Für Ärztinnen, Ärzte, MPA, Praxismanagerinnen und Praxismanager ist der sorgfältige Umgang mit den ihnen anvertrauten Patientendaten ein wichtiges Element ihres Alltags. Doch was genau muss eine Praxis dabei berücksichtigen?
Vollständiger Originalartikel:
Marianne Jossen, Ursula Uttinger, Marcel Waldvogel
DOI: https://doi.org/10.4414/saez.2018.06639
Veröffentlichung: 23.05.2018
Schweiz Ärzteztg. 2018;99(21):647-648
Der eHealth-Barometer 2016 zeigt: Immer mehr Praxisärztinnen und -ärzte interessieren sich für eHealth, allerdings sehen nur 40% von ihnen darin ein Verbesserungspotential für ihr Arbeitsumfeld. Dieses Resultat könnte unter anderem im Zusammenhang mit einer skeptischen Haltung zum Datenschutz stehen.
So gehen Ärztinnen und Ärzte davon aus, dass der Datenschutz bei elektronischer Datenablage weniger gut gewährleistet ist als bei der traditionellen Krankengeschichtenführung auf Papier. Auch die EQUAM Stiftung stellt im Kontakt mit Ärztinnen, Ärzten und MPA fest: Die Digitalisierung verunsichert. Manch einen und eine beschleicht das Gefühl, der Datenschutz sei ein Fass ohne Boden. Eine Frage zieht die nächste nach sich, Rechtsquellen sind nicht einfach zu interpretieren, und bei der IT bleibt der Blick zwangsweise auf der Oberfläche haften. Zwischen 2015 und 2017 hat die EQUAM Stiftung Ärztinnen, Ärzte, MPA, Expertinnen und Experten eingeladen, diesem Fass einen Boden zu geben. Entstanden sind daraus zehn Fragen, mit denen sich jede Arztpraxis auseinandersetzen sollte:
- Welche Daten erheben wir beim Patienteneintritt?
- Wie handhaben wir das Recht der Patientinnen und Patienten auf die Herausgabe ihrer Daten?
- Wie handhaben wir die Weitergabe von Daten an Dritte?
- Wie gestalten wir digitalen Datenaustausch möglichst sicher?
- Wie organisieren wir den Zugang zu Daten innerhalb der Praxis?
- Wie stellen wir Rückverfolgbarkeit bei der Bearbeitung von Daten sicher?
- Wie sorgen wir für Datensicherheit auf unseren Praxiscomputern?
- Wie sorgen wir für Datensicherheit auf portablen Datenträgern?
- Wie handhaben wir Daten-Backups?
- Wie handhaben wir das Löschen von Daten?
Drei Grundsätze
Aus datenschutzrechtlicher Sicht sind drei wichtige Grundsätze im Zusammenhang mit den oben aufgeführten Fragen die «Verhältnismässigkeit», «Transparenz» und «Datensicherheit».
Verhältnismässigkeit
Der Grundsatz der «Verhältnismässigkeit» findet sich in Art. 4 Abs. 2 DSG [2]: «Ihre Bearbeitung [der Personendaten] hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.» Gerade im Zusammenhang mit der Frage «Welche Daten sollen wir bei Patienteneintritt erheben?» muss die Verhältnismässigkeit immer wieder geprüft werden. In der Praxis bedeutet dies, dass nicht einfach möglichst viele Daten erhoben werden dürfen. Vielmehr muss bei jeder Information, die man erfragen möchte, geprüft werden, ob man diese wirklich braucht. Gibt es auf die Frage «Warum?» eine schlüssige Antwort, die auch für eine unbeteiligte Person nachvollziehbar ist, dürfte die Erhebung dieser Information berechtigt sein. Beispielsweise ist die Frage, warum ein Patient die Arztpraxis wechselt, interessant, aber es muss dem Patienten überlassen bleiben, ob er dazu eine Angabe machen will oder nicht. Fragen nach Religion, sexueller Ausrichtung oder Hobby sind meist nicht verhältnismässig — es sei denn, sie könnten mit einem konkreten Krankheitsbild im Zusammenhang stehen.
Transparenz
Ein weiterer Grundsatz des Datenschutzes ist die «Transparenz»: Grundsätzlich darf es keine «geheime» Datenbearbeitung geben. Werden Daten direkt bei der betroffenen Person erhoben, ist dies offensichtlich. Werden Daten bei Dritten erhoben, braucht es entweder eine gesetzliche Grundlage, die beispielsweise in Sozialversicherungsgesetzen zu finden ist, oder eine Einwilligung. Auch wenn Daten weitergegeben werden, muss die betroffene Person grundsätzlich informiert sein. Einzig, wenn Datenbearbeitung einem Dritten übergeben wird, wie beispielsweise die Betreuung der IT, kann von einer Information abgesehen werden. Wichtig ist, dass der Dritte die Schweigepflichten einhält und vom Auftraggeber entsprechend instruiert und kontrolliert wird.
Im Zusammenhang mit der Transparenz ist es auch ein zentrales Recht des Patienten, gestützt auf Art. 8 DSG, eine Kopie seiner Daten erhalten zu können. Grundsätzlich müssen sämtliche Daten, etwa Diagnosen, Gutachten, Berichte, der Verlauf der Krankengeschichte und Zeugnisse, dem Patienten als Kopie oder als Ausdruck herausgegeben werden. Einzig persönÂliche Arbeitsmittel, also etwas persönlichere Notizen, die ausserhalb der Krankengeschichte geführt werden, können zurückbehalten werden.
Datensicherheit
Bei der «Datensicherheit» geht es darum, wie Daten eines Patienten zwischen seinen Leistungserbringern so ausgetauscht werden können, dass sie an den richtigen Empfänger geraten und zwischendurch nicht eingesehen werden können. Die Überprüfung der Kontaktdaten und die Verschlüsselung sind dazu die wichtigsten Hilfsmittel. Zudem sollte sich jedes Team überlegen, wie verhindert werden kann, dass auf Âdiesem oder anderem Wege Malware wie Viren oder Erpressungstrojaner in die Praxis geraten.
Auch innerhalb der Praxis sollten Daten vor neugierigen Blicken anderer Patienten oder Angreifern Âgeschützt sein. Die Frage «Wie organisieren wir den Zugang zu Daten innerhalb der Praxis?» nimmt sich dem Thema an und berät zu sicherer Wahl von und Umgang mit Passwörtern. Die Nutzung persönlicher Passwörter und Konten ist auch eine der Voraussetzungen für die Nachverfolgbarkeit von Bearbeitungsvorgängen.
Kommt es zu Bedienerfehlern, technischen Defekten oder Wasserschäden, ist ein Backup oft die letzte Rettung. Um zu verhindern, dass Originaldaten und Backup gleichzeitig Schaden nehmen, sollten Backups regelmässig auch ausser Haus gelagert werden. Dabei unterstützen Sie USB-Festplatten oder Onlinedienste. Die Daten sollten verschlüsselt abgelegt werden und der Schlüssel sicher aufbewahrt werden, damit die Daten im Bedarfsfall auch wieder rekonstruiert werden können.
Das Entsorgen der Datenträger: Auch nach dem Leeren des Papierkorbs oder Formatieren des Laufwerks sind viele Daten noch auf dem Datenträger und einfach zu rekonstruieren und können in falsche Hände geraten. Das ein- oder zweimalige Überschreiben des gesamten Datenträgers oder die Nutzung eines spezialisierten Entsorgungsunternehmens sind zuverlässige Methoden.
Fazit
Die zehn Fragen zum Thema Datenschutz und IT zeigen: Es ist möglich, sich mit diesem Thema fundiert auseinanderzusetzen, ohne die konkrete Welt der Arztpraxis und die Bedürfnisse von Patientinnen und Patienten, Ärztinnen, Ärzten und MPA aus den Augen zu verlieren.
(Das Sensibilisierungsprogramm wurde inzwischen eingestellt.)
Mehr zu Sicherheit
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch … Weiterlesen: Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte … Weiterlesen: Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut … Weiterlesen: Endet die Zeit im Jahr 2038?
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit … Weiterlesen: Wie zählt ein Computer?
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die … Weiterlesen: Spamwelle zu Weihnachten?
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz … Weiterlesen: «5 Minuten für mehr Datenschutz»: Tracking vermeiden
- 2FA verschwindet in der CloudZwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch … Weiterlesen: 2FA verschwindet in der Cloud
- IT-Sicherheit ≠ BürostuhlDer Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir … Weiterlesen: IT-Sicherheit ≠ Bürostuhl
- 📹 Cloud: Technologie für Datenschutz?Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe … Weiterlesen: 📹 Cloud: Technologie für Datenschutz?
- SBB-Kundentracking: Offene FragenSeit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem … Weiterlesen: SBB-Kundentracking: Offene Fragen
- Cloud-Sicherheit am WinterkongressAm Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat … Weiterlesen: Cloud-Sicherheit am Winterkongress
- Jugendschutzgesetz: Ein kleiner Medien-FaktencheckIn der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen … Weiterlesen: Jugendschutzgesetz: Ein kleiner Medien-Faktencheck
- Rechteausweitung von Google mit MapsGoogle Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren … Weiterlesen: Rechteausweitung von Google mit Maps
- Was uns Ransomware zu Datenschutz und Datensicherheit lehrtWinterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser … Weiterlesen: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt
- Hinter den Kulissen der VerschlüsselungVerschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele … Weiterlesen: Hinter den Kulissen der Verschlüsselung
- Erklärt: Das Kleingedruckte bei Cyber-VersicherungRisiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen … Weiterlesen: Erklärt: Das Kleingedruckte bei Cyber-Versicherung
- Digitales Offline-Geld?Immer wieder taucht die Frage nach dem Einsatz von digitalem Geld bei Netzausfall auf. Hier eine Übersicht über die Möglichkeiten und … Weiterlesen: Digitales Offline-Geld?
- Per Anhalter durch die BlockchainBlockchain ist seit über 10 Jahren ganz oben auf der Hype-Hitparade und wird als magische Lösung für alle Digitalisierungsprobleme gehandelt. Aber … Weiterlesen: Per Anhalter durch die Blockchain
- Sollen Zeugnisse in die Blockchain?In Deutschland ist soeben ein Projekt zur Blockchainisierung der Schulzeugnisse nach über einer Million € ergebnislos eingestampft worden. Was können wir … Weiterlesen: Sollen Zeugnisse in die Blockchain?
- Sicherheitstipps (nicht nur) fürs HomeofficeDiese Wochen ist alles etwas anders. Immer, wenn sich etwas ändert, gibt es Gewinner und Verlierer. Halunken, die von der aktuellen … Weiterlesen: Sicherheitstipps (nicht nur) fürs Homeoffice
- Ransomware ist andersDie meisten Typen von bösartiger Software („Malware“) wie Viren und Botnetz-Zombies versuchen sich möglichst lange unauffällig zu benehmen während sie ihre … Weiterlesen: Ransomware ist anders
- Ist 1234 ein gutes Passwort?«Ist 1234 ein gutes Passwort? Oder soll ich doch lieber Mb2.r5oHf-0t wählen?» Diese Frage stellen sich viele täglich. Hier ein paar … Weiterlesen: Ist 1234 ein gutes Passwort?
- Datenschutz und IT in der Arztpraxis: ein Fass mit BodenFür Ärztinnen, Ärzte, MPA, Praxismanagerinnen und Praxismanager ist der sorgfältige Umgang mit den ihnen anvertrauten Patientendaten ein wichtiges Element ihres Alltags. … Weiterlesen: Datenschutz und IT in der Arztpraxis: ein Fass mit Boden
- Kontrolle über die eigenen Daten: Einfach!Grosse Firmen machen es uns immer einfacher und bequemer, Ihnen unsere Daten zu geben, inklusive den immer wichtiger werdenden Metadaten. Diese … Weiterlesen: Kontrolle über die eigenen Daten: Einfach!
Schreibe einen Kommentar