Computer, Datenträger und Papierdokumente mit Patienten-bezogenen Daten müssen auf sichere Art entsorgt werden: Funktionsfähige Festplatten sollten mit einer speziellen Software gelöscht werden. Will man ganz sicher gehen, hilft nur, die Festplatten mechanisch zu zerstören. Von Michael Nöhammer*
Patientendaten auf Ebay-Festplatten gefunden“, „Krankenakten auf Gebrauchtrechner entdeckt“ – diese und ähnliche Schlagzeilen in den Medien beleuchten einen Aspekt der ITSicherheit, der üblicherweise im Alltag nicht sehr beachtet wird: Wie lassen sich Daten, die nicht mehr benötigt werden, sicher von Datenträgern entfernen?
Die häufigsten und für die Praxis relevanten Fälle sind die Entsorgung von Sicherungsmedien und die Rückgabe von alten oder defekten Rechnern. Hier ist es besonders wichtig zu wissen, dass Computer, Datenträger und Papierdokumente mit vertraulichen oder Patientenbezogenen Inhalten, die defekt geworden sind oder nicht mehr benötigt werden, auf sichere Art entsorgt werden müssen. Grundsätzlich ist davon auszugehen, dass alle Medien beziehungsweise Rechner, die in einer Ordination zum Einsatz gekommen sind, Patienten-bezogene Daten gespeichert haben.
Was Sie keinesfalls tun sollten:
- Entsorgen Sie Speichermedien oder Festplatten nicht in den Papierkorb oder Hausmüll.
- Übergeben Sie Altgeräte nie ohne entsprechende Sicherheitsmaßnahmen.
Empfohlene Maßnahmen sind:
- Shreddern Sie Papierdokumente selbst oder übergeben Sie diese einem Dienstleister, mit dem Sie einen entsprechenden Vertrag geschlossen haben.
- Zerstören Sie Sicherungs- und Speichermedien physisch durch Zerkleinerung beziehungsweise shreddern.
- Funktionsfähige Festplatten können durch den Einsatz einer geeigneten Lösch-Software gelöscht werden. Das alleinige „Formatieren“ durch das Betriebssystem selbst wird nicht als sicher angesehen.
- Die Auswahl und der korrekte Einsatz einer Lösch-Software sind für Nicht-Fachleute nicht ganz einfach – insbesondere wenn Festplatten gelöscht werden sollen, auf denen ein Betriebssystem läuft. Wir empfehlen für diesen Zweck die Beauftragung eines zertifizierten Dienstleisters, der die korrekte Löschung vertraglich zusichern muss.
- Werden Festplatten aus einem Rechner entnommen und ohne diesen weitergegeben, können die Daten bei Einsatz einer Verschlüsselungs- Software – wie zum Beispiel „Bitlocker“ von Microsoft oder die Open-Source Software „Truecrypt“ – ohne den ursprünglichen Wirtsrechner nicht mehr gelesen werden. Eine Weitergabe ohne den Rechner – und damit ohne den Benutzerschlüssel – ist deshalb datenschutzrechtlich als sicher anzusehen.
- Wollen Sie ganz auf Nummer sicher gehen, zerstören Sie die Festplatten auch physisch (Schredder, Bohrmaschine). Das gilt jedenfalls für nicht funktionsfähige Festplatten beziehungsweise Speichermedien, die anderweitig nicht gelöscht werden können.
Mit diesen Maßnahmen tragen Sie dazu bei, dass die Daten Ihrer Patienten vertraulich bleiben.
*) DI Michael Nöhammer, ÖÄK/Informationstechnologie und Informationssysteme
© Österreichische Ärztezeitung Nr. 21 / 10.11.2014