Archiv der Kategorie: Beratung

Datenträgervernichtung nach DIN 66399

Aktenordner tragenHäufige Ursache für Datenmissbrauch ist der unbedachte Umgang mit Daten und Datenträgern bei deren Entsorgung. Beauftragt ein Unternehmen dafür ein Entsorgungsunternehmen, so ist dies nach BDSG (Bundesdatenschutzgesetz) eine Datenverarbeitung im Auftrag. Somit bleibt es auch beim Prozess der Entsorgung bei der datenschutzrechtlichen Verantwortlichkeit des Unternehmens und damit der Pflicht zur sorgfältigen Auswahl und Überwachung des Dienstleisters. Der Datenschutzbeauftragte hat dies zu prüfen und sollte frühzeitig bereits in die Auswahl des Dienstleisters einbezogen werden.

Für die Beurteilung steht nun den Datenschutzbeauftragten eine wesentlich verbesserte und detailliertere DIN-Norm zur Verfügung. Die neue Norm ersetzt die alte DIN 32757 und ist ein Hilfsmittel zur Wahrung des Datenschutzes und der Datensicherheit im Unternehmen. Sie besteht aus der DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Vorteil der neuen Bestimmung ist insbesondere die Integration der unterschiedlichen Löschprozesse und von verschiedenen Datenträgern (Papier, Festplatten, CD, Mikrofilm, USB etc).

DIN-66399-1

definiert dabei die Begriffe und die relevanten Faktoren, insbesondere die Schutzklassen 1-3 und die Sicherheitsstufen 1-7. Unternehmen und Datenschutzbeauftragte müssen bei der Anwendung der Norm daher die zu behandelnden Daten und Datenträger vorab in Schutzklassen einteilen, bevor sie vertraglich die konkret zu erreichenden Sicherheitsstufen durch das Entsorgungsunternehmen beauftragen.

Wesentliche Neuerungen sind:

Drei Schutzklassen

Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dient der Klassifizierung der anfallenden Daten.

Sechs Materialklassifizierungen

Erstmals definiert die Norm unterschiedliche Materialklassifizierungen, die auch die Größe der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).

Sicherheitsstufen

Anstatt wie bisher fünf Sicherheitsstufen definiert die neue DIN 66399 nun sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 mit einer Teilchenfläche von max. 160 mm².

(Die bisherige Stufe 4 wird zur Stufe P-5, aus Stufe 5 wird P-6 und der bisher nicht in der Norm berücksichtigte „Level 6“ wird zur Stufe P-7).

Schutzbedarf und Zuordnung zu Schutzklassen

Um bei der Datenträgervernichtung dem Wirtschaftlichkeitsprinzip bzw. Verhältnismäßigkeitsprinzip Rechnung zu tragen, sind die Daten in Schutzklassen eingeteilt. Ausschlaggebend für die Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger ist dabei der Grad der Schutzbedürftigkeit.

Schutzklasse 1:
Normaler Schutzbedarf für interne Daten.

Diese Informationen sind für größere Gruppen bestimmt und zugänglich. Unberechtigte Offenlegung hätte begrenzte negative Auswirkungen auf das Unternehmen. Der Schutz personenbezogener Daten muss gewährleistet sein.

Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen …

Schutzklasse 2:
Hoher Schutzbedarf für vertrauliche Daten, die auf einen kleinen Personenkreis beschränkt sind.

Die ungerechtfertigte Weitergabe hätte erhebliche Auswirkungen auf Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen.

Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten …

Schutzklasse 3:
Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten mit Beschränkung auf einen kleinen, namentlich bekannten Kreis von Zugriffsberechtigten.

Eine unberechtigte Weitergabe hätte ernsthafte, existenzbedrohende Auswirkungen für Unternehmen und würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen. Der Schutz personenbezogener Daten muss uneingeschränkt gewährleistet sein.

Beispiele: Unterlagen der Geschäftsleitung, F&E-Dokumente, Finanzdaten, Verschluss-Sachen …

Die Zuordnung der drei Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden:

Schutzklassen DIN 66399

Für Arztpraxen ist demnach die Schutzklasse 3 mit der Sicherheitsstufe 4 anzusetzen.

Keinesfalls dürfen Papierdokumente einer Arztpraxis in den normalen Papiermüll gelangen.

Materialklassifizierung der neuen Norm DIN 66399

In der modernen Kommunikation gibt es zahlreiche neue Datenträger, die in der DIN 66399 nun ebenfalls berücksichtigt wurden. Deshalb nachstehend ein kurzer Überblick:

Sicherheitsstufen Informationsdarstellung
P-1 bis P-7 in Originalgröße,z.B. Papier, Filme, Druckplatten.  Grafik Sicherheitsstufe P-1
F-1 bis F-7 verkleinert,z.B. Mikrofilme, Folie.  Grafik Sicherheitsstufe F-1
O-1 bis O-7 optische Datenträgerz.B. CDs/DVDs.  Grafik Sicherheitsstufe O-1
T-1 bis T-7 magnetische Datenträgerz.B. ID-Karten, Disketten.  Grafik Sicherheitsstufe T-1
H-1 bis H-7 Festplatten mit magnetischen Datenträgern.  Grafik Sicherheitsstufe H-1
E-1 bis E-7 elektronischen Datenträgernz.B. USB-Sticks, Chipkarten.  Grafik Sicherheitsstufe E-1

Papierdokumente  P-1 bis P-7

(Sicherheitsstufen der DIN 66399 für Informationsdarstellung in Originalgrösse)

Die vorangegangen Seiten haben die Materialklassen in der Übersicht erläutert. Da hauptsächlich Papierdokumente (= Informationsdarstellung in Originalgröße) fachgerecht entsorgt werden müssen, nachfolgend die Materialklassen P-1 bis P-7 noch etwas näher spezifiziert:

Papierdokumente

Bei der gewerblichen Entsorgung von Unterlagen mit personenbezogenen Daten handelt es sich nach BDSG (Bundesdatenschutzgesetz) um eine Datenverarbeitung im Auftrag. Es muss zwingend ein entsprechender Vertrag mit dem Entsorgungsunternehmen abgeschlossen werden, denn letztlich bleibt in jedem Fall die Arztpraxis verantwortlicher Besitzer der übergebenen Daten.

Bitte sprechen Sie uns an, wenn Sie nähere Erläuterungen zu dem Thema wünschen oder wenn Sie beabsichtigen ein Aktenvernichtungs- oder Entsorgungsunternehmen zu beauftragen.

Ihr

Datenschutzberater

Weitere Blätter unsere Arzt-Info-Reihe:

 

Info 40    Datenübermittlung an Hausarztverband

Info 42    Datenschutzrisiken in einer Praxis

Info 43    Datenschutz und KV

Info 44    Der Datenschutzbeauftragte in der Arztpraxis

Info 47    Videoüberwachung in Patiententoiletten

Info 51    Datenschutz und Schweigepflicht

Info 53    Praxissicherheit

Info 54    Auskunftsbereitschaft

Info 56    Pro + Contra Datenschutz durch internen MitarbeiterIn

Advertisements

Compliance und der steigende Bedarf an Sicherheit

Die wachsenden Anforderungen an die Einhaltung gesetzlicher Vorschriften erschwert es Unternehmen zunehmend die erforderlichen Sicherheitsabläufe ihre täglichen Prozesse zu integrieren. Dies kann zu negativen Prüfungsergebnissen und Datenmissbrauchsfällen führen, die ihrerseits kostspielige Maßnahmen zur Schadenseindämmung bis hin zur Zahlung von Strafgeldern zur Folge haben können.

Compliance kostet

Bereits für das Jahr 2010 wurden die durchschnittlichen Unternehmenskosten für einen Datenmissbrauchsfall auf etwa 7,2 Millionen USD ermittelt.

Die gesetzlich verankerte Notwendigkeit zur Einhaltung von Compliance-Anforderungen hat zusammen mit spezifischen Strafzahlungen für die Nichteinhaltung dieser Vorschriften dazu geführt, dass ein Großteil der gesamten Sicherheitsausgaben allein für die Einhaltung der Compliances aufgewendet wird. Wobei es außer Frage steht, dass Compliance-Ausgaben der Gewährleistung des wirtschaftlichen Erfolgs eines Unternehmens und der Vermeidung möglicher Schäden am Markenimage dienen.

Wenig zielführend ist es jedoch, wenn der Fokus eines Unternehmens jedoch nicht auf die Vermeidung bzw. Reduzierung von Sicherheitsrisiken, sondern auf die Minimierung von Kostenaufwendungen gerichtet ist. Jedes Unternehmen muss sicherstellen, dass seine Sicherheitsausgaben mit einer angemessenen Risikotoleranz und den Geschäftszielen des Unternehmens gegen einander abgestimmt ist.

Das vorrangige Ziel eines Unternehmens darf es nicht sein, eine mögliche Prüfung oder Auditierung positiv hinter sich bringen zu wollen. Es wäre nicht nur ein Spiel mit dem Feuer. Selbst die Erfüllung der präskriptiven PCI-DSS-Anforderungen, stellt beispielsweise nur einen grundlegenden Sicherheitsstandard dar und sichert das Unternehmen nicht vor Datenmissbrauch. Ein weltweit agierender Identitätsdiebstahlring hatte zum Beispiel US-amerikanische Unternehmen trotz Einhaltung der PCI-Anforderungen angreifen und millionenfach Kreditkartendaten abgreifen können.

Regulierungsbehörden haben auf die steigenden Anforderungen reagiert und die Benachrichtigung über Missbrauchsfälle angeordnet und umfassende Kontrollen mit strengeren Geldstrafen für die Nichteinhaltung der Vorschriften eingeführt haben.

Die Einführung eines nachhaltigen Compliance-Programms stellt die Unternehmen jedoch vor grundsätzliche Herausforderungen. Der Spagat zwischen der Umsetzung von IT-Security-Anforderungen und Absicherung finanzrechtlicher Risiken und der Entscheidung für eine nachhaltige Absicherung durch ein Informationssicherheitsmanagementsystem (ISMS) – zum Beispiel in Anlehnung an ISO 27001 ff – fällt häufig nicht leicht.

Wandel der Sicherheitsbedrohungen

Bedrohungen gehen längst nicht mehr hauptsächlich von einzelnen Freizeit-Hackern aus. International organisierte, gewinnorientierte Profigruppen, beauftragt von internationalen Organisationen, von Gruppen aus dem Bereich des organisierten Verbrechens und sogar von Regierungen erwirtschaften Milliarden mit Identitätsdiebstahl und Datenklau. Angesichts dieser Unterstützung überrascht es wenig, dass Datenmissbrauch durch immer ausgefeiltere Technologien ermöglicht und oftmals auch durch Unternehmensangehörige unterstützt wird: Stichwort „Social Engineering“.

Dauerhafte Minimierung von Risiken

Basis eines jeden nachhaltigen Sicherheits- und Compliance-Programms ist ein, auf das Geschäftsmodell abgestimmtes Framework, mit dem alle branchenspezifischen und gesetzlichen Auflagen abgedeckt und gleichzeitig die zugrunde liegenden Sicherheitsrisiken minimiert werden können.

Die Abstimmung mit den Geschäftsprozessen ist dabei von entscheidender Bedeutung, um sicherzustellen, dass der Fokus auf unternehmensrelevante Risiken begrenzt wird.

Der Sicherheitsbeauftragte

Durch die zunehmende Beachtung der Bedeutung von IT-Sicherheit und Compliance sowie der damit einhergehenden beträchtlichen Kosten ist die Rolle des Sicherheitsbeauftragten im Wandel begriffen. CISOs (Corporate Information Security Officer) unterstehen zunehmend dem CEO oder CFO, statt innerhalb des IT-Bereichs zu operieren. Aus einem vor kurzem veröffentlichten Forrester-Bericht geht hervor, dass 54 Prozent der Unternehmen einen Chief Information Security Officer haben, der direkt einem leitenden Manager unterstellt ist und 42 Prozent einen CISO haben, der einer Person außerhalb der IT-Abteilung unterstellt ist. Der CISO wird zunehmend Zugriff und Einfluss auf die Art und Weise der geschäftlichen Entscheidungsfindung haben. In einem aktuellen CSO Online-Artikel bestätigt Eric Cowperthwaite, CSO von Providence Health & Services mit Sitz in Seattle, USA, diesen Trend:

„Der CSO/CISO ist zu einem dauerhaften Bestandteil der Gruppe von Personen geworden, die am runden Tisch sitzen und darüber entscheiden, wie das Unternehmen seinen Geschäften nachgeht. Der CSO steht an der Spitze der Sicherheit des Unternehmens. Seine Funktion wird mittlerweile als absolut notwendig erachtet und ist schon lange kein reines Lippenbekenntnis mehr, um sich Auditoren vom Hals zu halten. Meiner Ansicht nach ist dies eine bedeutende Veränderung.“

Durch eine Abstimmung mit den Geschäftsanforderungen kann der Sicherheitsfokus früher in neue Initiativen einbezogen werden. Dadurch können Sicherheitsteams die Risikominimierung früher in die Planungsphase einbringen anstatt nachträglich kostenintensive Behebungsmaßnahmen hinzuzufügen, durch die neue Geschäftsinitiativen verlangsamt oder gehemmt werden.

Ein nachhaltiges Compliance-Programm muss die Vielzahl der gesetzlichen und branchenspezifischen Bestimmungen, mit denen ein Unternehmen konfrontiert ist, effektiv bewältigen und problemlos an neue und sich wandelnde Bestimmungen anpassbar sein. Viele Unternehmen haben ihren Ansatz weiterentwickelt und verfügen nun über ein zentrales Team, um die Sicherheits- und Compliance-Kontrollen zu koordinieren.

Die Straffung der Compliance-Aktivitäten zu einem allgemeinen Framework ist kein einfaches Unterfangen. Sicherheits- und Compliance-Teams können aus mehreren Gruppen innerhalb eines Unternehmens/Konzerns bestehen, wodurch organisatorische und geografische Grenzen überschritten werden.

Ein effektiver Ansatz besteht darin, das Sicherheitsrisiko eines Unternehmens zu minimieren und Compliance sozusagen als Nebenprodukt zu ermöglichen. Bei Heartland kann man diesen Ansatz nun nachvollziehen, wie aus dem aktuellen Kommentar von Kris Herrin, CTO von Heartland hervorgeht: „Einer der wichtigsten Punkte für uns besteht darin, sicherzustellen, dass Sicherheitskontrollen nachhaltig sind und so ausgeführt werden, dass die Kontrolle für uns auch zukunftsfähig ist […]

Es geht einfach nicht, dass wir einfach in einem Quartal etwas einführen, nur weil es sinnvoll scheint, und dann ein Jahr später erkennen, dass dadurch die Risiken nicht wie gehofft minimiert werden. “

Um ihre Sicherheit sowohl kurz- als auch langfristig zu verbessern, müssen Unternehmen sicherstellen, dass die passenden Kontrollen und Tools für das jeweilige Sicherheitsrisiko definiert werden und in ein umfassendes Risikominimierungsprogramm passen, das die Implementierung, Stellenbesetzung und Sicherheitsprozessplanung festlegt und mit der Risikotoleranz und den Geschäftszielen des Unternehmens abgestimmt wird.

Dementsprechend lässt sich nachhaltige Compliance am besten dadurch erzielen, dass der Schwerpunkt auf eine Verbesserung der Gesamtsicherheitssituation des Unternehmens gelegt wird.

Permanente Änderung der Bedrohungen

Ein nachhaltiges Sicherheits- und Compliance-System muss so strukturiert sein, dass es an geänderte Geschäftsprozesse, neue Compliance-Bestimmungen, weiter entwickelte IT-Systeme und sich permanent ändernde Bedrohungen angepasst werden kann. Hierzu zählen Veränderungen bei der Art der Angriffe und neue Risiken, die mit sich ändernden Technologien und sich weiter entwickelnden Geschäftsmodellen verbunden sind.

Der Rüstungswettbewerb

Das Wesen der Angriffe hat sich im „Rüstungswettbewerb“ zwischen IT-Verantwortlichen und Hackern stetig weiter entwickelt. Die Kenntnisse der IT-Mitarbeiter haben sich in Richtung Sicherheit orientiert und der Einsatz dedizierter Sicherheitswerkzeuge nimmt zu. Aber auch Hacker arbeiten zunehmend professioneller und organisierter. Sie werben Talente an, investieren in Forschung und Entwicklung und erstellen neue, ausgereiftere Tools. 85 Prozent der Angriffe sind mittlerweile auf finanziell gut ausgestattete Organisationen, einschließlich des organisierten Verbrechens und Regierungen, zurückzuführen.

Die Betriebskosteneinsparungen durch Nutzung von Virtualisierungs- und Cloud-Services haben jedoch dazu geführt, dass in einigen Unternehmen die Einführung dieser Services das Verständnis der damit verbundenen Risiken bereits überholt hat und die Sicherheitsteams nunmehr versuchen, wieder aufzuholen.

Viele Sicherheitsverstöße werden jedoch nicht externen Angreifern verübt, sondern von finanziell oder politisch motivierten Insidern. Laut Data Breach Investigations Report 2010 wurden 27 Prozent der Sicherheitsverstöße ausschließlich durch interne Komplizen verübt.

In dynamischen Unternehmensumgebungen wächst das Risiko von Benutzeraktivitäten, die zu einem Sicherheitsverstoß beitragen. Aus demselben Verizon-Bericht geht hervor, dass 90 Prozent der internen Aktivitäten, die einem Sicherheitsverstoß zugeordnet werden konnten, durch vorsätzliches Handeln, 6 Prozent durch zweckwidriges Handeln und 4 Prozent durch unbeabsichtigtes Handeln erfolgt sind.

Ein größeres Einzelhandelsunternehmen in den USA hat vor kurzem einen Ausfall hinnehmen müssen, als ein neuer Administrator Veränderungen an den Gruppenrichtlinien für Active Directory außerhalb des Änderungskontrollprozesses vorgenommen hat. Als er bemerkte, dass er einen Ausfall verursacht hatte, versuchte der Administrator, seine Spuren zu verwischen. Seine Handlungen führten direkt dazu, dass der Produktversand mehrere Tage zum Erliegen kam, während man versuchte, den Betrieb wiederherzustellen. Diese Aktivität war zwar nicht mutwillig, aber dennoch unangemessen, und hatte beträchtliche negative Auswirkungen.

Risiken lassen sich durch relativ einfache Kontrollen erheblich mindern. Ein Beispiel für solche Kontrolle wäre eine Richtlinie, die sicherzustellt, dass die Konten von Mitarbeitern, die das Unternehmen verlassen, schnell deaktiviert werden, dass gemeinsam genutzte administrative Konten vermieden werden und dass die Aktivität privilegierter Benutzer, seien es Administratoren oder Endbenutzer, überwacht wird.

Der erste Schritt besteht darin, den erforderlichen Mindestzugriff zu gewährleisten. Der zweite Schritt besteht in Überwachung der Nutzung der Berechtigungen.

Insider und Verantwortung

Jeder, der direkt oder indirekt vertrauliche Informationen oder die Systeme und Anwendungen verwaltet, auf denen diese gehostet werden, ist zu den Insidern zu zählen. Demnach können Insider auch Mitarbeiter von Partnern und Anbietern von Managed Services, Hosting- oder Cloud-Lösungen sein.

Unternehmen müssen erkennen, dass das Outsourcen nicht auch die Verantwortlichkeit auslagert. Der Schwerpunkt von Verhandlungen wird zunehmend darauf gelegt, spezifische Kontrollen zu verhandeln und unabhängige Sicherheitsaudits zu verlangen. Dienstleister sind angehalten nachhaltige Sicherheitsprozesse und routinemäßige Audits in ihre Serviceangebote einzubauen, um wettbewerbsfähig zu bleiben.

Vor der Unterzeichnung eines Vertrags ist es von entscheidender Bedeutung, entsprechende risikobeschränkende Service-Level-Agreements, erforderliche Kontrollen und Auditberechtigungen festzulegen und diese in das Vertragsdokument aufzunehmen.

Fazit

Ein Compliance-System, das Ihre Compliance-, Sicherheits- und Geschäftsziele umfassend umsetzt, ist heute so wichtig wie nie zuvor. Die Aufgabe, sich überschneidende und ständig weiterentwickelnde gesetzliche und branchenspezifische Auflagen zu erfüllen, ist komplex.

Der Fokus muss auf der Risikoverwaltung in Abstimmung mit der Risikotoleranz und den Geschäftszielen des Unternehmens liegen.

Daneben sind IT-Abteilungen mit einer zunehmenden Vielfalt von Bedrohungen konfrontiert. Durch neue Technologien wie Outsourcing und Cloud-Computing werden die Netzwerkgrenzen immer fließender. Finanziell oder politisch motivierte Angriffe durch technisch versierte organisierte Gruppen oder böswillige Insider veranlassen Unternehmen so schnell wie möglich ein ausgereiftes Sicherheitssystem zu entwickeln. Das in der Lage ist, angemessene Sicherheitskontrollen für ihre kritischen Daten und Infrastrukturen zu entwickeln, zu implementieren und zu überwachen.

Nur ein integrierter, nachhaltiger Compliance-Ansatz basierend auf vernünftigen Sicherheitsprinzipien ist effektiv, nachhaltig und skalierbar und ermöglicht es Ihnen, Ihre Compliance-Ziele zu erreichen sowie die Gesamtsicherheit Ihres Unternehmens zu verbessern.

Tablets im Gesundheitswesen

ICON RisikoVom Betrachten von Röntgenbildern bis zur Telemedizin: Tablets ermöglichen Innovation im Gesundheitswesen.

Seit 2010 gibt es erste Ansätze von Beschäftigten im Gesundheitswesen Tablets zur Vereinfachung ihrer Arbeit einzusetzen. Sie stellen eine echte Alternative zu Computern, installiert an zentralen Orten und,  im Vergleich dazu, unhandlichen Notebooks dar.

Seitdem besteht – zumindest theoretisch – die Möglichkeit von überall einfach an Patientendaten, Röntgenbilder, Terminkalender, Medikationen und andere medizinische Informationen zu kommen.

Doch IT-Verantwortliche sehen diese Entwicklung mit einem besorgten Auge. Bring-Your-Own-Device (BYOD) ist gerade im Gesundheitswesen mit seinen sensiblen Patientendaten noch komplexer umzusetzen als in anderen Unternehmen.

Es ist jedoch verständlich, dass Ärzte und Pflegepersonal auf die Vorteile dieser Technologie hinweisen und die IT-Verantwortlichen auf eine Lösung drängen.

Dabei werden vornehmlich die folgenden Vorteile genannt:

Tablets können das klassische Klemmbrett und handschriftliche Notizen ersetzen

Es können bei Patientenvisiten direkt Notizen gemacht werden, die sofort im System vorhanden sind. Das Pflegepersonal kann die Medikamentenvergabe vor Ort aufnehmen und kontrollieren, und Patienten können Fragebögen und Formblätter elektronisch ausfüllen.

Tablets beziehen die Patienten in den Gesundheitsprozess mit ein

Die interaktiven Geräte sowie spezielle Apps können eine direkte Kommunikation zwischen Patient, Ärzten und Pflegepersonal herstellen, egal ob zu Hause, in der Arztpraxis oder im Krankenhaus. Kostenfreie Apps informieren über Wartezeiten oder helfen bei der Arztsuche.

Tablets helfen bei der Gesundheitsversorgung zu Hause

Die traditionelle Telemedizin erforderte aufwändige Technik und proprietäre Software-Lösungen. Tablets werden zunehmend für jeden erschwinglich. Durch die eingebauten Kameras und mit 3G-Ausstattung können breite Bevölkerungsschichten nicht nur in Ballungsräumen direkt in Kontakt mit Gesundheitsinformationen kommen, Daten weiterschicken und Ergebnisse erfragen.

Tablets erleichtern den Umgang mit medizinischer Software

Die meisten Software-Module im Gesundheitswesen basieren auf alten Codierungen, die sich nur schwerlich in neuere Betriebssysteme portieren lässt. Dies führt zu einem Festhalten an veralteten Systemen in Praxen und Kliniken. Zudem sind permanente, teure Schulungen für die veralteten Programme notwendig. Mobilität und Touchscreen statt Tastatur sowie intuitiv verständliche Apps sind Pluspunkte für Tablets im medizinischen Alltag.

Tablets zwingen die Hersteller zu schlanken Anwendungen

Software für Unternehmen im Gesundheitswesen gibt es in vielen proprietären Varianten, deren Bedienbarkeit häufig zu wünschen übrig lässt. Eine Virtualisierung der Systeme reicht nicht aus, um eine breitflächige Akzeptanz zu erreichen. Der Einsatz von Tablets in den Krankenhäusern und Praxen könnte die Software-Anbieter zur notwendigen Modernisierung zwingen.

Tablets erleichtern die medizinische Aus-und Fortbildung

Umfangreiche Handbücher sind ein Schwerpunkt der Aus- und Fortbildung von Ärzten und Pflegepersonal in ihren Praxis- und Kliniksystemen. Handbücher, Vorlesungstexte, interaktive Grafiken oder elektronische Notizen direkt bei den Materialien sind selbst Bestandteil der Tablet-PCs. Neue Versionen sind schnell elektronisch verteilt, AppStores halten viele von ihnen kostenlos bereit.

Tablets stellen digitale Versionen medizinischer Literatur bereit

Die medizinische Literatur wächst beständig. Viele Verlage stellen digitale Versionen ihrer Publikationen zur Verfügung, die über Tablets abgerufen werden können.

Tablets verbessern die Vorbereitung und Durchführung von chirurgischen Eingriffen

Ärzte und Assistenten benötigen vor, während und nach einem Eingriff sehr viele unterschiedliche Informationen, einschließlich Bildmaterial. Mit Apps und Daten zu vergleichbaren Operationen können sie sich besser vorbereiten und Fehler vermeiden.

Tablets helfen bei Diagnosen und Therapien

Mit Tablet-Apps können Tests über Gedächtnisverluste bei Verdacht auf eine Alzheimer Erkrankung durchgeführt werden. Laut Aussage von Anwendern sind Apps auf diesem Gebiet effektiver als Tests auf Papier. Außerdem können leichter Vergleichsdaten nach Alter, Geschlecht und Erziehung verwendet werden.

Therapeuten haben bei der Sprachtherapie bei Kindern nun die Möglichkeit, zahlreiche Apps mit erweiterten Fördermitteln einzusetzen und sind nicht mehr nur auf Karten, Bälle oder Puppen angewiesen. So können zum Beispiel auch unterschiedliche Sprachstile eingeübt werden.

Aber:

Tablets verursachen IT-Verantwortlichen Kopfschmerzen

Fotolia_38051973_XS

Fotolia.com

Zwei Drittel der IT-Verantwortlichen im Gesundheitswesen sehen beim Einsatz von Tablets vor allem ein Sicherheits- und Management-Problem. So ist oft die Kompatibilität mit Legacy-Anwendungen nicht gelöst, außerdem stellen sich Fragen hinsichtlich der Haltbarkeit und des technischen Supports. Die größten Probleme aber ist die Sicherheit der Systeme und Daten und das Management der Risiken, vor allem in der Freigabe von Bring-Your-Own-Device-Lösungen. Patientendaten sind extrem sensibel und sollten nicht streng geregelt die Arztpraxis oder das Krankenhaus verlassen. IT-Verantwortliche im Gesundheitsbereich können gerade hier zeigen, ob sie ihr Metier verstehen.

Social Media und der gute Ruf einer Arztpraxis

Noch vor wenigen Jahren stellte die Kommunikation durch E-Mails für viele Unternehmen eine neuartige Herausforderung dar. Der Wunsch der Mitarbeiter, auch während der Arbeit, Zugriff auf das Internet zu haben, und initiierte neue Denkanstösse in Unternehmen. Mittlerweile gehört die Kommunikation über E-Mail sowie die Recherche im Internet zu beruflichen Themen zum Standard der meisten Branchen. Sogar die Nutzung dieser Medien für private Zwecke, ist heutzutage – oft ohne Kenntnis der juristischen Hintergründe – in Firmen, mehr oder weniger geregelt, den Mitarbeitern möglich. Die beständige Weiterentwicklung hin zu sichereren Systemen ermöglicht, z.B durch Verschlüsselung, längst die Nutzung von abgesichertem E-Mail Verkehr. Und auch eine weitere Entwicklung lässt sich weder aufhalten noch rückgängig machen. Viele Menschen kommunizieren täglich untereinander über das Internet. Gerade junge Menschen verbringen viel Zeit damit, über Facebook und Co ständig in Kontakt zustehen. Gleichzeitig suchen sie über Suchmaschinen nach Arztpraxen, bewerten Ärzte auf Portalen und fühlen sich besonders verbunden mit derjenigen Hausarztpraxis mit der sie auf Facebook befreundet sind. Viele Unternehmen nutzen bereits die mannigfaltig Facebook Kontakte ihrer Mitarbeiter um deren „Freunde“ auf die eigenen Leistungen und Services aufmerksam zu machen. Wäre das nicht ein einfacher Weg um auch als Arzt seine Leistungen nach außen darstellen zu könnenEs stellt sich auch für Arztpraxen die Frage, ob es sinnvoll ist, sich dieser Entwicklung eher zu verschließen oder sie proaktiv zu nutzen. In der Parallelwelt Internet ist längst eine digitale Identität Ihrer Arztpraxis entstanden und das geht weit über die Inhalte ihrer Homepage hinaus. Persönliche Empfehlungen und soziale Vernetzungen bestimmen den Erfolg der Akteure – mit ihrem Zutun oder auch ohne. Ihre Entscheidung aktiv die Ausrichtung ihres Internetprofils zu beeinflussen, birgt die Chance es, ihren Vorstellungen, entsprechend zu gestalten. Sie können Informationen weiter geben, die Sie ihren Patienten schon immer mitteilen wollten (wie zum Beispiel Ihre IGeL Leistungen, Gesundheitsinformationen oder medizinische Themen). Sie erreichen eine bessere Platzierung in Suchmaschinen sowie eine jüngere und passendere Patientengruppe. Nicht zu unterschätzen ist, dass sich Dialogmöglichkeiten ergeben, die eine Identifikation Ihrer Patienten mit Ihrer Praxis aufbaut. Doch da wo Licht ist, ist auch Schatten. Aus der Nutzung von E-Mail, Internet und Social Media resultieren nicht zu vernachlässigende Datenschutz und Datensicherheits Probleme.

Was muss ich bei der Kommunikation über E-Mail mit dem Patienten beachten?

E-Mails sind wie Postkarten. Schicken sie Ihrem Patienten eine Postkarte, wenn sie einen neuen Befund haben? Genauso wenig werden Sie auch zukünftig per schlichter Email sensible Information verbreiten. Aber die E-Mail hat sich mittlerweile als formloses Kommunikationsmittel breitflächig durchgesetzt. Was liegt also näher als beim Hausarzt mal kurz nachzufragen, was in der Sprechstunde nicht richtig verstanden wurde oder mal eben sich die Untersuchungsergebnisse schicken zu lassen. Längst existieren dafür auch die hinreichenden technischen Möglichkeiten, die Ihnen ein verschlüsseltes technisch sicheres Kommunizieren mit dem Patienten ermöglichen. E-Mails können von jedem System aus Ende-zu-Ende verschlüsselt werden, Dokumente mit digitalen Signaturen abgesichert werden und eine abgesicherte Übertragung von Schriftverkehr über dedizierte Praxissoftware ist sogar schon in vielen Standartlösungen bereits enthalten (zum Beispiel Arztbriefe).

Mindestanforderungen für den Datenschutz bei Nutzung von Facebook

Ihre persönliche Facebook Seite sollte auf jeden Fall privat bleiben. Aus diesem Grund benötigt ihre Praxis – wie auch alle anderen Unternehmen – eine separate Fanpage. Erlauben sie Facebook niemals den Zugriff auf ihr Adressbuch. Einmal falsch geklickt an dieser Stelle kann das als Verstoß gegen die Schweigepflicht nach § 203 StGB gewertet werden.

Das Netz vergisst nichts – auch nicht das was sie eig. gelöscht sehen wollen. Deshalb müssen sie vom ersten Freischalten an die Einstellungen der Privatsphäre unter Kontrolle haben und regelmäßig überprüfen. Erschwerend kommt hinzu das Facebook seine Struktur, seine Standarteinstellungen und selbst seine Geschäftsbedingungen ständig modifiziert ohne es in allen seinen Einzelheiten klar werden zu lassen.

Zumindest haben sie die Möglichkeit ihre Pages frei von werblichen Pinnwand Einträgen zu halten und die Verbreiter zu sperren. Daneben haben sie ja doch auch ihren Patienten gegenüber die Verantwortung immer wieder auf die Datenschutz Problematik hinzuweisen. Weisen darauf hin dass sämtliche Daten auf ihrer Seite der Firma Facebook gehören und dass persönliche, wenn nicht gar medizinische, Inhalte auf einer solchen Seite nicht zu suchen haben. Entsprechende Einträge müssen schnellst möglich gelöscht werden gleichzeitig sollten Sie auf Nachrichten mit persönlichen Inhalt mit einem Datenschutzhinweis und dem Angebot auf ein persönliches Gespräch antworten.

Der ominöse „Like-Button“

Seiten mit dieser Funktion übertragen Nutzerdaten direkt nach Amerika an die Firma Facebook. Ohne das die Nutzer den Button angeklickt haben. Eine zumindest weit gehend juristische Absicherung bietet die sog. „2-Klick“ – Lösung. Entsprechende Informationen zur Umsetzung stellen wir Ihnen gerne zur Verfügung.

 Spam und Schadsoftware in sozialen Netzen

Wie bei Email oder dem Zugang zum Internet gilt auch für soziale Netze die Verpflichtung zur Einrichtung einer Firewall und einer permanent aktuellen Virenschutz Lösung auf ihren IT Systemen.

Genauso wie für Homepages gilt auch für Facebook Fanpages die Impressumspflicht, Urheber- und Mitarbeiterrechte müssen beachtet werden.

 Ihr guter Ruf

Selbst bei seriösen und sachlichen Auftritt ihrer Seiten können missgünstige oder empörte „Freunde“ ihren positiven Eindruck im Internet zerstören. Informieren sie sich deshalb regelmäßig darüber was im Internet über sie/Sie zu erfahren ist:

– überprüfen Sie sich und ihre Praxis bei mehreren Suchmaschinen

– scannen sie auch Bild und Videoplattformen

– richten sie einen Google-Alert/Social-Mention-Alert ein, kontrollieren Sie Google Places

– suchen Sie Ihren Namen in Personensuchmaschinen

 Wie gehe ich mit schlechten Bewertungen im Internet um?

Die bestmögliche Vorkehrung zur Wahrung ihrer positiven digitalen Reputation erreichen sie durch das Erzeugen von positiven Einträgen auf ihrer eigenen Homepage und in Fach- und Social Mediabeiträgen (indiskutabel sind dabei wohl sog. Fakeeinträge die im Übrigen mittlerweile leicht enttarnt werden). Antworten sie stets positiv auf Kritik über ihre eigene Webseite sowie in Bewertungsportalen. Halten sie Informationen über ihr Unternehmen in Branchenbüchern, Bewertungsportalen, Adressdateien und auf ihren eigenen Pages aktuell.

Fazit

Die Einhaltung ihrer Schweigepflicht und der Schutz der persönlichen Daten ihrer Patienten sind auch bei Nutzung der neuen Medien Email, Internet und sozialen Netzwerken gesichert umsetzbar. Die Voraussetzung für eine sichere Gewährleistung von Datenschutz und Datensicherheit bei der Verwendung der neuen Medien in der Arztpraxis, ist ein bewusster und juristisch untermauerter Umgang mit dem technologischen Medium Internet.

Wir beraten Sie bei der informationstechnischen Umsetzung, informieren Sie über juristische Anforderungen und bieten Hilfestellung auf ihrem Weg in die digitale Zukunft.

Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

Datenschutz muss frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt
Datenmissbrauch: Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

 

(06.09.12) – Für viele Beschäftigte ist Datenschutz kein wichtiges Thema. Für viele Unternehmen anscheinend auch nicht. So werden allein auf dem Frankfurter Flughafen wöchentlich rund 300 Laptops als verloren gemeldet. Das Dramatische daran: Auf der der Hälfte von ihnen befinden sich sensible Firmendaten, zumeist ohne wirksamen Zugriffsschutz vor Unberechtigten.

„Der Schutz vertraulicher Daten ist wesentlicher Bestandteil der Sicherung von Unternehmenswerten und damit des Unternehmensbestands“, erklärt Dr. Grischa Kehr, Rechtsanwalt der Anwaltssozietät Eimer Heuschmid Mehle in Bonn. Das Gefährliche: Werden vertraulichen Daten „offenkundig“, gehen neben den tatsächlichen Schutzmöglichkeiten auch rechtliche Schutzmechanismen verloren. „Wichtige Schutztatbestände setzen voraus, dass die Daten geheim sind. Und das sind sie nicht mehr, wenn sie erst einmal an die Öffentlichkeit gelangt und damit offenkundig sind“, warnt Kehr, „dabei ist es völlig belanglos, auf welchem Wege die Daten offenkundig geworden sind.“ Ein verlorener Laptop reicht aus.

Datenschutz muss daher frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt. Längst gibt es gesetzliche Vorgaben, die den Umgang mit vertraulichen Daten regeln. „Viele Verstöße können sogar empfindlich strafrechtlich geahndet werden, von den wirtschaftlichen Folgen eines Verrats von Geschäftsgeheimnissen sowie dem Reputationsverlust durch gebrochene Vertraulichkeit ganz zu schweigen“, stellt Kehr klar

Zum Schutz vertraulicher Daten auf verlustgefährdeten Laptops helfen bereits technische Vorkehrungen. Außerdem lassen sich im gesamten Unternehmen im Rahmen eines technischen IT-Grundschutzes auch Zugriffsberechtigungen einführen, die vor einer unbefugten Weitergabe sensibler Daten schützen. „Allerdings ist gerade für Mittelständler ein systematischer IT-Grundschutz oft Neuland. Hier kann das entsprechende Handbuch des Bundesamtes für Sicherheit und Informationstechnik eine nützliche Orientierung bieten“, informiert Anwalt Kehr.

Um empfohlene Schutzmaßnahmen umzusetzen, ist eine interne IT-Organisation notwendig, die den Datenumgang und den Datenzugriff im Unternehmen reguliert. Dies setzt voraus, dass schützenswerte Daten überhaupt erst einmal für die Beteiligten als solche kenntlich gemacht werden. Kehr warnt: „Jede Organisation und jede technische Vorkehrung läuft ins Leere, wenn die Mitarbeiter nicht vom Unternehmen im Datenumgang geschult werden.“

Zusätzlich lassen sich zur Bewahrung von Geschäftsgeheimnissen, arbeitsvertraglich oder durch Betriebsvereinbarung verbindlich begründet, Sorgfaltspflichten im Datenumgang festschreiben. Hierzu gehören zum Beispiel Einschränkungen bei der Verwendung externer Datenträger oder beim Zugriff auf potenziell sicherheitsgefährdende Websites. Doch selbst wenn arbeitsvertraglich Sanktionen gegen Datenmissbrauch vorgesehen sind, lassen sich Nachlässigkeit und vorsätzliche Schädigung nie vollständig vermeiden.

So soll laut einer Studie das größte Gefährdungspotenzial beim gewollten Datenmissbrauch in Deutschland von verheirateten, gebildeten, männlichen Mitarbeitern Mitte 40 ausgehen. Sie haben typischerweise die deutsche Staatsangehörigkeit und sind in der Führungsebene eines Unternehmens tätig. Ihr Motiv soll Unzufriedenheit mit dem Unternehmen sein, insbesondere wenn die eigene Karriere stockt. Kehr kommentiert: „Der zufriedene Mitarbeiter ist natürlich das beste Mittel gegen Illoyalität. Ansonsten bleibt einem Unternehmen nur noch die Möglichkeit, unzufriedenen Mitarbeitern durch technische und organisatorische Maßnahmen keine Gelegenheit zum unternehmensschädigenden Datenmissbrauch zu geben.“

Vollständiger Artikel über: http://www.compliancemagazin.de/markt/hintergrund/eimer-heuschmid-mehle060912.html

(Eimer Heuschmid Mehle: ra)