Es gebe kaum etwas an kritischen Sicherheitsvorfällen, was er noch nicht erlebt habe, erklärt der Sicherheitsexperte und IT-Zivilingenieur Wolfgang Prentner. So sollte beispielsweise bei der Fernwartung, die unter Aufsicht erfolgen sollte, eine Geheimhaltungs- und Datenschutzvereinbarung abgeschlossen werden.
Von Barbara Wakolbinger
Der Einsatz von IT- und EDV-Technik in der Ordination bringt auch in punkto Datenschutz einige Herausforderungen mit sich. Vor allem PCs mit Internetverbindung müssen regelmäßig gewartet werden, um die Sicherheit von Arzt- und Patientendaten zu gewährleisten, erklärt IT-Zivilingenieur und Datenschutzexperte Wolfgang Prentner aus Wien. Als „Datensicherheits-Basics“ stuft der Experte Virenschutz und Firewall ein, die heute oft günstig als Kombi-Paket zu erwerben sind. Hier muss man als Nutzer vor allem auf das tägliche automatische Update achten. Bei der Firewall sollte außerdem sichergestellt sein, dass nur Dienste, die wirklich benötigt werden, nach außen beziehungsweise nach innen freigeschaltet sind.
Im Peering Point etwa ist eine zentrale Firewall eingebaut. Bei „Internet über Peering Point“ sind drei Lizenzen einer Antiviren-Software inkludiert, was möglicherweise den Ankauf eines eigenen Produkts erspart. Wenn schon Internet in der Ordination, dann über den Peering Point, so die Empfehlung der ÖÄK.
„Ein aktuelles Betriebssystem mit aktuellen Sicherheits-Updates, Passwort-Regelung und einer Benutzerverwaltung gehört einfach dazu“, meint Prentner. Die Investition in aktuelle Software lohnt sich, denn die Folgekosten eines Datenverlusts sind nicht zu unterschätzen. Das persönliche Passwort sollte mindestens sieben Zeichen haben, idealerweise aus Buchstaben, Zahlen und Sonderzeichen bestehen und spätestens alle sechs Monate gewechselt werden. Um sich gute Passworte auch tatsächlich zu merken, hat der Experte einen einfachen Tipp: „Am besten überlegt man sich einen Frage- oder Ausrufesatz, nimmt nur die Anfangsbuchstaben und ersetzt Zahlworte durch Ziffern.“
Komplexere Datensicherheitsfragen wie etwa die Wartung der EDV legt man laut Prentner allerdings am besten in die Hände von Profis. „Suchen Sie sich einen Dienstleister, dem Sie vertrauen. ISO-Zertifikate können hier einen ersten Anhaltspunkt geben.“ Denn es gebe auch „schwarze Schafe“ in der Branche, warnt der Sicherheitstechniker. Bei der Zusammenarbeit mit dem Bundeskriminalamt stößt Prentner immer wieder auf Fälle, in denen Dienstleister das Vertrauen ihrer Kunden missbraucht haben und Daten mitgelesen oder sogar weitergegeben haben. „Es gibt kaum etwas, was ich noch nicht an kritischen Sicherheitsvorfällen erlebt habe“, berichtet er.
Fernwartung nur unter Aufsicht
Deshalb sollte die Fernwartung durch den Dienstleister auch nicht am Abend oder in der Nacht stattfinden, sondern unter Aufsicht und nach persönlicher Freigabe des Zugangs. Das sei zwar aufwändiger, aber deutlich sicherer, erklärt Prentner. Außerdem sollte eine Geheimhaltungs- und Datenschutzvereinbarung abgeschlossen werden. Das gilt auch für die Auswahl der Firma für die elektronische Befundübermittlung. Laut Datenschutzgesetz muss eine entsprechende Vereinbarung mit dem Dienstleister abgeschlossen werden. Für die Befundübertragung gilt das Gesundheitstelematikgesetz. Darin ist u.a. geregelt, dass die Übertragung über ein gesichertes Netzwerk (GIN) der Verschlüsselung von Daten gleichgestellt ist.
Um zu vermeiden, dass Daten verloren gehen, sollten auch regelmäßige Back-Ups auf der Tagesordnung stehen. Dabei ist vor allem darauf zu achten, dass die Daten tatsächlich auf eine externe Festplatte oder DVDs geschrieben werden und das Sicherungsprogramm keine Fehler aufweist. Vorsicht: Es kann eine bis zu 30-jährige Aufbewahrungspflicht der Daten bestehen.
Festplatten: Wegwerfen verboten
An die Datensicherheit müsse man auch dann denken, wenn der Computer nicht mehr eingesetzt wird, so Prentner. Festplatten oder ganze Computer einfach wegzuwerfen oder in Reparatur zu geben, ist problematisch. „Die Daten müssen sicher gelöscht sein, am besten mehrfach und zum Beispiel mit der dafür vorgesehenen Funktion des Virenschutzes.“ Denn sonst können die Daten schon mit einfachsten Mitteln wiederhergestellt werden. Bei der Reparatur rät der Experte, eine Vereinbarung mit dem Fachmann einzugehen, in der eine datenschutzkonforme Löschung der Daten zugesichert wird.“
Aber nicht nur die virtuelle, auch die physische Datensicherheit spielt eine Rolle: Back-Ups sollten in einem getrennten Brandschutzbereich der Ordination sicher verwahrt werden. Im Idealfall steht auch der Server getrennt von den Ordinationsräumlichkeiten. „Auch Alarmanlagen spielen eine immer größere Rolle“, da bei einem Einbruch oftmals ganze Computeranlagen gestohlen werden, macht Prentner aufmerksam.
© Österreichische Ärztezeitung Nr. 18 / 25.09.2013