DSGVO - Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten

Stand 6. April 2018

Die DSGVO verpflichtet jede Praxis, technische und organisatorische Maßnahmen (TOM) zu treffen, um den Datenschutz und eine hinreichende Datensicherheit zu garantieren. Eine Übersicht stellen wir unter Downloads zur Verfügung. Folgende Aspekte sollten beachtet werden:

Infrastruktur

Aktuelle Betriebssysteme ermöglichen es, Daten verschlüsselt zu speichern. Dies sollte wenn möglich aktiviert werden.
Es muss gesichert werden, dass nur Berechtigte Zugriff auf Computer mit gespeicherten personenbezogenen Daten haben.
Entsprechende Zugriffsberechtigungen (z.B. Passworte) sind regelmäßig zu überprüfen und ggf. zu ändern. Patientenakten sollen in abschließbaren Aktenschränken gelagert werden.

Sicherungskopien

Zur Sicherung der Patientendaten sind (täglich) Sicherungskopien auf geeigneten externen Medien zu erstellen. Die externe Speicherung von Patientendaten außerhalb der Praxis ist nur unter bestimmten Voraussetzungen zulässig und sollte nur zum Zweck einer zusätzlichen Datensicherung durchgeführt werden.

Die Praxis muss in der Lage sein, nach einem Wechsel des EDV-Systems oder der Software innerhalb angemessener Zeit Daten wieder herstellen zu können.

Zu entsorgende Datenträger müssen durch geeignete Verfahren (z. B. durch mehrfaches Überschreiben) unbrauchbar gemacht werden.

Die Praxis sollte beim Abschluss von EDV-Verträgen darauf achten, dass die gesetzlichen Vorschriften eingehalten werden.

Drahtlose Verbindungen (z.B. WLAN, Bluetooth) in der Praxis können ein Sicherheitsrisiko darstellen. Es muss sichergestellt werden, dass Unbefugte keinen Zugriff auf die interne Kommunikation haben, z. B. durch sichere Passwörter und Verschlüsselung.

Schutz vor Einsichtnahme und Zugriff

Beim Umgang mit Patientendaten ist das Allgemeine Persönlichkeitsrecht des Patienten zu beachten. Sowohl bei üblichen Karteikarten als auch beim Einsatz von Computern muss gewährleistet sein, dass unbefugte Dritte weder im Empfangsbereich noch in den Behandlungsräumen Einblick in Patientendaten erhalten. So dürfen Karteikarten o. ä. auf keinen Fall sichtbar auf dem Empfangstresen liegen, so dass Patienten sie einsehen könnten. Auch wenn Karteikarten in Behandlungsräume mitgenommen werden, muss sichergestellt sein, dass Unbefugte diese nicht einsehen können.

Bildschirme sind so aufzustellen, dass sie nur vom Praxispersonal eingesehen werden können.

Während Telefonaten mit Patienten muss sichergestellt werden, dass Praxismitarbeiter nicht über persönliche Details in Anwesenheit anderer Patienten sprechen.

Sicherheitsvorkehrungen bei externer elektronischer Kommunikation

Auch die externe elektronische Kommunikation (Internet, E-Mail) erfordert spezielle Sicherheitsvorkehrungen. Eine Vorkehrung kann darin bestehen, den Rechner mit Patientendaten von dem Rechner zu trennen, über den die Internetverbindung hergestellt wird. Um Schadsoftware zu verhindern sind ein Virenschutzprogramm und andere geeignete Maßnahmen (Malwareabwehr) zu installieren.

Bei der Übermittlung patientenbezogener Daten über das Internet oder per E-Mail ist sicherzustellen, dass der Zugriff Unbefugter auf die Dokumente ausgeschlossen ist. Dazu muss jede Verbindung verschlüsselt werden, z. B. per SSL. Zur Sicherung der Authentizität kann z. B. eine elektronische Signatur verwendet werden.

Bei einer Übertragung von Patientendaten per Fax ist darauf zu achten, dass im Rahmen einer Abgangskontrolle die richtige Faxnummer und der richtige Adressat angewählt werden. Vor/Nach Absendung eines Faxes kann eine telefonische Rücksprache mit dem Empfänger erforderlich sein.

Mitarbeiter

Alle Mitarbeiter und Mitarbeiterinnen sind ebenfalls verpflichtet, die Grundsätze des Datengeheimnisses einzuhalten. In der Regel wird diese Verpflichtung im Arbeitsvertrag vereinbart. Zum Abgleich haben wir ein Muster der Verpflichtungserklärung für Mitarbeiter bereitgestellt.