ArchivDeutsches Ärzteblatt19/2008Leitfaden für die Datenverarbeitung in der Arztpraxis Sicherheits-Check-up für die Praxis

POLITIK

Leitfaden für die Datenverarbeitung in der Arztpraxis Sicherheits-Check-up für die Praxis

Dtsch Arztebl 2008; 105(19): A-990 / B-862 / C-842

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Internetnutzung und elektronische Kommunikation gehören inzwischen zum Alltag in vielen Arztpraxen. Dadurch entstehen neue Anforderungen an den Datenschutz und die Datensicherheit. Foto: Klaus Rose
Internetnutzung und elektronische Kommunikation gehören inzwischen zum Alltag in vielen Arztpraxen. Dadurch entstehen neue Anforderungen an den Datenschutz und die Datensicherheit. Foto: Klaus Rose
Die Bundes­ärzte­kammer und die Kassenärztliche Bundesvereinigung haben ihre „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ aktualisiert.

Erstmals hatte die Bundes­ärzte­kammer (BÄK) im Oktober 1996 „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ herausgegeben – damals zusammengefasst auf knapp vier Druckseiten. Auslöser war die Einführung der Krankenversichertenkarte, die in vielen Arztpraxen eine Umstellung der bisherigen manuellen auf eine EDV-technische Abrechnung und Dokumentation zur Folge hatte. „Inzwischen sind viel mehr Arztpraxen mit EDV ausgestattet“, erläutert Dr. med. Carl-Heinz Müller, Vorstand der Kassenärztlichen Bundesvereinigung (KBV). „Während 1996 etwas mehr als 60 Prozent der niedergelassenen Ärzte EDV in ihrer Praxis eingesetzt haben, dürften das heute mehr als 90 Prozent der Ärzte und auch Psychotherapeuten sein.“

Darüber hinaus geht es beim Computereinsatz in der Arztpraxis längst nicht mehr nur um die Abrechnung und die ärztliche Dokumentation, sondern das Anwendungsspektrum hat sich seither deutlich erweitert. Experten gehen davon aus, dass in schätzungsweise 40 Prozent der Arztpraxen Praxisrechner ans Internet angeschlossen sind. Rund 26 Prozent der niedergelassenen Ärzte versenden Dokumente per Internet „wöchentlich oder öfter“ (Wegweiser-Studie 2007). Viele Ärzte absolvieren Onlinefortbildungen, kommunizieren elektronisch mit Kollegen, übermitteln Labordaten oder nutzen Telematik bereits zum Austausch von Patientendaten über elektronisch geführte Akten.

Ob die Ärzte für diese Aktivitäten über besonders abgesicherte Netzanbindungen verfügen, ist dabei unklar, denn die überwiegende Zahl der Ärzte nutzt beliebige Provider für die Internetverbindung.

Ärzte müssen jedoch beim beruflichen EDV-Einsatz unter anderem aus strafrechtlichen und haftungsrechtlichen Gründen besondere Schutzvorkehrungen beachten. Die Ärztekammern, die im Rahmen ihrer Berufsaufsicht darüber zu wachen haben, dass Ärzte beim Umgang mit Patientendaten ihren Berufspflichten zum sorgsamen Umgang mit diesen sensiblen Daten nachkommen, betrachten die zunehmende elektronische Kommunikation und Vernetzung der Ärzte daher nicht ohne Sorge. Sie befürchten, dass die Sicherheit der Patientendaten nicht immer gewährleistet ist. Weil harte Daten über das Ausmaß der Vernetzung im niedergelassenen Bereich fehlen, erwägt die BÄK, einen jährlichen „Telematik-Report“ auf den Weg zu bringen, der den Stand und den künftigen Bedarf an Telematik ermitteln helfen soll. Hinzu kommt: Die Einführung der elektronischen Gesundheitskarte lässt weiter auf sich warten – und damit auch der Aufbau einer sicheren Tele­ma­tik­infra­struk­tur für das Gesundheitswesen, die ein hohes Maß an Datensicherheit gewährleisten wird.

Praktische Orientierungshilfe
Vor diesem Hintergrund soll der jetzt veröffentlichte aktualisierte Leitfaden den Ärzten rechtliche, technische und organisatorische Orientierungshilfen bei der Umsetzung von Datenschutz und Datensicherheit in ihren Praxen bieten. „Wir können die Ärzte nicht in einem rechtsunsicheren Raum mit unzulänglichen Mitteln arbeiten lassen, sondern wollen ihnen Empfehlungen an die Hand geben, damit sie auf berufsrechtlich saubere Art und Weise neue Kommunikationsformen nutzen können“, meint Dr. med. Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der BÄK.

Was sind die wesentlichen Aspekte für die Ärzte? Seit der Erstausgabe der Empfehlungen sei der Datenschutz genauer definiert worden, betont KBV-Chef Müller. „Daher ist es wichtig, die Ärzte immer wieder darauf hinzuweisen, dass zusätzlich zu den Regelungen der ärztlichen Schweigepflicht auch die Datenschutzgesetze, allen voran die Bestimmungen des Bundesdatenschutzgesetzes, an jedem Arbeitsplatz in der Praxis berücksichtigt werden müssen.“ Eine Neuerung für die Ärzte besteht zudem in der seit Mitte 2006 geltenden Regelung, dass ein betrieblicher Datenschutzbeauftragter erst dann bestellt werden muss, wenn mehr als neun (zuvor vier) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Mit dieser Funktion kann ein intern in der Praxis angestellter Mitarbeiter oder ein externer Datenschutzbeauftragter beauftragt werden“, erläutert Müller. Im Rahmen von QEP-Schulungen, dem Qualitätsmanagementprogramm der KVen, wird auch auf Inhalte des Datenschutzes eingegangen.

Elektronische Dokumentation
Ein Schwerpunkt der Empfehlungen betrifft die ärztliche Dokumentation: War 1996 beispielsweise das Problem des Beweiswerts elektronischer Dokumentation noch nicht gelöst, ist das inzwischen auf der Basis des Signaturgesetzes rechtlich geklärt – wenn auch vorerst nur in der Theorie. „Viele Arztpraxen führen ihre Dokumentation ausschließlich elektronisch, arbeiten also nicht mehr in Papierform“, meint Bartmann. „Um eine beweissichere Dokumentation zu erreichen, wird eine qualifizierte elektronische Signatur empfohlen.“ In der Praxis hat sich die elektronische Signatur allerdings noch nicht durchgesetzt, nicht zuletzt, weil praktikable technische Verfahren hierfür bislang nicht zur Verfügung standen. „Mit der Präzisierung der Empfehlungen werden die Hersteller von Praxis-EDV die Integration von Signaturkarten, wie dem elektronischen Arztausweis, sicher zügig vorantreiben“, ist der Telematikexperte Bartmann überzeugt.

Die neuen Empfehlungen gehen außerdem detailliert auf die Verarbeitung externer Dokumente, wie zum Beispiel Arztbriefe, ein. Erhält der Arzt ein Dokument mit elektronischer Signatur, ist die Übernahme in die eigene Dokumentation kein Problem. Anders bei Papierdokumenten: „Hier hat der karteilos arbeitende Arzt die Möglichkeit, zum Beispiel empfangene Arztbriefe einzuscannen. Allerdings muss er dabei sicherstellen, dass der Verfasser des Arztbriefs das Originaldokument im Rahmen der gesetzlich vorgeschriebenen Aufbewahrungsfristen – in der Regel zehn Jahre – aufbewahrt“, erläutert Müller. In einzelnen Fällen sei allerdings von einer Vernichtung des Originaldokuments abzuraten und nach wie vor eine Aufbewahrung des Originaldokuments empfehlenswert.

Der umfangreichste Teil der Empfehlungen bezieht sich auf die Datenkommunikation in der Arztpraxis. „Bisher galt: Praxisrechner, die Patientendaten verwalten, dürfen nicht ans Datennetz. Das heißt, jemand der online kommunizieren wollte, musste dafür zwei getrennte elektronische Einrichtungen vorhalten und hatte zusätzlich das Problem, dass die Übermittlung der Daten selbst bei Einhaltung hoher Sicherheitsstandards durch das Berufsrecht nicht sicher abgedeckt war“, beschreibt Bartmann die Situation. Dies entspricht jedoch nicht mehr den heutigen Anforderungen und Praxisabläufen. Im Hinblick auf die Onlineanbindung gilt daher zwar weiter die Empfehlung, nach Möglichkeit den Praxisrechner und den Internetanschluss getrennt vorzuhalten, weil das den optimalen Datenschutz gewährleistet, doch mit der Einschränkung: „Es sei denn, man benutzt Provider, die einen entsprechenden Schutz, zum Beispiel durch Firewalls, garantieren“, erläutert Müller. Das sei zum Beispiel im Rahmen des Hochsicherheitsdatennetzes der KVen, dem KV-Safenet, der Fall. Übermittelt der Arzt dennoch Dokumente über das Internet, muss er sicherstellen, dass durch Verschlüsselung ein Zugriff unbefugter Dritter auf die Daten ausgeschlossen ist.

Geändert haben sich auch die Empfehlungen zur Fernwartung von Praxis-EDV, die in vielen Arztpraxen praktiziert wird. Häufig geschah dies jedoch in einer rechtlichen Grauzone, denn Fernwartung war unzulässig, sofern nicht ausgeschlossen werden konnte, dass dabei ein Zugriff auf patientenbezogene Daten möglich war. „Heute ist Fernwartung erlaubt, allerdings muss der Arzt sicherstellen, dass er die Maßnahmen, die an seiner Anlage durchgeführt werden, überwachen kann und dass diese protokolliert werden“, erklärt Müller. Auch hierfür ist ein gesichertes Netz erforderlich, und der Arzt muss die erforderlichen Sicherheitsmaßnahmen mit dem Dienstleister vertraglich vereinbaren.

Anlage mit technischen Details
Sehr viel detaillierter als die „Empfehlungen“ geht die „Technische Anlage“ auf erforderliche IT-Schutzmaßnahmen ein. Das inhaltliche Spektrum reicht vom Umgang mit Passwörtern über die Nutzung von Internet und Intranet, das Einrichten von lokalen und drahtlosen Netzwerken, den Einsatz von Internettelefonie bis hin zu Datensicherung, Entsorgung von Datenträgern sowie zur Archivierung. Nicht alle technischen Details kann und muss der Arzt dabei selbst beherrschen. Er ist daher gut beraten, sich gegebenenfalls professioneller Unterstützung zu versichern, wenn er vernetzt arbeitet und Telematikanwendungen nutzt. „Mit dem Leitfaden kann er dabei noch einmal überprüfen, was der Stand der Technik ist, welche Bereiche auf ihn zutreffen und ob er seinen Betrieb in puncto Sicherheit richtig eingestellt hat“, so das Fazit von KBV-Vorstand Müller.
Heike E. Krüger-Brand

Technische Anlage zu den Empfehlungen im Internet: www.aerzteblatt.de/plus1908

Sicherheits-Leitfaden
Die aktualisierten Empfehlungen sind untergliedert in die
- „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“, abgedruckt als Bekanntgabe der Herausgeber in dieser Ausgabe des Deutschen Ärzteblattes,
- sowie eine umfangreichere „Technische Anlage“, die im Internet abrufbar ist. Die mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmte Anlage gibt einen Überblick über die zu empfehlenden IT-Sicherheitsmaßnahmen in der Arztpraxis und enthält zusätzlich eine Checkliste mit den wichtigsten Punkten.
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #648231
Thomoun
am Donnerstag, 15. März 2012, 11:07

Dokumentenmanagement nicht unter den Tisch fallen lassen...

Ärzte haben das Privileg, dass ihrer digitalen Dokumentation eine hohe Glaubwürdigkeit geschenkt wird. Anders verhält es sich, wenn es Anzeichen dafür gibt, dass die Dokumentation nachträglich geändert wurde. Somit muss auch für die digitale Dokumentation der Nachweis geführt werden, dass sie gegen nachträgliche Änderungen gesichert ist. Auch das Dokumentenmanagement System (DMS) muss den Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) stand halten und sollten in Hinsicht auf die elektronische Archivierung im vornherein geprüft werden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema