Datenschutz & Datensicherheit in der Arztpraxis

Transkript

1 Datenschutz & Datensicherheit in der Arztpraxis Thomas Zeller Leiter BWG Internet- & Security Services betrieblicher Datenschutzbeauftragter BWG Informationssysteme GmbH Internet- & Security Services Seite 1

2 Kurzvorstellung BWG Systemhausgruppe BWG Informationssysteme GmbH Internet- & Security Services Seite 2

3 Agenda Uhr Themenblock I - Datenschutz Uhr Themenblock II Datensicherheit Uhr Pause Uhr Themenblock III Mit der Arztpraxis ins Internet Uhr Fragen & Antworten, Diskussion BWG Informationssysteme GmbH Internet- & Security Services Seite 3

4 Themenblock I Datenschutz BWG Informationssysteme GmbH Internet- & Security Services Seite 4

5 Datenschutz ein abstraktes Thema? BWG Informationssysteme GmbH Internet- & Security Services Seite 5

6 Datenschutz ein abstraktes Thema? BWG Informationssysteme GmbH Internet- & Security Services Seite 6

7 Datenschutz geht alle an! BWG Informationssysteme GmbH Internet- & Security Services Seite 7

8 Definition Datenschutz bezeichnet alle organisatorischen Maßnahmen zum Schutz personenbezogener Daten Datensicherheit (Informationssicherheit) bezeichnet organisatorisch / technische Maßnahmen zum Schutz jeglicher Informationen vor Verlust, Manipulation, Kenntnisnahme durch Unbefugte und andere Bedrohungen. Die Grundwerte der Informationssicherheit lauten Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Verbindlichkeit (Authentity) Merke: Ohne Datensicherheit (Informationssicherheit) kein Datenschutz BWG Informationssysteme GmbH Internet- & Security Services Seite 8

9 Warum überhaupt Datenschutz? "Schutz des Menschen vor dem Computer" Datenschutz ist ein Grundrecht (hergeleitet aus dem allgemeinen Persönlichkeitsrecht des Artikels 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 des Grundgesetzes). Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen (Recht auf informationelle Selbstbestimmung). Verbot mit Erlaubnisvorbehalt. 1. Verankert in der ärztlichen Berufsordnung (MBO in Verbindung mit 203 Strafgesetzbuch (StGB), Patientengeheimnis (Schweigepflicht) und Bundesdatenschutzgesetz (BDSG) 2. Für die Verarbeitung von Patientendaten durch niedergelassene Ärzte gelten die Vorschriften des BDSG. 3. Für die Verarbeitung von Patientendaten durch die Krankenhäuser gelten in Bund und Ländern unterschiedliche Rechtsvorschriften, z. B. Landeskrankenhausgesetze, Gesundheitsdatenschutzgesetze. BWG Informationssysteme GmbH Internet- & Security Services Seite 9

10 Sonderfall Patientendaten Gesundheitsdaten sind besondere personenbezogene Daten nach 3 Abs. 9 BDSG Besondere personenbezogene Daten sind z. B. Gesundheitsdaten, Informationen über die rassische oder ethnische Herkunft, politische, religiöse, gewerkschaftliche oder sexuelle Orientierung. Verarbeitung ist an strengere Voraussetzungen gebunden als die Verarbeitung sonstiger personenbezogener Daten. Technische und organisatorische Maßnahmen müssen sicherstellen, dass eine missbräuchliche Nutzung nicht möglich ist ( 9 BDSG, Anlage z. 9 BDSG Ziff. 2 (Zugangskontrolle) und Ziff. 3 (Zugriffskontrolle) Der Gesamtvorgang der Datenverwendung (d.h. inklusive der Einbindung in den organisatorischen Ablauf der Praxis und in das Netzwerk) muss datenschutzgerecht sein Ärztliche Schweigepflicht 203 StGB i. V. m. 3 Musterberufsordnung (MBO) Dokumentationspflicht Der Arzt ist im Rahmen der Zweckbestimmung des Behandlungsvertrages verpflichtet und berechtigt, die von ihm als notwendig erachteten Daten zu dokumentieren ( 28 Abs. 1 BDSG). Die Verpflichtung zur Dokumentation ergibt sich aus 15 Abs. 1 MBO und als Nebenpflicht aus dem Behandlungsvertrag. Aufbewahrungspflicht Die Dauer der Aufbewahrungspflicht ärztlicher Aufzeichnungen ist in 15 Abs. 2 der MBO festgelegt und beträgt in der Regel zehn Jahre. BWG Informationssysteme GmbH Internet- & Security Services Seite 10

11 Das Schutzstufenkonzept der Datenschutzbeauftragten der Länder Schutzstufe A: Frei zugängliche Daten (Telefonbücher, Adressbücher ) Schutzstufe B: Belästigung (KFZ Zulassungsdaten) Schutzstufe C: Gesellschaftliche Stellung (Einkommen, Sozialleistungen) Schutzstufe D: Wirtschaftliche Verhältnisse (Vermögen, gesundheitliche Verhältnisse) Schutzstufe E: Leben, Gesundheit oder Freiheit (Patientendaten) D = Beeinträchtigung der gesellschaftlichen und wirtschaftlichen Stellung E = Beeinträchtigung in den Bereichen Leben, Gesundheit oder Freiheit BWG Informationssysteme GmbH Internet- & Security Services Seite 11

12 Datenübermittlung Grundlage ist der Behandlungsvertrag zwischen Arzt und Patient Weitergabe der Daten an Dritte ist nicht grundsätzlich erlaubt Patientendaten dürfen nur unter folgenden Voraussetzungen weitergegeben werden: a) Der Patient ist einverstanden (schriftliche Einverständniserklärung) b) Das Einverständnis des Patienten kann vorausgesetzt werden (Überweisung zum Zwecke der Mit- und Nachbehandlung) c) Die Übermittlung ist gesetzlich vorgeschrieben BWG Informationssysteme GmbH Internet- & Security Services Seite 12

13 Gesetzlich vorgeschriebene Datenübermittlung (Auswahl) im Sozialgesetzbuch V (SGB V) für den Bereich der vertragsärztlichen Versorgung bei der Übermittlung von Daten an die Kassenärztlichen Vereinigungen zum Zweck der Abrechnung ( 295 SGB V) zum Zweck der Wirtschaftlichkeitsprüfung ( 296, 297 SGB V) zum Zweck der Qualitätssicherung ( 298 SGB V) Übermittlung an die Krankenkasse Arbeitsunfähigkeitsbescheinigung ( 284 i.v. m. 295 SGB V) Übermittlung an den Medizinischen Dienst ( 276, 277 SGB V) BWG Informationssysteme GmbH Internet- & Security Services Seite 13

14 Gibt Auskunft über Anfragen von z. B. Unfallversicherungsträgern Rentenversicherungsträgern Versorgungsverwaltung Krankenkassen / med. Dienst Sozialämtern Pflegekassen Bundesagentur für Arbeit (AA) BWG Informationssysteme GmbH Internet- & Security Services Seite 14

15 Auskunftsrecht Rechte des Betroffenen 19 BDSG Auskunft an den Betroffenen (1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. [ ] (7) Die Auskunft ist unentgeltlich. BWG Informationssysteme GmbH Internet- & Security Services Seite 15

16 Auskunftsrecht des Patienten (Recht auf Einsicht in Patientendokumentation) Recht auf Selbstbestimmung der personalen Würde des Patienten (u.a. Art GG) Auskunftsrecht nach BDSG Einsicht in Urkunden ( 810 BGB) Sog. Holrecht für den Patienten oder einer Person seines Vertrauens Ort, Zeitpunkt und Umstände legt der Arzt fest Einsichtnahme in den Behandlungsräumen oder Ausdruck relevanter Daten Arzt muss Lesbarkeit und Nachvollziehbarkeit sicherstellen Auskunftsrecht bezieht sich auf objektive Daten inkl. EKG, EEG, Röntgenbilder, Laborergebnisse usw. aber NICHT auf subjektive Meinung oder persönliche Anmerkungen ( Simulant o.ä.) BWG Informationssysteme GmbH Internet- & Security Services Seite 16

17 Aufsichtsbehörde Die Aufsicht über die Einhaltung des Bundesdatenschutzgesetzes liegt bei den Ländern. In Baden-Württemberg wacht das Innenministerium als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich über die Einhaltung der Bestimmungen des Datenschutzrechts durch privatrechtlich organisierte Betriebe, Verbände und Vereinigungen. Die Aufsicht erstreckt sich auch auf die Beachtung des Datenschutzrechts der privaten Einrichtungen im Verhältnis zu den Bürgern. Rechtsgrundlage ist vor allem das Bundesdatenschutzgesetz. Die Datenschutzaufsichtsbehörde überprüft im Einzelfall die Einhaltung der Datenschutzbestimmungen in nichtöffentlichen Stellen und verlangt gegebenenfalls die Beseitigung festgestellter Mängel (Bußgelder) BWG Informationssysteme GmbH Internet- & Security Services Seite 17

18 Der betriebliche Datenschutzbeauftragte (bdsb) I Auszug aus 4f BDSG Beauftragter für den Datenschutz (1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nichtöffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. [ ] Fazit: Ab fünf Mitarbeitern benötigen Sie einen bdsb Änderung durch Gesetz zum Abbau bürokratischer Hemmnisse vom Fazit: Ab zehn Mitarbeitern benötigen nicht-öffentliche Stellen einen bdsb ABER: Änderung in 4g (neuer Absatz 2a): [ ] besteht keine Verpflichtung zur Bestellung eines bdsb, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen. UND. BWG Informationssysteme GmbH Internet- & Security Services Seite 18

19 Der betriebliche Datenschutzbeauftragte (bdsb) II Es mehren sich die Anzeichen, dass Arztpraxen unabhängig von der Zahl der Mitarbeiter einen betrieblichen Datenschutzbeauftragten bestellen müssen. Denn: Gesundheitsdaten sind besondere personenbezogene Daten und unterliegen daher der sog. Vorabkontrolle (= Durchführung einer Risikoanalyse, Prüfung auf Vereinbarkeit mit dem Grundrecht auf informationelle Selbstbestimmung, Festlegung der technischen Schutzmaßnahmen etc.) Vorabkontrolle darf nur von der Datenschutz-Aufsichtsbehörde oder von einem Datenschutzbeauftragten vorgenommen werden ( 4 Abs. 6 BDSG). BWG Informationssysteme GmbH Internet- & Security Services Seite 19

20 Voraussetzungen für einen bdsb Muss erforderliche Fachkunde und Zuverlässigkeit besitzen 4f BDSG Abs. (2) Fachkunde = Grundwissen zum Datenschutzrecht und Verfahren zur Datenverarbeitung. Kenntnis über betriebswirtschaftliche Zusammenhänge, vertraut mit Organisation des Betriebes Zuverlässigkeit = Sorgfältige und gründliche Arbeitsbeweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit. Tätigkeit als bdsb darf nicht mit anderen Interessen kollidieren BWG Informationssysteme GmbH Internet- & Security Services Seite 20

21 Bestellung eines bdsb Die Bestellung eines bdsb muss schriftlich erfolgen. Erstellung eines Verfahrensverzeichnis BWG Informationssysteme GmbH Internet- & Security Services Seite 21

22 Wer kommt (nicht) in Frage? - Praxisinhaber sowie Ehegatten (und andere, die direkt vom wirtschaftlichen Erfolg der Praxis partizipieren) - Mitarbeiter ohne IT-Kenntnisse - Mitarbeiter ohne Kenntnisse im Bereich Datenschutz (pro forma) + Entsprechend geschulte Mitarbeiter des Praxisteams + Externer bdsb (explizit im Gesetz vorgesehen) BWG Informationssysteme GmbH Internet- & Security Services Seite 22

23 Stellung, Rechte & Pflichten des bdsb Stellung / Rechte Unmittelbar der Geschäftsleitung / Inhaber unterstellt In Fragen des Datenschutzes unabhängig (weisungsfrei) Darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden Darf zur Erfüllung seiner Aufgaben auf personenbezogene Daten zugreifen Hat eine Verschwiegenheitsverpflichtung über die Identität des Betroffenen Muss über Vorhaben zur Datenverarbeitung unterrichtet werden Muss mit Hilfspersonal, Räumen, Einrichtungen, Geräte und Mittel unterstützt werden Pflichten Muss auf die Einhaltung der Datenschutzbestimmungen hinwirken Die ordnungsgemäße Anwendung der Programme überwachen Führen eines Verfahrensverzeichnis Schulung der Mitarbeiter Bearbeitung von Anfragen (Mitarbeiter, Patienten, Lieferanten) Beschwerden nachgehen Datenschutzhandbuch ( Jedermann-Verzeichnis ) führen BWG Informationssysteme GmbH Internet- & Security Services Seite 23

24 Die Folgen I Auszug aus dem Bericht des Landesdatenschutzbeauftragten des Landes Baden-Württemberg 2005: Ein immer wiederkehrendes Problem sei, dass Patientenakten aus Arztpraxen nicht ordnungsgemäß entsorgt würden. Solche Unterlagen seien in Altpapiersammlungen am Straßenrand, auf dem Schrottplatz in nicht vollständig geleerten alten Schränken oder in Altpapiercontainern eines großen Geschäftsgebäudes entdeckt worden. In zwei Fällen seien die Verstöße so schwerwiegend gewesen, dass die Aufsichtsbehörde die Strafverfolgungsbehörden eingeschaltet habe. Auch habe man den Eindruck gewonnen, dass der Datenschutz in mancher Arztpraxis noch verbesserungsbedürftig sei. Noch mehr unter: BWG Informationssysteme GmbH Internet- & Security Services Seite 24

25 Die Folgen II Schlamperei in der Klinik Unverschlüsselte Patientendaten im Internet Quelle: 3SAT BWG Informationssysteme GmbH Internet- & Security Services Seite 25

26 Die Folgen III Patientenakten des Klinikums Karlsruhe und weiterer Kliniken in Hessen im Internet aufgetaucht Quelle: SWR BWG Informationssysteme GmbH Internet- & Security Services Seite 26

27 Fazit Versäumnisse im Bereich Datenschutz sind kein Kavaliersdelikt da diese nicht nur berufsrechtlich sondern auch strafrechtlich relevant sein können. Drei gute Gründe für einen modernen Datenschutz Für Arztpraxen (und andere Berufsgruppen, die in besonderer Weise dem Datengeheimnis verpflichtet sind) ergibt sich eine direkte wirtschaftliche Abhängigkeit vom Datenschutz (Patientengeheimnis / Schweigepflicht), denn Verstöße können zu strafrechtlicher Verfolgung und damit zur Insolvenz führen. Gelebter Datenschutz bedeutet Achtung des grundrechtlich verbürgten Persönlichkeitsschutz. Der Schutz der Privatsphäre eines jeden Einzelnen ist im Zeitalter der Informationsgesellschaft unerlässlich. Datenschutz bedeutet im modernen Wirtschaftsleben einen Qualitäts- und Wettbewerbsfaktor (Patientenbindung). BWG Informationssysteme GmbH Internet- & Security Services Seite 27

28 Was tun? Leben Sie Datenschutz und reden Sie darüber. Denn Datenschutz fördert die Vertrauensbeziehung zwischen Arzt und Patient und damit auch die Patientenbindung Führen Sie personen-neutrale Telefongespräche. Sinnvolle Bestellverfahren verhindern übervolle Wartezimmer Richten Sie eine Diskretionszone am Empfang ein und sorgen Sie dafür, dass Dritte nicht den Bildschirm einsehen oder vertrauliche Gespräche mithören können Nehmen Sie Einwilligungsformular des Patienten zur Datenverarbeitung ín die Patientenakte Rufnummern bei Faxgeräten fest hinterlegen und regelmäßig kontrollieren BWG Informationssysteme GmbH Internet- & Security Services Seite 28

29 Qualitätsmanagement & Datenschutz gehören zusammen Qualitätsmanagement 136a SGV V / Richtlinie für Vertragsärztliche Versorgung v Patientenversorgung Praxisführung / Mitarbeiter / Organisation Information und Patientensicherheit Informationsmanagement (Praxis-IT) Gestaltung von internen und externen Kommunikationsprozessen Vertraulichkeit & Datenschutz BWG Informationssysteme GmbH Internet- & Security Services Seite 29

30 Themenblock II Datensicherheit BWG Informationssysteme GmbH Internet- & Security Services Seite 30

31 Definition Datenschutz bezeichnet alle organisatorischen Maßnahmen zum Schutz personenbezogener Daten Datensicherheit (Informationssicherheit) bezeichnet alle organisatorisch / technischen Maßnahmen zum Schutz jeglicher Informationen vor Verlust, Manipulation, Kenntnisnahme durch Unbefugte und andere Bedrohungen. Die Grundwerte der Informationssicherheit lauten: Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Verbindlichkeit (Authentity) Zuordnung von Aktionen, Unbestreitbarkeit von Prozessen Merke: Ohne Datensicherheit (Informationssicherheit) kein Datenschutz BWG Informationssysteme GmbH Internet- & Security Services Seite 31

32 Worum geht es? Informationssicherheit hat das Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit (Authentizität) der Informationen in ausreichendem Maß sichergestellt ist. Informationssicherheit bezeichnet in diesem Zusammenhang das Ziel, diese Systeme vor Gefahr bzw. Bedrohungen zu schützen, Schaden zu vermeiden und Risiken zu minimieren. BWG Informationssysteme GmbH Internet- & Security Services Seite 32

33 Was ist Risiko? Risiko = Schadenshöhe x Eintrittswahrscheinlichkeit BWG Informationssysteme GmbH Internet- & Security Services Seite 33

34 Ihre Daten sind in Gefahr Physikalische Ereignisse (Brand, Wasserschaden, Vandalismus) Eigene Mitarbeiter (versehentliches Löschen) Keine oder fehlerhafte Datensicherung Viren, Würmer & Trojaner Nicht-Autorisierter Zugriff ( Hacker, Neugierige, Vorsatz / Innentäter) BWG Informationssysteme GmbH Internet- & Security Services Seite 34

35 Wer ist schuld, wenn ein (Daten) Dieb bei Ihnen offene Türen vorfindet? Sie sagen: Der Dieb Ihre Versicherung sagt: Sie! Grundsatz: Sie (der Praxisinhaber) müssen für Ihre Sicherheit selbst sorgen BWG Informationssysteme GmbH Internet- & Security Services Seite 35

36 Aspekte der Datensicherheit (Übersicht) Datensicherung Zugangskontrolle Zugriffskontrolle Systemsicherheit BWG Informationssysteme GmbH Internet- & Security Services Seite 36

37 Datensicherung Datensicherungskonzept mit regelmäßiger Datensicherung und Kontrolle der Datensicherung Quartalssicherung mittels Erstellen einer unveränderbaren CD Rom. Externer Aufbewahrungsort der Sicherungsmedien zum Schutz gegen: Unbefugten Zugriff Vandalismus Diebstahl Wasserschaden Brandschaden Vermeidung von Magnetismus bei Aufbewahrung und Transport! BWG Informationssysteme GmbH Internet- & Security Services Seite 37

38 Zugangskontrolle Auch beim Umgang mit Patientendaten in der Arztpraxis selbst ist das informationelle Selbstbestimmungsrecht des Patienten zu beachten. Sie müssen verhindern, dass Unbefugte Einblick in Patientendaten erhalten Sorgen Sie für Einbruchschutz Sichern Sie (Keller) Räume, in denen Akten gelagert werden gegen unbefugten Zugang Beauftragen Sie einen Dienstleister zur Aktenvernichtung (Bescheinigung) BWG Informationssysteme GmbH Internet- & Security Services Seite 38

39 Zugriffskontrolle Sichtschutz an allen Bildschirmarbeitsplätzen Sperren oder Beenden der Arbeitsprogramme mit patientenbezogenen Daten und Passwortschutzeinrichtung zum erneuten Aufruf der Programme Zugriff Unbefugter auf Datenträger oder Speichermedien vermeiden Schriftlich eingehende Befunde in einer verschlossenen Mappe bis zur endgültigen Archivierung lagern Faxgeräte nicht im Anmeldebereich aufstellen BWG Informationssysteme GmbH Internet- & Security Services Seite 39

40 Zugriffskontrolle - Passwortsicherheit Verwenden Sie Passwörter Teilen Sie Ihre Passworte nicht mit anderen Ändern Sie Ihr Passwort regelmäßig, z. B. alle 90 Tage Verwenden Sie keine alten Passwörter Verwenden Sie Bildschirmschoner mit Passwortschutz Wie sieht ein "gutes" Passwort aus? "Unpersönliches" Passwort wählen (keine Namen, Autonummern etc.) Mindestens 8 Zeichen Numerisch / Alphanumerisch Sonderzeichen! $%&/()=? BWG Informationssysteme GmbH Internet- & Security Services Seite 40

41 Zugriffskontrolle - Organisatorisches Sensibilisieren Sie Ihre Mitarbeiter (Awareness) Seien Sie misstrauisch bei telefonischen Anfragen Verpflichten Sie Mitarbeiter und Dienstleister auf das Datengeheimnis BWG Informationssysteme GmbH Internet- & Security Services Seite 41

42 Zugriffskontrolle - Systemsicherheit Patchen Sie Ihre Betriebssysteme und Anwendungssoftware Sorgen Sie für stets aktuelle Virenscanner Sichern Sie Ihre Netzwerkinfrastruktur (Netzwerk- und Serverschränke) BWG Informationssysteme GmbH Internet- & Security Services Seite 42

43 Fazit Ohne schlüssiges Gesamtkonzept sind die Ziele Datenschutz & Datensicherheit nicht erreichbar. BWG Informationssysteme GmbH Internet- & Security Services Seite 43

44 Weiterführende Empfehlungen Führen Sie den Selbst-Check durch ( Lesen und beachten Sie die Empfehlungen der Bundesärztekammer zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis ( epflicht_datenschutz.pdf) Bestellen Sie einen Datenschutzbeauftragten Erstellen Sie ein Verfahrensverzeichnis Lassen Sie Ihre Datensicherheit prüfen und dokumentieren Empfehlungen der Bundesärztekammer zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (Mai 2008) BWG Informationssysteme GmbH Internet- & Security Services Seite 44

45 Themenblock III Anbindung an das Internet BWG Informationssysteme GmbH Internet- & Security Services Seite 45

46 BWG Informationssysteme GmbH Internet- & Security Services Seite 46

47 Gibt es nur einen sicheren Weg? Die ultimative Firewall! BWG Informationssysteme GmbH Internet- & Security Services Seite 47

48 Die Wahl zwischen Pest & Cholera? Wer einen Internet-Zugang in der Praxis hat verantwortet ein hohes Risiko aber Wer keinen Internet-Zugang in der Praxis hat grenzt sich gegenüber elektronischen Diensten vollständig aus Fazit: Es geht nicht mehr ohne! BWG Informationssysteme GmbH Internet- & Security Services Seite 48

49 Was ist das Problem mit dem Internetzugang? Hohe Anzahl potenzieller Angreifer weitgehende Anonymität (Schutz vor Strafverfolgung) Je nach Konfiguration besteht die Möglichkeit, vom Internet auf Rechner im Praxisnetzwerk zuzugreifen Gefahr durch Viren, Würmer, Trojaner und Keylogger Gefahr droht nicht nur durch Zugriffe von Außen nach Innen sondern auch umgekehrt (Software telefoniert nach Hause ) BWG Informationssysteme GmbH Internet- & Security Services Seite 49

50 Was ist das Problem mit dem Internetzugang? Quelle: CERT Quelle: BKA Kriminalitätsstatistik 2004 Quelle: Internet Stormcenter isc.sans.org BWG Informationssysteme GmbH Internet- & Security Services Seite 50

51 Anforderungen an den Internet-Zugang DALE-UV = elektronischer Datenaustausch mit Leistungserbringern in der gesetzlichen Unfallversicherung VCS = VDAP Communication Standard. Elektronischer Versand von Arztbriefen (verschlüsselt & signiert) Recherchen im WWW Online Updates für Betriebssysteme, Anwendungssoftware & Virenscanner Arzt-zu-Arzt Kommunikation BWG Informationssysteme GmbH Internet- & Security Services Seite 51

52 Der Weg ins Internet Grundsätzlich Über einen medizinischen Online-Provider, z. B. Telemed, D/G/N Über einen beliebigen Provider, z. B. T-Online Zugangsarten Zugang für einen einzelnen Rechner Zugang für das gesamte Netzwerk BWG Informationssysteme GmbH Internet- & Security Services Seite 52

53 Der Weg ins Internet medizinischer Online-Dienst Spezialisierte Provider für das Gesundheitswesen - Telemed - DGN - I-Motion + Nur für Beteiligte im Gesundheitswesen zugänglich (geringeres Angreiferpotenzial) + Zusätzliche Dienste wie Online-Banking, Einkauf von Praxisbedarf, Bonitätsanfragen etc. sind verfügbar + Bietet Abschottung zum Internet über Proxyserver - Nicht alle Internet-Dienste funktionieren (z. B. VPN) - Schutz vor Angriffen innerhalb des medizinischen Onlinedienstes? - Kein Schutz vor Angriffen bei denen der Internet-Zugriff von Innen nach Außen führt (SSL- Tunnel) - Nicht alle Web-Sites erreichbar - nur - Virenschutz für und Web? BWG Informationssysteme GmbH Internet- & Security Services Seite 53

54 Der Weg ins Internet Internet-Service Provider Allgemeiner Zugangsprovider, z. B. - T-Online, 1 & 1 usw. + Internet-Dienste können beliebig genutzt werden + Alle Web-Sites problemlos erreichbar - Hohe Anzahl potenzieller Angreifer - Keine "Schutzzone" BWG Informationssysteme GmbH Internet- & Security Services Seite 54

55 Telemed (Medizinischer Online-Dienst) vs. T-Online (klassischer Internet-Service Provider) Worin besteht der Unterschied zwischen einem medizinischen Onlinedienst und einem normalen Internet Service Provider (z. B. T-Online)? T-Online direkte Verbindung zum Internet. Alle Internet-Dienste können ohne Einschränkungen genutzt werden. Ohne Schutzmaßnahmen kann potenziell jeder andere Internet Teilnehmer auf Ihre Systeme zugreifen Telemed Intranet nur für Beteiligte im Gesundheitswesen. Spezielle Online-Anwendungen wie VCS oder DALE-UV. Indirekte Anbindung an das Internet dadurch Anzahl potenzieller Angreifer wesentlich geringer. BWG Informationssysteme GmbH Internet- & Security Services Seite 55

56 Internet-Zugang für einen einzelnen Rechner DALE-UV ISDN / DSL Praxisnetz Internet BWG Informationssysteme GmbH Internet- & Security Services Seite 56

57 Einzelrechner ohne Verbindung zum medizinischen Netzwerk + Kosten + Sicherheit (Kein Risiko für das Praxisnetz) - Keine Onlinefunktionen im Praxisnetz (VCS, DALE-UV, Medistar.Net) - Kein Internet-Zugriff vom Arbeitsplatz - kein Datenaustausch mit dem Praxisnetzwerk (Dokumente aus der Internetrecherche müssen umständlich mit dem Praxis PC ausgetauscht werden (USB-Stick, CD-ROM etc.) - kein Online-Update für Betriebssysteme, Virenscanner und Anwendungssoftware BWG Informationssysteme GmbH Internet- & Security Services Seite 57

58 Mit dem Praxisnetz ins Internet? I Minimalanforderungen: Sicherheitskonzept vorhanden (wer darf welche Dienste wie nutzen) Zugang über med. Onlinedienst Router mit aktivierter Firewallkonfiguration (gemäß Sicherheitskonzept) Stets aktueller Virenschutz auf Clients und Servern BWG Informationssysteme GmbH Internet- & Security Services Seite 58

59 !+r}éænmûnd> NWWW Hacker Praxisnetz Internet DALE-UV BWG Informationssysteme GmbH Internet- & Security Services Seite 59

60 Vorteile Online-Dienste stehen zur Verfügung Updates per Online-Update möglich Nachteile Risiko durch Viren und Hacker-Angriffe direkt auf den Rechner im Medizin-Netz Router kennt keinen Virenschutz Keine personengebundene Reglementierung der Internetnutzung möglich BWG Informationssysteme GmbH Internet- & Security Services Seite 60

61 Mit dem Praxisnetz ins Internet? II Anbindung per Firewall Sicherheitskonzept vorhanden (wer darf welche Dienste wie nutzen) Zugang über med. Onlinedienst Professionelles Firewallsystem (gemäß Sicherheitskonzept) Zusätzlicher Virenschutz auf der Firewall Stets aktueller Virenschutz auf Clients und Servern BWG Informationssysteme GmbH Internet- & Security Services Seite 61

62 Praxisnetz!+r}éæNMûND> DALE-UV NWWW Hacker Internet BWG Informationssysteme GmbH Internet- & Security Services Seite 62

63 Vorteile Online-Anwendungen stehen im gesamten Praxis-Netz zur Verfügung Updates per Online-Update möglich Internet surfen und möglich Zusätzlicher Virenscanner auf der Firewall Personen- und Aufgabengebundene Reglementierung der Internetnutzung möglich Nachteile (Rest)Risiko durch direkten Angriff auf die Clientsoftware (Webbrowser, Programm) BWG Informationssysteme GmbH Internet- & Security Services Seite 63

64 Mit dem Praxisnetz ins Internet? III Anbindung per RECOBS (Remote Controlled Browser System) Sicherheitskonzept vorhanden (wer darf welche Dienste wie nutzen) Zugang über med. Online-Dienst ODER Internet-Service Provider Professionelles Firewallsystem (gemäß Sicherheitskonzept) Zusätzlicher Virenschutz auf der Firewall Stets aktueller Virenschutz auf Clients und Servern Internet-Nutzung über Terminalserver BWG Informationssysteme GmbH Internet- & Security Services Seite 64

65 RECOBS Praxisnetz!+r}éæNMûND> DALE-UV NHacker WWW Internet BWG Informationssysteme GmbH Internet- & Security Services Seite 65

66 Ausblick Praxisnetz!+r}éæNMûND> NWWW Hacker Internet DALE-UV BWG Informationssysteme GmbH Internet- & Security Services Seite 66

67 Vorteile Online-Anwendungen stehen im gesamten Praxis-Netz zur Verfügung Updates per Online-Update möglich Internet surfen und möglich Zusätzlicher Virenscanner auf der Firewall Personen- und aufgabengebundene Reglementierung der Internetnutzung möglich Kein Rest-Risiko für Praxisrechner Nachteile Aufwändiger und damit teurer BWG Informationssysteme GmbH Internet- & Security Services Seite 67

68 Konsequenzen Unwissenheit schützt vor Strafe nicht Die wenigsten Ärzte sind Computerprofis. Dennoch gilt: Kommt ein Hacker an Patientendaten macht sich der Arzt auch dann strafbar, wenn er die Technik gar nicht verstanden hat. Bis zu einem Jahr Haft drohen bei Bruch der ärztlichen Schweigepflicht Ggf. droht Insolvenz BWG Informationssysteme GmbH Internet- & Security Services Seite 68

69 Vielen Dank für Ihre Aufmerksamkeit BWG Informationssysteme GmbH Internet- & Security Services Seite 70