11 Empfehlungen der FMH für mehr Datenschutz und Datensicherheit in der Arztpraxis

Jede Arztpraxis ist für die Gewährleistung des Datenschutzes und der Datensicherheit verantwortlich. Der Gesetzgeber hat medizinische Daten im Bundesgesetz zum Datenschutz DSG als besonders schützenswerte Personendaten eingestuft, sodass umfangreiche Massnahmen für einen angemessenen Schutz dieser Daten erforderlich sind. Die Verbindung der Schweizer Ärztinnen und Ärzte FMH hat im Dokument «IT-Grundschutz für Praxisärztinnen und Praxisärzte» 11 Empfehlungen für den Aufbau und den Erhalt des Datenschutzes und der Datensicherheit in der Arztpraxis veröffentlicht.

Die Empfehlungen der FMH sind Minimalanforderungen
Um Praxisinhaberinnen und Praxisinhaber zu unterstützen und weil auf Bundesebene bisher keine Empfehlungen vorliegen, hat die FMH Minimalanforderungen zum IT-Grundschutz für Arztpraxen erarbeitet. Die Minimalanforderungen haben Empfehlungscharakter und beinhalten Anforderungen, die ein Mindestniveau an Sicherheit für Daten, Informationen und die ICT(Informations- und Kommunikationstechnologie)-Infrastruktur sicherstellen.
Das sind die 11 Empfehlungen der FMH für den Datenschutz und die Datensicherheit in der Arztpraxis:

1. Verantwortlichkeiten bestimmen und Vorgaben erlassen: Die Festlegung der Verantwortlichkeiten bezweckt, dass die Datensicherheit und der Datenschutz praxisintern eine thematische Bedeutung erlangen und dass gleichzeitig eine Ansprechperson für Herausforderungen und Fragen zur Verfügung steht.
2. ICT(Informations- und Kommunikationstechnologie)-Mittel in ein Inventar aufnehmen: Das Inventar der ICT-Mittel dient der Übersicht über die gesamte ICT-Umgebung, die sämtliche in der Praxis verfügbare Hard- und Software umfasst. Die Inventarliste dient als Hilfsmittel bei der Planung von Sicherheitsmassnahmen und verbessert die Reaktionsfähigkeit bei einem Sicherheitsvorfall. Veränderungen, das heisst neue oder ausser Betrieb genommene ICT-Systeme, Hard- und Software, sind regelmässig nachzutragen. Das Inventar der ICT-Mittel kann auch als Hilfsmittel zur Planung von ICT-Migrationen und anderen ICT-Projekten herangezogen werden.
3. Zugriffsschutz regulieren und Benutzerrechte verwalten: Die zentrale Verwaltung und strukturierte Vergabe der Zugriffs- und Benutzerrechte, beispielsweise mittels Active Directory oder alternativen Verzeichnisdiensten, minimiert die Risiken eines unbefugten Zugriffs auf sensible Daten durch interne oder externe Parteien. Die regelmässige Wartung der Zugriffs- und Benutzerrechte ermöglicht es, Änderungen durch Ein- und Austritte von Mitarbeitenden zu erfassen und nachzutragen.
4. Praxismitarbeitende für Datensicherheit sensibilisieren: Cyberkriminelle versuchen oftmals, sich mittels Social-Engineering-Attacken Zugang zur ICT-Umgebung und zu Daten zu verschaffen. Um dies zu verhindern, ist die Sensibilisierung der Praxisverantwortlichen und der Praxismitarbeitenden sowie der Ärzteschaft von zentraler Bedeutung.
5. Endgeräte vor Schadsoftware schützen: Endgeräte wie Smartphones oder Laptops können leicht mit Schadsoftware infiziert werden. Um das Risiko einer Infektion zu reduzieren, müssen alle Endgeräte über ein aktives Virenschutzprogramm verfügen. Diese Programme sollten so konfiguriert sein, dass alle Daten beim Zugriff anhand von bekannten Mustern überprüft werden und dass Schadsoftware erkannt und deren Ausführung blockiert wird.
6. Netzwerk schützen: Um den unberechtigten Zugriff auf das Netzwerk einer Arztpraxis zu schützen, müssen bei der Einrichtung des Netzwerks die jeweiligen State-of-the-art-Sicherheitsvorkehrungen bei der Schnittstelle zum Internet sowie bei den Anschlüssen im lokalen Netzwerk, kabelgebunden oder kabellos, eingerichtet werden.
7. Die ICT(Informations- und Kommunikationstechnologie)-Umgebung konfigurieren und warten: Mit einer sicheren Konfiguration der eingesetzten ICT-Systeme und Netzwerkkomponenten können die Angriffsfläche und somit die Wahrscheinlichkeit und die Auswirkungen eines Cyberangriffes verringert werden.
8. Digitale Daten sicher ablegen: Um dem Risiko eines Datenverlustes entgegenzuwirken, ist es wichtig, regelmässig eine interne und externe Datensicherung, internes und externes Backup, aller Daten vorzunehmen. Damit die Vertraulichkeit und die Integrität der Daten nicht verloren gehen, müssen die Zugriffs- und Benutzerrechte der ursprünglichen Daten und der Backups festgelegt werden.
9. Digitale Daten sicher austauschen: Sensible Daten müssen zum Schutz vor einem Zugriff durch Unbefugte verschlüsselt werden. Dadurch wird sichergestellt, dass die Daten beim Austausch via E-Mail, Fax oder Messaging-Diensten nur von Personen eingesehen, gelöscht oder verändert werden können, die dazu auch befugt sind. Ausserdem wird so verhindert, dass Daten unbemerkt verändert werden. Wichtig: Durch eine digitale Signatur kann die Echtheit nachgewiesen werden, da nur der Absender den entsprechenden Schlüssel zum Signieren besitzt.
10. Vorkehrungen für die Behandlung von Sicherheitsvorfällen treffen: Mittels der adäquaten Massnahmen in den Bereichen Technologie, Infrastruktur und Personal können Arztpraxen präventiv vor schädlichen Ereignissen geschützt werden. Die vollständige Reduktion der Gefahr eines Cybersicherheitsvorfalles ist jedoch nicht möglich. Zur zeitnahen und effizienten Erkennung und Behandlung von Cybersicherheitsvorfällen werden organisatorische und technische Verfahren sowie zugehörige Hilfsmittel eingesetzt. Ziel ist es, das Schadensausmass möglichst gering zu halten.
11. Externe Dienstleister beauftragen und überwachen: Externe Dienstleisterinnen und Dienstleister sind je nach Vertragsvereinbarung für den Aufbau, den Betrieb, den Unterhalt und die Wartung der ICT-Umgebung der Arztpraxis verantwortlich. Die Auswahl des bestpassenden Angebots bedingt eine solide Evaluation des Dienstleistungsangebots, beispielsweise beim Bezug von zeitgemässen Cloud-Diensten.

Eine Cyberversicherung ist für Arztpraxen ein Muss
Die vollständige Reduktion der Gefahr eines Cybersicherheitsvorfalles in der Arztpraxis ist nicht möglich, schreibt die FMH in ihren 11 Empfehlungen für den Datenschutz und die Datensicherheit. Deshalb zählt zur bestmöglichen Schadenminimierung im Cyberschadenfall der Abschluss einer Cyberversicherung als weitere Präventivmassnahme. Diese Versicherung deckt die Kosten für die meist aufwendige Datenwiederherstellung nach einem Cyberangriff oder Cybervorfall, für Arbeitsausfälle wegen beschädigter IT-Systeme sowie für mögliche Lösegeldforderungen. Auch Schadenersatzforderungen im Zusammenhang mit Datenschutzverletzungen und ungewollter Schadsoftwareverbreitung sind abgedeckt. Die Ärzteberatung ABC bietet spezielle Cyberversicherungen für Arztpraxen und medizinische Einrichtungen an, die massgeschneiderte Deckungen für potenzielle Schäden bieten. Die Einzelheiten dazu finden Sie hier.

Jetzt Versicherungs- und Vorsorge-Check-up machen!
Die Risiken sowie die Sicherheits- und Vorsorge-Bedürfnisse ändern sich immer wieder. Machen Sie deshalb regelmässig einen Check-up. Das kostet Sie nichts. Und verpflichtet Sie zu nichts.
Telefon: 041 368 56 56. Online.