Daten­schutz im Arzt-All­­tag: Vom Pass­wort bis zur Entsorgung

25.09.2013 | Poli­tik

Es gebe kaum etwas an kri­ti­schen Sicher­heits­vor­fäl­len, was er noch nicht erlebt habe, erklärt der Sicher­heits­ex­perte und IT-Zivil­in­­ge­­nieur Wolf­gang Prent­ner. So sollte bei­spiels­weise bei der Fern­war­tung, die unter Auf­sicht erfol­gen sollte, eine Gehei­m­hal­­tungs- und Daten­schutz­ver­ein­ba­rung abge­schlos­sen wer­den.
Von Bar­bara Wakolbinger

Der Ein­satz von IT- und EDV-Tech­­nik in der Ordi­na­tion bringt auch in punkto Daten­schutz einige Her­aus­for­de­run­gen mit sich. Vor allem PCs mit Inter­net­ver­bin­dung müs­sen regel­mä­ßig gewar­tet wer­den, um die Sicher­heit von Arzt- und Pati­en­ten­da­ten zu gewähr­leis­ten, erklärt IT-Zivil­in­­ge­­nieur und Daten­schutz­ex­perte Wolf­gang Prent­ner aus Wien. Als „Daten­­si­cher­heits-Basics“ stuft der Experte Viren­schutz und Fire­wall ein, die heute oft güns­tig als Kombi-Paket zu erwer­ben sind. Hier muss man als Nut­zer vor allem auf das täg­li­che auto­ma­ti­sche Update ach­ten. Bei der Fire­wall sollte außer­dem sicher­ge­stellt sein, dass nur Dienste, die wirk­lich benö­tigt wer­den, nach außen bezie­hungs­weise nach innen frei­ge­schal­tet sind.

Im Pee­ring Point etwa ist eine zen­trale Fire­wall ein­ge­baut. Bei „Inter­net über Pee­ring Point“ sind drei Lizen­zen einer Anti­­vi­­ren-Sof­t­­ware inklu­diert, was mög­li­cher­weise den Ankauf eines eige­nen Pro­dukts erspart. Wenn schon Inter­net in der Ordi­na­tion, dann über den Pee­ring Point, so die Emp­feh­lung der ÖÄK.

„Ein aktu­el­les Betriebs­sys­tem mit aktu­el­len Sicher­heits-Updates, Pas­s­­wort-Rege­­lung und einer Benut­zer­ver­wal­tung gehört ein­fach dazu“, meint Prent­ner. Die Inves­ti­tion in aktu­elle Soft­ware lohnt sich, denn die Fol­ge­kos­ten eines Daten­ver­lusts sind nicht zu unter­schät­zen. Das per­sön­li­che Pass­wort sollte min­des­tens sie­ben Zei­chen haben, idea­ler­weise aus Buch­sta­ben, Zah­len und Son­der­zei­chen bestehen und spä­tes­tens alle sechs Monate gewech­selt wer­den. Um sich gute Pass­worte auch tat­säch­lich zu mer­ken, hat der Experte einen ein­fa­chen Tipp: „Am bes­ten über­legt man sich einen Frage- oder Aus­ru­fe­satz, nimmt nur die Anfangs­buch­sta­ben und ersetzt Zahl­worte durch Ziffern.“

Kom­ple­xere Daten­si­cher­heits­fra­gen wie etwa die War­tung der EDV legt man laut Prent­ner aller­dings am bes­ten in die Hände von Pro­fis. „Suchen Sie sich einen Dienst­leis­ter, dem Sie ver­trauen. ISO-Zer­­ti­­fi­­kate kön­nen hier einen ers­ten Anhalts­punkt geben.“ Denn es gebe auch „schwarze Schafe“ in der Bran­che, warnt der Sicher­heits­tech­ni­ker. Bei der Zusam­men­ar­beit mit dem Bun­des­kri­mi­nal­amt stößt Prent­ner immer wie­der auf Fälle, in denen Dienst­leis­ter das Ver­trauen ihrer Kun­den miss­braucht haben und Daten mit­ge­le­sen oder sogar wei­ter­ge­ge­ben haben. „Es gibt kaum etwas, was ich noch nicht an kri­ti­schen Sicher­heits­vor­fäl­len erlebt habe“, berich­tet er.

Fern­war­tung nur unter Aufsicht

Des­halb sollte die Fern­war­tung durch den Dienst­leis­ter auch nicht am Abend oder in der Nacht statt­fin­den, son­dern unter Auf­sicht und nach per­sön­li­cher Frei­gabe des Zugangs. Das sei zwar auf­wän­di­ger, aber deut­lich siche­rer, erklärt Prent­ner. Außer­dem sollte eine Gehei­m­hal­­tungs- und Daten­schutz­ver­ein­ba­rung abge­schlos­sen wer­den. Das gilt auch für die Aus­wahl der Firma für die elek­tro­ni­sche Befund­über­mitt­lung. Laut Daten­schutz­ge­setz muss eine ent­spre­chende Ver­ein­ba­rung mit dem Dienst­leis­ter abge­schlos­sen wer­den. Für die Befund­über­tra­gung gilt das Gesund­heits­te­le­ma­tik­ge­setz. Darin ist u.a. gere­gelt, dass die Über­tra­gung über ein gesi­cher­tes Netz­werk (GIN) der Ver­schlüs­se­lung von Daten gleich­ge­stellt ist. 

Um zu ver­mei­den, dass Daten ver­lo­ren gehen, soll­ten auch regel­mä­ßige Back-Ups auf der Tages­ord­nung ste­hen. Dabei ist vor allem dar­auf zu ach­ten, dass die Daten tat­säch­lich auf eine externe Fest­platte oder DVDs geschrie­ben wer­den und das Siche­rungs­pro­gramm keine Feh­ler auf­weist. Vor­sicht: Es kann eine bis zu 30-jäh­­rige Auf­be­wah­rungs­pflicht der Daten bestehen.

Fest­plat­ten: Weg­wer­fen verboten

An die Daten­si­cher­heit müsse man auch dann den­ken, wenn der Com­pu­ter nicht mehr ein­ge­setzt wird, so Prent­ner. Fest­plat­ten oder ganze Com­pu­ter ein­fach weg­zu­wer­fen oder in Repa­ra­tur zu geben, ist pro­ble­ma­tisch. „Die Daten müs­sen sicher gelöscht sein, am bes­ten mehr­fach und zum Bei­spiel mit der dafür vor­ge­se­he­nen Funk­tion des Viren­schut­zes.“ Denn sonst kön­nen die Daten schon mit ein­fachs­ten Mit­teln wie­der­her­ge­stellt wer­den. Bei der Repa­ra­tur rät der Experte, eine Ver­ein­ba­rung mit dem Fach­mann ein­zu­ge­hen, in der eine daten­schutz­kon­forme Löschung der Daten zuge­si­chert wird.“

Aber nicht nur die vir­tu­elle, auch die phy­si­sche Daten­si­cher­heit spielt eine Rolle: Back-Ups soll­ten in einem getrenn­ten Brand­schutz­be­reich der Ordi­na­tion sicher ver­wahrt wer­den. Im Ide­al­fall steht auch der Ser­ver getrennt von den Ordi­na­ti­ons­räum­lich­kei­ten. „Auch Alarm­an­la­gen spie­len eine immer grö­ßere Rolle“, da bei einem Ein­bruch oft­mals ganze Com­pu­ter­an­la­gen gestoh­len wer­den, macht Prent­ner aufmerksam.

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 18 /​25.09.2013