Recht und Verträge

Hier stehen die gesetzlichen und vertraglichen Erfordernisse für die vertragsärztliche Versorgung im Mittelpunkt. Sie finden zusammengefasst Satzungen und Richtlinien, ausgewählte Verträge und Vereinbarungen speziell für unser Land als auch auf Bundesebene. Dazu bietet die KVMV rechtliche Informationen zu verschiedenen Themen des Praxisalltages an.

(c) KVMV, Schrubbe

Datenschutz in der Praxissoftware

Nicht nur durch den Telekom-Skandal rückt der Datenschutz immer stärker in das Augenmerk der Öffentlichkeit. Einen vergleichbaren Daten-GAU in der Praxis kann man jedoch vermeiden, wenn man grundlegende Maßnahmen getroffen hat. Ein besonderes Risiko kann dabei das alltägliche Arbeitsmittel der Ärzte darstellen, die Praxissoftware.

Während früher Patientenkarten oder -akten einzeln durchgeblättert und auf den Kopierer gelegt werden mussten, können heute mit modernster Technik alle vorhandenen Daten in kürzester Zeit vervielfältigt werden und dies in einer Art und Weise, dass der Praxisinhaber davon nicht einmal etwas bemerkt. Der Schutz der Daten ist dabei gerade in der Praxis außerordentlich wichtig. Aufgrund der Verschwiegenheitspflicht von Ärzten und Psychotherapeuten sind besondere Schutzvorkehrungen zu treffen, die z. B. im Bundesdatenschutzgesetz anschaulich geregelt sind.

Allein schon weil das Bundesdatenschutzgesetz inhaltlich sinnvolle Regelungen enthält, sollte dessen Anwendung gewissenhaft geprüft werden. Insbesondere die technischen und organisatorischen Maßnahmen aus dem Anhang des § 9 Bundesdatenschutzgesetz bieten einen idealen Leitfaden für einen Abgleich, ob die eigene Praxissoftware datenschutzgerecht gestaltet ist. Dabei sollten die Maßnahmen wie nacheinander aufgebaute Hürden gestaltet werden, um einen etwaigen Missbrauch weitestgehend zu erschweren bzw. zu vermeiden.

Zugangskontrolle

Eine erste Hürde sollte dabei die Zugangskontrolle (Login) sein. Dabei sollte die Praxissoftware nicht durch jedermann benutzt werden können. Insoweit sollte mit „Ja“ auf die Frage geantwortet werden können, ob beim Start der Praxissoftware nach individuellem Benutzernamen und Passwort gefragt wird.

Zugriffskontrolle

Eine weitere Hürde stellt die Zugriffskontrolle (Benutzerrechte) dar. So sollte nach dem erfolgreichen Login der Benutzer nicht auf alle Bereiche zugreifen können, sondern nur auf solche, für die er auch die fachliche bzw. die ihm zugeteilte Berechtigung besitzt. Mithin sollte die Frage, ob in der Software Benutzerrechte vergeben werden können, mit „Ja“ beantwortet werden können.

Weitergabekontrolle

Ein weiteres Sicherheitskriterium sollte die Weitergabekontrolle (Verschlüsselung) sein. Während ihres Transportes und nach ihrer Speicherung sollten die Daten auf Datenträgern so geschützt sein, dass Unbefugte die Daten nicht lesen, verändern oder löschen können. Bei einem sogenannten Fernarbeitsplatz, mit dem auf die Praxissoftware zugegriffen werden kann, sollte dies durch eine verschlüsselte Internetleitung erfolgen (VPN). E-Mails, die sensible Daten enthalten, dürfen dabei nicht unverschlüsselt verschickt werden. Folglich sollte die Frage, ob die Software eine Datenverschlüsselung unterstützt, mit „Ja“ beantwortet werden können.

Eingabekontrolle

Ein weiteres wichtiges Kriterium ist die Eingabekontrolle (Logdatei). Um fehlerhafte Eingaben in der Software entdecken zu können, sollte man die einzelnen Vorgänge nachvollziehen können. Letztendlich ist nicht auszuschließen, dass neben einem einfachen Vertippen auch bösartige Manipulationen oder gar Softwarefehler verantwortlich sein könnten. Insoweit müsste auch mit „Ja“ beantwortet werden können, ob die Software in der Lage ist, das Anlegen, Verändern und Löschen von Datensätzen zu protokollieren.

Verfügbarkeitskontrolle

Als letztes wichtiges Kriterium ist die Verfügbarkeitskontrolle (Sicherung) zu nennen. Auch die besten geschützten Daten nützen nichts, wenn sie durch einen Hardwaredefekt oder durch einen Wasser- oder Feuerschaden nicht mehr lesbar sind. Insofern sollte auch die Frage, ob die Software in einem sicherungsfähigen Format vorliegt und ob ein Backup erfolgt, gleichfalls mit „Ja“ beantwortet werden können.

Sollten Sie in der Lage sein, alle vorgenannten Fragen mit „Ja“ zu beantworten, erscheint Ihre Praxissoftware datenschutzgerecht gestaltet. Darüber hinaus möchte die KV jedem empfehlen, sich von seinem Anbieter umfassend beraten zu lassen, wobei man sich auch über Zusatzfunktionen, wie etwa die E-Mail-Verschlüsselung, erkundigen sollte. Schließlich geht es in einem Schadensfall nicht nur darum, den guten Ruf zu wahren.

(aus Journal der KVMV, Januar 2009, S.7)

Anlage zu § 9 Satz 1 des Bundesdatenschutzgesetzes

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  • zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
  • zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  • zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  • zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

ANSPRECHPARTNER

Thomas Schmidt (c) KVMV, Schilder

Assessor Thomas Schmidt

Sekretariat des Justitiariats
Astrid Ebert, Martina Dreifke

Tel.: 0385.7431 224
Tel.: 0385.7431 221
Fax: 0385.7431 452
E-Mail: justitiar@kvmv.de