Digitalisierung in der Arztpraxis - Teil 4

Ich muss zugeben, ich bin manchmal zu flott, wenn es darum geht, Datenschutz-Hinweise wegzuklicken, Cookies zu akzeptieren und meine E-Mail-Adresse preiszugeben. Bislang ist immer alles gut gegangen – Glück gehabt! 

Eine viel größere Sorgfalt müssen Sie jedoch an den Tag legen, wenn es um die Daten Ihrer Patienten¹ geht. Deshalb ist das Thema Datenschutz ein sehr wichtiger Teil unseres großen Blogs Digitalisierung in den Arztpraxen. 

Wir wollen heute kurz beleuchten, worauf Sie in puncto Datenschutz achten müssen, wenn Sie sich für eine Praxishomepage, ein Praxis Tablet oder eine Praxis App entscheiden. Außerdem sprechen wir darüber, wie sicher die digitalen Helfer wirklich sind.

Eines kurz vorweg 

Grundsätzlich sind Sie als Praxisinhaber¹ selbst für die Sicherheit Ihrer Patientendaten verantwortlich. Sie sollten daher großen Wert auf eine sichere IT-Infrastruktur in Ihrer Praxis legen. Am besten lassen Sie Ihre Praxis-IT durch einen fachkompetenten IT-Spezialisten¹ organisieren und anlegen.

Telematikinfrastruktur – so sicher wie ihr Ruf? 

Für die Übermittlung von Patientendaten innerhalb der Telematikinfrastruktur gilt in Deutschland die höchste Sicherheitsstufe. Sie liegt noch oberhalb der Sicherheitsstufe von Online-Banking. 

Das Bundesamt für Informationssicherheit (BSI) hat eine Auswahl an externen Gutachtern¹ und Prüfern¹ zusammengestellt, die sämtliche Komponenten und Produkte der Telematikinfrastruktur unter die Lupe genommen und getestet haben. 

Alle verwendeten Verfahren unterliegen auch langfristig einer regelmäßigen Überprüfung durch das BSI. 

Eine zusätzliche Sicherheit gibt eine Kombination aus Passwörtern, Zugangscodes und elektronischem Heilberufsausweis / Institutionsausweis. Erst mit diesen Sicherheits-Komponenten können Sie sich den Zugang zur Telematikinfrastruktur freischalten und die eAU, ePA sowie das e-Rezept nutzen. 

Die Telematikinfrastruktur kann somit als sicher eingestuft werden. 

Es gibt im Übrigen ein Muster-Installationsprotokoll der gematik. Dieses hilft Ihrem IT-Dienstleister¹, alle Vorgaben an die Datensicherheit bei der Installation der Telematikinfrastruktur zu erfüllen. 

Wie sicher ist das Praxis Tablet? 

Das Praxis Tablet bringt durch die digitale Anamnese und Behandlungseinwilligung einen echten Mehrwert für Ihre Praxis. 

Leider stehen viele Ärzte¹ und Patienten¹ diesem System immer noch sehr skeptisch gegenüber. Die Angst vor unbefugten Zugriff auf die Daten oder dem Missbrauch der digitalisierten Unterschrift ist weit verbreitet. Dabei ist diese Sorge unbegründet. Eine veraltete Praxissoftware könnte durch einen Hacker-Angriff viel leichter „geknackt“ werden als ein modernes Praxis Tablet mit einer installierten Firewall und einer sich stets aktualisierenden Antiviren-Software. 

Ist die elektronische Signatur fälschungssicher? 

Die elektronische Signatur, die der Patient¹ auf dem Tablet hinterlässt, ist mittlerweile genauso sicher wie eine handschriftliche Unterschrift auf einem Papier-Schriftstück. Sie hat auch rechtlich gesehen den gleichen Stellwert. 

Wenn der Patient¹ z. B. einen Behandlungsvertrag auf dem Praxis Tablet unterschreibt, werden Schreibdruck, -geschwindigkeit und -beschleunigung vom Gerät erfasst. Diese biometrischen Daten machen eine Unterschrift unverwechselbar. 

Die elektronische Signatur wird in das Dokument eingebettet, als PDF abgespeichert und ist anschließend nicht mehr veränderbar. 

In manchen Systemen wird das PDF zudem mit einem Zeitstempel versehen. Somit kann genau dokumentiert werden, wann die Unterschrift geleistet wurde. 

Für besonders sensible Daten kann außerdem noch Ihre Signaturkarte (z. B. Heilberufsausweis) ins System eingelesen werden. Sie bestätigen damit, dass der Patient¹ in Ihrer Anwesenheit unterschrieben hat. Anschließend erfolgt die Ablage im digitalen Archiv. 

Praxis App 

Es gibt viele verschiedene Praxis Apps auf dem Markt; ihre technischen Möglichkeiten sind vielfältig. Eines haben sie alle gemeinsam: Es werden sehr sensible Patientendaten verwendet, z. B. für persönliche Nachrichten, Therapieerinnerungen oder individuelle Patienten-Tagebücher. Einige Apps arbeiten mit einer Video- und Chat-Funktion. 

Deshalb ist der Datenschutz bei einer Praxis App besonders wichtig. 

Die Hersteller setzen hierbei auf die Anonymisierung der Patientendaten. 

Ich habe mir die Praxis App des Berufsverbandes für Kinder- und Jugendärzte einmal genauer angeschaut. 

Der BVKJ hat ein dreiteiliges Sicherheitssystem ausgetüftelt, dass anscheinend gut funktioniert: 

So ist es aufgebaut: 

Teil 1: Medizinische Daten 

• Die medizinischen Daten lassen keinerlei Rückschlüsse auf den Patienten¹ zu. 
• Sie werden separat in einer eigenen Datenbank gespeichert 
• Außerdem werden sie mit einem Referenz-Code versehen, damit Sie später dem Patienten¹ wieder zuzuordnen sind. 

Teil 2: Personenbezogene Daten 

• Die Patientendaten werden automatisch verschlüsselt und in einer eigenen separaten Datenbank gespeichert. 

Teil 3: Dateianhänge 

• Dateianhänge können medizinische und personenbezogene Daten enthalten. 
• Deshalb werden sie automatisch lokal verschlüsselt. 
• Auch die Dateianhänge werden in einer separaten Datenbank gespeichert. 

Die Zusammenführung und Entschlüsselung aller Datensätze erfolgt mit einem speziellen Verschlüsselungsverfahren (2-Schlüssel-Verfahren), dem sogenannten Data-Split®-Verfahren. 

Data-Split® wurde vom Landesamt für Datenschutz in Bayern als sicheres Verfahren bewertet und bereits zum Patent angemeldet. 

Das müssen Sie bei einer Homepage in puncto Datenschutz beachten: 

Die SSL-Verschlüsselung 

Mit einer SSL-Verschlüsselung ist Ihre Homepage vor unzulässigen Zugriffen geschützt. 

So geht´s: 

Sie können bei Ihrem Hoster ein sogenanntes SSL-Zertifikat erwerben. Es handelt sich hierbei um einen digitalen kryptografischen Schlüssel, der sich mit Ihrer Homepage verbindet. 

Mit einer SSL-Verschlüsselung können nur der Homepagebetreiber¹ und der Homepagebesucher¹ die Daten auf der Homepage entschlüsselt lesen. Auf dem Weg von Ihrem Server bis zum Browser Ihres Patienten¹ sind die Daten verschlüsselt und somit geschützt. 

Agenturen, die Ihre Homepage erstellen, kümmern sich in der Regel automatisch darum, dass Ihre Domain mit einem SSL-Zertifikat geschützt ist. 

Wie erkenne ich, ob meine Homepage SSL-verschlüsselt ist? 

Achten Sie auf das Symbol eines geschlossenen Vorhängeschlosses am Anfang der Browserzeile, also direkt vor Ihrer www-Adresse. 

Ein zweites Indiz ist das Kürzel „https://“ vor Ihrem Domainnamen, z. B. htpps://www.meyer-wagenfeld.de. Dieser steht für Hypertext Transfer Protocol Secure und zeigt an, dass Ihre Homepage vor unzulässigen Zugriffen geschützt ist. 

Brauche ich auf meiner Homepage einen Cookie-Hinweis? 

Cookies werden auf vielen Homepages verwendet. Sie sind dazu da, Ihre Daten und Einstellungen, die Sie beim Besuch der Homepage machen, zu speichern. Wenn Sie das nächste Mal auf diese Homepage gehen, werden Ihre gespeicherten Daten abgerufen und für gewisse Voreinstellungen genutzt. 

Das ist manchmal ganz praktisch: 

Zum Beispiel beim Online-Shopping, wenn Sie Waren in Ihren Einkaufskorb legen und diese dort zwischengespeichert werden sollen oder wenn Sie bei Google-Maps eine Route planen. 

Solange der Homepage-Betreiber¹ in seinen Datenschutzerklärungen darauf hinweist, dass er diese Dienste nutzt, muss er keinen Cookie-Hinweis auf die Seite stellen. 

Erst wenn die Besucherzahlen einer Website mit sogenannten Tracking-Tools (z. B. mit Google Analytics oder Facebook Pixel) auswertet werden sollen, darf ein Cookie-Hinweis auf der Startseite nicht fehlen. Dieser muss „aufploppen“, BEVOR die ersten Daten erhoben werden.

Datenschutzerklärung gemäß DSGVO 

Jede Homepage muss mit einer DSGVO-konformen Datenschutzerklärung versehen sein. Agenturen, die sich auf die Betreuung von Arztpraxen spezialisiert haben, wissen genau, welche Inhalte die Datenschutzerklärung Ihrer Praxis enthalten muss. 

Online-Terminvergabe 

Wenn Sie sich für eine Online-Terminvereinbarung entscheiden, sollten Sie bei der Wahl des Anbieters¹ darauf achten, dass dieser folgende Datenschutz-Standards einhält: 

• Alle Daten werden über gesicherte https-Protokolle übertragen. 
• Der Anbieter¹ sollte die Kundendaten nachweislich auf einem europäischen Server speichern und regelmäßig sichern. 
• Die Daten sollten umgehend gelöscht werden, wenn sie nicht mehr benötigt werden. 
• Der Anbieter¹ sollte regelmäßige Sicherheits-Audits nachweisen können. 
• Beim Buchungsprozess sollte vom Patienten¹ die Zustimmung zur Weitergabe seiner Daten eingeholt werden. Anderenfalls müssen Sie (der Arzt¹) zuvor einen Auftragsverarbeitungs-Vertrag (AVV) mit dem Patienten¹ abschließen. 

Videosprechstunde 

Damit Ihre Videosprechstunde den vorgegebenen Richtlinien entspricht, müssen Sie einige Dinge beachten. Auch die KBV hat einige Voraussetzungen formuliert, die bei der Videosprechstunde einzuhalten sind. 

(Quelle: www.netdoktor.de) 

Hier eine Zusammenfassung: 

• Schaffen Sie ein vertrauliches Umfeld, in dem Sie unter keinen Umständen von Dritten gestört werden. 
• Zeichnen Sie die Videosprechstunde nicht auf! 
• Vermeiden Sie alles, was vom Patienten¹ als Werbung interpretiert werden könnte. 
• Ihr Videodienstanbieter¹ muss eine End-zu-End-Verschlüsselung gewährleisten. Zertifizierte Anbieter¹ finden Sie im Netz. 
• Holen Sie sich die Zustimmung Ihres Patienten1 ein, dass Sie im Anschluss an das Gespräch einen Kurzarztbrief per E-Mail versenden dürfen. Beachten Sie die Hinweise Ihrer Ärztekammer, ob die Versendung in verschlüsselter Form zu erfolgen hat. Wie das geht, kann Ihnen Ihr IT-Berater¹ genau erklären. 
• Ihre Patienten¹ müssen sich ohne Account anmelden können. 
• Die Videosprechstunde muss über eine Peer-to-Peer-Verbindung, ohne Nutzung eines zentralen Servers erfolgen. Ihr IT-Anbieter¹ weiß, was hierbei zu beachten ist. 
• Der Anbieter¹ darf keinen Zugriff auf die Inhalte der Gespräche haben. 
• Suchen Sie sich einen Videodienstanbieter¹, der nur Server in der EU nutzt. 
• Alle Metadaten müssen nach spätestens drei Monaten vom Server gelöscht werden. Die Weitergabe der Daten ist untersagt. 
• Die Nutzungsbedingungen müssen vollständig in deutscher Sprache und auch ohne vorherige Anmeldung online abrufbar sein. 

Geschafft! 

Das war ein schwerer Brocken, aber Sie und ich haben es geschafft! Mein Tipp, wenn Sie die Digitalisierung nun auch in Ihrer Praxis angehen möchten: Starten Sie mit dem Thema, das Ihnen am meisten zusagt und suchen Sie sich einen kompetenten Partner¹, der Sie bei der Umsetzung unterstützt. In puncto Homepage-Gestaltung können wir Ihnen sehr gerne weiterhelfen. 

Ich verspreche: das nächste Thema ist wieder etwas „fürs Herz“ und komplett auf den Praxisalltag der medizinischen Fachangestellten ausgerichtet. 

Bis dahin bleiben Sie gesund 

Ihre Anja Schneckener 

¹ Um den Lesefluss nicht zu beeinträchtigen, habe ich in meinem Text zwar nur die männliche Form genannt, stets aber die weibliche und andere Formen gleichermaßen gemeint. Sollten Sie sich in meiner Formulierung nicht wiederfinden, so lassen Sie es mich gerne wissen. Sehr gerne bin ich bereit, mich textlich Ihren Wünschen anzupassen.