Wir stehen seit 19 Jahren mit den von uns betreuten Ärzten in enger Kommunikation in Sachen Datenschutz und IT-Sicherheit.

Zunehmend stellten wir fest, dass in Bestandspraxen sowie Altpraxen der Datenschutz und IT-Sicherheit nicht wahrgenommen wird.

Wir entdeckten unverschlossene Altkarteischränke in Gängen oder innerhalb der WC-Räume.
Offene USB-Ports und vieles mehr.

Ein Diebstahl der Karteikarten mit besonders sensiblen Gesundheitsdaten wäre ein Karriereknick für jede Praxis. Es ist nicht nur ein Imageschaden, sondern fordert auch hohe Bußgelder an die entsprechende Datenaufsichtsbehörde.

Auch Kleinpraxen mit zwei bis drei Angestellten benötigen die Sensibilisierung für den Datenschutz.
Eine Bestellpflicht für externe Datenschutzbeauftragte liegt momentan generell ab 20 Personen die mit der elektronischen Datenverarbeitung befasst sind.

Aber Kleinpraxen arbeiten auch mit besonders sensiblen Daten daher ist auch hier eine umfassende Datenschutzberatung von Vorteil.

Wenn es sich bei Ihrer Arztpraxis um eine Kleinpraxis handelt – haben Sie dennoch alle Regeln der DSGVO zu beachten.

Eine Mitarbeiterschulung in Sachen Datenschutz incl. der Geschäftsleitung kann hier absolviert werden.

• Dauer 30 – 40 Minuten mit einem abschließenden Quiz und dem Ausdruck eines Teilnehmerzertifikates für Ihre Personalakte und zur Vorlage bei Nachfragen der Aufsichtsbehörden.
• Die Kosten belaufen sich pro Mitarbeiter auf 35,00 EUR. Hierzu benötigen Sie für jede Person einen Zugangscode.
• Ihren Zugangscode bestellen Sie hier formlos: info@edsb-deutschland.de auf unserer Webseite: https://edsb-deutschland.de/

Hier einige Hinweise für Ihre Praxis:

Anmeldebereich
Der Anmeldebereich ist der erste Eindruck den ein Patient gewinnt, wenn er eine Praxis betritt. Daher wird dieser Bereich sehr offen und freundlich gestaltet. Doch dies birgt in Bezug auf die Einhaltung des Datenschutzes Gefahren.

Empfang
In der Regel kommt man durch eine Eingangstür in einen Flur mit Empfangstresen. Mindestens 3 Türen (Warte- und Behandlungsbereich und Sanitärräume) wird es in der Praxis geben. Gibt es nicht überall Türen oder sind diese immer offen (Wartezimmer) sollte man Vorkehrungen treffen.

- Die Türen sollten immer geschlossen sein/werden
- Einrichten von Diskretionszonen oder anderen organisatorischen Maßnahmen vor dem Tresen
- Ein Anmeldebereich sollte so konzipiert sein, dass immer nur ein Patient bedient werden kann
- Haben Sie mehrere Anmeldebereiche, sollten diese genügend weit auseinander liegen

Tipp:
- Anbringen von Markierungen auf dem Boden in genügendem Abstand vom Tresen, wie man sie inzwischen bei vielen Einrichtungen antrifft
- Keine Stühle für Patienten im Anmeldebereich aufstellen
- Schriftliche und mündliche Hinweise auf Diskretion geben

Terminvergabe / Patientendaten
Es stehen mehrere Patienten gleichzeitig am Tresen zur Anmeldung, Weiterbehandlung oder für die Terminvergabe

- Patienten immer wieder auf Einhaltung der Diskretion hinweisen. Z. B: zum Warten in das Wartezimmer schicken und von dort abholen
- Bei der Anmeldung von Patienten kein mündlicher Austausch von Daten
- Aufnahme von Patientendaten mittels Bogen, den der Patient ausfüllen kann
- Patientenversichertenkarten nicht offen für Unbefugte sichtbar und diebstahlsicher ablegen

Telefon-Gespräche
Im Anmeldebereich befindet sich in der Regel die Telefonanlage der Praxis. An der Anmeldung stehen Patienten, ein Patient ruft an, um seine Laborergebnisse zu erfragen, oder es soll die Weiterbehandlung eines Patienten mit einer anderen Praxis telefonisch koordiniert werden.

- Möglichst Verzicht auf Namensnennung
- Keine Krankengeschichten in Anwesenheit wartender Patienten besprechen
- Keine Befunddaten weitergeben
- Vertrauliche Telefonate unter „Ausschluss der Öffentlichkeit"

Tipp:
Telefonanlage mit Mobilteil. So können solche Gespräche in einem anderen Raum geführt werden.

Faxgerät und Bildschirme
In der Regel steht das Faxgerät an der Anmeldung.

Der Zugriff durch Unbefugte muss ausgeschlossen werden. Das Faxgerät sollte so aufgestellt sein, dass es nicht eingesehen werden kann (Bsp. Papierausdruck mit Schriftbild nach unten). Auch Bildschirme sollten vor Einsichtnahme geschützt werden (Bsp. seitlicher Sichtschutz).

Patientenunterlagen
Karteikarten, zu unterschreibende Überweisungen oder Rezepte, liegen oft auf dem Tresen.
Karteikarten und Patientenakten gehören nicht auf den Tresen, sondern darunter.
Nach Praxisschluss müssen alle Akten und Karteikarten verschlossen werden. Clear desk Prinzip.

Wartebereich
In vielen Praxen findet sich inzwischen ein offener Empfangsbereich mit integriertem Wartebereich. Diskretion ist in solchem Fall nur sehr schwer möglich und erfordert Disziplin vom Praxispersonal. Die wartenden Patienten sollten von dem Behandlungsgeschehen fern gehalten werden. Die Organisation in der Praxis muss so gestaltet sein, dass die Wartenden nicht vom Praxisgeschehen „unterhalten" werden.

Tipp:
Wenn eine räumliche Trennung nicht möglich ist, sollte eine optische und akustische Abschirmung der Wartenden stattfinden.

Behandlungsbereich
In der Regel kommt der Patient in das Behandlungszimmer und ist dort zunächst bis zum Eintreffen des Arztes alleine.
Daher ist es wichtig, dass Karteikarten oder andere Patientendaten nicht in Behandlungs-räumen abgelegt werden. Ebenso sollten sich keine unverschlossenen Aktenschränke in Behandlungszimmern befinden.

Der PC im Behandlungsraum muss so eingerichtet sein, dass kein Unbefugter ihn nutzen oder einsehen kann – passwortgeschützten Bildschirmschoner einrichten.
Die Türen zum Behandlungszimmer sollten stets verschlossen sein, solange ein Patient sich im Zimmer aufhält.
Kein Behandlungsraum sollte als Durchgang zu einem anderen Raum genutzt werden müssen.
Alle Behandlungsräume sollten schalldicht sein. Eine Abtrennung von Behandlungskabinen durch Vorhänge ist nicht zulässig. Ausnahmen sind z.B: Räume in denen Inhalationsgeräte von Patienten genutzt werden.

EDV - Datensicherheit
Durch die Einführung der Krankenversichertenkarte werden die papierenen Karteikarten immer mehr durch Bits und Bytes ersetzt. Dies erleichtert auch den elektronischen Datenaustausch, stellt aber auch hohe Anforderungen an die ärztliche Schweigepflicht. Elektronische Aufzeichnungen bedürfen besonderer Sicherungs- und Schutzmaßnahmen, um Veränderungen, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Ganz allgemein gilt das Transparenzprinzip.

Folgende Kriterien müssen vorliegen:

- Schutz vor unbefugter Preisgabe (Diskretion)
- Unversehrtheit der Daten (Integrität)
- Herkunft der Daten (Authentizität)
- Verfügbarkeit und Revision (wer, wann, was)

Tipp:
Alle PC´s sollten mit passwortgeschützen Bildschirmschonern eingerichtet werden. Dabei sollte jeder Mitarbeiter für den Zugriff auf die Patientendaten über ein eigenes Passwort verfügen. Die Passwörter müssen sicher sein, und ein regelmäßig vorgegebener Passwortwechsel muss erfolgen.
Alle Laufwerke des PC´s sollten vor unberechtigtem Zugriff gesichert werden. USB-Anschlüsse und CD-Laufwerke nicht vergessen.
Die Patientendaten sollten grundsätzlich nur verschlüsselt auf der Festplatte abgelegt werden und erst bei berechtigtem Zugriff automatisch entschlüsselt werden.

Datensicherung
Die elektronischen Daten der Arztpraxis müssen regelmäßig gesichert werden, zum Beispiel durch tägliche Sicherungskopien auf Diskette oder Band. Diese Sicherungskopien sind sicher zu verwahren.

Tipp:
Aufbewahrung in einem befestigten und feuersicheren Tresor. Auch bei dieser Schnittstelle der Datensicherung muss verhindert werden, dass Patienten-daten unbefugt auf einen Datenträger gezogen werden können.

EDV-System-Wartung
In der Regel werden sämtliche EDV-Wartungsarbeiten von externen Technikern durchgeführt. Beim Zugriff auf das System ist nicht auszuschließen, dass der Techniker Zugriff auf Echtdaten der Patienten erhält. Dies ist ein Verstoß gegen die ärztliche Schweigepflicht. Ein Zugriff darf erst dann möglich sein, wenn im konkreten Fall eine Freischaltung durch das Praxispersonal erfolgt ist.

Tipp:
Vermeidung durch technische und organisatorische Maßnahmen, wie
- Mitverfolgung der Wartungstätigkeit durch Praxismitarbeiter, wenn der Zugriff auf Patientendaten nicht auszuschließen ist.
- Verschlüsselung der Patientendaten
- Datenschutzklausel im Wartungsvertrag bzw. im Vertrag nach § 11 BDSG.

Internetzugang in der Praxis
Internetzugang in der Praxis ist sicher eine sinnvolle Unterstützung für die tägliche Arbeit. Sie stellt aber auch ein hohes Risiko dar. Daher sollte der PC mit Internetzugang grundsätzlich eine Insellösung sein. Das bedeutet, dass auf diesem PC keine Patientendaten gespeichert werden. Ist eine Insellösung nicht möglich, muss der PC mit Internetzugang entsprechend geschützt sein.

Aktualisiert am: 11.11.2019
Autor: M. A. Gitte & Henning Wehming