Archiv der Kategorie: Viren

Social Media und der gute Ruf einer Arztpraxis

Noch vor wenigen Jahren stellte die Kommunikation durch E-Mails für viele Unternehmen eine neuartige Herausforderung dar. Der Wunsch der Mitarbeiter, auch während der Arbeit, Zugriff auf das Internet zu haben, und initiierte neue Denkanstösse in Unternehmen. Mittlerweile gehört die Kommunikation über E-Mail sowie die Recherche im Internet zu beruflichen Themen zum Standard der meisten Branchen. Sogar die Nutzung dieser Medien für private Zwecke, ist heutzutage – oft ohne Kenntnis der juristischen Hintergründe – in Firmen, mehr oder weniger geregelt, den Mitarbeitern möglich. Die beständige Weiterentwicklung hin zu sichereren Systemen ermöglicht, z.B durch Verschlüsselung, längst die Nutzung von abgesichertem E-Mail Verkehr. Und auch eine weitere Entwicklung lässt sich weder aufhalten noch rückgängig machen. Viele Menschen kommunizieren täglich untereinander über das Internet. Gerade junge Menschen verbringen viel Zeit damit, über Facebook und Co ständig in Kontakt zustehen. Gleichzeitig suchen sie über Suchmaschinen nach Arztpraxen, bewerten Ärzte auf Portalen und fühlen sich besonders verbunden mit derjenigen Hausarztpraxis mit der sie auf Facebook befreundet sind. Viele Unternehmen nutzen bereits die mannigfaltig Facebook Kontakte ihrer Mitarbeiter um deren „Freunde“ auf die eigenen Leistungen und Services aufmerksam zu machen. Wäre das nicht ein einfacher Weg um auch als Arzt seine Leistungen nach außen darstellen zu könnenEs stellt sich auch für Arztpraxen die Frage, ob es sinnvoll ist, sich dieser Entwicklung eher zu verschließen oder sie proaktiv zu nutzen. In der Parallelwelt Internet ist längst eine digitale Identität Ihrer Arztpraxis entstanden und das geht weit über die Inhalte ihrer Homepage hinaus. Persönliche Empfehlungen und soziale Vernetzungen bestimmen den Erfolg der Akteure – mit ihrem Zutun oder auch ohne. Ihre Entscheidung aktiv die Ausrichtung ihres Internetprofils zu beeinflussen, birgt die Chance es, ihren Vorstellungen, entsprechend zu gestalten. Sie können Informationen weiter geben, die Sie ihren Patienten schon immer mitteilen wollten (wie zum Beispiel Ihre IGeL Leistungen, Gesundheitsinformationen oder medizinische Themen). Sie erreichen eine bessere Platzierung in Suchmaschinen sowie eine jüngere und passendere Patientengruppe. Nicht zu unterschätzen ist, dass sich Dialogmöglichkeiten ergeben, die eine Identifikation Ihrer Patienten mit Ihrer Praxis aufbaut. Doch da wo Licht ist, ist auch Schatten. Aus der Nutzung von E-Mail, Internet und Social Media resultieren nicht zu vernachlässigende Datenschutz und Datensicherheits Probleme.

Was muss ich bei der Kommunikation über E-Mail mit dem Patienten beachten?

E-Mails sind wie Postkarten. Schicken sie Ihrem Patienten eine Postkarte, wenn sie einen neuen Befund haben? Genauso wenig werden Sie auch zukünftig per schlichter Email sensible Information verbreiten. Aber die E-Mail hat sich mittlerweile als formloses Kommunikationsmittel breitflächig durchgesetzt. Was liegt also näher als beim Hausarzt mal kurz nachzufragen, was in der Sprechstunde nicht richtig verstanden wurde oder mal eben sich die Untersuchungsergebnisse schicken zu lassen. Längst existieren dafür auch die hinreichenden technischen Möglichkeiten, die Ihnen ein verschlüsseltes technisch sicheres Kommunizieren mit dem Patienten ermöglichen. E-Mails können von jedem System aus Ende-zu-Ende verschlüsselt werden, Dokumente mit digitalen Signaturen abgesichert werden und eine abgesicherte Übertragung von Schriftverkehr über dedizierte Praxissoftware ist sogar schon in vielen Standartlösungen bereits enthalten (zum Beispiel Arztbriefe).

Mindestanforderungen für den Datenschutz bei Nutzung von Facebook

Ihre persönliche Facebook Seite sollte auf jeden Fall privat bleiben. Aus diesem Grund benötigt ihre Praxis – wie auch alle anderen Unternehmen – eine separate Fanpage. Erlauben sie Facebook niemals den Zugriff auf ihr Adressbuch. Einmal falsch geklickt an dieser Stelle kann das als Verstoß gegen die Schweigepflicht nach § 203 StGB gewertet werden.

Das Netz vergisst nichts – auch nicht das was sie eig. gelöscht sehen wollen. Deshalb müssen sie vom ersten Freischalten an die Einstellungen der Privatsphäre unter Kontrolle haben und regelmäßig überprüfen. Erschwerend kommt hinzu das Facebook seine Struktur, seine Standarteinstellungen und selbst seine Geschäftsbedingungen ständig modifiziert ohne es in allen seinen Einzelheiten klar werden zu lassen.

Zumindest haben sie die Möglichkeit ihre Pages frei von werblichen Pinnwand Einträgen zu halten und die Verbreiter zu sperren. Daneben haben sie ja doch auch ihren Patienten gegenüber die Verantwortung immer wieder auf die Datenschutz Problematik hinzuweisen. Weisen darauf hin dass sämtliche Daten auf ihrer Seite der Firma Facebook gehören und dass persönliche, wenn nicht gar medizinische, Inhalte auf einer solchen Seite nicht zu suchen haben. Entsprechende Einträge müssen schnellst möglich gelöscht werden gleichzeitig sollten Sie auf Nachrichten mit persönlichen Inhalt mit einem Datenschutzhinweis und dem Angebot auf ein persönliches Gespräch antworten.

Der ominöse „Like-Button“

Seiten mit dieser Funktion übertragen Nutzerdaten direkt nach Amerika an die Firma Facebook. Ohne das die Nutzer den Button angeklickt haben. Eine zumindest weit gehend juristische Absicherung bietet die sog. „2-Klick“ – Lösung. Entsprechende Informationen zur Umsetzung stellen wir Ihnen gerne zur Verfügung.

 Spam und Schadsoftware in sozialen Netzen

Wie bei Email oder dem Zugang zum Internet gilt auch für soziale Netze die Verpflichtung zur Einrichtung einer Firewall und einer permanent aktuellen Virenschutz Lösung auf ihren IT Systemen.

Genauso wie für Homepages gilt auch für Facebook Fanpages die Impressumspflicht, Urheber- und Mitarbeiterrechte müssen beachtet werden.

 Ihr guter Ruf

Selbst bei seriösen und sachlichen Auftritt ihrer Seiten können missgünstige oder empörte „Freunde“ ihren positiven Eindruck im Internet zerstören. Informieren sie sich deshalb regelmäßig darüber was im Internet über sie/Sie zu erfahren ist:

– überprüfen Sie sich und ihre Praxis bei mehreren Suchmaschinen

– scannen sie auch Bild und Videoplattformen

– richten sie einen Google-Alert/Social-Mention-Alert ein, kontrollieren Sie Google Places

– suchen Sie Ihren Namen in Personensuchmaschinen

 Wie gehe ich mit schlechten Bewertungen im Internet um?

Die bestmögliche Vorkehrung zur Wahrung ihrer positiven digitalen Reputation erreichen sie durch das Erzeugen von positiven Einträgen auf ihrer eigenen Homepage und in Fach- und Social Mediabeiträgen (indiskutabel sind dabei wohl sog. Fakeeinträge die im Übrigen mittlerweile leicht enttarnt werden). Antworten sie stets positiv auf Kritik über ihre eigene Webseite sowie in Bewertungsportalen. Halten sie Informationen über ihr Unternehmen in Branchenbüchern, Bewertungsportalen, Adressdateien und auf ihren eigenen Pages aktuell.

Fazit

Die Einhaltung ihrer Schweigepflicht und der Schutz der persönlichen Daten ihrer Patienten sind auch bei Nutzung der neuen Medien Email, Internet und sozialen Netzwerken gesichert umsetzbar. Die Voraussetzung für eine sichere Gewährleistung von Datenschutz und Datensicherheit bei der Verwendung der neuen Medien in der Arztpraxis, ist ein bewusster und juristisch untermauerter Umgang mit dem technologischen Medium Internet.

Wir beraten Sie bei der informationstechnischen Umsetzung, informieren Sie über juristische Anforderungen und bieten Hilfestellung auf ihrem Weg in die digitale Zukunft.

Advertisements

Arztpraxis und Datenschutz

Ein niedergelassener Arzt wandte sich an den Datenschutzbeauftragten. Der Arzt, der auch substitutionsgestützte Behandlungen Opiatabhängiger durchführt, berichtete, dass nach den einschlägigen Richtlinien der Bundesärztekammer so genannte Sicht-Urinkontrollen bei der Behandlung von Subtitutionspatienten vorgeschrieben seien. Er beabsichtigte, diese Kontrollen künftig mittels einer Videoüberwachungskamera durchzuführen, die in der für die Urinabgabe vorgesehenen Patiententoilette installiert werden solle. Konkret sollte die Urinabgabe der betroffenen Substitutionspatienten in der Weise überwacht werden, dass der Vorgang auf einem in einem Nebenraum installierten Monitor vom Arzt oder anderem Praxispersonal beobachtet wird. Eine Aufzeichnung der Kamerabilder war nach den Plänen des Arztes nicht vorgesehen.

(Datenschutzrechtlich handelt es sich bei der vom Arzt geplanten Kontrolle der Urinabgabe um eine Erhebung personenbezogener Daten i. S. d. § 6b Abs. 1 BDSG. Im vorliegenden Fall musste geprüft werden, ob die datenschutzrechtliche Erforderlichkeit gegeben ist).

Ein anderer Fall:

Eine Radiologie-Praxis warnte vor einiger Zeit ihre Patienten vor dem Verlust von Daten. Ein Webserver, auf dem sensible Patienten-Informationen von 230.000 Bürgern gespeichert waren, wurde von Unbekannten gehackt. Unter den auf dem Server gespeicherten Daten befanden sich die Namen, Sozialversicherungsnummern, Kennzahlen der medizinischen Diagnosen und Adressen der betroffenen Patienten nebst einigen weiteren persönlichen Daten.

Ein weiterer, wenn auch nicht neuer Aspekt

Regelungen zur Abwicklung des Hausarztvertrages in Schleswig-Holstein verstoßen nach Ansicht des OVG Schleswig-Holstein gegen den Datenschutz. Sie zwängen Ärzte dazu, sensible Patientendaten an die Hausärztliche Vertragsgemeinschaft und deren Dienstleister weiterzugeben, hieß es in einem Beschluss. Die Ärzte haben keine vollständige Kontrolle über die Daten.

Ein Albtraum für den Patienten

Die Operation am Kniegelenk mit der schonenden Methode der Arthroskopie verläuft zunächst reibungslos – doch dann fällt der Bildschirm aus. Die Bild- und Videodaten der kleinen Kamera im Inneren des Knies werden nicht mehr auf das Display und den zentralen Server übertragen. Der Orthopäde muss die Operation unterbrechen. Die Ursache: Ein Virus hat das System lahmgelegt.

Solche Beispiele zeigen das Risiko auf, das im Umgang mit den besonderen, persönlichen Daten im Gesundheitswesen und den medizinischen IT-Systemen steckt.

Zeitgleich wächst das Bewusstsein um den Schutz der eigenen persönlichen Daten in der Bevölkerung.

Da ist es verständlich, dass Patienten sich mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.

Der einzelne Nutzer von modernen Instrumenten der Kommunikation ist nur noch  bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.

Gerade Betriebe für die die Verwendung von besonders schützenswerten personenbezogenen Daten wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft oder zur Religion, unablässig ist, sind zu erhöhter Sorgfaltspflicht verpflichtet.

Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.

Analog dieser Formulierung müssten die meisten niedergelassenen Ärzte sich ad jure keine Gedanken zum Thema Datenschutz machen, zumal die ärztliche Schweigepflicht scheinbar die Schutzbedürfnisse der Patienten abdeckt.

Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen  Fertigkeit unlauterer Zeitgenossen stand halten.

Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft somit alle ärztlichen Fachrichtungen.

Die Vorabkontrolle kann nach BDSG entfallen, wenn alle Patienten schriftlich ihr Einverständnis zur Verarbeitung ihrer Daten geben bzw. gegeben haben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es ist jedoch vorbehalten, ob dies elektronisch oder herkömmlich geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb theoretisch in der Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.

Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich gesetzeskonform aufzustellen:

–          entweder durch die Bestellung eines Datenschutzbeauftragten oder

–          durch die explizite, schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.

Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und nicht zu Letzt die doch erheblichen Strafen im Falle einer Abmahnung, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis gesetzeskonform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen.

Dabei ist weder der Beschluss, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, noch die alleinige Benennung eines/r Praxismitarbeiters/in als Datenschutzbeauftragte/r eine erschöpfende Lösung. Ein Systembetreuer ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, unzureichend. Die sich rasant entwickelnden IT-Technologien und die Fortschreibung des juristischen Basiswissens sind nur in Ausnahmefällen von medizinischem Fachpersonal abdeckbar. Ganz zu schweigen vom zusätzlichen Zeitaufwand, der der Betreuung der Patienten fehlt. Ein hauptberuflicher medizinischer Datenschutzexperte klärt viele der anstehenden Themen in Bruchteilen der Zeit und benötigt keinen Zusatzaufwand an permanenter Fortbildung.

Gerne unterstützen wir Sie weiterführend mit unserer Expertise bei Ihrem Thema „Datenschutz in Arzt-Praxen“.

Kampf gegen Botnetze

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der deutschen Internetwirtschaft (ECO) stellten anlässlich des 8. Deutschen Anti-Spam Kongresses dieser Tage in Wiesbaden das Botnetz-Beratungszentrum vor, dessen Gründung beim 4. Nationalen IT-Gipfel 2009 beschlossen wurde.

Neben den beiden genannten Organisationen sind die Telekom-Provider 1&1, Kabel BW, Net Cologne, QSC, Telekom und Versatel an dem Projekt beteiligt.

Spezialisten schätzen, dass 95 % des weltweiten Spams, der größte Teil der DoS-Attacken (Denial-of-Services) und der per eMail verbreiteten Malware sich über Botnetze verbreiten. Es wird deshalb geraten, unbedingt eine Anti-Spam-Lösung einzusetzen, die Links in Emails oder Umleitungen von Websites erkennt und daraufhin prüft. Denn die wenigsten Anwender bemerken, wenn ihr System Teil eines Botnetzes geworden ist.

Über die Adresse Botfrei.de werden nun Informationen und Tools bereitgestellt, um befallene Rechner und Systeme zu befreien und vor Angriffen zu schützen.
In der Rubrik Informieren erfahren Sie, was Botnetze sind, welchen Schaden sie anrichten können und wie sie die Daten auf Ihrem Computer bedrohen können. In der Rubrik Säubern steht der DE-Cleaner zur Verfügung, mit dem Sie Ihren Rechner von Schadprogrammen befreien können. Unter Vorbeugen finden Sie viele hilfreiche Hinweise, wie Sie Ihren Computer nachhaltig vor neuen Infektionen schützen.

Wer zusätzliche Informationen benötigt, kann sich über die eingerichteten Hotlines an die beteiligten Provider wenden. Im ersten Schritt haben jedoch bislang nur 1&1 und Kabel BW die Telefonhotline in Betrieb genommen, die anderen Provider werden noch folgen.

IT-Sicherheitsunternehmen bieten zudem Tools an, die Rechner aus Botnetzen befreien. Noch sicherer ist es jedoch, die infizierte Hardware auszutauschen.

Mit der Arbeit des Beratungszentrums soll die Zahl der infizierten und in einem Botnetz eingebundenen Computer gesenkt werden und so den Cyberkriminellen die Grundlage entzogen werden. Wenngleich dieser Ansatz bislang nur in Deutschland existiert und damit einer weltweiten Verbreitung allein wohl kaum effektiv Paroli bieten kann, so kann nur eine breite Bekanntmachung und möglichst flächendeckende Information letztlich die Ausbreitung eindämmen.