Zahnarztpraxen und Cyberschutz

Auch wenn es nur um den Mund geht: Patientendaten müssen sicher sein

Die DSGVO macht keine Unterschiede zwischen Kliniken, Arztpraxen und Zahnärzten: Alle Patientendaten unterliegen nun dem besonderen Schutz – egal ob es sich um Ärzte oder Zahnärzte handelt. Die damit einhergehenden Strafrisiken sind ebenfalls nicht gestaffelt. Deshalb kommt der IT-Sicherheit und dem Datenaustausch zukünftig eine noch größere Bedeutung zu.

Vorsorge ist besser als bohren

Die EU-Datenschutz-Grundverordnung ist in ihrer Bedeutung für den Praxisalltag massiv unterschätzt worden. Aber damit ein Horrorszenario zu zeichnen, wie es leider viele tun, ist ebenso nicht angemessen. Hier gilt es, getreu dem Zahnarzt-Motto „Vorsorge ist besser als bohren“, die Kirche im Dorf zu lassen: so viel Daten- und IT-Schutz wie sinnvollerweise möglich und den Rest versichern.

Schon wenn bekannt wird, wer eine Protrusionsschiene trägt…

… oder auch nur eine gegen Zähneknirschen: Für Zahnärzte geht es dabei über den allgemeinen Datenschutz für Heilberufler hinaus insbesondere und den Schutz der Patientendaten, den Datenaustausch mit zahntechnischen Laboren und die Zusammenarbeit mit Auftrags-Datenverarbeitern zum Zwecke der Abrechnung. Zusätzlich sind die Gefahren der sogenannten ‚72-Stunden-Regel‘ zu beachten, denn das ist das eigentliche Ärgernis für Heilberufler.

Die 72-Stunden Regel: Hauptproblem des neuen Datenschutzes

Die EU-DSGVO definiert für besonders schützenswerte Daten – das sind vor allem persönliche-, Finanz- und Gesundheits-Daten – entsprechend besondere Obliegenheiten für den Fall von Datenrechtsverstößen, die sich zudem auch auf alle Auftrags-Datenverarbeiter auswirken, denn Praxisinhaber und Praxisinhaberinnen haben nun auch sicherzustellen, dass die Daten dort ebenfalls ordnungsgemäß sicher verarbeitet, aufbewahrt und übertragen werden. Nicht zuletzt deshalb ist Datensicherheit in der Praxis und darüber hinaus heute zur Chefsache geworden.

Denn Verträge mit externen Laboren und allen anderen Auftrags-Datenverarbeitern müssen nun in mindestens zehn Aspekten die konkrete Umsetzung definieren. Welche das sind, zeigt Ihnen unser Download (Download)

Zurück zur 72-Stunden-Regel

Insbesondere müssen innerhalb von 72 Stunden ab Erkennen eines Datenverlusts (also nicht mehr im Zugriff befindliche Daten) oder eines Datenklaus (also in die Verfügung Fremder übergegangener) drei Aufgaben erfüllt werden, so gut wie jede Zahnarztpraxis vor nahezu unlösbare Aufgaben stellt:

Der Datenverlust muss fachlich korrekt festgestellt, dokumentiert und abgestellt werden.

Die Problematiken in der Praxis werden hier sein:

1. Wer kann das mit hinreichend fachlichem Sachverstand feststellen und
2. woher ist dieser Fachmann – in der Regel ein IT-Forensiker – auf die Schnelle zu bekommen?

Die Art des Verstoßes sowie sein Ausmaß müssen den zuständigen Adressaten gemeldet werden.

Hier werden die Problematiken in der Praxis wohl die folgenden sein:

1. wer kennt die erforderliche Form und die geforderten Inhalte der Meldung und
2. wer hat dann eine Liste aller Adressaten zur Hand, an die zu melden ist?

Innerhalb der Frist sind betroffene Patienten schriftlich über den Datenverlust zu informieren.

Das dürfte die allermeisten Probleme bereiten. Die wahrscheinlichste sind:

1. wer ist tatsächlich betroffen und wo kommen die Adresse her, wenn die Daten weg sind.
2. wer erstellt den Serienbrief und was passiert mit eingehenden Anfragen von Betroffenen?

Was passiert, wenn die Frist verstreicht?

Die DSGVO verlangt, dass all das in 72 Stunden erledigt ist. Dabei gibt es keinen Rabatt, falls der Datenverlust an einem Freitag, zum Altweiberfasching kurz vor 11 Uhr 11 oder am Gründonnerstag entdeckt wird. Man hat 3 Tage… egal ab wann.

Wir gehen davon aus, dass mindestens eines der oben genannten Kriterien selbst unter der Woche für Zahnarztpraxen ohne größeren IT-Service in diesem engen Zeitkorsett nicht zu lösen sein dürfte. Und dann wird für alle, die mit den besonders schützenswerten Daten umgehen – bei Zahnärzten also alle Patientendaten –der Tatbestand einer Ordnungswidrigkeit – und das ist die Krux – automatisch zum Straftatbestand.

Dieser ist dann entsprechend von der Staatsanwaltschaft zu verfolgen, und wir denken, dass sich das keine einzige Zahnarztpraxis wirklich antun möchte.

Stichwort Röntgen, Interoralkamera, CAD/CAM: Gerade auch in Zahnarztpraxen ist die vernetze Behandlungstechnologie nicht mehr wegzudenken, denn sie machen die Arbeit präziser, schnelle und einfacher. Doch wo es neue Vorteile gibt, lauern auch neue Gefahren. Beispiele dafür gibt es zu Hauf. Mehr

Sie denken, dass könnte auch in Ihrer Praxis im Fall der Fälle eher schwierig werden? Dann stellen wir Ihnen gerne unsere Lösung vor. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Wie auch immer: Die 72-Stunden-Regel muss gelöst werden!

Dazu sind diverse Maßnahmen erforderlich:

1. Es muss sichergestellt sein, dass die technischen Mindestanforderungen an die Datensicherheit erfüllt sind. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
2. Die notwenigen QM-Unterlagen müssen vorliegen und aktuell sein und in größeren Praxen ab 10 Mitarbeitern muss ein Datenschutzbeauftragter ernannt und ausgebildet sein. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! 
3. Und das individuelle Datenverlust-Risiko muss definiert sein, Mehr
4. um dann daraufhin eine Restrisiko-Versicherung für die Praxis abzuschließen, die wiederum
   a. den zahnärztlichen Bedürfnissen entspricht und
   b. die Umsetzung aller Recherche- und Melde- und Informationsobliegenheiten innerhalb von 72 Stunden garantiert.

Oder Sie gehen die Sache ganzheitlich an und sprechen erstmal mit einem unserer Zahnarzt-Berater in Sachen Datensicherheit. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!