Nicht erst seit der DSGVO ist das Thema Datenschutz in aller Munde und führt oft zu paradoxen Situationen. Letztendlich sind Daten und das sichere Handling der Daten die Grundlage für das Funktionieren der Praxis. „Wird schon gut gehen! Wen soll das schon interessieren?“ – eine sehr trügerische Annahme, denn Patientendaten müssen geschützt werden. Der Missbrauch von vertraulichen Daten jedweder Art durch Unbefugte ist bei genauerer Betrachtung eine Horrorvorstellung. Doch es gibt noch ein anderes Szenario, das nicht unbedingt weniger erschreckend ist: Stellen Sie sich vor, alle Patientendaten sind von einem Augenblick zum anderen nicht mehr verfügbar. Der Praxisbetrieb käme zum Erliegen. Weder das Risiko des Datenmissbrauchs noch ein Datenverlust lassen sich zu 100% ausschließen. Auch wenn alle IT-Systeme korrekt installiert, die Mitarbeiter geschult und die geltenden Sicherheitsanforderungen der Kassenärztlichen Vereinigung erfüllt sind, kann es passieren, dass unbeabsichtigt oder durch technische Ausfälle die Praxis zum Erliegen kommt. Umso wichtiger ist es, die Wahrscheinlichkeit für Datenmissbrauch und Datenverlust so weit wie möglich zu senken.
Patientendaten-Klau – gibt es das wirklich?
Die meisten Angriffe sind nicht zielgerichtet und beschränken sich auf eine einzelne Praxis. Oft werden Sicherheitslücken ausgenutzt, die viele betreffen könnten, und Schadsoftware wird an möglichst große Verteilergruppen verschickt, beispielsweise per Mail. Arztpraxen stellen aufgrund der Patientendaten ein attraktives Ziel dar, das häufig nur mangelhaft geschützt ist. Nicht ohne Grund hat die Kassenärztliche Vereinigung eine Cyber-Versicherung als Schutz in Ihre Ratgeber aufgenommen. Die Risiken sind vielseitig und Praxen bieten ein einfaches Angriffsziel.
Das Praxis-Verwaltungssystem (PVS) ist das Herzstück einer jeden Praxis
Es stellt sozusagen das elektronische (Daten-)Herz Ihrer Praxis dar. Arbeitet dieses Herz nicht mehr einwandfrei, d.h., die Daten stehen nicht mehr unverfälscht und vollständig zur Verfügung, hat man vielleicht noch das Glück, auf veraltete Daten zurückgreifen zu können. Aber in Zeiten von papierlosen Praxen und digitaler Patientenakte wird das nicht mehr weiterhelfen. Das „Wer darf was?“ ist beim Schutz von Daten von zentraler Bedeutung. In vielen Praxen haben alle Mitarbeiter kompletten Zugriff auf alle Daten oder können Software installieren. Wenn man ehrlich ist und sich fragt: „Ist das wirklich nötig, dass beispielsweise auch ich auf alles zugreifen kann?“, kann man die Frage häufig mit „Nein“ beantworten.
Sogenannte Rollenkonzepte begrenzen die missbräuchliche Bedienung von PVS und anderen Systemen. Eine Rolle in der IT beschreibt unter anderem die Zugangsrechte zu IT-Systemen und/oder die Zuordnung von Ausführungsrechten innerhalb von Anwendungen. Jeder kann dann nur die Funktionen nutzen, die auch für seine Arbeit notwendig sind. Verändert sich die Rolle des Mitarbeiters innerhalb der Praxis, wird auch die entsprechende IT-Rolle angepasst. Auf diese Weise wird vermieden, dass eine unnötige, zu weitreichende Rechtevergabe zu unautorisierten Aktionen führt. Dies dient vor allem dem Schutz der Mitarbeiter und des Systems. Stellen Sie sich vor, Sie erhalten einen USB-Stick mit Röntgendaten eines Patienten und sollen diesen aufspielen. Der Patient hat unwissentlich als Trojaner-Wirt fungiert und der USB-Stick hat die Praxis mit einem Virus oder Trojaner infiziert. Wenn die Rechte so vergeben sind, dass Sie keine Software ausführen bzw. installieren dürfen, die nicht autorisiert ist, kann der Stick keinen größeren Schaden zufügen. Vereinfacht dargestellt sind für dieses Problem nicht mehr als zwei Klicks notwendig.
