Gerade Ärzte können sich spätestens seit dem 25. Mai 2018 keinen noch so kleinen Verlust ihrer hochsensiblen Daten mehr erlauben!

An den Datenschutz der hochsensiblen Daten in Arztpraxen werden ab 25. Mai 2018 mit endgültigem Inkraftreten der EU-DSGVO noch höhere Anforderungen gestellt. Bußgelder drohen ab dann vor allem durch Pannen beim Datenaustausch mit Konzernen wie den Krankenkassen, weil Datenpannen ihrer Geschäftspartner auch auf die Konzerne zurückfallen!

Das heißt konkret: Sobald ein Verlust personenbezogener hochsensibler Daten auftritt, muss der Datenverlust ab Mai 2018 beim Bundesdatenschutzbeauftragten gemeldet werden! Die betroffenen Patienten müssen ebenfalls informiert werden, sofern die Datenpanne für sie unangenehme Folgen haben könnte.

Werden die Daten womöglich öffentlich präsentiert, überschlagen sich die Schadenersatzforderungen und das Image der Praxis nimmt erheblichen Schaden: Welcher Patient kann noch einem Arzt vertrauen, der es mit Datenschutz und IT-Sicherheit nicht so genau nimmt? Niemand möchte im Internet oder der Tageszeitung private Details lesen über seine Krankheiten, nicht einmal, wenn es sich dabei nur um kleine und weit verbreitete Beschwerden handelt, die der betroffenen Person aber peinlich sind.

Neben Datenverlusten beim Austausch von Daten mit den Krankenkassen gibt es noch weitere Risiken, die in den Arztpraxen, die wir bisher kennengelernt haben, leider sehr häufig sind:

technische Maßnahmen (Virenschutz, Firewall etc.) sind nicht aktuell oder zu lasch eingestellt

Daten (auch auf mobilen Geräten) sind nicht verschlüsselt und werden zu selten gesichert

jeder Hacker-Anfänger könnte sensible Patienten-Daten aus dem Netzwerk abgreifen

Rechtvergabe und Zuständige für Maßnahmen wie Backup werden nicht kontrolliert

Schulungen (Awareness für alle Mitarbeiter) fanden nie statt

IT-Sicherheitschecks wurden nie durchgeführt

eine IT-Sicherheitsrichtlinie gibt es nicht

einen Notfallplan auch nicht

Die Existenz Ihrer Praxis und damit Ihr Lebenswerk und Ihr Lebensstandard können durch Datenpannen gefährdet werden. Gerade aus diesem Grund ist es für Sie wichtig einen IT-Dienstleister zu wählen, der sich nachweislich mit IT-Sicherheit und Datenschutz sehr gut auskennt. Wir raten Ihnen sich zu informieren und zu handeln, am besten sofort!

Wir hören oft zum Thema Datenschutz: Bei weniger als zehn Mitarbeitern muss nicht zwingend ein Datenschutzbeauftragter bestellt werden. Das stimmt in den meisten Fällen. Trotzdem muss eine Praxis/ein Unternehmen datenschutzkonform arbeiten. Neuerdings muss der Verantwortliche für die Datenverarbeitung (zum Beispiel der Inhaber einer Praxis) die Einhaltung der Grundsätze nachweisen können. Datenpannen müssen innerhalb von 72 Stunden beim Bundesdatenschutzbeauftragten gemeldet werden.

Gerade aus diesem Grund ist es für Sie wichtig einen IT-Dienstleister zu wählen, der sich nachweislich mit IT-Sicherheit und Datenschutz sehr gut auskennt. Wegen der Pflicht zur Anbieterauswahl in Bezug auf Datenschutz und IT-Sicherheit ist es generell empfehlenswert, sich bei den Geschäftspartnern (Kunden, Lieferanten, Dienstleistern) abzusichern. Das kann in Form einer Erklärung sein, die der Geschäftspartner unterschreiben muss. Hat er keinen Nachweis wie zum Beispiel eine Basisprüfung ITQ, sollte möglichst von Geschäften abgesehen werden. Die Zusammenarbeit könnte sonst zu einem unkalkulierbaren Risiko werden.

Besonders Konzerne stehen im Visier der Datenschützer. Da Konzerne, also auch Krankenkassen, für Unzulänglichkeiten im Datenschutz bei Lieferanten und Dienstleistern mithaften, werden sie sich in den nächsten Wochen bei ihren Geschäftspartnern absichern und sich eine Bestätigung datenschutzkonformen Arbeitens  unterschreiben lassen. Dann können sie ihre Geschäftspartner bei Fehlverhalten in Regress nehmen.

Wenn keine geeigneten Maßnahmen im Bereich Datenschutz und IT-Sicherheit vorgenommen wurden, sehen sich Haftungspersonen (Inhaber der Praxis, Geschäftsleitung, Vorstand) folgenden Risiken ausgesetzt:

persönliche Haftung in Folge von grober Fahrlässigkeit bzw. Vorsatz

Versicherungsschutz fraglich in Folge von Verletzung der Obliegenheitspflichten (Verpflichtung Schäden zu verhindern oder zu minimieren)

Verletzung der Rechenschaftspflicht zur Dokumentation (z.B. Verfahrensverzeichnis)

Verstöße gegen das Datenschutzrecht (EU-DSGVO, BDSG) müssen innerhalb von 72 Stunden bei Bundesdatenschutzbeauftragen gemeldet werden

Verletzung der Pflicht zur Anbieterauswahl, wenn Anbieter sich aus Gründen des Datenschutzes als ungeeignet erweisen.

Umso wichtiger ist es für Sie, rechtzeitig den Status Quo in Sachen IT-Sicherheit und Datenschutz zu ermitteln, zum Beispiel mit einer Basisprüfung ITQ. Warum? Eine sichere IT mit geeigneten technischen und organisatorischen Maßnahmen ist die Grundlage datenschutzkonformen Arbeitens.

Es darf als wahrscheinlich gelten, dass zumindest vorübergehend zum Beispiel IT-Sicherheitschecks wie die ITQ-Basisprüfung für viele Anforderungen als ausreichend angesehen werden. Dabei handelt es sich um eine neutrale und etablierte Methode zur Ermittlung und Verbesserung des Niveaus von IT- und Informationssicherheit im Bereich KMU sowie Arztpraxen (sie gelten auch als Unternehmen) auf Basis des BSI-Grundschutzes/DIN ISO. Die Durchführung und Berichterstellung sind innerhalb von 1-2 Wochen möglich. Näheres finden Sie unter dem Punkt IT-Sicherheitschecks.

Unter den jeweiligen Unterpunkten technischer Schutz, Schulungen, Sicherheitskonzept, Sicherheitschecks für Firmen und Praxen, Managed Security und unsere IT-Sicherheitsspezialisten finden Sie tiefergehende Informationen zum Bereich IT-Sicherheit. Für Details sprechen Sie gern mit Herrn Schubert, unserem erfahrenen IT-Spezialisten für Ärzte.

Apropos Datenschutz: Einer unserer Sicherheitsspezialisten ist auch im Bereich Datenschutz ausgebildet. Er steht Ihnen somit für Datenschutzberatung, Schulung Ihrer Mitarbeiter, Erstellung oder Überarbeitung eines Datenschutzkonzeptes und auch als Datenschutzbeauftragter zur Verfügung. Sofern Sie IT-Kunde von uns sind, dürfen wir Sie nur beraten und alle nötigen Unterlagen erstellen, aber nicht als Datenschutzbeauftragter benannt werden. Gerne nennen wir Ihnen einen externen Datenschutzfachmann, der von Ihnen benannt werden kann.

In Braunschweig und Hamburg finden derzeit unsere Kompakt-Workshops "Datenschutz leicht gemacht für Unternehmer, Ärzte und Freiberufler" statt. Die Teilnehmer lernen unter der Leitung einer Fachkraft für Datenschutz (DEKRA) mit zusätzlicher Autorisierung zum Auditor für IT-Sicherheitschecks ITQ alles, was die Planung und Umsetzung der nötigen Maßnahmen wesentlich erleichtert.

In 4x4 bzw. 8x2 Stunden zeigt Ihnen eine Fachkraft für Datenschutz wie Sie in Ihrer Firma/Praxis ein DSGVO-konformes Datenmanagement einrichten. Das befähigt Sie zielgerichtet die wichtigsten Prozesse für datenschutzkonformes Handeln in Ihrem Unternehmen in die Wege zu leiten.

 

Wenn Sie wissen möchten, ob Ihre Praxis-IT sicher ist, Ihr Team sicherheitsbewusst arbeitet und was es für Möglichkeiten gibt, die Sicherheit zu erhöhen, sprechen Sie uns an. Was Sie tun können und sollten, besprechen wir gerne mit Ihnen persönlich, in Ruhe und auf Augenhöhe. Wir geben Empfehlungen in enger Anlehnung an die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesärztekammer. Es bleibt Ihnen überlassen was Sie damit machen.

Wir schaffen verlässliche Strukturen auf hohem IT-Sicherheitsniveau und beraten Sie gern!

 

Ihre Ansprechpartner bei msv
Dipl.-Ing. Martin Schlaak, Geschäftsleitung, Auditor ITQ und Trainer IT-Sicherheit, Fachkraft für Datenschutz (DEKRA), Notfallmanagement
Hans-Jürgen Schubert, Senior Consultant, IT-Spezialist für das Arztgeschäft, Managed Service und Managed Security, Datenschutz

Wir freuen uns auf eine Kontaktaufnahme per Telefon oder Mail!
Wenn Sie uns besuchen möchten: Unser Firmensitz ist Vordorf und liegt 15km nördlich von Braunschweig. Durch die hervorragende Autobahnanbindung gehören auch Wolfenbüttel, Salzgitter, Wolfsburg, Gifhorn, Peine und Hannover zu unserem Einzugsgebiet. Wir betreuen jedoch auch kleine und mittlere Unternehmen in Schleswig-Holstein, Hamburg, der Lüneburger Heide und im Moseltal.

 

 

 

JSN Boot template designed by JoomlaShine.com