Sie sind auf der Suche nach der passenden Tarif 590 Software-Lösung für Ihre Praxis? Und machen sich Gedanken, was dies für die Sicherheit Ihrer Patientendaten bedeutet? In unserem Artikel, basierend auf einem Interview mit der Datenschutz-Expertin mag.iur. Maria Winkler, finden Sie Antworten. 

Unsere Datenschutz-Expertin Maria Winkler gibt grünes Licht – wenn gewisse Bedingungen erfüllt sind. Wichtige Fragen sind:

  • Was garantiert der Anbieter vertraglich?
  • Wie gut ist die Datenverschlüsselung?
  • Wo werden die Daten gehostet?

Was ist eine lokale Lösung?

Bei einer lokalen Lösung installieren Sie die Software auf Ihrem Computer (analog : Word oder Outlook). Dadurch haben Sie alle Daten direkt bei sich. Sie sind in diesem Fall aber auch direkt verantwortlich für die Datensicherung, den Virenschutz, die Updates der Software sowie die Archivierung der Rechnungen und Behandlungsdaten. Dies erfordert schon einiges an Informatikkenntnissen: einfach monatlich Ihre Daten auf einen Memorystick zu speichern reicht als Backup nicht aus – und ein schlechtes Backup ist nur wenig besser als gar kein Backup. Es stellt sich auch die Frage, wie gut der Zugang zu Ihrem Gerät geschützt ist: Wie einfach wäre es, dass Ihr Computer in fremde Hände gerät? Dies ist ein Punkt, den man sich oft gar nicht überlegt…

Kurzum: Wenn Sie sich nicht selber gut mit Informatik auskennen, bedarf es in den meisten Fällen einer professionellen Beratung und laufenden Betreuung Ihres Systems, um eine rechtskonforme und sichere Datenhaltung einer lokalen Lösung sicherzustellen.

Was ist eine Cloud-Lösung?

Experten sind sich einig: über kurz oder lang werden sich die Cloud-Lösungen durchsetzen. Wie beim eBanking wird bei der Cloud-Lösung die Software nicht auf Ihrem Rechner installiert, sondern via verschlüsselte Verbindung über das Internet bezogen. Sie öffnen die Internetseite des Anbieters, loggen sich dort mit Ihrem Passwort ein und haben einen geschützten Bereich für sich zur Verfügung. Der Anbieter ist Ihnen gegenüber verantwortlich für die Sicherstellung der Datenarchivierung, für Sicherheitskopien und Massnahmen zum Datenschutz. Sie müssen sich auch nicht darum kümmern, dass Updates installiert und der Virenschutz sichergestellt werden. Voraussetzung ist natürlich eine entsprechende vertragliche Regelung mit dem Anbieter.
Worauf muss ich bei einer Cloud-Lösung achten?
Patientendaten gehören zu den besonders schützenswerten Daten nach eidgenössischem Datenschutzgesetz. Die berechtige Sorge vieler Therapeutinnen und Therapeuten gilt denn auch der Sicherstellung der Vertraulichkeit der Patientendaten. Wichtig zu wissen: auch wenn bei der Cloud-Lösung vertraglich der Anbieter für die Datensicherheit zuständig ist, sind Sie schlussendlich für die Daten gegenüber Ihren Patienten verantwortlich. Schauen Sie also die Vertragsbestimmungen Ihres Anbieters zu den Themen Archivierung, Datensicherung und Virenschutz genau an.

Wo liegen technisch die Knackpunkte?

Verschlüsselung der Datenverbindung zum Anbieter

Die Verbindung zwischen Ihrem Computer und dem Anbieter muss geschützt werden. Stellen wir uns eine Leitung vor, durch welche die Daten fliessen: je massiver diese Leitung, desto besser sind Ihre Daten geschützt. Die Datenverbindung wird mit einer Verschlüsselung sichergestellt.Vereinfacht gesagt ist die Verschlüsselung ausreichend, wenn Sie in Ihrem Browser in der Adresszeile ein grünes Vorhängeschloss sehen. Technisch empfehlen wir eine HTTPS Verbindung basierend auf einer sogenannten 256-bit Verschlüsselung und einer Transportsicherheitsstufe (TLS) 1.2 oder 1.3. Mit diesem Fachchinesisch können Sie wahrscheinlich nicht viel anfangen, aber fragen Sie Ihren Anbieter, ob seine Verschlüsselung diesen Anforderungen standhält.

Zugriffsschutz

Dem Passwort kommt ebenfalls eine wichtige Rolle zu. In der Fachsprache wird hier von ‚Authentisierung’ gesprochen. Nehmen wir an, Ihr Login Name ist „[email protected]“, und das Passwort lautet ebenfalls „Max“. Sie können sich denken, dass dieses Passwort einfach zu knacken ist. Ein Passwort sollte generell mindestens 8 Zeichen lang sein, möglichst unleserlich sein und Sonderzeichen, Gross– und Kleinbuchstaben sowie Ziffern enthalten.Dies geht eigentlich ganz einfach. Beispiel: Denken Sie sich zuerst eine für Sie einfach memorisierbare aber unleserliche Buchstabenkombination aus. Bspw. die aneinandergehängten ersten Buchstaben der Vornamen Ihrer Familienmitglieder, z.B. ‚embab’. Daran hängen Sie ein Sonderzeichen, z.B. einen Bindestrich. Dies ergänzen Sie um zwei Ziffern (z.B. den Jahrgang Ihres mittleren Kindes ‚06’) und einen Grossbuchstaben (z.B. ‚K’ für Komplementärmedizin). Das fertige Passwort lautet nun also ‚embab-06K’. Dieses ist viel sicherer als das alte Passwort „Max“.Im Idealfall bietet Ihr Anbieter eine noch sicherere Dreifaktor-Authentisierung an. Dabei wird neben dem oben erwähnten Passwort beim Login noch eine weitere Sicherheitsstufe eingebaut und Sie bekommen wie beim eBanking beim Login jeweils noch einen kurzen Code via SMS zugeschickt. Diese weitere Sicherungsstufe ist natürlich etwas aufwändiger, aber dafür nochmal um einiges sicherer.

Datenhosting

Da es sich bei Patientendaten um besonders schützenswerte Personendaten gemäss Datenschutzgesetz handelt, wird grundsätzlich aus der Datenschutzgesetzgebung heraus empfohlen, die Daten wenn immer möglich in der Schweiz hosten zu lassen. Eine Auslagerung von Informationen in eine Cloud mit Rechenzentren im Ausland setzt voraus, dass in allen Ländern, in denen Rechenzentren betrieben werden, ein angemessener Datenschutz besteht.Bei einem Empfänger mit Rechenzentren in einem Staat, der gemäss der entsprechenden Staatenliste des EDÖB (abrufbar unter https://www.edoeb.admin.ch/datenschutz/00626/00753/index.html) einen angemessenen Datenschutz aufweist – beispielsweise Staaten der EU -, sind keine zusätzlichen Massnahmen zu treffen.

Archivierung, Backup und Virenschutz

Ihr Anbieter muss vertraglich Gewähr bieten, dass er die Patientendaten ab der letzten Behandlung über einen Zeitraum von 10 Jahren für Sie archiviert, dies ist aus rechtlichen Gründen in den meisten Kantonen nötig. Daneben sollte der Anbieter über redundante Datencenter verfügen, das heisst, dass Ihre Daten immer parallel an zwei geographisch entfernten Orten abgespeichert sind. Dies stellt sicher, dass beispielsweise bei einem Brand des Datencenters Ihre Daten nicht verloren sind. Des Weiteren muss ein laufendes Backup wie auch ein aktueller Virenschutz durch den Anbieter sichergestellt werden.

Somit gilt: Im Grundsatz sind Ihre Patientendaten in einer Cloud-Lösung gut aufgehoben. Es gilt jedoch, bei der Auswahl der Tarif 590 Software-Lösung die Themen Verschlüsselung, Datenhosting, Archivierung, Backup und Virenschutz zu berücksichtigen – und sich richtig zu verhalten, beispielsweise im Umgang mit Passwörtern. Unter dem Strich erfordert eine lokale Lösung schlussendlich jedoch mehr Eigenverantwortung und technisches Flair.

Haben Sie weitere Fragen zur Datensicherheit von lokalen oder Cloud-Lösungen? Gerne stehen wir Ihnen zur Verfügung – entweder direkt hier im Blog oder auf unserer Facebook-Seite.

Dieser Beitrag basiert auf einem Interview mit der Datenschutz-Expertin Maria Winkler.

Maria Winkler ist Juristin und Geschäftsführerin der Firma IT & Law Consulting in Zug. Sie ist spezialisiert auf die Bereiche Informatikrecht, Digitalisierung sowie Datenschutz. Ausserdem arbeitet sie als Dozentin für Informatikrecht und Recht im Internet an verschiedenen Fachhochschulen, ist Datenschutzbeauftragte des Vereins Swissdec und Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich bei der SQS.

Maria Winkler berät HealthAdvisor in rechtlichen Belangen.

Website: www.itandlaw.ch