» Seite drucken
Psychotherapeuten
Kammer NRW


Kammer für Psychologische
Psychotherapeuten
und Kinder- und Jugendlichen-
psychotherapeuten
Nordrhein-Westfalen

Informationen zur Datensicherheit bei elektronischer Speicherung



Ausgangsfrage:
Wenn die Datenspeicherung (Patientendaten) nicht mehr in der Papierakte, sondern digital erfolgt, welches ist der 'aktuelle Sicherheitsstandard' gemäß § 10 der Berufsordnung der Psychotherapeutenkammer NRW? Ist es zulässig, die Daten auf dem PC mit Internetzugang zu speichern, oder auf einer externen Festplatte, oder dezentral z.B. über Angebote von Telekom ("Cloud")? Welcher inhaltliche Standard gilt, wen kann man ggf. dazu fragen?


§ 10 (Datensicherheit) der Berufsordnung der Psychotherapeutenkammer NRW (nachfolgend: BO) lautet:

(1) Psychotherapeutinnen und Psychotherapeuten haben in ihrem Verantwortungsbereich sicherzustellen, dass erhobene Daten und persönliche Aufzeichnungen sicher verwahrt werden und gegenüber Zugriffen unbefugter Dritter umfassend geschützt sind.

(2) Dies gilt auch für elektronisch gespeicherte Daten und Aufzeichnungen. Die jeweils aktuellen Sicherheitsstandards sind einzuhalten und die gesetzlich vorgeschriebenen Fristen sind zu beachten.


  • Sichere Verwahrung bedeutet dabei nicht nur, Daten und Aufzeichnungen (unabhängig, ob in Papierform oder elektronisch gespeichert) vor Zugriffen Dritter / unberechtigter Verwendung  zu schützen, sondern auch vor anderen Einwirkungen (die zu Veränderung, Beschädigung oder Vernichtung führen; beispielsweise dürfen Papierunterlagen nicht in feuchten Kellerräumen verwahrt oder elektronische Dateien nicht durch einen Server-„Absturz“ gelöscht werden).
  • Neben den Anforderungen aus § 10 BO sind neben den Vorschriften der Berufsordnung und des Strafgesetzbuches zur Schweigepflicht von niedergelassenen Psychotherapeuten auch die Vorschriften des Bundesdatenschutzgesetzes einzuhalten (in Institutionen sind in der Regel die Vorschriften des jeweiligen Landesdatenschutzgesetzes einzuhalten).
  • Es ist zwar grundsätzlich zulässig, Patientendaten auf einem PC mit Internetzugang, einer externen Festplatte oder dezentral in einer "Cloud" zu speichern. In allen diesen Fällen ist es dabei jedoch notwendig, die aktuellen Sicherheitserfordernisse einzuhalten und die Besonderheiten der psychotherapeutischen Schweigepflicht zu wahren.


Was dabei dem jeweils aktuellen Sicherheitsstandard entspricht, kann den Anforderungskatalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entnommen werden (IT-Grundschutz-Kataloge, die aktuelle Fassung 2011 umfasst über 4.000 Seiten, einen überschaubareren Einstieg in die Thematik liefert der „Leitfaden Informationssicherheit“ des BSI). Hinsichtlich der Besonderheiten, die sich aus der psychotherapeutischen Schweigepflicht und dem sonstigen Berufsrecht ergeben, hat die Kassenärztliche Bundesvereinigung (KBV) einen Leitfaden für Ärzte und Psychotherapeuten zu den Anforderungen an Hard- und Software in der Praxis und Hinweisen zum Datenschutz auf Ihre Homepage gestellt (Stand Januar 2012). Die KBV hat gemeinsam mit der Bundesärztekammer im Jahre 2008 Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis und eine zugehörige technische Anlage veröffentlicht. Auf diese technische Anlage verweist auch die Entschließung der 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 16./17. März 2011 zu den Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze. Die Empfehlungen der KBV nebst technischer Richtlinie können für Psychotherapeuten entsprechend angewandt werden.

Insbesondere ist immer eine hochwertige symmetrische Verschlüsselung der Dateien mit Patientendaten zu empfehlen (auch wenn der Rechner mit den Patientendaten von dem Rechner, mit dem eine Internetverbindung hergestellt wird, getrennt ist, da jeder Rechner entwendet werden kann). Der Nachweis, dass elektronisch erfasste Daten nicht nachträglich manipuliert wurden, kann am sichersten durch den Einsatz von (qualifizierten) elektronischen Signaturen und Zeitstempeln erbracht werden. Der Zugang zum Rechner sollte durch effektive Passwörter, die Praxis gegen Einbruch geschützt sein. Die Dateien sind regelmäßig durch Backups, die sicher verwahrt werden müssen, zu sichern. Bei Internetnutzung auf dem Rechner, auf dem Patientendaten gespeichert werden, sind darüber hinaus der Einsatz von Viren-Schutzprogrammen und Firewall obligatorisch. Diese Aufzählung ist nicht abschließend (genauere Informationen bitte den vorgenannten Unterlagen entnehmen).

Bei der Speicherung in einer „Cloud“, die rechtlich als Auftragsdatenverarbeitung eingestuft wird (Gola/Schomerus, BDSG Kommentar, § 11 Rz. 8) sind darüber hinaus zusätzliche Anforderungen des § 11 BDSG einzuhalten. Hierzu gehören unter anderem die sorgfältige Auswahl des Dienstleiters unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen und die schriftliche Erteilung des Auftrags, in dem u.a. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen festzulegen sind. Gemäß § 3 Abs. 8 BDSG muss der Cloud Computing Anbieter seinen Sitz innerhalb der EU oder den Staaten des Europäischen Wirtschaftsraumes (EWR) haben und Daten auch dort verarbeiten. Wie diese Vorgaben dabei im Einzelnen genau erfüllt werden können, ist eine Frage des jeweiligen Einzelfalls.


Links:

» IT-Grundschutz-Kataloge:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
» „Leitfaden Informationssicherheit“ des BSI:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile
» Leitfaden für Ärzte und Psychotherapeuten zu den Anforderungen an Hard- und Software in der Praxis:
http://www.kbv.de/html/praxis-it.php
» Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis:
http://www.kbv.de/html/2757.php
» Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze:
http://www.datenschutz-berlin.de/attachments/757/TOP-6-KV-SafeNet.pdf?1300443339



Download:


» Informationsblatt zur Datensicherheit bei elektronischer Speicherung [PDF-Dokument, 231 KB]

 

Zurück zur Übersicht

SUCHE