9. Mai 2022

IT-Sicherheit: Was du bei der technischen Ausstattung deiner Praxis beachten solltest

Als Praxisinhaber:in, der:die mit der Zeit geht, werden digitale Anwendungen im Arbeitsalltag immer wichtiger. Egal ob beim Thema Dokumentation der Behandlungen, bei der Praxisverwaltung oder beim Anschluss an die Telematikinfrastruktur – wichtig ist vor allem, dass alle Daten sicher und vor Hackerangriffen geschützt sind. Wie du deine Praxis technisch richtig ausstattest und welche Tools dir beim Thema IT-Sicherheit helfen können, haben wir von Praxis-Profi recherchiert.  

Spätestens mit der Einführung der DSGVO ist ein Schlüsselwort auch in der Heilmittelbranche immer wieder zu hören: Datenschutz. Denn für die Behandlung von Patient:innen müssen verschiedenste Daten preisgegeben werden: Versicherungsstatus, Alter, Anschrift, Behandlungshistorie usw. Praxisinhaber:innen haben hier die Aufgabe, diese Daten sicher zu verwalten und die Behandlung zu dokumentieren.  

Datenverwaltung und Dokumentation – Das sind die Vorgaben 

Grundsätzlich sind mit der DSGVO auch Therapeut:innen und Praxisinhaber:innen dazu verpflichtet, eine Datenschutzerklärung in die Verhandlungsverträge unterzubringen. Denn: Nur so ist abgesichert, dass die Patient:innen ausreichend darüber informiert sind, dass ihre Daten verarbeitet und ggf. auch gespeichert werden. Hiermit verbunden ist die ebenfalls verpflichtende Dokumentation der Behandlungen. Somit steht fest: Therapeut:innen kommen nicht drumherum, die Behandlung ihrer Patient:innen hinreichend schriftlich festzuhalten. Allerdings gibt es hierfür keine festgesetzte Form seitens des Gesetzgebers oder seitens der Krankenkassen.  

Alle Daten müssen laut Gesetz mindestens 10 Jahre nach Beendigung der Behandlung aufbewahrt werden – entweder in Papierform oder digitalisiert. Für Praxen mit über 9 Mitarbeiter:innen, die überwiegend mit der Verarbeitung von Daten betraut sind, muss ein sogenannter Datenschutzbeauftragter bestellt werden. Hierfür kommen grundsätzlich auch entsprechend geschulte Mitarbeiter:innen in Frage oder aber externe Dienstleister.  

Ein weiterer Punkt, der gerade in digital arbeitenden Praxen relevant ist, ist die DSGVO-Konformität von Web-Anwendungen und Software, die im Praxis-Kontext zur Datenverarbeitung oder Verwaltung benutzt werden. Hier solltest du in jedem Fall sicherstellen, dass alle verwendeten Programme DSGVO-konform arbeiten und somit geltende Richtlinien zum Datenschutz einhalten. Dies gilt natürlich auch, wenn du beispielsweise einen Abrechnungsdienstleister beauftragt hast.  

IT-Sicherheit – So geht’s  

Bei Nicht-Einhaltung der DSGVO oder bei Verlust von personenbezogenen Daten aufgrund von Sicherheitslücken drohen für dich als Inhaber:in einer Praxis mitunter saftige Geldstrafen. Dementsprechend ist es umso wichtiger, das Thema IT-Sicherheit nicht auf die leichte Schulter zu nehmen. Datenverlust, externe Cyberangriffe oder sogar Datenklau sind nur einige Risiken, die lauern können, wenn die technische Infrastruktur deiner Praxis nicht ausreichend geschützt ist.  

Sicherheitsrisiken für deine Praxis 

  1. 1
    Fehlender Netzwerkschutz  
  2. 2
    Fehlender Virenschutz 
  3. 3
    Unzureichende Passwort-Sicherheit 

Gerade wenn mehr als eine Person beispielsweise einen Praxis-PC nutzt, kann es beim Thema Passwort-Sicherheit zu Lücken kommen. Sind die Passwörter der Mitarbeitenden zu schwach und leicht zu knacken, können sich möglicherweise Unbefugte Zugang zu sensiblen Daten verschaffen. Nutzen alle Mitarbeitenden ein- und dasselbe Passwort, könnte ein Cyber-Angriff hier kurzen Prozess machen.  

Unser Tipp: Schule deine Mitarbeitenden, mit diesem Thema verantwortungsvoll umzugehen und sichere Passwörter zu erstellen. Dafür gibt es übrigens auch hilfreiche Tools, wie dieses der Universität Münster.

Firewall und Virenschutz sind ein Muss 

Grundlegend ist vor allem ein guter Schutz deines Netzwerks und deiner Server wichtig, um vor Datenverlust und Cyber-Angriffen sicher zu sein. Hierbei geht es darum, dein Netzwerk gegen unerlaubte Zugriffe abzuwehren. Leider reicht es hierfür nicht, das Patient:innen-WLAN und dein Praxis-WLAN zu trennen. Den besten Schutz bieten UTM-Firewalls (Hardware-Firewalls), die dein Netzwerk gegen Bedrohungen abschirmen. 

Ein weiterer Risikofaktor sind Viren, die häufig über Spam-E-Mails versendet werden und es Betrügern ermöglichen, dein Netzwerk lahmzulegen oder auf deine Daten zuzugreifen. Zwar haben E-Mail-Programme oft bereits eigene Filter, um solchen Spam herauszufischen, allerdings sind Spam-Mails mittlerweile gar nicht mehr so einfach als solche zu erkennen. Daher können sich an der ein oder anderen Stelle immer mal wieder virenbehafte E-Mails verbreiten und Schaden anrichten. Daher ist es ebenso unerlässlich, deine Endgeräte mit einem Virenschutz-Programm auszustatten.  

Exkurs: KBV IT-Sicherheitsrichtlinie

Die KBV IT-Sicherheitsrichtlinie enthält verschiedene Punkte, die für die IT-Sicherheit deiner Praxis relevant sind. Zwar gilt die Richtlinie der Kassenärztlichen Bundesvereinigung nicht verpflichtend für Heilmittelerbringer:innen, allerdings sind einige Voraussetzungen auch für dich als Therapeut:in wichtig, wenn du dich zum Beispiel an die Telematikinfrastruktur anschließen möchtest.  

Beispiel-Anforderungen aus der KBV IT-Sicherheitsrichtlinie 

  • Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt 

  • Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen 

  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt 

  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern 

  • Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden 

Hierbei handelt es sich grundsätzlich um Anforderungen, die jede Praxis, die mit Patient:innendaten umgeht, erfüllen sollte – egal, ob verpflichtend oder nicht.  

TI-Anschluss: Nur mit sicherer IT-Struktur 

Auch beim Thema Telematikinfrastruktur ist eine sichere IT-Infrastruktur unerlässlich. Denn: Ein Anschluss an die TI kann nur dann erfolgen, wenn gewisse technische Voraussetzungen erfüllt sind. Dazu zählen unter anderem ein Internetzugang, die Nutzung einer Hardware-Firewall, Endgeräte mit regelmäßigem Update-Service, ein Virenschutz und ein VPN-Client. Sind diese Voraussetzungen in einer Praxis nicht erfüllt, ist ein TI-Anschluss unter Umständen nicht möglich.  

Sichere Praxis-IT: Das Sorglos-Paket für deine Praxis 

Zum Glück musst du dich nicht um jeden einzelnen dieser Punkte selbstständig kümmern. Gerade wenn du wenige oder gar keine Technik-Affinität hast und dich mit IT-Infrastruktur nicht so gut auskennst, ist es sinnvoll, sich einen kompetenten IT-Dienstleister zu suchen, der die Umsetzung der technischen Voraussetzungen nachhaltig betreut, Programme wie z. B. einen Antivirenschutz überwacht und für Fragen zur Verfügung steht. Es gibt sogar Anbieter wie Sichere Praxis-IT, die dir hier das Rundum-Sorglos-Paket bieten:  

Einbau einer UTM-Firewall zur Überwachung von Verbindungen sowie ein- und ausgehenden Daten des Netzwerks 

Regelmäßiger Update-Service für deine Software inkl. aller Internetbrowser 

Die Einrichtung eines sicheren WLAN-Netzwerks nach neuesten Standards 

Die Verschlüsselung deines Festplatten-Laufwerks, sodass auf deine Daten auch bei Diebstahl nicht von außen zugegriffen werden kann 

Umfassender Antiviren-Schutz, damit du vor Schadprogrammen, die z. B. Lösegeldzahlungen fordern, geschützt bist. 

… und das alles inklusive kompetenter Fachbetreuung.   

Informiere dich jetzt...

... welches Paket optimal zu deiner Praxis passt und vereinbare ein unverbindliches Beratungsgespräch für deine IT-Sicherheit. 

Die Expert:innen von Sichere Praxis-IT prüfen mit dir gemeinsam, welchen Schutz deine Praxis braucht und welches Sicherheits-Paket für dich am besten passt.  


Das könnte dich auch interessieren:

Leave a Reply

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}