeichnen Sie die Videosprechstunde nicht auf!
  • Vermeiden Sie alles, was vom Patienten1 als Werbung interpretiert werden könnte.
  • Ihr Videodienstanbieter1 muss eine End-zu-End-Verschlüsselung gewährleisten. Zertifizierte Anbieter1 finden Sie im Netz.
  • Holen Sie sich die Zustimmung Ihres Patienten1 ein, dass Sie im Anschluss an das Gespräch einen Kurzarztbrief per E-Mail versenden dürfen. Beachten Sie die Hinweise Ihrer Ärztekammer, ob die Versendung in verschlüsselter Form zu erfolgen hat. Wie das geht, kann Ihnen Ihr IT-Berater1 genau erklären.
  • Ihre Patienten1 müssen sich ohne Account anmelden können.
  • Die Videosprechstunde muss über eine Peer-to-Peer-Verbindung, ohne Nutzung eines zentralen Servers erfolgen. Ihr IT-Anbieter1 weiß, was hierbei zu beachten ist.
  • Der Anbieter1 darf keinen Zugriff auf die Inhalte der Gespräche haben.
  • Suchen Sie sich einen Videodienstanbieter1, der nur Server in der EU nutzt.
  • Alle Metadaten müssen nach spätestens drei Monaten vom Server gelöscht werden. Die Weitergabe der Daten ist untersagt.
  • Die Nutzungsbedingungen müssen vollständig in deutscher Sprache und auch ohne vorherige Anmeldung online abrufbar sein.

 

Geschafft!

Das war ein schwerer Brocken, aber Sie und ich haben es geschafft!  Mein Tipp, wenn Sie die Digitalisierung nun auch in Ihrer Praxis angehen möchten: Starten Sie mit dem Thema, das Ihnen am meisten zusagt und suchen Sie sich einen kompetenten Partner1, der Sie bei der Umsetzung unterstützt. In puncto Homepage-Gestaltung können wir Ihnen sehr gerne weiterhelfen.

Ich verspreche: das nächste Thema ist wieder etwas „fürs Herz“ und komplett auf den Praxisalltag der medizinischen Fachangestellten ausgerichtet.

Bis dahin bleiben Sie gesund

Ihre 

Anja Schneckener

1 Um den Lesefluss nicht zu beeinträchtigen, habe ich in meinem Text zwar nur die männliche Form genannt, stets aber die weibliche und andere Formen gleichermaßen gemeint. Sollten Sie sich in meiner Formulierung nicht wiederfinden, so lassen Sie es mich gerne wissen. Sehr gerne bin ich bereit, mich textlich Ihren Wünschen anzupassen.

Anja Schneckener

nein

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein.

Die mit einem * markierten Felder sind Pflichtfelder.

chatImage
Meyer-Wagenfeld
Kundenservice
Kundenservice
Hallo, wie können wir Ihnen helfen?
Welcome at our shop! Outside our opening hours it might take a little bit longer until we answer yourinquiry.
whatspp icon whatspp icon