Datenschutz in der Berliner Praxis

Einsatz eines dedizierten Rechners

Für die Nutzung von Online-Banking, Recherchen, und Foren oder ähnlichen Webseiten ist ein dedizierter PC zur Verwendung vorgesehen. Sollte dies nicht realisierbar sein, kann ein Benutzeraccount mit eingeschränkten Zugriffsrechten eingerichtet werden. Eine weitere Möglichkeit besteht in der Benutzung eines Live-Betriebssystems von einer CD / DVD oder die Einrichtung eines virtuellen PCs mittels einer Virtualisierungssoftware. Hierdurch ist ein Zurücksetzen des Systems jederzeit problemlos möglich. Um die Sicherheit aufrecht zu erhalten, empfiehlt sich die Benutzung eines NAT-Routers mit Firewall. Als VPN-Lösungen sollten keinesfalls Softwarelösungen zum Einsatz kommen.

Hier empfiehlt sich beispielsweise der Einsatz eines sogenannten „Kommunikationsrechners“, der als Schnittstelle mit dem internen lokalen Netzwerk der Praxis verbunden ist und zu dem Datenträger mit den Patientendaten lediglich einen eingeschränkten Zugriff hat. Die sensiblen Informationen können somit auf den Rechner für die Kommunikation per Datenexport übertragen werden.
Beim Einsatz von Portalen zur Kommunikation mit den Patienten muss ein gesichertes Intranet verwendet werden. Die Datenübertragung hat dabei über einen VPN-Tunnel zu erfolgen. Sollte das Intranet ungesichert sein, ist eine Absicherung per IPSec oder SSL nicht ausreichend. Es müssen daher andere Vorsichtsmaßnahmen getroffen werden. Zum eindeutigen Zuweisen fachlicher Tätigkeiten der Praxis kann eine Liste mit positiven Einträgen bekannter Webseiten erstellt werden, um den Zugriff auf gefährliche Seiten zu unterbinden.

Datensicherheit in Kommunikationsnetzwerken

Der Praxisarzt hat dafür Sorge zu tragen, dass keine unbefugten LAN-Geräte an das Praxis-Netzwerk angeschlossen werden. Somit kann ein ungewolltes Mitschneiden der Daten vermieden werden. Sollte sich die Nutzung von WLAN im LAN nicht vermeiden lassen, muss die eingesetzte Technik auf dem neusten Stand sein und als Verschlüsselungsmethode WPA oder besser WPA 2 verwendet werden. Wird in der Praxis Voice-over-IP-Telefonie genutzt, muss darauf geachtet werden, dass das Mitschneiden der personenbezogenen Daten durch den Einsatz kleinerer Softwaretools ohne weiteres möglich ist. Das Abhören von sensiblen Informationen des Gesprächs ist bei VoIP noch einfacher als bei einfacher Telefonie. Durch den Internet-Provider kann eine sichere Verschlüsselung der Gespräche durch dedizierte Intranet-Techniken für VoIP erfolgen. Die Praxis sollte sich eine hochwertige Verschlüsslung vom Internet-Provider schriftlich zusichern lassen.

Verschlüsselungstechniken

Festplatten von PDAs und Notebooks in der Praxis, die Daten von Patienten enthalten, müssen vollständig verschlüsselt werden. Im Falle eines Diebstahls wird somit ein Missbrauch der Daten umgangen. Für die Datenübertragung im eigenen Firmennetzwerk sollte eine Verschlüsselung mit mindestens 128 Bit eingesetzt werden. Bei der externen Speicherung von Daten muss die Verschlüsselung der Datenverbindung mit AES-256 (symmetrische Verschlüsselung) angewendet werden. Wenn die Verbindung nicht ausreichend verschlüsselt wird, könnten ansonsten Kundendaten erhoben werden.

Datensicherungskonzept

Für ein optimales Backup-Konzept ist der Entwurf eines Sicherungsplanes für das automatisierte Sichern der Datenbestände notwendig. Es sollte ein abschließbarer, feuer- und wasserfester Schrank (idealerweise ein Tresor) eingeplant werden, um die Backup-Datenträger sicher aufbewahren zu können. Hierbei müssen die gesetzlichen Vorschriften beachtet werden. Eine Verschlüsselung der Datensicherungsträger wird zusätzlich empfohlen, da bei der Entwendung aus dem Schrank ein Zugriff nicht ausgeschlossen ist.

Löschung von Datenträgern und IT-Systemen

Bei der Vernichtung nicht mehr benötigter Datenträger muss auf die korrekte Entsorgung geachtet werden. Nur so kann die Rekonstruktion oder Einsicht sensibler Informationen ausgeschlossen werden. Bei Arbeiten an Systemen sollte der Servicetechniker zur Absicherung im Rahmen der Möglichkeiten unter Aufsicht arbeiten.

Kontinuierliche Aktualisierung durch Sicherheitspatches

Das System der Praxis muss immer auf dem neusten Stand gehalten werden. Dabei müssen die Browser, E-Mail-Programme und Betriebssysteme regelmäßig aktualisiert werden, was für gewöhnlich automatisch durch den Hersteller geschieht. Durch sogenannte Sicherheitspatches werden diese Anwendungen stets auf dem aktuellen Stand gehalten. Die Aktualisierung der Virenschutzprogramme hat bei der regelmäßigen Wartung die höchste Priorität. Sehr wichtig sind auch das Updaten der Verwaltungssoftware und die Wartung von Hardware-Komponenten. Hierbei sind Absprachen über die Regelmäßigkeit der Updates im Unternehmen äußerst wichtig. Auch der maximal zeitliche Verzug der Updates muss abgesprochen werden. Die Updates sollten routiniert durchgeführt werden. Wenn das System dabei über keine feste Internetanbindung verfügt, kann die Verteilung der Updates mithilfe eines USB-Sticks durchgeführt werden.

Schützen der IT vor äußeren Einflüssen

Durch äußere Einwirkungen wie Feuer, Wasser und Strom oder durch Angriffe und fehlerhafte Bedienung des Systems können Schäden am System entstehen. Es ist daher anzuraten, besonders wichtige Hardware Komponenten der IT in separaten, gut geschützten Räumen unterzubringen.

Fernverwaltung des Systems

Sollte die Arztpraxis eine Fernwartung Ihres Systems in Betracht ziehen, muss hierfür aus Datenschutzgründen ein Sicherheitskonzept entwickelt werden. Die Verbindung darf hierbei nur verschlüsselt erfolgen. Zur Autorisierung am Rechner der Praxis muss sich der Techniker mit einem Kennwort legitimieren. Das Kennwort sollte aus Sicherheitsgründen nach jeder Fernwartungssitzung geändert werden. Zusätzlich muss die Praxis die Zugriffsrechte für den Techniker weitestgehend einschränken. Damit der Techniker bei einer Fernwartung durch das Personal der Praxis unterstützt werden kann, sollten diese über EDV Kenntnisse in der Praxis verfügen. Bei einem Notfall oder Stillstand des Systems kann die Wartung des Systems nach Einwilligung jederzeit über Echtdaten erfolgen. Jedoch wird hierbei die Bereitstellung von Testdaten empfohlen, da hier keine hohe Sicherheit für die Verbindung garantiert werden kann. Während der Fernwartung hat der Arzt oder durch diesen autorisiertes Personal die Sitzung zu überwachen und eine ausführliche Protokollierung zu vollziehen.

Grundsätze zur Archivierung und Dokumentation

Um eine Manipulation elektronischer Daten ausschließen und nachweisen zu können, sollten elektronische Signaturen mit einem Zeitstempel eingesetzt werden. Für die elektronische Dokumentation der Daten wird ein Management-System für Dokumente empfohlen. Der Nachweis, dass elektronisch erfasste Daten nicht nachträglich manipuliert werden können, kann am sichersten durch den Einsatz von (qualifizierten) elektronischen Signaturen und Zeitstempeln erbracht werden. Im Idealfall verfügt das Praxisverwaltungssystem über ein Dokumenten-Management-System, welches die elektronische Dokumentation verwaltet.

Jetzt Termin vereinbaren!

Wir haben Ihre Lösung.

 

030 - 707 12 105

 

⇩ Für mehr Informationen scrollen Sie bitte weiter. ⇩

Unternehmen, die bereits von unseren Strategien profitieren konnten:

referenzen it service berlin 

 

Hier finden Sie weitere ausgewählte Referenzen. 

 

Nehmen Sie Kontakt mit uns auf

ProvenExpert Siegel
Ihre Suche ist jetzt zu Ende - weil wir Ihre Lösungen liefern!
Lehnen Sie sich zurück und schalten Sie Ihr Netzwerk auf Autopilot,
so dass Sie sich auf Ihr Kerngeschäft konzentrieren können!

 

030 - 707 12 105

JETZT anrufen!