Diverses

DSGVO-Fallen und -Verstöße in Labor und Praxis erkennen und ihnen entgegenwirken

Gewohnheit schützt vor Strafe nicht

Ein Beitrag von Friederike Kämper

Themen:  Diverses, Prothetik

In dieser Beitragsreihe widmet sich das Unternehmen Datext dem Thema DSGVO – der EU-Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 verpflichtend ist. Genauso sperrig wie ihr Name, ist auch deren Inhalt. Will meinen: Transparenz sieht anders aus und die Verwirrung ist groß. Hinzu kommt die Angst der Laborbetreiber, in Fallen zu tappen und gegen geltendes Recht zu verstoßen. Und das, obwohl man sich doch keines Fehlers bewusst war und dieses oder jenes doch schon immer so gehandhabt hat. Doch: Gewohnheit schützt vor Strafe nicht. Um hier mehr Sicherheit zu geben, widmet sich die Beratungsgesellschaft für Daten- und Textverarbeitung Datext der DSGVO und zeigt auf, worauf es im Labor- und Praxisalltag zu achten gilt.

Frau Bayer, der Auftrag 3120 ist fertiggestellt. Wann kommt der Bote? Die Praxis wartet schon“, Zahntechniker Peter Busch ist Geschäftsführer eines Dentallabors mit fünf Angestellten. Das Labor hat Kunden aus der nahen Umgebung, die Geschäfte laufen gut. Als vor einem halben Jahr die DSGVO verpflichtend wurde, hatte Peter Busch sich des Öfteren mit Kollegen ausgetauscht. „Etwas undurchsichtig“ und „nicht richtig verständlich“, lauteten damals die Aussagen. „Um was soll man sich denn noch alles kümmern?“, fragte sich Peter Busch und ärgerte sich über eine neue bürokratische Hürde, die den täglichen Betriebsablauf zusätzlich und unnötig belasten würde. Die fertiggestellte Arbeit mit der Auftragsnummer 3120 liegt in einem durchsichtigen Dentalbeutel auf der Theke zum Eingang des Dentallabors bereit zur Abholung. Die Rechnung legt Frau Bayer dazu, die kann der Bote ebenfalls in der Praxis abgeben. Wieder an seinem Arbeitsplatz, ruft Peter Busch in der Zahnarztpraxis Schmieler an – Rückfrage wegen eines Auftrages. Die nicht lesbare Zahnfarbe und den Vornamen des Patienten schickt die Sprechstundenhilfe nochmals per E-Mail an das Labor, das Röntgenbild liefert sie im Anhang mit. Von seinem Mobiltelefon aus kann Peter Busch auf die E-Mails des Dentallabors zugreifen. Mithilfe eines Messengerdienstes schickt er die Röntgenaufnahme an den Mitarbeiter, der mit dem Auftrag betraut ist. „Ein Hoch auf digitale Kommunikationswege“, denkt sich Peter Busch. Nach Feierabend setzt sich der Zahntechniker nochmal an den PC, er möchte einige Familienfotos über eine Online-Druckerei ausdrucken. Als er das Fotosammelsystem Cloud öffnet, fallen ihm die Röntgenaufnahmen vom Nachmittag auf – gemeinsam mit seinen privaten Familienschnappschüssen aus dem Urlaub – gespeichert im WorldWideWeb.

Szenenwechsel

In der Zahnarztpraxis Schmieler herrscht Chaos. Nach einer Websuche hat es einen Datenangriff auf das System gegeben – Virus­alarm. Die Computerfirma, die vor zwei Jahren ein neues System installiert hatte, ist bereits informiert. Auf die Installation einer zusätzlichen Firewall hatte Zahnärztin Karin Schmieler verzichtet. Gerade geht nichts mehr, die Patienten fangen an zu drängeln. Im Terminbuch auf dem Tresen blättert Karin Schmieler aufgeregt und schaut nach, wie viele Patienten noch vor der Mittagspause angemeldet sind. Aus einem Behandlungszimmer wird berichtet, dass Patient Müller genervt ist und fragt, wie lange er noch warten müsse. Als Schmieler zu ihm eilt, steht er interessiert vor dem Bildschirm des Behandlungscomputers und studiert die dort noch aufgerufenen Daten des vorangegangenen Patienten.

Datext liefert Lösungen

Zugegeben, die hier geschilderten Situationen sind äußerst zugespitzt dargestellt. An dieser Stelle sei auch gesagt, dass alle Namen, Handlungen und Szenenabläufe frei erfunden sind. Ähnlichkeiten mit realen Personen sind zufälliger Natur. Doch auch, wenn sich die dargestellten Szenen mit Sicherheit so nicht abspielen, sollen sie doch widerspiegeln, was auch ein halbes Jahr nach der DSGVO und BDSG in vielen Labors und Praxen noch immer falsch läuft.

Überall dort, wo Patientendaten frei zugänglich und somit von Dritten einsehbar sind, wird es kritisch. Die Nutzung einer Kommunikationsplattform ist datenschutzrechtlich nicht nur sinnvoll, sondern zudem erheblich schneller als der Umweg über Drittgeräte. 

Datext liefert Lösungen

Zugegeben, die hier geschilderten Situationen sind äußerst zugespitzt dargestellt. An dieser Stelle sei auch gesagt, dass alle Namen, Handlungen und Szenenabläufe frei erfunden sind. Ähnlichkeiten mit realen Personen sind zufälliger Natur. Doch auch, wenn sich die dargestellten Szenen mit Sicherheit so nicht abspielen, sollen sie doch widerspiegeln, was auch ein halbes Jahr nach der DSGVO und BDSG in vielen Labors und Praxen noch immer falsch läuft.

Peter Busch und Karin Schmieler stehen stellvertretend für viele Dentallabore und Zahnarztpraxen in ganz Deutschland, die noch immer große Lücken im Bereich der Datensicherung und des Patientenschutzes aufweisen. Dietmar Eickelkamp, beim IT- und Softwareunternehmen Datext aus Hagen im Bereich der Praxis- und Laborberatung tätig, erfährt in Gesprächen im Rahmen seiner Arbeit beinahe täglich, an welchen Stellen dringend Handlungsbedarf besteht. Und so erklärt Eickelkamp: „Man muss sich bewusst sein, dass der Schutz der Patienten generell einen hohen Stellenwert genießt und auch dementsprechend geahndet und sanktioniert wird.“ Und diese Strafen sind empfindlich – sie können zwischen zwei und vier Prozent des Jahresumsatzes betragen.

Wechseldatenträger sind ein beliebtes Mittel, um Daten zu übermitteln. Was viele im Umgang mit Patientendaten nicht wissen: Die Geräte müssen passwortgeschützt sein. 

Falls ein Verstoß gegen das Datenschutzgesetz nachgewiesen werden kann, haben das verantwortliche Labor oder die Praxis mit empfindlichen Strafen zu rechnen.

Die Nutzung einer Software zur Übertragung von sensiblen Patientendaten bescheinigt nicht nur die Einhaltung des DSGVO, sondern erleichtert zugleich den Arbeitsalltag und die Kommunikation zwischen Labor und Praxis. 

Was fällt auf?

Im Dentallabor

  • ■ Fehlendes Datensicherungskonzept/keine Firewall
  • ■ Arbeiten werden im durchsichtigen Dentalbeutel ausgeliefert; oftmals liegt für jedermann sicht- und lesbar die Rechnung bei
  • ■ Bilder werden nach wie vor unverschlüsselt über das Mobiltelefon versendet; häufig werden dazu Messengerdienste aus Drittländern genutzt
  • ■ automatische Datensicherung in den Clouds von Apple oder Google wurde nicht deaktiviert

 

In der Zahnarztpraxis

  • ■ fehlendes Datensicherungskonzept/keine Firewall
  • ■ unzureichender Schutz patientenbezogener Daten vor anderen Patienten:
    1. Terminbücher liegen offen auf dem Tresen oder aber im Empfangsbereich
    2. Auskünfte am Telefon werden häufig ohne Rückversicherung nach Angabe des Geburtsdatums, der Versicherungsnummer oder ähnlichem erteilt
     3. in den Behandlungszimmern ist häufig kein Bildschirmschoner mit Passwortabfrage installiert; der geneigte Patient könnte auf Daten von anderen Patienten zugreifen, solange er alleine in dem Zimmer ist 

Generell beinhaltet der Datenschutz alle Vorgänge mit personenbezogenen Daten. Die EU-Verordnung fasst dies unter dem Begriff „Verarbeitung“ zusammen. Darunter versteht man jeden ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, die mit oder ohne Hilfe automatisierter Verfahren erfolgen (VDZI-Leitfaden). Erste Voraussetzung ist das schriftlich hinterlegte Einverständnis eines jeden Patienten zur Weitergabe ihrer persönlichen Daten.

Auch diese „analogen“ Dokumente enthalten personenbezogene Daten:

  • ■ Auftragszettel aus der Zahnarztpraxis
  • ■ Eingehendes Fax mit personenbezogenen Daten
  • ■ Druckergebnisse am frei zugänglichen Drucker
  • ■ Patienten- und Auftragsakten in den Regalen im Büro
  • ■ Rechnungsordner der Lieferanten
  • ■ Personalakten, Lohnbuchhaltungsdaten, Urlaubskarteien

Von „unbeabsichtigten Fehlern oder Gewohnheitsverstößen“ spricht Datext-Geschäftsführer Alexander Koch, wenn in Zahnarztpraxen Patienten-Karteikarten „öffentlich“ auf dem Tresen im Empfangsbereich ausliegen. „Das hat sich im Laufe der Jahre eingeschlichen und automatisiert und diese Gewohnheiten gilt es nun wieder aufzubrechen“, insistiert Koch.

Das Unternehmen Datext hat eine patentierte Kommunikations- und Übertragungsplattform entwickelt, mit deren Hilfe Kostenanfragen, Aufträge, Bilder, Scan-Daten und Rechnungen verschlüsselt von der Praxis ins Labor und umgekehrt übertragen werden.

Weitere Verhaltensempfehlungen

Behandlungsrelevante Gespräche dürfen nicht vor anderen Patienten geführt werden. PCs sollten bei Abwesenheit in den Bildschirmmodus und bei längerer Abwesenheit ordnungsgemäß herunterfahren. Passwörter müssen spätestens nach drei Monaten gewechselt werden und mindestens acht Zeichen inklusive zweier Sonderzeichen umfassen. Zudem müssen Passwörter geheim gehalten werden. Auszusondernde Unterlagen mit personenbezogenen Daten sind zu vernichten.

Bei der Übertragung personenbezogener Daten hat die Verschlüsselung dieser Daten oberste Priorität. „Problematische Vorgänge sehen wir sowohl bei fachübergreifender als auch interdisziplinärer Kommunikation“, erklärt Alexander Koch. Problematisch ist vor allem die Übermittlung von Daten mithilfe elektronischer Drittmittel, wie Daten-CD, USB-Stick oder externer Festplatte. Sind die darauf befindlichen Daten nicht verschlüsselt und gelangen in dritte Hände, ist das nicht nur ein Verstoß gegen die DSGVO. Mediziner verstoßen in einem solchen Fall zudem gegen die ärztliche Schweigepflicht (§203StGB).

Abhilfe ist möglich

Das Unternehmen Datext hat mit dem patentierten Webservice eine Kommunikations- und Übertragungsplattform entwickelt, mit deren Hilfe Kostenanfragen, Aufträge, Bilder, Scan-Daten und Rechnungen verschlüsselt von der Praxis ins Labor und umgekehrt übertragen werden. Herkömmliche Anfragen per Telefon, Fax oder E-Mail entfallen genauso wie unvollständige oder unleserliche Auftragszettel. Laborrechnungen werden nicht mehr unverschlüsselt als Anhang einer E-Mail gesendet, sondern lassen sich mithilfe des Webservice und mit einem Mausklick inklusive maschinenlesbarem PDF DSGVO-konform übermitteln.

Das Datensicherungskonzept der Firma Datext besteht dabei aus mehreren Bausteinen:

  • der Schutz der EDV durch eine Firewall
  • verschlüsselte Datenbanken der Programme
  • verschlüsselte und passwortgeschützte Datensicherungen
  • passwortgesicherte Benutzung der Anwendersoftware
  • verschlüsselte Übertragung von Daten wie Bilder, Angebote, Aufträge oder Rechnungen
  • Vortragsreihen, in denen die Praxisteams/Labormitarbeiter in die DSGVO eingewiesen werden

 


 

Über Datext

Das Unternehmen Datext entwickelt seit 1976 Zahnarztpraxis- und Dentallaborsoftware aus einer Hand. Diese Alleinstellung bietet vollständige Kompatibilität beim Austausch sensibler Patientendaten als auch größtmöglichen Komfort und Sicherheit für Zahnarztpraxen und deren Dentallabors. Das modulare Konzept erstreckt sich von der Abrechnungssoftware, der Prozessoptimierung, Patienteninformationssystemen bis hin zu forensisch abgesicherten Datenaustausch-Plattformen. Eine seriöse und kundenorientierte Geschäftspolitik bilden die Grundlagen für eine positive Geschäftsentwicklung. Daneben ist Datext in den Kernbranchen nicht nur Markt-, sondern auch Technologieführer und behauptet sich im vierten Jahrzehnt in der schnelllebigen Softwarebranche. Diese Kontinuität zahlt sich vor allem für die Datext-Anwender aus.

Positionierung

Die verschiedenen Abteilungen der Datext iT-Beratung sind fachkompetente Gesprächspartner der Dentalbranche für die Aufgabenstellungen EDV/Abrechnen, Management und Marketing. Weitere Tätigkeitsschwerpunkte sind die Software-Entwicklung und der Support mit einem Team hochqualifizierter Techniker und Ingenieure.

Hinweis

Die in diesem Beitrag abgebildeten Patientendaten entstammen einer fiktiven Datenbank, die eigens für Foto- und Filmaufnahmen von Datext angelegt wurde.

drucken
Ihre Nachricht
CAPTCHA-Bild zum Spam-Schutz
loading