Datenschutz ernst nehmen und Vertrauen schaffen

Daten über die Gesundheit gehören zu den «besonders schützenswerten Personendaten» und verlangen dementsprechende Massnahmen. Dabei gilt es, solche Daten vor unbefugten Veränderungen, Zerstörung und Missbrauch zu bewahren. Falsche oder nicht verfügbare Informationen können gravierende Konsequenzen haben und die Gesundheit, im schlimmsten Fall sogar Leben gefährden (1).

Erst mit einem integralen Ansatz kann ein möglichst umfassender Schutz sensibler Gesundheitsdaten erzielt werden. Dieser Ansatz sieht vor, dass dem Thema auf verschiedenen Ebenen Rechnung getragen wird. Sicherheitsmassnahmen lassen sich in drei Kategorien einteilen:

Zu den verhaltensbezogenen Massnahmen gehört die Verwendung von langen komplexen Passwörtern. Damit diese nicht auswendig gelernt werden müssen, empfiehlt sich die Verwendung eines Passwort-Safes. Mit einem solchen Programm können Passwörter einfach gespeichert und sicher aufbewahrt werden. Einen zusätzlichen Schutz bietet der Einsatz der Zwei-Faktor-Authentisierung, wobei sich der Anwender neben dem Passwort mit einem zweiten Faktor anmelden muss. Mögliche zweite Faktoren bieten Authentisierungs-Apps (wie die HIN Authenticator App) oder eine hinterlegte Identitätsdatei, wie dies im HIN Client der Fall ist. Wenn ein Passwort durch unbefugte Dritte gehackt wird, bleibt diesen der Zugang auf das betreffende Konto verwehrt, da ihnen der zweite Faktor fehlt. Neben dem Schutz von persönlichen Konten ist es wichtig, sensible Daten immer verschlüsselt zu übermitteln (beispielsweise mit HIN Mail). Unverschlüsselte E-Mails bringen erhebliche Gefahren mit sich, da der Inhalt der Nachricht von unbefugten Dritten abgefangen und eingesehen werden kann. Die Vertraulichkeit einer unverschlüsselten E-Mail wird folglich oft mit jener einer Postkarte verglichen.

Zu den wichtigsten technischen Massnahmen gehört, dass alle IT-Systeme immer auf dem neusten Stand gehalten werden. Mithilfe von regelmässigen und sicher aufbewahrten Backups können im Falle eines erfolgreichen Cyberangriffes verlorene Daten wieder hergestellt werden. Die Wichtigkeit regelmässiger Backups hat sich beispielsweise gezeigt, als die Hirslanden-Gruppe im Herbst 2020 Opfer eines Verschlüsslungstrojaners wurde (2). Die verschlüsselten Daten konnten dank eines Backups wieder hergestellt werden und die Patientenversorgung war zu keinem Zeitpunkt gefährdet.

Auch organisatorische Massnahmen können dabei helfen, den Schutz sensibler Daten massiv zu erhöhen. Durch sicherheitsrelevante Vorgaben und kontrollierte Abläufe können Risiken minimiert werden. Dazu gehört beispielsweise die Bestimmung von Verantwortlichkeiten oder das Einschränken von Berechtigungen. Vorgesetzte, die mit gutem Beispiel vorangehen, können Mitarbeitende motivieren, das Thema Datenschutz ernst zu nehmen. Ergänzt durch eine regelmässige Schulung der Mitarbeitenden zum Thema Datenschutz und IT-Sicherheit entsteht eine erhöhte Sensibilisierung, welche sich langfristig positiv auf das Verhalten im Umgang mit sensiblen Daten auswirkt.

Für den Schutz von sensiblen Daten sind technische Massnahmen wichtig, doch ein ebenso wichtiger Faktor ist das menschliche Verhalten. Wer sich den Gefahren der Cyberkriminalität bewusst ist, kann diesen mit mehr Sicherheit begegnen und unter Umständen sogar dort eingreifen, wo die Technik versagt. Um Mitarbeitende für das Thema Datensicherheit zu sensibilisieren, empfiehlt sich eine regelmässige und gezielte Schulung. Im Fokus soll dabei nicht die reine Informationsvermittlung stehen, sondern die Schaffung eines langfristigen Bewusstseins für mögliche Gefahren. Eine Datenschutz-Schulung legt eine solide Basis dafür, dass sich jede und jeder ihrer oder seiner Verantwortung bewusst ist und diese im Arbeitsalltag wahrnimmt.

Auch das Bundesamt für Justiz (BJ) weist in seinem erläuternden Bericht zum neuen Datenschutzgesetz (nDSG) ausdrücklich auf die Relevanz von Schulungen und Beratungen hin (3). Denn aus Sicht des Bundesrates hängen die Umsetzung und Wirksamkeit der Datensicherheit insbesondere auch davon ab, ob die involvierten Personen vorgesehene Massnahmen in Bezug auf IT-Sicherheit und Datenschutz korrekt anwenden. So können durch Schulungen und Beratungen die Risiken von Datensicherheitsverletzungen minimiert werden, beispielsweise durch den bewussten Umgang mit potenziell gefährlichen E-Mail-Anhängen oder Links.

Patienten und Patientinnen dürfen eine sorgfältige Behandlung erwarten und somit ein rechtmässiges Verhalten bezüglich des Umgangs mit Patientendaten. Gesundheitsfachpersonen sind verpflichtet, das Patientengeheimnis zu wahren und sie unterstehen dem Datenschutzgesetz. Eine qualitativ hochwertige Behandlung der Patienten bedingt somit unter anderem, dass dem Datenschutz jederzeit Rechnung getragen wird. Ärzte und Ärztinnen, die ihre Verantwortung für den Datenschutz wahrnehmen und dies ihren Patienten gegenüber transparent machen (beispielsweise mit dem HIN Label), tragen dazu bei, das Vertrauensband zwischen Arzt und Patienten zu stärken.

Leiter Schulungswesen

Health Info Net AG

Seidenstrasse 4

8304 Wallisellen

Telefon 0848 830 740

jona.karg@hin.ch

In Kooperation mit FMH Services führt HIN Security Awareness Schulungen für Gesundheitsfachpersonen durch.

Quelle: FMH Services/Fachartikel und Inserate/FMH Services (ZP), Dezember 2022