Tipps für effektiven Datenschutz in der Arztpraxis

Datenschutzerklärung auf der Website bei der Erhebung personenbezogener Daten

Der Online-Auftritt ist häufig der erste Berührungspunkt mit Patient:innen und anderen Gesundheitseinrichtungen. Oftmals bilden Einrichtungen dort neben ihrem Behandlungsspektrum und Kontaktmöglichkeiten bereits Weiterleitungen zu den von ihnen genutzten Dienstleistern ab (z.B. zur Online-Terminbuchung oder Videosprechstunde). Sobald personenbezogene Daten (Name, E-Mail-Adresse oder IP-Adresse) erhoben und gespeichert werden, ist eine Datenschutzerklärung als Teil der Website erforderlich.

Der Empfang der Praxis sollte immer besetzt bleiben

Neben einer räumlichen Gestaltung, die Diskretion im Aufnahmegespräch mit Patient:innen zulässt, gibt es weitere Punkte, die zur Wahrung des Datenschutzes beachtet werden sollten. Achten Sie darauf, dass der Empfang zu den Praxisöffnungszeiten besetzt ist. Auf diese Weise stellen Sie sicher, dass keine Unbefugten Zugriff auf Patientendaten erhalten. Dokumente sollten zudem aus Drucker oder Fax entfernt werden, damit sie nicht länger als nötig offen herumliegen und von Fremden gelesen oder entwendet werden können.

Patient:innen sollten möglichst nicht alleine in den Behandlungsräumen zurückgelassen werden

Auch in den Behandlungsräumen sollte sich ein durchdachtes Datenschutzkonzept fortsetzen. Dazu gehört, dass das vertrauliche Gespräch erst hinter geschlossenen Türen beginnt und sich Patient:innen möglichst nicht allein in Behandlungsräumen aufhalten, in denen sich z.B. Patientenakten befinden. Sollten Patient:innen allein im Sprechzimmer warten, sollte der PC gesperrt werden.

Erhebung von Gesundheitsdaten: Patient:innen informieren und ggf. schriftlich absichern

Für die Behandlung von Patient:innen ist die Erhebung bestimmter Datensätze notwendig. Medizinische Einrichtungen sollten die Patient:innen jedoch stets aktiv über die Speicherung, Nutzung und Verarbeitung personenbezogener Daten informieren und sich ggf. auch schriftlich absichern. Es sollten nur Daten erhoben werden, die für die Behandlung notwendig sind, sowie Fristen zur Löschung und Aufbewahrung von Gesundheitsdaten unbedingt eingehalten werden.

IT-Sicherheit in der Arztpraxis

Neben der Verwendung von sicheren Passwörtern, Zwei-Faktor-Authentifizierung und Virenschutzprogrammen können weitere einfache Tipps die IT-Sicherheit von medizinischen Einrichtungen erheblich erhöhen. So sollten niemals private oder unbekannte USB-Sticks verwendet, sowie private und dienstliche E-Mail-Konten voneinander getrennt werden.

Absicherung gegen Cyberangriffe und IT-Vorfälle

Die physische Absicherung der Praxis gegen unbefugtes Eindringen ist eine Selbstverständlichkeit. Im digitalen Zeitalter gilt es jedoch, sich auch für Cyberangriffe oder IT-Vorfälle zu wappnen. Dafür sollten Einrichtungen einen niedergeschriebenen Plan erstellen, der Abläufe und Zuständigkeiten während der Bewältigung eines Notfalles regelt. Auch der Abschluss von Cyberversicherungen ist für Einrichtungen einer bestimmten Größe ratsam. Sie können im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler oder vorsätzliche Manipulation) die Kosten für Sachverständige erstatten, Schadensersatz leisten oder den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.

Regelmäßige Schulungen für das Praxisteam zum Thema Datenschutz

Alle Praxismitarbeitenden sollten regelmäßig zu aktuellen IT-Sicherheitsgefahren bzw. -techniken und zum Datenschutz geschult werden. Bei Einrichtungen ab einer Größe von 20 Mitarbeitenden ist die Ernennung eines oder einer Datenschutzbeauftragten notwendig.