Henry’s Gedankensplitter Geschützt werden Menschen, nicht Daten

Datenschutz und IT-Sicherheit sind wichtig, um Potenziale der Digitalisierung zu heben und das Vertrauen der Patienten zu gewinnen

PDF

Schlüsselwörter: DS-GVO Datenschutz Datenschutz-Grundverordnung IFB IT-Sicherheitsmaßnahmen Institut für Freie Berufe

Das Institut für Freie Berufe (IFB) hat für den Bundesverband der Freien Berufe e.V. (BFB) eine repräsentative Umfrage unter rund 2.000 Freiberuflern zum Thema Digitalisierung durchgeführt – hier sind die Resultate.

Datenschutz wichtiger als schnelles Internet

Der Schutz der Daten ihrer Patienten, Mandanten, Klienten und Kunden ist den Freien Berufen wichtiger als schnelleres Internet. Dabei ist der Wunsch, Daten noch besser schützen zu können, besonders ausgeprägt. Dies sind die Kernergebnisse der BFB-Kurzumfrage zur Digitalisierung.

Außerdem ergab die Befragung, das mehr als acht von zehn Freiberuflern damit rechnen, dass die Digitalisierung bis zum Jahr 2025 stark (47 %) oder sogar sehr stark (38,7 %) auf ihre Tätigkeit durchschlägt. Lediglich ein Achtel (12,8 %) sieht kaum Einflüsse. Nur vereinzelt (1,5 %) werden keine Effekte erwartet. Mehr als zwei Drittel (69,5 %) sehen die Digitalisierung als Chance, für lediglich jeden Dritten überwiegen die Risiken (30,5 %).

Laut BFB-Präsident Prof. Dr. Wolfgang Ewer leisten die Freien Berufe als dynamischer Sektor auch im Licht der Digitalisierung wertvolle Beiträge für unsere Volkswirtschaft. Dabei nehmen sie die ihnen eigene, besondere Verantwortung sehr ernst. So halten die Freien Berufe die persönlichen Angelegenheiten ihrer Mandanten, Patienten, Klienten und Kunden streng geheim. Der Schutz dieses Vertrauensverhältnisses hat oberste Priorität. Am häufigsten befürchten die Freiberufler (40,8 % der Nennungen) Daten nicht ausreichend schützen zu können, und wünschen sich dazu noch mehr und bessere Möglichkeiten.

Lücke im Netz machte Patientendaten öffentlich

Diese Sorgen sind berechtigt, wie jüngste Vorgänge zeigen, bei denen mehrere tausend Patientendaten im Internet ungesichert abrufbar waren. Dabei wurden einfachste IT-Sicherheitsmaßnahmen nicht beachtet: Wirbelsäulenbilder, Röntgenaufnahmen, MRT-Bilder, Brustkrebsscreenings sowie Herzschrittmacher waren gut erkennbar. Intimste Bilder waren frei verfügbar zu finden. Die Datensätze lagen auf Servern, die nicht geschützt waren. Auch tausende Patienten aus Deutschland lassen sich in diesem Datenleck erkennen. Das hat eine gemeinsame Auswertung des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica ergeben.

Die Bilder sind hochauflösend und gespickt mit vielfältigen Informationen. Nahezu alle davon sind personenbezogen – mit Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

Dazu äußert sich der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, wie folgt: „Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“

In diesen Fällen haben die Behörden (Bayerisches Landesamt für Datenschutz) reagiert und Schritte zur Verbesserung der IT-Sicherheit sowie die Prüfung eines Bußgeldverfahrens eingeleitet.

Tipps für den richtigen Umgang mit Daten

Und wie reagieren Sie? Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Daher lautet meine erste Empfehlung auf der Grundlage der Datenschutz-Grundverordnung (DS-GVO): Prüfen Sie insbesondere, ob Sie folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten beachten:

  • Passwortgeschützte Bildschirmschoner
  • Komplexe Passwörter (Mindestlänge acht Zeichen, versehen mit Zahlen)
  • Automatische Updates im Betriebssystem aktivieren
  • Privat-PC und Praxis-/Klinik-PC trennen
  • Automatische Updates im Browser aktivieren
  • Aktueller Virenscanner/Sicherheitssoftware
  • WLAN-Netzwerk mittels Verschlüsselung gegen Missbrauch sichern
  • Zugriffs- und Berechtigungsliste
  • Schutz der Räumlichkeiten gegen Zutritt durch Unbefugte
  • Regelmäßige Backups, z.B. einmal wöchentlich auf externe Festplatte
  • Datensicherung, die außerhalb der gesicherten Räumlichkeiten aufbewahrt wird
  • Papieraktenvernichtung mit Spezial-Schredder.

Meine zweite Empfehlung auf der Grundlage der DS-GVO ist: Erarbeiten Sie eine IT-Sicherheitsleitlinie mit folgenden Zielen:

Um die Sicherheitsziele in einer auch wirtschaftlich angemessenen Form zu erreichen, ist es unabdingbar, den Schutzbedarf der Informationen zu kennen und die zu den einschlägigen Risiken passenden Sicherheitsmaßnahmen zu etablieren.

Ziel der Leitlinie ist es, Informationen und Assets (z.B. Vermögen, Know-how, zentrales Unternehmensfeld sowie den Inhalt (z.B. Daten, Dateien, Medieninhalte)) der Praxis/Klinik gegen alle internen, externen, absichtlichen oder versehentlichen Bedrohungen zu schützen.

Die Sicherheitsleitlinie kann sich an den Vorgaben der DIN ISO/IEC 27001 orientieren. Die Leitlinie stellt sicher, dass:

  • Informationen gegen alle nicht autorisierten Zugriffe geschützt werden,
  • die Vertraulichkeit der Informationen gewährleistet wird,
  • die Integrität von Informationen gewährleistet wird,
  • die Verfügbarkeit von Informationen für Geschäftsprozesse gewährleistet ist,
  • legislative und behördliche Auflagen erfüllt werden,
  • Notfallpläne entwickelt, verwaltet und getestet werden,
  • Informationssicherheitsschulungen für alle Mitarbeiter zur Verfügung stehen.

Der Praxisinhaber/Vorstand/die Geschäftsführung sowie alle Mitarbeiter müssen sich ihrer Verantwortung beim Umgang mit IT bewusst sein und die Sicherheitsstrategie nach besten Kräften unterstützen. Alle Mitarbeiter der Praxis/Klinik müssen die einschlägigen Gesetze (z.B. Berufsordnung, Strafgesetzbuch, Sozialgesetzbuch, Gesetze und Regelungen zum Datenschutz sowie legislative und behördliche Auflagen) und vertraglichen Regelungen einhalten.

Datenschutz und IT-Sicherheit sind sicherlich anstrengend, schützen jedoch vorrangig unsere freiheitlichen Werte des Grundgesetzes, unsere Menschenwürde sowie unsere Privatsphäre.

Geschützt werden Menschen, nicht Daten!

Quellen:

med-dent-magazin.de, 5–2019,S. 6.

www.freie-berufe.de/aktuelles/schluesselfaktor-datenschutz/

www.tagesschau.de/investigativ/br-recherche/patientendaten-101. html

www.telemedbw.de/fachartikel/ patientendaten-im-internet-abrufbar

Weitere Literatur beim Verfasser

Prof. Dr. iur. Heinrich („Henry“) Hanika ist Professor für Wirt­schafts­recht und Recht der Euro­pä­ischen Union an der Hochschule für Wirtschaft und Gesellschaft Ludwigshafen. Er leitet an dieser Hochschule auch das DIG-Zentrum für Digitali­sierung im Gesundheitswesen. Das Zentrum bietet Inten­siv-­Zertifikatslehrgänge zur Digi­talen Transformation, zu Datenschutz und Informationssicherheit an. Mehr Informationen gibt es unter: www.bit.ly/2WdYWuf

Foto: privat


(Stand: 26.11.2019)

Die beiden Ausgaben der Kongresszeitung SPECTATOR CONGRESS zur DGI-Jahrestagung 2019 bietet einen umfassenden Ausblick auf das Implantologie-Event in Hamburg.

1. Ausgabe (September 2019)
2. Ausgabe (November 2019)

Aktuelle Ausgabe 1/2020

Im Fokus

  • Periimplantäres Weichgewebe
  • Implantate bei Behandlung mit Knochenantiresorptiva
  • Forcierte Extrusion bei Längsfraktur

FORTBILDUNGSANGEBOTE DGI

Die DGI bietet ein umfassendes und überregionales Fortbildungsangebot an. 

WERDEN SIE AUTOR

Sie haben ein spannendes Thema aus dem Bereich der Implantologie und würden gerne einen Artikel dazu in der ZZI veröffentlichen? Dann nutzen Sie unseren Editorial Manager und reichen Sie ihr Manuskript direkt bei uns ein.

Manuskript einreichen