Altes Betriebssystem? Das kann teuer werden.

IT-Sicherheitslücken und Arztbesuche haben einiges gemeinsam: Wartet man zu lange, wird’s nur schlimmer.

Die Arzthelferin verlässt den Empfangstresen, ruft den nächsten Patienten auf und führt ihn in den Behandlungsraum. Eine ganz alltägliche Szene, wie sie in jeder Arztpraxis vorkommt? Durchaus. Aber nicht in jeder Praxis achtet die Arzthelferin darauf, dass die Computerbildschirme gesperrt sind.

Unachtsamkeit gefährdet den Datenschutz

Patientenunterlagen, Abrechnungsinformationen, Untersuchungsprotokolle – auch in Arztpraxen gibt es wichtige Informationen. „Viele Ärzte vergessen, dass der Verantwortliche laut Datenschutz-Grundverordnung, Artikel 4, Nummer 7 für Fehler beim Datenschutz haftet“, erklärt IT-Sicherheits-Experte Konrad Mauermann vom mediorbis-Digitalcheck-Team.
Computerbildschirme sollten gesperrt werden, bevor Praxismitarbeiter ihren Platz verlassen oder der Patient allein im Arztzimmer bleibt. Andernfalls könnten sensible Daten in falsche Hände geraten.

Gleiches gilt für andere tägliche Routinen, wie zum Beispiel das Faxen von Patientendaten ohne deren Zustimmung. Über diese Lücke in der Datensicherheit haben wir bereits berichtet. Deshalb sollten IT-Themen und Datenschutzeinhaltung in die festen Abläufe integriert werden.

Hacker Angriff auf Praxiswebsite

Hackerangriffen vorbeugen

Neben fahrlässigen Handlungen ist auch die IT-Ausstattung ein wichtiger Punkt. Dazu gehört neben Anti-Maleware und regelmäßigen Systemupdates auch Basis-Ausstattung, die bei vielen Ärzten fehlt. „Häufig verwenden Arztpraxen Betriebssysteme, die nicht mehr unterstützt werden“, sagt Mauermann. „Das ist eine enorme Sicherheitslücke.“
Leider kann sich der Arzt nicht darauf verlassen, dass die Systemhersteller ausreichende Sicherheitsvorkehrungen einbauen. Der Datenschutzexperte weiter: „Die Ärzte haften selbst für entstandene Schäden und auf die Hersteller wird diesbezüglich leider zu wenig Druck ausgeübt.“

Von IT-Experten helfen lassen

Um die Sicherheitsstandards und die DSGVO-Vorgaben einzuhalten, müssen Sicherheitslücken aufgedeckt und geschlossen werden. Solche Lücken gibt es eben auf technischer wie auf menschlicher Seite. Laut Konrad Mauermann geht es genauso darum, das Personal für den Umgang mit personenbezogenen Daten zu sensibilisieren und jährlich zu schulen. Andernfalls droht Ärger mit der zuständigen Datenschutzbehörde, Zivilklagen, Hackerangriffe und Imageschäden.

Egal ob Einweisung des Personals oder Prüfen des bisherigen Systemaufbaus – es gibt diverse Formen, wie IT-Dienstleister unterstützen können. Das muss nicht immer mit riesigen Kosten verbunden sein. Ist die Praxis zum Beispiel technisch gut aufgestellt, reicht ein Checkup alle 6 Monate wahrscheinlich aus. Möchte der Arzt das IT- und Datenschutzthema gänzlich von seiner To-Do-Liste streichen, kann er damit auch langfristig einen Dienstleister beauftragen. So oder so ist es aber hier wie bei jedem Arztbesuch: Wartet man zu lange, bis man etwas unternimmt, wird’s nur schlimmer.

Vielleicht möchten Sie als Praxisinhaber erfahren, welche Schwächen und Potenziale sich hinter Ihrer Praxiswebsite verbergen? Dazu dient unser Gesundheitscheck für Praxiswebsites. Erfahren Sie mehr über unsere Dienstleistung im mediorbis 360° Digitalcheck.

Bild 1: ©iStock / AnuStudio, Bild 2: ©iStock / natasaadzic

Mit Pizza zum perfekten Passwort

Ein kleines Rätsel: Was wird mit Passwörtern gemacht?

Die richtige Antwort: Oft das, was nicht damit gemacht werden sollte. Oder ernsthaft betrachtet: Wer eine Haftnotiz mit der Aufschrift „Passwort: hallo123“ an den Monitor klebt, hat womöglich schnell ein großes Problem – vor allem, wenn der Monitor in einer Arztpraxis steht.

Die Liste der Schande, die Daniels und Mark Zuckerberg

Alle Jahre wieder stellt das Hasso-Plattner-Institut im Dezember seine Liste der Schande ins Netz: Die beliebtesten deutschen Passwörter. Und jedes Jahr mit dem gleichen und schlechten Ergebnis: Passwörter wie „123456“, „ichliebedich“ oder „lol123“ liegen ganz weit vorne. Gut, es gibt auch immer wieder Ausreißer, die überraschen. In der vergangenen Aufstellung fand sich zum Beispiel der Name „Daniel“ auf Platz 20 der beliebtesten Passwörter. Gibt es so viele Daniels in Deutschland? Haben so viele Menschen ihr Herz an einen Daniel verloren? Es bleibt ein Rätsel. Dabei ist die Datenbasis der Untersuchung mit 3,1 Millionen Zugangsdaten breit und damit ein guter Spiegel.

Weniger schleierhaft dürften die Gründe für Simpel-Passwörter und Aufbewahrungsorte wie der Zettel unter dem Mauspad sein: Bequemlichkeit und Ignoranz. Aber damit jetzt wieder alle den Kopf heben können, die gerade daran denken, dass sie seit Jahren immer „Passwort“ als Passwort nutzen und der Zugangs-Pin zum Praxis-Handy in der obersten Schublade gleich vorne liegt, wollen wir kurz daran erinnern, dass auch die Großen der Faulheit nachgeben. Einer davon ist Mark Zuckerberg. In einer von Hackern gestohlenen Datenbank von LinkedIn wurde „dadada” als das Passwort des Facebook-Chefs identifiziert. So weit, so schlecht.

Ein Password wie 123456 ist kein Passwort

Die Haftung macht schnell Schluss mit lustig

Zugegeben, das ist alles auch ein bisschen unterhaltsam. Aber mit dem Sprung in den Praxisalltag ist schnell Schluss mit lustig. „Ein Arzt, der die Daten seiner Patienten nicht bestmöglich schützt, könnte unter Umständen datenschutzrechtlich, zivilrechtlich, strafrechtlich und berufsrechtlich belangt werden.“ Das sagt Christian Wagner, Co-Founder und Justiziar von mediorbis und ein Experte auf dem Gebiet des Datenschutzes.

Das ist auch richtig so, denn Daten über die Gesundheit gehören zu den schützenswertesten überhaupt. Ärzte wie Psychotherapeuten müssen die personenbezogenen Daten ihrer Patienten also mit allen Mitteln vor fremdem Zugriff bewahren. Ein wichtiger Basisbaustein dazu sind sichere Passwörter.

Sie mögen Pizza, die mit Grottenolmen belegt ist? Super!

Ein sicheres Passwort kann zum Beispiel so aussehen: u4dD!7.8FJRdMPt9A@pAinH4. Wer sich das merken kann? Keine Ahnung … Aber es gibt einen sehr guten Weg, sich schwer knackbare Passwörter auszudenken, die trotzdem als Satz oder Sätze im Gedächtnis bleiben. Beispiel: „Drei Pizzen mit jeweils vier Grottenolmen bitte! Geht das schnell?“ Als Passwort liest sich das dann so: „3Pmj4Gb!Gds?“. Sie mögen es lieber vegan? Kein Problem: „Achtung: In meinen Kuchen kommen nur vier Äpfel und auf die drei Eier verzichte ich lieber!“ macht „A:ImKkn4Äuad3Evil!“.

Wem jetzt immer noch der Angstschweiß vor dem Vergessen auf der Stirn steht, der schreibt das Passwort auf. Achtung, jetzt kommt ein so großes wie dickes „Aber“: und bewahrt diese Notiz räumlich weit getrennt und verschlossen auf.

Eine kleine Anmerkung der Redaktion …

Bitte benutzen Sie „3Pmj4Gb!Gds“ und „A:ImKkn4Äuad3Evil!“ nicht selbst als Passworte. Die nutzen schon Autor und Redaktion und wir wollen ja alle nicht auf der Liste des Hasso-Plattner-Instituts am Jahresende auftauchen 😉

Bild 1: ©iStock / Aslan Alphan, Bild 2: ©iStock / s-cphoto

Patientendaten faxen ist ein Vergehen

Viele Mediziner verschicken aus Tradition Befunde und Arztbriefe via Fax. Damit verstoßen sie meist gegen ihre doppelte Schweigepflicht. Horrende Strafen blühen.

Darauf hat im Mai 2021 die Bremer Landesbeauftragte für Datenschutz hingewiesen. Und sie hat recht. Wer sensible Patientendaten faxt, missachtet die Datenschutzgrundverordnung (DSGVO) und riskiert eine Strafe. Ärzte sollten andere Wege des Datenversands nutzen. Solche Wege gibt es.

Faxgeräte verschicken Daten meist
ungesichert durchs Netz

Die meisten modernen Faxgeräte unterscheiden sich deutlich von früheren Geräten. In der Anfangszeit schickten Faxgeräte das Dokument über eine sogenannte Ende-zu-Ende-Verbindung zum Empfänger. Die Geräte sind bei solchen Verbindungen direkt über Leitungen miteinander verbunden und das Risiko eines unbefugten Zugriffs auf die Informationen ist verschwindend gering. Diese Art des Faxens spielt heute aber kaum noch eine Rolle.

Moderne Geräte, die drucken, scannen und faxen, senden das Fax stattdessen munter unverschlüsselt über das Internet. In anderen Fällen wandeln sogenannte Cloud-Dienste im Internet Daten aus Computern in ein Fax um. Das Ergebnis ist oft nicht sicherer als eine unverschlüsselte E-Mail und die gilt laut der Bremer Landesbeauftragten für Datenschutz „zu Recht als digitales Pendant zur offen einsehbaren Postkarte“. Faxgeräte seien deshalb „in der Regel nicht für die Übertragung personenbezogener Daten geeignet“. Das zu missachten, kann Probleme verursachen. Mediziner, die sensible Gesundheitsdaten via Fax verschicken, riskieren eine Strafe.

Faxen ist nicht so sicher, wie viele denken.

105.000 Euro Strafe für strukturelle Defizite beim Patienten-Management

Die DSGVO ist eine europäische Verordnung, die innerhalb der EU einheitliche Regeln zum Umgang mit Daten definiert. Verbindlich ist sie unter anderem für Unternehmen, Praxen und Krankenhäuser in Deutschland.

Die Datenschutzbehörden auf Bundes- und Landesebene kontrollieren, ob sie die Regeln einhalten. Diese Datenschützer verstehen ihre Aufgabe auch als Beratung und stellen sie bei einer Kontrolle in Praxen oder Kliniken kleinere Datenschutzmängel fest, fordern sie den Inhaber eventuell einfach nur auf, die Mängel zu beseitigen. Bei Verstößen gegen die DSGVO können sie aber eben auch Geldstrafen verhängen.

Das musste das Mainzer Universitätsklinikum 2019 leidvoll erfahren. Damals erhielt die Uniklinik eine Geldstrafe in Höhe von 105.000 Euro aufgrund struktureller Defizite beim Patientenmanagement. Das Klinikum hatte unter anderem einen Patienten verwechselt und deshalb eine falsche Rechnung gestellt.

Eine Alternative zum Faxen? DSGVO-konforme Messenger

Strafen in fünfstelliger Höhe sind bei einem nicht datenschutzkonformen Versand von Vertraulichem via Fax natürlich nicht realistisch. Aber auch kleiner dimensionierte Geldstrafen sind ärgerlich und schaden im ungünstigsten Fall dazu noch dem Image.

Falls noch nicht geschehen, sollten Mediziner deshalb alle datenschutzrelevanten Arbeitsabläufe in ihren Praxen zusammen mit einem Fachanwalt überprüfen. Diese Spezialisten verbinden Kenntnisse aus dem Datenschutz mit Wissen aus dem Medizinrecht. Dadurch finden sie mögliche Schwachstellen beim Umgang mit Daten und können passende Lösungen vorschlagen.

Extrem sicher ist natürlich die gute alte Snail-Mail. Aber wer will schon wertvolle Human Resources mit Briefe eintüten und Briefmarken kleben beschäftigen? Zeitgemäßer und effektiver sind Anbieter für telemedizinische Technologien mit DSGVO-konformen Messengern. Sie versprechen für ihre Dienste hohe Sicherheitsstandards und die Einhaltung aller Auflagen der EU-Datenschutzkommission. Kurzum: Geeignete Übertragungswege für datenschutzkonforme Überweisungen und Befunde. Und in einem nächsten Schritt auch für Videosprechstunden.

Bild 1: ©iStock / LianeM, Bild 2: ©iStock / slobo

Suche