Arztpraxen müssen die IT-Sicherheit wegen der sensiblen Patientendaten und anderer wertvoller elektronisch gespeicherter Informationen gesamtheitlich durchdenken. Eine umfassende IT-Sicherheit beruht stets auf drei Pfeilern: der physischen Sicherheit, der IT-technischen Sicherheit und der organisatorischen Sicherheit. Lesen Sie, was das bedeutet.
Physische Sicherheit
Unter die «physische Sicherheit» entfallen alle Massnahmen zum Schutz der Computer und Speicher, der Büros und allenfalls des Gebäudes vor dem unerlaubten Zutritt von Dritten, vor Umwelteinflüssen wie Feuer, Sturm oder Wasser sowie vor unreparierbaren Schäden wegen eines Stromausfalls. Wer Clouddienste nutzt, sollte deshalb ausschliesslich in der Schweiz und damit im Schweizer Rechtsraum hochgesicherte Datencenter mit einer Garantie für all diese «physische Sicherheiten» nutzen. Kommt allgemein dazu: Alte Datenträger müssen stets garantiert unlesbar vernichtet werden.
IT-technische Sicherheit
Unter die «IT-technische Sicherheit» entfallen alle Massnahmen zum Schutz der Daten vor jedem unbefugten Zugriff sowie für den Schutz vor dem Ausfall der Services.
Darunter fallen namentlich die eingesetzten vielfältigen Firewalls, Antiviren-, Antispam- und Verschlüsselungssysteme samt allen jeweils verfügbaren Updates. Dazu kommen alle bekannten Sicherheitsinstrumente wie Microsoft AppLocker, Cisco Open DNS oder Microsoft Advanced Threat Analytics.
Zur IT-technischen Sicherheit gehören überdies das mobile Login mit Zweifaktorauthentifizierung, die redundante Internetanbindung, die laufende Programmaktualisierung mittels der verfügbaren Updates, die auf der optimalen Redundanz beruhende Sicherstellung der fortlaufenden Backups.
Abgerundet wird die IT-technische Sicherheit mit einer optimalen Wartung der Hardware und der Software sowie einem jederzeit verfügbaren externen Support.
Organisatorische Sicherheit
Unter die «organisatorische Sicherheit» fallen die Massnahmen zur Sicherstellung eines standardisierten, sicheren und gesetzeskonformen Betriebs aller eingesetzten Systeme.
Darunter fallen Massnahmen wie die automatisierte Einhaltung der einschlägigen gesetzlichen Vorschriften, die automatisierte Erstellung und Einrichtung von speziellen Services, die Schulung der Nutzerinnen und Nutzer der IT, das benutzerfreundliche und sichere Internetportal und dessen Verwaltung, die Passwortregelung, der Einsatz von Checklisten, die Erstellung von Protokollen über Abläufe.