Datenschutzmaßnahmen in der Arztpraxis

Wie stellen Arztpraxen ein gutes Datenschutzklima in den Praxisräumen her?

Es liegen den Aufsichtsbehörden zahlreiche Beschwerden über mangelhafte technische und organisatorische Maßnahmen in Arztpraxen vor. Es ist den Verantwortlichen anzuraten, eine Prüfung der in diesem Beitrag aufgeführten Anforderungen und Maßnahmen durchzuführen und sensibel auf die Hinweise von Patientinnen und Patienten einzugehen.

Beschwerden werden insbesondere dann vorgetragen, wenn auf persönliche oder postalische Hinweise Betroffener nicht oder nicht angemessen reagiert wird. Im Zuge einer Auswertung dieser Beschwerden zeigten sich wiederholt die folgenden Mängel:

Fehlende Vertraulichkeit im Bereich der Anmeldung

Insbesondere aufgrund von schwer veränderlichen baulichen Gegebenheiten, liegen Fälle vor, in denen keine ausreichende Trennung zwischen der Anmeldung und dem Wartebereich gegeben war. Patienten sind somit dem Risiko ausgesetzt, dass Wartende die Daten der Person und den Grund für den Arztbesuch aus dem Wartebereich im Detail erfahren können. Dies auch in der Weise, dass Bildschirminhalte auf den IT-Systemen der Anmeldung durch die Wartenden einsehbar sind. Den Verantwortlichen ist eine Prüfung anzuraten, sowohl optisch als auch akustisch für einen hinreichenden Schutz vor der Kenntnisnahme durch Dritte zu sorgen.

Aktenaufbewahrung angrenzend zum Wartebereich

In einigen Fällen waren Warteplätze auf dem Flur in der Nähe von Aktenschränken eingerichtet, die dem Personal der Anmeldung einen leichten Zugriff auf die Papierakten ermöglichen. Im Alltagsgeschäft kann schnell vergessen werden, diese Schränke wieder sicher zu verschließen, was eine Schutzverletzung darstellt. Der Verantwortliche muss in Bezug auf den Inhalt des Aktenschranks prüfen, ob Vertraulichkeit und Verfügbarkeit hinreichend sichergestellt sind.

Möglichkeit des unbefugten Zugriffs auf Daten im Behandlungszimmer

Sofern eine Patientin oder ein Patient allein im Behandlungszimmer wartet, ergibt sich in dieser Zeitspanne häufig die Möglichkeit, in Notizen, etwaige offenliegende Akten oder in angezeigte Bildschirminhalte Einsicht zu nehmen oder aktiv auf die IT-Systeme zuzugreifen. Je nach Aktualität des Systems genügt bereits das Einführen eines USB-Sticks, um das Betriebssystem zu kompromittieren und somit Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden. Neben der Sicherstellung der Aktualität der IT-Systeme ist ggf. der Arbeitsablauf entsprechend diesem Risiko so zu gestalten, dass solche Risiken vermieden werden.

Fehlende SSL/TLS-Verschlüsselung der Webseite

Die Webauftritte der Arztpraxen ermöglichen nicht selten auch eine Kontaktaufnahme zu Termin- oder Behandlungszwecken. Sofern personenbezogene Daten übermittelt werden, muss der Schutz der Vertraulichkeit, Integrität und Authentizität, regelmäßig durch Einsatz von SSL/TLS, sichergestellt sein. Stichprobenartige Prüfungen zeigen hier schon deutliche Verbesserungen, da immer mehr Verantwortliche eine SSL/TLS-gesicherte Verbindung mit dem Webserver ermöglichen.

Betreiber von Arztpraxen haben Sorge zu tragen, dass der Datenschutz durch geeignete technische und organisatorische Maßnahmen sichergestellt wird. Hierzu zählt ebenfalls, dass das eingesetzte Personal auf die Entgegennahme von Hinweisen und einen sensiblen Umgang mit personenbezogenen Daten geschult ist.

Quelle: LDI NRW

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks