So setzen Sie Paragraf 9 der Datenschutzbestimmungen in der Praxis richtig um

Technische und organisatorische Maßnahmen zu den Absätzen 1 bis 8

LogoRecht_Teaser_WebNoch ist die praktische Umsetzung des Paragraf 9 nicht in den Zahnarztpraxen angekommen, obwohl man zur Einhaltung verpflichtet ist. Datenschutz ist nicht ein „Kann“, sondern ein „Muss“. Spätestens seit Edward Snowden, nach mehr als 25 Einbrüche in Düsseldorfs Zahnarztpraxen im Jahr 2013 und dem Datenskandal der Apotheken müssen wir endlich etwas nachjustieren.

Absatz 1: Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).
Praktischer Umsetzungstipp: Ein Server gehört zum Beispiel nicht in den Empfangsbereich. Er ist schon gar nicht als Arbeitsplatz zu verwenden. Ein Server steht in einem abgeschlossenen Raum. Zugang hat nur der Praxisinhaber!

Absatz 2: Es istzu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
.
Praktischer Umsetzungstipp: Ein EDV-Arbeitsplatz kann beispielsweise in einem Behandlungszimmer mit einem Bildschirmschoner versehen werden. Der Bildschirmschoner verlangt bei Deaktivierung ein Passwort. Vergeben Sie eines! Gute Passwörter bestehen aus mindestens sechs bis acht Zeichen und enthalten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (Beispiel: Hjk1#?!3Si).

Absatz 3: Es istzu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).
Praktischer Umsetzungstipp: Eine moderne Praxisverwaltungssoftware ermöglicht es dem Administrator oder Praxisinhaber, für jeden seiner Mitarbeiter ein Login einzustellen. Dieser setzt sich aus Login-Name und Login-Passwort zusammen. So kann man in der Software bestimmte Bereiche für Mitarbeiter „unsichtbar“ machen und Datendiebstahl vorbeugen. Passwörter sollten in der Regel nirgendwo zu Papier gebracht werden. Wenn doch: ab in einen feuerfesten Tresor oder außerhalb der Praxis damit!

Absatz 4: Es istzu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
Praktischer Umsetzungstipp: Heutzutage werden Abrechnungsdaten aus der Praxisverwaltung nicht mehr auf Disketten oder CDs verschickt. Mittlerweile erfolgt das über ein Netzwerk wie das Internet. Eine Firewall schützt das lokale Praxisnetzwerk vor dem Internet. Von draußen kommt niemand hinein. Da das Internet ein unsicheres Netzwerk ist, sollte man auf Verschlüsselung achten. In der Regel signalisiert der Webbrowser eine verschlüsselte Datenübertragung mit einem „https“zu Beginn der URL-Adresse. Ein Beispiel: https://www.mykzv.de.
Zusätzlich kommen auch kleine Chipkarten zum Einsatz, die einen elektronischen Schlüssel enthalten. Die Karte wird dann in einen USB-Kartenleser gesteckt und an den Rechner angeschlossen. Die Chipkarte ist natürlich geschützt aufzubewahren und sollte nicht in die Hände eines unbefugten Dritten gelangen.

Absatz 5: Es istzu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
.
Praktischer Umsetzungstipp: In normalen EDV-Netzwerken muss sich jeder Mitarbeiter identifizieren. Eine klassische Netzwerkanmeldung enthält einen Netzwerkbenutzer und ein Passwort. Das sind keine Computer, die einfach mit einem lokalen Administrator starten! Da der lokale Administrator in der Regel eher alles kaputtmachen darf, ist davon dringend abzuraten. Schadsoftware unter Windows hat ja schon leichtes Spiel. Man muss es nicht noch leichter machen und grob fahrlässig handeln. Ein Server schreibt in der Regel eine Log-Datei. In dieser Log-Datei steht, wann welcher Mitarbeiter was im Netzwerk gemacht hat. Sehr praktisch – sehr einfach. Mithilfe der PGP-Software lassen sich Dokumente blitzschnell digital unterschreiben, signieren und verifizieren. Manipulation würde man sofort erkennen. Ein Video dazu gibt es auf Youtube unter http://youtu.be/YS5X4Nefm6o.

Absatz 6: Es istzu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
.
Praktischer Umsetzungstipp: Man gibt zur Verarbeitung an den Zahntechniker oder Weiterbehandler Patientendaten weiter. Aber nicht einfach alle – nur das, was benötigt wird. Das geschieht in der Regel heute per E-Mail. Aber bitte nicht unverschlüsselt! E-Mail-Verschlüsselung ist mithilfe von PGP-Software auf Mac OS X und Windows kinderleicht. Mit PGP kann man nicht nur E-Mails, sondern auch noch Dateien und Festplatten, USB-Sticks und andere Datenträger auf Mausklick verschlüsseln.

Absatz 7: Es istzu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
.
Praktischer Umsetzungstipp: Backup-Mo, Backup-Di, Backup-Mi, Backup-Do und noch mal Backup-Fr. Ganz einfacher Merksatz: „MoDiMiDoFr“. Jeden Tag mindestens eines! Am einfachsten geht das mit einer externen Festplatte, die an einen Server gestöpselt wird. Eine Software erledigt automatisch und zeitgesteuert das Backup. Abends oder nach Betriebsschluss wirft man die Festplatte aus und nimmt sie mit nach Hause.
Wichtig: Die Backup-Daten müssen außerhalb der Praxisräumlichkeiten lagern. Bei einem Feuer oder Diebstahl im Haus der Praxis sind die Daten sonst möglicherweise verloren, und eine Abrechnung ist nicht mehr möglich. Das zahlt auch keine Versicherung! Bei Diebstahl wird es echt übel. Patientendaten in fremden Händen und später im Internet? Das will ich als Patient nicht erleben. Meine Daten bei einem Arzt gehen niemanden etwas an. Als Patient würde ich sofort klagen, und das wird teuer. Festplattenverschlüsselung ist da viel billiger. Mac OS X bietet dies ab seinem System OS 10.8 sogar gratis an. Ansonsten hilft auch hier die Lösung PGP.

Absatz 8: Es istzu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Praktischer Umsetzungstipp: In einer Praxisgemeinschaft muss jeder Zahnarzt eine eigene Patientendatenverwaltung benutzen. Moderne Software hat für jeden Behandler einen eigenen Eintrag. Bevor ein „Kollege“ im Vertretungsfalle einen Patienten behandelt, muss der Patient seine Einwilligung dazu abgegeben haben. Eine Einwilligungserklärung sollte vom Patienten einfach in schriftlicher Form erledigt werden und in seiner Patientenakte abgelegt werden.
Dirk Küpper, Düsseldorf

 

Zum Autor:

Dirk Küpper (Foto: Küpper)

Dirk Küpper (Foto: Küpper)

EDV- und Apple-Spezialist Dirk Küpper ist als freiberuflicher e-Trainer, Netzwerkadministrator sowie als IT-Security Berater tätig.

Weitere Informationen finden Interessenten im Netz unter www.dirkkuepper.de.

This page as PDF

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*