Verschlüsseln und verschließen: Tipps zur Datensicherung in der Arztpraxis

Praxismanagement , Praxis-IT Autor: Ruth Bahners

Privater E-Mail-Empfang und Praxis-WLAN bergen vermeidbare Risiken. Rechts: Hausarzt Dr. Oscar Pfeifer. © Fotolia/Sashkin, privat

Viele Praxen befürchten, dass die Anbindung an die Telematikinfrastruktur mit erheblichen Risiken für den Datenschutz verbunden ist. Doch das größte Problem sei immer noch „das physische Klauen von Daten“, sagt ein Kollege – und gibt Ratschläge, was man dagegen tun kann.

Dr. Oscar Pfeifer, Hausarzt in Mülheim an der Ruhr und Aktivist in der Qualitätssicherung, meint: „Bevor Sie einen Spezialisten gegen Hacker einschalten, sichern Sie die Praxis erst mal gegen Diebstahl.“ US-amerikanischen Studien zufolge seien nur 6 % der Verluste medizinischer Daten auf Hackerangriffe zurückzuführen, rund 50 % würden einfach direkt geklaut.

Um Datendiebstahl und den Einblick Unbefugter in relevante Akten zu verhindern, hat Dr. Pfeifer in seiner Gemeinschaftspraxis das Team angewiesen, alle medizinischen Unterlagen abends wegzuschließen. „Wenn die Reinigungskraft Informationen über Patienten weiterträgt, ist dem nur schwer beizukommen“, warnt der Hausarzt. Denn nur das medizinische Personal unterliege der Schweigepflicht, das Reinigungspersonal aber nicht.

Das abendliche Abschließen des Serverraums genügt aber nicht. Der Rechner am Arbeitsplatz kann unter den Arm geklemmt und Wechseldatenträger schnell in eine Tasche gesteckt werden. Besonders übel wird es dann, wenn die nicht verschlüsselt und damit für jeden lesbar sind.

Deshalb rät der Hausarzt dringend zu Zugangsbeschränkungen. „Wer dazu aber Passwörter einsetzt, ist ein armer Hund“, sagt Dr. Pfeifer. Er arbeitet im Laufe eines Tages an zehn Rechnern in verschiedenen Praxisräumen. Jedes Mal ein Passwort einzugeben, dauert ihm zu lange. Deshalb setzt er auf Transponder mit definierten Zugangsrechten.

Techniker kontrollieren, Datenträger verschlüsseln

Vorsicht sei auch geboten beim Zugang von Dritten zum Praxissystem. „Wenn ein Servicetechniker online oder vor Ort an einem Ihrer Rechner arbeitet, stellen Sie ihn unter Beob­achtung“, rät Pfeifer. Nur so lasse sich sicherstellen, dass der Techniker im Profil von Frau Mustermann und nicht in den echten Patientendateien arbeite. Das könnte auch im Schadensfall wichtig werden, gegenüber der Versicherung zum Beispiel.

Das Verlieren von – unverschlüsselten – Informationen ist ein weiteres Problem. Datenträger würden mit nach Hause genommen, „aus Angst, die Praxis könnte abbrennen“, sagt Dr. Pfeifer. Darum lautet sein Grundsatz: „Werden Datenträger aus der Praxis mitgenommen, dann nur mit verschlüsselten Daten.“

Konnektor richtig anschließen

Über Konnektoren können sich Praxen sicher mit der Telematik-Infrastruktur (TI) verbinden – allerdings nur, wenn der Konnektor im Praxisnetz direkt hinter dem DSL-Router angeschlossen wird. Darauf macht Gilbert Mohr, der IT-Experte der KV Nordrhein, aufmerksam. Das Internet sei so für die Praxis lediglich über den VPN- Zugangsdienstleister erreichbar und diese „damit geschützt“. Diese Konfiguration sei etwas komplexer für den Installateur und deshalb in den Testregionen nicht immer eingehalten worden. „Andere Konfigurationen wie der Anschluss des Konnektors neben dem Praxisnetzwerk schützen nicht vor unberechtigten Zugriffen von außen“, warnt Mohr.

Für Updates der Praxisverwaltungssoftware oder des Windows-Betriebssystems muss ein sicherer Internetzugang bestehen. Dazu gehört gute, ständig aktuelle Virensoftware. Zusätzlich führe seine Praxis eine schwarze Liste mit potenziell gefährlichen Internetadressen, erzählt der Hausarzt. Den Empfang privater E-Mails auf dem Praxis­system sollte man untersagen; Smartphones machten das unnötig. Dr. Pfeifer rät, auf WLAN in der Praxis zu verzichten. Hacker seien über diesen Weg genauso schnell im Praxissystem wie über das Internet. Das gelte auch für das heimische WLAN. „Arbeiten Sie zu Hause, dann auf keinen Fall auf dem Familienrechner“, warnt der Arzt.

Das gute alte Fax sei keine sicherere Alternative – im Gegenteil. Wie häufig komme es vor, dass Daten an die falsche Faxadresse gefaxt würden. In seiner Praxis würden daher z.B. Labordaten nicht mehr an Patienten gefaxt; „da ist der Postweg sicherer“.