Datensicherheit und Datenschutz

[pgtaboada]

Hallo in die Runde,

ich bin der Entwickler und Betreiber von LEMNISCUS, eine Praxisverwaltung als Webanwendung (also läuft im Browser, keine Software die installiert wird) und habe mich dadurch intensiv mit den Themen Datenschutz und Datensicherheit beschäftigen dürfen.

Ich werde bei euch hier im Forum gerade aktiv, da wir demnächst ein Webinar zu Lemniscus hier anbieten werden.

Mit diesem Thread möchte ich eine kleine Diskussionsrunde zum Thema Cloud, Daten und Praxisverwaltung starten.

Der Grund, warum wir uns für die Web-Lösung damals (vor ca. 12 Jahren) entschieden haben war ganz einfach: wir wollten keinen Rechenzentrum in der Praxis betreiben (als Informatiker sind für mich Ausfallsicherheit und Datensicherungen wichtig), und die beste Lösung war für uns schon damals, die Infrastruktur in einen externen Rechenzentrum auszulagern.

Wie wichtig ist das Thema für euch?

[Isolde Richter]

Das freut mich sehr, lieber Herr Taboada, dass Sie hier dieses wichtige Thema anschneiden.
Ich persönlich bin schon sehr auf Ihren Vortrag vom 8.5.14 hier an der Schule gespannt: http://www.fernlehrgang-heilpraktiker.co...ursid=3374

Ich halte das Thema Datenschutz für äußerst wichtig.
Leider weiß ich, wie bestimmt viele andere, darüber nur wenig.
Nun habe ich das große Glück, dass ich jemand im gleichen Bürozimmer sitzen habe, den ich fragen kann. Dieses Glück haben aber nicht alle und die sind auf Infos angewiesen.

Und wenn man eine Praxis hat, dann ist es unumgänglich, dass man sich mit Datenschutz beschäftigt. Sonst kann es passieren, dass man einen Fehler begeht - und ein Patient nimmt einem das krumm. Und so etwas kann ja teuer werden.

[Viktoria Sch.]

Hallo,

ich finde Sicherheit und Datenschutz mittlerweile auch sehr wichtig.
Irgendwie ziehe ich immer irgendwelche Virusprogramme an. Daran habe ich mich
schon so gewöhnt das ich einmal jährlich damit rechne.

Mir wäre halt deswegen sehr wichtig das die Patientendaten gerade auch bei Virusangriffe geschützt sind.

LG
Viktoria

[pgtaboada]

Passend zum Thema:

http://www.fernlehrgang-heilpraktiker.co...t_Explorer

[thomashe]

Hallo Zusammen,

mal ne Frage:

Auf welche Aspekte der Datensicherheit und des Datenschutzes bezieht sich diese Diskussion?

Explizit auf die Softwareausrichtung Praxisverwaltung? Also beispielsweise auch die internen Dokumentationen und Abrechnungen des HP/HPP?

Auf die Weitergabemöglichkeiten von Diagnosen, Therapieverfahren den HP/HPP an Dritte? Zum Beispiel Ärzte, Krankenhäuser, Rentenversicherungsträger o.ä

Bezieht sich die Diskussion auf bspw. die Aufbewahrungspflichten von dokumentierten Anamnesen, Diagnosen bezogen auf den Zeitraum und auch dann daraus resultierend die Zeiträume möglicher Weitergaben von diesen Erkenntnissen durch HP/HPP an Dritte?

Ein sehr breites Spektrum das hier diskutiert werden könnte.

[MartinaKirchner]

Hallo Herr Taboada,

ich habe bisher den Einsatz von Cloud u.ae. vermieden. Das schien mir alles suspekt, ich habe mich jedoch nicht ausführlich damit beschaeftigt.
Mir war/ist es einfach nicht geheuer, meine Daten von einer großen Fa. wie Apple/MS/Google verwalten zu lassen.
DropBox benutze ich hin und wieder, um Daten auszutauschen, lösche die Daten nach dem Austausch wieder.

Ihrer Argumentation der Auslagerung kann ich gut folgen. Ich fühle mich auch bedeutend wohler, meine Daten Ihnen anzuvertrauen als o.g. Firmen. Ich habe ihre Geschaeftsbedingungen und Sicherheitsvohrkehrungen gelesen und fand sie verstaendlich und vor allen Dingen kurz.

Ich plane gerade meine Praxiseröffnung und habe mir überlegt, wie ich nun alles organisiere. In meiner Kinesiologiepraxis habe ich bisher alles an einem Ort gehabt. (naemlich zuhause, ganz schön praktisch) Nun ist das Büro hier, die Praxis dort. Wenn ich nicht dauernd den Laptop mitschleppen will, sondern nur das leichte iPad, draengt sich die Verwendung einer Cloud geradezu auf.
Mir ist noch nicht klar, wie ich das umsetzen werde.

[pgtaboada]

Hallo,

ich selber habe mich mit dem Thema in Bezug auf IT beschäftigt.

Da gibt es nämlich ein Konflikt: Datenschutz und informationelle Selbstbestimmung, also Rechte des Patienten auf der einen Seite, und die Dokumentationspflichten des Therapeuten auf der anderen.

Ein Therapeut muss Dokumentieren, und so lange es sich um ein Aktenschrank handelte, und dieser sicher abgeschlossen wurde, war die Welt noch in Ordnung.

* Was aber wenn der Schrank nicht in der Praxis steht?
* Was aber, wenn der Schrank von jemandem repariert werden muss?

Ersetze Schrank durch Online-System, und wir haben eine IT Diskussion.

Bei der Datenweitergabe (also Besitzwechsel der Patientendaten) an Dritte wird eine Zustimmung des Patienten nötig. So weit so sicher und klar.

Zurück zum Schrank: jemand, der ein Schrank Pflegt hat zwar zugriff zu den Akten, nutzt diese Informationen nicht.
Also findet kein Besitzwechsel statt - aber Schweigepflicht verletzt!!!

Denn der Techniker ist nicht der Schweigepflicht (wie die Rezeptionskraft) gebunden.
Egal, ob der Techniker der Ehemann/ die Ehefrau oder ein Verwandter ist...

Gruss,

Papick

[thomashe]

Das Thema "Aktenschrank" dürfte keinesfalls ein neues Thema oder juristisch ungeklärtes Thema sein. Denn auch in Arztpraxen, Krankenhäusern usw. gibt es diese Situation. Ebenso, dass "Dritte" zum Beispiel Firmen die Reparaturen irgendwelche Art in einer Praxis durchführen.

Grundsätzlich muss vom Praxisinhaber/in sichergestellt werden, er/sie Unbefugten einen Zugang zu Patientendaten nicht ermöglicht. Die Verantwortung liegt also ganz eindeutig dort.
Wie dies geschieht, obliegt auch dem/der Praxisinhaber/in.

Auch die Arztpraxen bemühen Softwarefirmen, um die Praxissoftware zu installieren, zu warten usw. Hier sind die Bestimmung recht eindeutig und klar. Es gibt sogar Informationen im Internet dazu, spezieller Art.

Hier mal eine für Ärzte vorgesehene Seite mit interessanten Info's:

Homepage: www.mit-sicherheit-gut-behandelt.de

[MartinaKirchner]

Danke Thomas für den Link

[pgtaboada]

Hallo Thomas,

natürlich handelt sich bei dem Thema nicht um Neuland oder gar um ein juristisch ungeklärtes Thema. Jedenfalls gilt das für Juristen.

Und ja, größere Arztpraxen bemühen Experten (hoffentlich) und zahlen viel Geld für Software und Infrastruktur. Bei dem Heilpraktiker, der alleine eine Praxis hat, der die gleichen besonders zu schützenden Personendaten digital verarbeiten will, stehen unter Umständen nicht die gleichen Ressourcen zur Verfügung.

Das Thema Aktenschrank - um bei meiner Bildhaften Analogie zu bleiben - ist insofern hoch aktuell, denn viele Therapeuten nutzen heute moderne Informationstechnologie, ohne sich darüber Gedanken zu machen, wo diese Daten überall landen. Dummerweise schützt Unwissenheit nicht, und wie du richtig zitiert hast, die Pflichten liegen auf der Seite des Therapeuten.

Neu meiner Meinung nach ist definitiv die Allgegenwärtigkeit des Internets und die Nutzung von Leistungen bzw. Dienste die kostenlos angeboten werden. Viele tragen mehrere Rechner mit sich - Smartphones, Tabletts - und sind es inzwischen gewohnt, die eigenen Daten auf alle Geräte synchronisiert zu sehen.

Ein kleines Beispiel: Patientendaten im Terminplan. Das iPhone kann Kalenderabos direkt laden, ohne das die Daten einen Umweg über die USA nehmen, Android Geräte hingegen benötigen zusätzliche Programme dafür. Viel einfacher ist es aber, Termine in einem Google Kalender oder ein Apple-iCloud-Kalender zu speichern. Kostet nichts und funktioniert wunderbar. Aber Moment, jetzt werden die Daten auf Servern gespeichert, die ausserhalb der EU liegen.

Weiteres Beispiel: die erwähnte Dropbox löscht zum Beispiel nicht, die Daten können wiederhergestellt werden. Auf der Webseite gibt es dann die Möglichkeit, die gelöschten Dateien anzuzeigen, um diese dann definitiv zu löschen. So oder so sind die Daten mit hoher Wahrscheinlichkeit einmal ausserhalb der EU gelandet.

Nicht selten wird ein selbständiger Therapeut - der auf die Hilfe von Verwandten und Freunden angewiesen ist - sich mit den konkreten technisch organisatorischen Massnahmen nicht auseinandersetzen können. Eventuell aus Bequemlichkeit, eventuell aus der Not heraus, eventuell interessiert es einen einfach nicht. Oder alles zusammen.

Selbst die Lektüre der äussert Wertvollen Informationen hinter deinem Link wird einen Therapeut nur dann weiterhelfen, wenn ein Verständnis dafür vorhanden ist, was wo und wie gespeichert wird. Ich weiss wie lange ich mich mit dem Thema beschäftige (ich bin in der IT Branche und die technischen Hintergründe interessieren mich), wie sieht es aber mit einem Heilpraktiker aus?

Das Thema "Software as a Service" (kurz SaaS) wird leider dort (und auf anderen interessanten Seiten) nicht angesprochen.

Zu diesem Thema wird dann folgende Transferleistung gefordert:

- das System muss mandantenfähig sein
- laut BDSG dürfen die besonders zu schützenden Personendaten nicht die EU verlassen (da muss man dann die Links auf die BDSG verfolgen)
- eine Auftragsdatenverarbeitung (ADV) muss abgeschlossen werden
- die technisch organisatorischen Massnahmen in Bezug auf Datensicherheit und Datenschutz müssen dokumentiert werden
- die Patientendaten dürfen nicht den Besitzer wechseln (hiermit ist die Weitergabe an Dritte, z.Bsp. für die Abrechnung), sonst ist eine Zustimmung des Patienten notwendig

Alleine die ADV hat es in sich: eigentlich ist es Aufgabe des Therapeuten, eine ADV mit dem Dienstleister abzuschließen (schließlich geht es ja um die Patientendaten des Therapeuten, und um dessen Schweigepflicht), aber welcher Therapeut kann das schon? Dienstleister sehen sich hier auch selten in der Pflicht - so eine ADV ist aufwendig.



Ja! der Therapeut ist für die Beurteilung der Zulässigkeit von Zugriffen auf personenbezogene Daten sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich. Jetzt muss man nur noch verstehen, was das bedeutet.

Gruss aus Karlsruhe,

Papick G. Taboada

[thomashe]

Neu meiner Meinung nach ist definitiv die Allgegenwärtigkeit des Internets und die Nutzung von Leistungen bzw. Dienste die kostenlos angeboten werden. Viele tragen mehrere Rechner mit sich - Smartphones, Tabletts - und sind es inzwischen gewohnt, die eigenen Daten auf alle Geräte synchronisiert zu sehen.
Ja! der Therapeut ist für die Beurteilung der Zulässigkeit von Zugriffen auf personenbezogene Daten sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich. Jetzt muss man nur noch verstehen, was das bedeutet.

Ich stimme deinen Ausführung zu. Die Thematik ist hochaktuell und wird durch die Möglichkeiten des Internets sehr brisant.

Entscheidend ist für mich dein letzter Satz. Jeder Therapeut hat dafür Sorge zu tragen, dass er sämtliche personenbezogenen Daten schützt.
Warum sollten also die personenbezogenen Daten nicht dort gespeichert werden, wo der Internetzugriff ausgeschlossen?
Diese Systematik nutzen sehr viele Therapeuten um auf der sicheren Seite zu sein.
Warum als keine strikte Trennung von personenbezogenen Daten und den Übrigen.
Das wird, es mag verwundern oder nicht, von den meisten Therapeuten so gemacht. Denn so neu ist inzwischen die Internetnutzung, die Nutzung von Smartphones, Tablets z.B. durch Ärzte auch nicht mehr!

[pgtaboada]

Warum sollten also die personenbezogenen Daten nicht dort gespeichert werden, wo der Internetzugriff ausgeschlossen?
Diese Systematik nutzen sehr viele Therapeuten um auf der sicheren Seite zu sein.

Ja klar, offline geht immer und hat lange prima funktioniert.

Denn so neu ist inzwischen die Internetnutzung, die Nutzung von Smartphones, Tablets z.B. durch Ärzte auch nicht mehr!

Einzeln gesehen ist nichts neu, aber welche Praxisverwaltung bietet das alles zusammen? Natürlich angenommen, man sucht eine solche Lösung.

Habe diesen Thread gestartet, weil ich mit LEMNISCUS eine Online-Praxisverwaltung anbiete und ich mich mit dem Thema Datenschutz beschäftigt habe, und gesehen habe, dass einige zu naiv mit Google Docs/ Mail/ Kalender oder mit Apples iCloud umgehen.


Gruss,

Papick

[MartinaKirchner]

Personenbezogenen Daten dort zu speichern, wo der Internetzugriff ausgeschlossen ist, bedeutet ja quasi alles schön von Hand aufschreiben und im Aktenordner ablegen. Oder mit eine PC zu arbeiten, der keinen Internetanschluss hat. Denn sobald der Internetanschluss da ist, besteht die Möglichkeit des Zugriffes von aussen. Wenn man ganz spitzfindig ist, hat man hier schon ein Datensicherheitsproblem.

[pgtaboada]

Hallo Martina,

ja klar! Hat ein Haus eine Tür, so kann man rein und rausgehen. Ein bisschen muss man schon aufpassen...

Die meisten haben einen Router, so dass der Rechner nicht direkt am Netz ist, und von "draussen" nicht direkt erreichbar ist. So ein Router bekommt man inzwischen vom Provider "geschenkt" und kostet auch nicht die Welt.

Natürlich ist es auch sinnvoll ein Anti-Virus Programm zu installieren und aktuell zu halten.

Outlook und Internet Explorer würde ich nicht nutzen, dass muss aber jeder für sich entscheiden. Seitdem ich einen Mac habe, habe ich diese Probleme nicht mehr.

Wenn dir jemand eine Mail schickt, und da ist etwas zum anklicken drin (eine Zip Datei oder eine EXE Datei), nicht öffnen.

:-))

[thomashe]

Möchten wir absolute Sicherheit, d.h., kein Dritter soll Zugriff auf persongengeschützte Daten haben, bleibt nur die Wahl - der PC darf nicht ins Internet.
Selbst wenn Virenschutzprogramme installiert sind oder die Wahl der Internetseite überprüft wird oder wird nicht alle Mailanhänge öffnen, wird uns niemand die Sicherheit geben, dass Dritte nicht irgendwie Zugriff auf die Daten bekommen.

Entscheiden ist und bleibt: jede/jeder muss für sich entscheiden, wie weit sie/er geht bzw. die Daten sichert oder nicht.
Denn, wer für den unbefugten Zugriff haftet, gegenüber den Patienten ist klar!
Das ist ggf. strafrechtliche Relevanz hat, ist auch klar!

Also, dürfte jede/jeder diese Frage und Antwort sich selbst geben.
Kein System, keine Software bietet absolute Sicherheit, nicht heute, nicht morgen oder übermorgen.
Denn, selbst wenn die NSA, oder das Pentagon, Banken o.a. gehackt werden, warum nicht auch Praxen

[pgtaboada]

Hui, das ist jetzt übertrieben und Panikmache.

Das funktioniert auch in die andere Richtung: Ein Einbruch in die Praxis und der Rechner ist weg samt Daten. Der Schrank, in denen die Akten abgelegt sind, kann man mit einem Schraubenzieher öffnen. Daten auf USB Stick gesichert und verloren? Gratuliere!

Natürlich, wenn jemand ein XP ohne Firewall und Anti-Virus betreibt, dann handelt er grob fahrlässig. Man lässt auch nicht Türen und Fenster in der Praxis offen. Man behandelt auch nicht auf einer Liege, die kurz davor ist zusammenzubrechen.

EDV und Internet dürfen benutzt werden, einfach ein paar Regeln beachten. Will es nicht verniedlichen, aber auch nicht verteufeln.

Gruss,

Papick

[thomashe]

Ja, das war vielleicht übertrieben, aber letzten Endes für die ganz Unsicheren die beste Lösung

Ich weiß, dass es gute Softwarelösungen gibt, insbes. für Arztpraxen, aber 100% Sicherheit gibts tatsächlich nirgends.

Aber vielleicht bekommst du und die anderen Interessierten nützlich Tipps von der von mir genannten Homepage