Der Europäische Datenschutztag, immer am 28. Januar, wird seit 2007 zum Anlass genommen, dafür zu sensibilisieren, welche Rechte und Pflichten in Bezug auf Datenverarbeitung in Europa gelten. Um Unsicherheiten im Umgang mit neuen Technologien beizulegen, hilft ein Überblick über die wichtigsten Bereiche, in denen sensible Gesundheitsdaten verarbeitet oder verwendet werden. 

Die Website

Der Online-Auftritt ist häufig der erste Berührungspunkt mit Patient*innen und anderen Gesundheitseinrichtungen. Oftmals bilden Einrichtungen dort neben ihrem Behandlungsspektrum und Kontaktmöglichkeiten bereits Weiterleitungen zu den von ihnen genutzten Dienstleistern ab (z. B. zur Online-Terminbuchung oder Videosprechstunde). Tipp: Sobald personenbezogene Daten (Name, E-Mail-Adresse oder IP-Adresse) erhoben und gespeichert werden, ist eine Datenschutzerklärung als Teil der Website erforderlich. 

Der Empfang & das Wartezimmer

Neben einer räumlichen Gestaltung, die Diskretion im Aufnahmegespräch mit Patient*innen zulässt, gibt es weitere Punkte, die zur Wahrung des Datenschutzes beachtet werden sollten. Tipp: Achten Sie darauf, dass der Empfang zu den Praxisöffnungszeiten besetzt ist. Auf diese Weise stellen Sie sicher, dass keine Unbefugten Zugriff auf Patientendaten erhalten. Dokumente sollten zudem aus Drucker oder Fax entfernt werden, damit sie nicht länger als nötig offen herumliegen und von Fremden gelesen oder entwendet werden können.

Die Behandlungsräume

Auch in den Behandlungsräumen sollte sich ein durchdachtes Datenschutzkonzept fortsetzen. Dazu gehört, dass das vertrauliche Gespräch erst hinter geschlossenen Türen beginnt und sich Patient*innen möglichst nicht allein in Behandlungsräumen aufhalten, in denen sich z. B. Patientenakten befinden. Sollten Patient*innen allein im Sprechzimmer warten, sollte der PC gesperrt werden.

Verwaltung von Gesundheitsdaten

Für die Behandlung von Patient*innen ist die Erhebung bestimmter Datensätze notwendig. Medizinische Einrichtungen sollten die Patient*innen jedoch stets aktiv über die Speicherung, Nutzung und Verarbeitung personenbezogener Daten informieren und sich ggf. auch schriftlich absichern. Es sollten nur Daten erhoben werden, die für die Behandlung notwendig sind, sowie Fristen zur Löschung und Aufbewahrung von Gesundheitsdaten unbedingt eingehalten werden.

IT-Sicherheit in der Einrichtung

Neben der Verwendung von sicheren Passwörtern, Zwei-Faktor-Authentifizierung und Virenschutzprogrammen können weitere einfache Tipps die IT-Sicherheit von medizinischen Einrichtungen erheblich erhöhen. So sollten niemals private oder unbekannte USB-Sticks verwendet, sowie private und dienstliche E-Mail-Konten voneinander getrennt werden. 

Absicherung für Praxisinhaber*innen

Die physische Absicherung der Praxis gegen unbefugtes Eindringen ist eine Selbstverständlichkeit. Im digitalen Zeitalter gilt es jedoch, sich auch für Cyberangriffe oder IT-Vorfälle zu wappnen. Dafür sollten Einrichtungen einen niedergeschriebenen Plan erstellen, der Abläufe und Zuständigkeiten während der Bewältigung eines Notfalles regelt. Auch der Abschluss von Cyberversicherungen ist für Einrichtungen einer bestimmten Größe ratsam. Sie können im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler oder vorsätzliche Manipulation) die Kosten für Sachverständige erstatten, Schadensersatz leisten oder den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.

Das Praxisteam 

Alle Praxismitarbeitenden sollten regelmäßig zu aktuellen IT-Sicherheitsgefahren bzw. -techniken und zum Datenschutz geschult werden. Bei Einrichtungen ab einer Größe von 20 Mitarbeitenden ist die Ernennung eines oder einer Datenschutzbeauftragten notwendig.

Weitere Tipps und konkrete Umsetzungsempfehlungen mit hilfreichen Links zu Schulungsmaterialien und Musterformularen können hier heruntergeladen werden.