DSGVO & Arztpraxis: Die Software zur top Aufstellung

Die Datenschutzgrundverordnung ist für viele unserer Kunden inzwischen Alltag, denn inSuite-Kunden müssen sich nur in sehr überschaubarem Maße darum kümmern. Auch viele Interessenten merken mittlerweile, dass es mit ihren Alt-Systemen kaum bis gar nicht technisch realisierbar ist, die Empfehlungen von KBV und Co. bzgl. DSGVO hinreichend umzusetzen. Vor allem dann nicht, wenn sich eine Arztpraxis modern, effizient und vielseitig in Sachen Patientendienste, Vernetzung und IT modern aufstellten will und muss. Wir zeigen anschaulich, auf was Arztpraxen achten müssen und warum das mit der inSuite besonders einfach, bequem und flexibel realisierbar ist.

 

Datenschutz und Umgang mit sensiblen Daten in der Praxis

Seit 2018 wirkt die Datenschutzgrundverordnung, kurz DSGVO, für mehr Schutz bei der personenbezogenen Datenverarbeitung. In Praxen tagtäglich wird mit vielen sensiblen Patientendaten gearbeitet, die den bestmöglichen Schutz verlangen. Gleichzeitig sollen Datenschutz und DSGVO die Praxis-Alltag jedoch nicht stören. Mit inSuite erhalten Sie eine moderne Praxissoftware, die in Ihrer Arztpraxis DSGVO mit idealem Ablauf vereint. In dem folgenden Beitrag erläutern wir Ihnen, wie Doc Cirrus Sie mit der inSuite beim Datenschutz in Ihrer Arztpraxis unterstützt.

Wer muss die Datenschutz-Verordnung umsetzen?

Grundsätzlich liegt die Verantwortung für die Umsetzung der DSGVO bei der Arztpraxis selbst. Nur sie hat die Hoheit über die zu schützenden Daten und Prozesse. Die KBV hat dazu konkrete Handlungsempfehlungen für medizinische Einrichtungen beim Thema Datensicherheit veröffentlicht. Auf einige zentrale Aspekte gehen wir nachfolgend ein. Das Wichtigste aber vorab: Der Einsatz der inSuite als modernes und sicheres Praxisverwaltungssystem der 3. Generation ist bereits ein wesentlicher Bestandteil aller Datenschutzmaßnahmen. DSGVO-konforme Nutzungsregeln und Mitwirkungspflichten umzusetzen, ist mit der modernen Praxissoftware von Doc Cirrus unkompliziert.

Wie die inSuite modernen Datenschutz voll umfassend berücksichtigt

Was bedeutet die technische Grundlage für sicheres Arbeiten?

Privacy by Design and Default oder Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutung und sind in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert. Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. In anderen Worten: der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen im Entwicklungsstadium. Datenschutz verhält sich zur inSuite quasi wie die DNA zum Menschen — es muss tief im System verankert sein von Beginn an.

Wie ist der Datenschutz von Beginn an integriert?

Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend nicht anpassen können. Dieser Gedanke steht hinter dem Begriff „Privacy Paradox“, wonach Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen. Die Doc Cirrus inSuite wurde unter diesen Aspekten konzipiert und nach bestem Wissen entwickelt. Als Software zur Vereinigung der Bereiche Arztpraxis und DSGVO ist sie dementsprechend gemäß ISO/IEC 9001 und 27001 zertifiziert. Alles was u.a. in diesem Text behauptet wird, haben wir in strengen Überprüfungen bereits umfassend nachgewiesen.

Datenspeicherung & Datensicherung von Patientendaten

Flexibel und sicher schließt sich nicht aus

Die dauerhafte Speicherung der von der Praxis erhobenen personenbezogenen Daten sollte auf verschlüsselten Festplatten erfolgen, die vor digitalem und physischem Diebstahl geschützt sind. In der inSuite erfolgt das ausschließlich lokal im Doc Cirrus Datensafe, die Speicherung erfolgt dort auf komplett verschlüsselten Festplatten. Dazu sorgt ein Schlüssel in Form eines USB-Keys dafür, dass alle Daten nur durch den Besitzer im Handumdrehen ver- und entschlüsselt werden. Für jeden Praxissoftware-Nutzer sollten solche Aktionen schnell und sicher durchführbar sein. Der Datensafe sorgt z.B. auch dafür, dass niemand, auch nicht der Anwender, auf das gehärtete Betriebssystem des inSuite-Servers zugreifen kann. Updates für die Software, sowie Backups und das Monitoring des Servers erfolgen ohnehin automatisch nach aktuellsten Sicherheitsstandards. So ist der Befall durch Viren, Trojaner und Co. ausgeschlossen. Die Praxis hat somit keinen Aufwand, einen Top-Datenschutz in der Arztpraxis gemäß DSGVO sicherzustellen — für ein entspannteres Arbeiten generell.

Individualisierbare Arztsoftware als wichtiges Thema mit relevanten Aspekten

Wie sieht ein zeitgemäßes Sicherheitsniveau auf Nutzerbasis aus?

Ein oft nachgefragtes Thema ist die nutzerbasierte Arbeitsplatzsicherheit. Oft begegnen uns bei der Umstellung auf unser inSuite Praxissoftware-System alte Programme, die kaum bis gar nicht über Nutzerprofile verfügen. Jeder Nutzer geht dort über ein zentrales Konto in das System bzw. direkt über den Client auf den jeweiligen Endgeräten. Entweder besteht zwischen den Arbeitsplätzen keine technische Verbindung oder es existiert ein Zugang für alle. Ein datenschutztechnischer Albtraum und zusätzlich eine Gefahr für die Praxis, wenn Regresse drohen. Denn: Auf der Basis existiert meist keinerlei automatische Protokollierung aller Nutzeraktivitäten und -historien. Mit der inSuite arbeitet jeder Nutzer auf Basis seines Nutzeraccounts. Sämtliche An- und Abmeldeprozesse sowie Datenänderungen sind manipulationssicher protokolliert. So und nicht anders sollten Praxen arbeiten.

Wie erreiche ich Transparenz durch einfache Voreinstellungen?

Diese Frage beantwortet sich wie folgt: Indem die KBV-Empfehlungen auf Software-Ebene individuell entsprochen wird. So ist z.B. ein sicherer Logout-Mechanismus je nach Arbeitsplatzanforderungen und Rolle (z.B. haben Arzt und Empfang verschiedene Sicherheits- und Nutzungsanforderungen) granular konfigurierbar. Alles wird direkt im Audit-Log dokumentiert, Sicherheit und Transparenz sind jederzeit voll gewährleistet. Dazu kann jeder Nutzer einfach für noch mehr Sicherheit sorgen, in dem der benutzte Browser immer aktuell ist und nicht mit unsicheren Zusatzanwendungen (Plugins) arbeitet. Der Praxiseigentümer entscheidet im Detail, welcher Nutzer welche Rechte in Sachen Funktionen und Dateneinsicht hat. Das Datenschutz-Prinzip „so wenig wie möglich, so viel wie nötig“ ist mit der inSuite hinreichend abbildbar. Ein Nutzer generiert sich sein Passwort und kann es jederzeit ändern, sodass hier mit wenig Aufwand maximale Sicherheit für Patientendaten gewährleistet werden kann. Ein heutiger Standard im Umgang mit personenbezogenen Daten in Arztpraxen, für den dank der DSGVO seit 2018 verstärkt sensibilisiert wurde.

Vertrauen, Vernetzen und Vidieren: Wie geht das technisch zusammen?

Darüber hinaus unterstützt die inSuite die sog. Freigabe (Vidieren) von Einträgen in Patientenakten durch den verantwortlichen Arzt. Zwingend ist diese Freigabe für all jene Einträge, die entweder abgerechnet oder Dritten zur Verfügung gestellt werden sollen. Andere Akteneinträge werden freigegeben und sind danach dauerhaft unveränderlich und nachweisbarer Bestandteil der Patientenakte. Nur so können Ärzte und ihre Mitarbeiter etwaige spätere Regresse durch Patienten oder Kostenträger mit der nötigen Sicherheit begegnen. Solche Prozesse sind ein Muss in Praxissoftwareprogrammen, da ohne sie eine Sicherheitslücke in der Arztpraxis laut DSGVO entstehen kann. Mit einem forcierten Freigabemodus ist es in der inSuite sogar möglich, das Drucken von Rezepten, Formularen, Briefen nur möglich zu machen, wenn der Akteneintrag zuvor freigegeben wurde. So können medizinische Einrichtungen sicherstellen, dass auch keine Druckstücke die Praxis verlassen, die im Anschluss noch bearbeitbar oder löschbar sind. Das ist insbesondere wichtig, wenn mit der Vidierung auch die Unterschrift des Arztes automatisch eingefügt wird.

Für größere Einheiten haben wir einen sog. strikten Modus integriert, auf dessen Basis nur noch jene Benutzer Zugriff auf Akteneinträge in definierten Betriebsstätten haben, denen sie selbst als Nutzer zugeordnet sind. Das gilt sowohl für den Aktenbereich, aber auch für das Segment der Reportings. DSGVO-Konformität ist so allerorts schnell und unkompliziert hergestellt.

Die mobile Nutzung der Software für die Arztpraxis gemäß DSGVO

Voll verschlüsselt auf allen Wegen

Für viele gehört das Dokumentieren bei Hausbesuchen mittlerweile dazu. Die Synchronisation und die sichere Übertragung der Daten bereitet vielen Ärzten ijedoch mmer noch unnötig viel Stress. Die inSuite als webbasiertes System erlaubt den Zugriff auf den Datensafe nicht nur von normalen Arbeitsplätzen, sondern auch von anderen Standorten und Geräten via Internet. Geben Sie die Daten unterwegs auf einem Tablet ein, sind die Daten direkt auf dem Datensafe Ende-zu-Ende verschlüsselt gespeichert und direkt für Ihr Team sicht- und bearbeitbar. Natürlich können Sie den externen Zugriff auch einschränken oder (nutzerbasiert) ganz abstellen. Die Anmeldung erfolgt über eine 2-Faktor-Authentifizierung. Hierbei muss sich ein Benutzer einerseits mit seinem Benutzernamen und Passwort anmelden (1. Faktor) und zugleich ein Einmalpasswort (sTAN) eingeben, welches er je Anmeldevorgang auf einem getrennten Weg (SMS) auf sein Mobiltelefon gesendet bekommt. Einfacher Prozess, nachhaltige Sicherheit – so funktioniert DSGVO in der Arztpraxis auch mobil.

Patientenkommunikation direkt aus der Arztsoftware

Wie versende ich E-Mails mit wenig Aufwand DSGVO-konform?

Die Nutzung des E-Mail-Versands an Patienten und Kontakte ist nützlich, bedingt unter DSGVO-Aspekten jedoch stets die Zustimmung des Empfängers und die Nachweisbarkeit dieser Zustimmung durch Sie als Absender (DSGVO Art. 7, Abs. 1). Sie müssen diese Zustimmung und auch ggf. einen späteren Widerspruch erheben, nachweisen können und danach handeln. Da bei der manuellen Erfassung in der Praxis außerdem Schreibfehler vorstellbar sind, muss der Empfänger seine E-Mail-Adresse zunächst via opt-in bestätigen, bevor ihm weitere E-Mails geschickt werden dürfen. Um diesen Vorgang für Kunden schnell und komfortabel zu machen, erfolgt bei der inSuite bei Speicherung einer E-Mail-Adresse automatisch der Versand einer E-Mail mit der Aufforderung zum opt-in. Mit dem opt-in erhält der Nutzer eine E-Mail zurück, aus der erkennbar ist, wann die Zustimmung erfolgte. Widerspricht der Patient später per E-Mail, kennzeichnet der Nutzer es in den Stammdaten des Patienten, damit er keine weiteren E-Mails mehr erhält.

Wie stelle ich sensible Gesundheitsdaten korrekt zur Verfügung?

Die Weitergabe von Patientendaten via privater Kommunikationsdienste geschah früher oft aus Unwissenheit über die Unsicherheit bzgl. Datenschutz aber auch sehr oft mangels sicherer Alternativen, die direkt aus der Praxissoftware bedienbar und nutzbar sind. Die inSuite beinhaltet aus diesem Grund das Gesundheitsportal, ein integrierter zentraler Doc Cirrus Dienst für die Patienten, der typischerweise in der Website integriert wird, der Patient jedoch grundsätzlich auch von anderen Websites Zugriff auf die inSuite gewähren kann, wenn diese Funktion aktiviert ist. Der Zugriff aus dem Gesundheitsportal ist per default so eingestellt, dass kein Patient Zugriff hat, den die Praxis nicht explizit für einen der Gesundheitsportaldienste (Termine, Akteneinsicht, Datenversand an den Arzt) freischalten kann. So stellt jeder Nutzer sicher, wer was darf und bekommt. Alles natürlich top-verschlüsselt – für eine Integration der DSGVO in die Arztpraxis, so bequem wie möglich.

Wie funktioniert die Sicherheit beim Datenaustausch genau?

Wollen Sie zum Beispiel neuen Patienten (die bislang noch nicht im System angelegt sind) die Möglichkeit zur Terminbuchung einräumen, ist es über deren Grundeinstellung möglich. Neue Patienten können dann einen Termin in der Praxis buchen und legen sich damit einen Termin in den zentralen oder einen individuellen inSuite-Kalender an. Der ebenfalls integrierte Dokumentendienst kann für einen Patienten aktiviert werden. Damit erhält der Patient die Möglichkeit, in seine inSuite-Akte in den hauseigenen Doc Cirrus Datensafe Dokumente, Bilder und ausgefüllte inSuite-Formulare mit Ende-zu-Ende-Verschlüsselung zu übertragen, aber auch zu empfangen. Vorab registriert der Patient seinen Webbrowser, um alle Daten hochsicher zu senden. Ein einfacher Prozess, der es aber Arzt und Patient ermöglicht, einfach und verschlüsselt Daten zu erhalten und mit dem bevorzugten Endgerät abzurufen

Wie setze ich Patientenrechte wie z. B. Datenlöschungen schnell um?

Der Patient wird sich im Zuge der Digitalisierung seiner Möglichkeiten und Rechte immer bewusster und fordert seine Rechte gegenüber der Praxis und dem Arzt immer selbstbewusster ein. Darauf müssen Arztpraxen im Zuge der DSGVO vorbereiteter sein denn je. Wünscht der Patient die vollständige Sperrung seines Online-Zugriffs auf die inSuite (siehe dazu das Recht auf Vergessen), dann werden alle Portalrechtsdienste für diesen Patienten deaktiviert. Macht der Patient von seinem Recht auf Auskunft Gebrauch (DSGVO Art. 15ff), dann filtert der Anwender die betreffende Patientenakte auf „Freigegeben“ und erstellt aus dieser Ansicht ein PDF, um die Patientenauskunft für beide Seiten transparent zu dokumentieren und zur Verfügung zu stellen. Oft ist dieser Prozess mit viel bürokratischem Aufwand verbunden, sofern das überhaupt regelkonform umgesetzt werden kann. Wir finden: Das darf es nicht.

Telemedizin und DSGVO

Warum sind integrierte Lösungen sinnvoll?

Besondere Relevanz erfährt die Datenschutzgrundverordnung im Rahmen neuer Funktionen im medizinischen Alltag, hier vor allem der Telemedizin. Darunter fallen Funktionalitäten wie:

  • Videosprechstunden,
  • Telekonsil,
  • Tumorkonferenzen,
  • A/V-Konferenzen,
  • Aufbau von Zuweiser- und Partnernetzwerken,
  • Aufbau von ASV-Teams, in denen verschiedene Ärzte gemeinsam dokumentieren und abrechnen.

Auch hier ist in der Arztpraxis die DSGVO-konforme Nutzung nur dann gewährleistet, wenn die zugrundeliegende Technologie, die idealerweise der Arztsoftware selbst entspringt, die bisher genannten Anforderungen und Schutzoptionen abdeckt bzw. beinhaltet. Eine Extra-Software erfüllt oft nicht die notwendigen Vorgaben bzgl. Datenschutz in der Arztpraxis und macht dessen Einhaltung zu einem aufwändigen und oft verworrenen Akt. Die inSuite verfügt daher mit dem Zusatzdienst inTouch über Funktionen zur Organisation und Durchführung von Videosprechstunden, Telekonsilen, Tumorkonferenzen und allgemeinen Audio-Video-Konferenzen zwischen zwei bis sechs Teilnehmern direkt aus der Weboberfläche der inSuite heraus.

Wie vielseitig und flexibel bin ich noch, wenn ich Telemedizin rechtlich sicher nutze?

Die Realisierung der entsprechenden Anwendungen in der inSuite basiert auf dem Stand der Technik (WebRTC) und ist konform zu den technischen und funktionalen Anforderungen der KBV. Die verwendete Technik stellt sicher, dass die Audio-Video-Datenströme in oder mit der Arztpraxis DSGVO-konform Ende-zu-Ende verschlüsselt sind. Die Kommunikationsfunktionen der inSuite erlauben jedem Benutzer seine „Sichtbarkeit“ bzw. Bereitschaft zur Kommunikation in seinem Benutzerprofil einzustellen. Es wird unterschieden zwischen der Erreichbarkeit

  • a) für Mitarbeiter innerhalb der eigenen Einrichtung (ggf. über mehrere Standorte/Betriebsstätten hinweg)
  • b) für Kollegen in anderen Einrichtungen, die ebenfalls eine inSuite nutzen und
  • c) für Patienten über das Gesundheitsportal.

Die default Einstellung der Erreichbarkeit ist gemäß dem privacy by default Prinzip „nicht erreichbar/sichtbar“. Jeder Kunde ist auf Basis der Gesetze voll handlungsfähig.

Netzwerkaufbau, Partner und digitales Teamwork

Wie realisiere ich die Organisation des digitalen Zusammenarbeitens?

Die inSuite verfügt mit dem Zusatzdienst inTouch über leistungsfähige Funktionen zum Aufbau von Arztnetzwerken, Registern und einrichtungsübergreifenden Möglichkeiten zum sicheren Datenaustausch. Die Einrichtung solcher Datenübertragungsstrecken erfordert grundsätzlich über die wechselseitige Bestätigung der verbundenen Einrichtungen und erfolgt immer Ende-zu-Ende verschlüsselt zwischen den Doc Cirrus Datensafes der Einrichtungen. Bei manuell initiierten Transfers erfolgt stets eine Rückfrage beim Anwender mit Hinweis auf die Notwendigkeit der Genehmigung durch den Patienten. Auf der Seite des Empfängers erfolgt stets die Information über eine zu bestätigende Aufgabe zum Beispiel an die Rolle ‚Empfang’. Jeder Datentransfe ist zudem sowohl auf der Seite des Senders als auch auf der Seite des Empfängers im Audit Log und im sogenannten Transferbuch sichtbar und dauerhaft nachweisbar.

Der Zusatzdienst erlaubt ausschließlich den manuellen Transfer von Akteneinträgen im Status "Freigegeben" oder höher sowie die Nutzung von Partnerkalendern und den patientenunabhängigen Transfer von Nachrichten mit Anhängen. Dazu erlaubt inTouch auch eine feingranulare Konfiguration der Partnerbeziehung hinsichtlich welche Akteneinträge manuell oder automatisiert übertragen werden und ob die personenbezogenen Daten offen oder pseudonymisiert übertragen werden. Automatisch übertragene Daten führen – anders als manuell übertragene Daten – nur beim ersten Empfang der Daten eines Patienten zu einer Bestätigungsaufgabe auf der Seite des Empfängers. Sendung und Empfang ist aber auch hier über Audit Log und Transferbuch jederzeit nachweisbar. Das alles ist auch für kleine Praxisgemeinschaften in Eigenregie und natürlich mit Hilfe unserer Supportmitarbeiter mit vergleichsweise geringem Aufwand für die Arztpraxis DSGVO-konform und rechtssicher realisierbar.

Die inSuite und damit die Praxis ist in Sachen hochsicherer und hochmoderner Anwendungen bestens aufgestellt, ohne dass hohe zusätzliche Kosten oder Aufwände für Mitarbeiter, externe Techniker, Zusatztechnik und manuelle Vorkehrungen bzgl. Sicherstellung der DSGVO-Konformität anfallen. 

Sie stehen beim Datenschutz in Ihrer Arztpraxis vor großen Hürden? Dann lernen Sie Doc Cirrus und die Praxissoftware inSuite kostenfrei kennen und überzeugen Sie sich, wie Arztpraxis DSGVO-konform funktionieren kann.

Praxissoftware anfragenMehr zur inSuite