Bernhard Keprt, CTO beim Praxissoftware-Anbieter appointmed, erklärt, wie Datensicherheit garantiert werden kann, worauf Praxen achten müssen und wie die DSGVO unser Bewusstsein für sensible Daten verändert hat.
Ob wir online einen Termin vereinbaren, etwas kaufen oder einen Kommentar posten – laufend geben wir irgendwo Daten von uns preis, ohne uns oftmals des Umfangs bewusst zu sein. Bernhard Keprt ist CTO beim Praxissoftware-Anbieter appointmed und somit für alles zuständig, was mit Technik, Software und Infrastruktur zu tun hat. Im Gespräch gibt er Tipps, wie man Datenlecks vermeiden kann, wie wir auch im täglichen analogen Umgang miteinander achtsamer mit sensiblen Daten umgehen können und wie appointmed die eigenen Daten und die der Patientinnen und Patienten schützen kann.
Das Thema Datensicherheit begleitet Dich in deinem Berufsalltag bereits sehr lange. Wie kam es dazu und wie hast Du Dir Dein Wissen angeeignet?
Das erste Mal bin ich mit dem Thema Datenschutz und Datensicherheit durch ein Engagement bei der Österreichischen Nationalbank in Berührung gekommen. Wie man sich vorstellen kann, ist Datensicherheit hier besonders wichtig und man muss auf bestimmte Punkte sehr penibel achten – mehr, als einem als Junior-Software-Entwickler manchmal lieb ist. Ich habe bei der OeNB sehr viel gelernt, dieses Wissen in Engagements bei Banken und Versicherungen mitgenommen und weitere Erfahrungen gesammelt. Datensicherheit ist heute in allen Bereichen ein wichtiges Thema und Grundbestandteil der Softwareentwicklung.
Was hat sich aus deiner Sicht seit der Einführung der DSGVO im Digitalbereich verändert?
Die Grundprinzipien der DSGVO, die ja versucht, europaweit einen Standard zu definieren, an dem man sich orientieren kann, wurden in vielen Branchen bereits sehr lange gelebt. Jetzt gibt es einen Namen dafür und ein gesetzliches Regelwerk. Was sich meiner Meinung nach am stärksten verändert, ist das Bewusstsein bei vielen Menschen. Da man aufgrund der Einführung der DSGVO gezwungen war, sich mit dem Thema auseinanderzusetzen, denken viele Menschen mehr darüber nach, wie sie selbst mit Daten umgehen. Das findet sowohl im persönlichen als auch im beruflichen Umfeld statt, egal in welcher Branche man tätig ist. Vielen Leuten ist bewusst(er) geworden, dass man sehr schnell Daten und Footprints in der digitalen Welt hinterlässt.
Wenn das nur dazu geführt hat, dass viele Menschen einen zusätzlichen PIN-Code auf ihrem Smartphone eingerichtet haben, um den Zugriff darauf für Außenstehende zu erschweren und ihre Daten zu schützen, zeigt es, dass die DSGVO uns alle in unserem Alltag getroffen und beschäftigt hat.
Nun ist es bei appointmed ja so, dass man als Softwareanbieter für Gesundheitsdienstleister bezüglich der Datensicherheit nochmal strengeren Spielregeln als Firmen in anderen Branchen unterliegt. Worauf muss appointmed in Sachen DSGVO besonders achten?
Oberstes Ziel bei appointmed ist, dass die Daten unserer Kundinnen und Kunden zu jeder Zeit sicher sind. Wir unterliegen dabei genauso den Bestimmungen der Datenschutzgrundverordnung. Das heißt, wir dürfen nicht frei und wild Daten speichern, wie es uns gefällt, sondern sind verpflichtet, unsere Kundinnen und Kunden darüber zu informieren, wofür wir welche Daten verwenden. Auf unserer Website gibt es eine gute Übersicht, welche DSGVO-Maßnahmen wir umsetzen. Wir setzen aus technologischer Sicht auf die sichersten und am besten zertifizierten Partnerunternehmen am Markt.
Ebenso sind natürlich die Prozesse und die Art, wie wir intern arbeiten, entsprechend gestaltet, so dass keine KundInnen-Daten nach außen dringen können. Wenn man z. B. mit dem Support chattet, dann werden die Daten und Infos, die dabei ausgetauscht werden, vor fremdem Zugriff geschützt. Man kann also sagen, dass Datensicherheit bei uns überall im Alltag integriert ist.
Werden diese Prozesse auch von Unabhängigen geprüft?
Natürlich – das erfolgt im Rahmen eines so genannten „Security Audits“. Das ist – einfach gesagt – eine Prüfung durch eine externe Sicherheitsfirma. Wir beauftragen eine unabhängige Firma damit, unsere Software und unser Produkt durchzutesten und zu sehen, ob unsere Sicherheitsmaßnahmen wirken.So können wir feststellen, ob es irgendwo Lücken gibt, ob wir etwas übersehen haben oder ob es vielleicht einfach Angriffsvektoren gibt. Das wären Möglichkeiten, wo Angriffe im System Schaden anrichten oder sogar Daten gestohlen werden.
Security Audits werden bei uns regelmäßig durchgeführt und wir arbeiten hier mit Unternehmen zusammen, die echte Experten auf diesem Gebiet sind. So können wir unsere Sicherheitsmaßnahmen laufend optimieren und gewährleisten, dass die Daten unserer KundInnen den größtmöglichen Schutz erfahren.
Wechseln wir nun kurz die Perspektive und nehmen die Position der Therapeutinnen und Therapeuten ein. Was müssen sie bei der täglichen Arbeit in der Praxis in puncto Datenschutz und Datensicherheit ganz besonders beachten? Was ist das Minimum an Datenschutz, das in jeder Praxis umgesetzt werden sollte?
Wenn man mit Patientinnen und Patienten arbeitet, handelt es sich dabei um besonders schützenswerte Daten. Das fängt bei Kleinigkeiten an. Ich darf meine Patientinnen und Patienten z. B. nicht mit meinem eingeschalteten Computer, auf dem vielleicht die Stammdaten anderer Personen einsehbar sind, alleine lassen.
Auch im analogen Bereich gibt es Beispiele. Wenn ich z. B. eine Terminliste ausdrucke, darf ich diese dann nicht offen und frei für alle einsehbar im Drucker liegen lassen. Selbst ein Papierkalender mit den Namen meiner Patientinnen und Patienten, der offen einsehbar ist, stellt ein datenschutzrechtliches Problem dar.
All das sind Dinge, an die man oftmals nicht denkt. Umgekehrt kann man ganz einfach ein Experiment starten: Achte beim nächsten Arztbesuch darauf, welche Daten wie Namen, Telefonnummern und E-Mail-Adressen von Patientinnen und Patienten oder Ausdrucke du – zufällig – einsehen kannst.
Das Einfachste, was man in diesem Zusammenhang machen kann, ist, darauf zu achten, stets den Bildschirm des Computers/Tablets/Smartphones zu sperren, wenn man sich von den Geräten wegbewegt. Außerdem kann der Computer so gestellt werden, dass PatientInnen keinen direkten Blick auf den Bildschirm haben, wenn das nicht unbedingt notwendig ist.
Was können Therapeutinnen und Therapeuten im Alltag tun, um nicht in eine Datenschutzfalle zu tappen?
Wenn man z. B. eine Praxis-Software wie appointmed verwendet, ist es sehr einfach, die Zustimmung zur Datenverarbeitung von Patientinnen und Patienten einzuholen. Man trägt einfach die E-Mail-Adresse ein, drückt auf einen Button und schon wird die Bitte zur Freigabe an die Patientin oder den Patienten gesendet. Dieser kann dann mit einem Klick zugestimmt werden und TherapeutInnen sind für die Behandlung und administrative Abwicklung gut abgesichert.
An dieser Stelle gleich ein Tipp in eigener Sache: Die Nutzerinnen und Nutzer von appointmed finden alle Informationen rund um Dokumente zur DSGVO, wie z. B. die erwähnte Zustimmungserklärung, aber auch das Dokument der Verpflichtungserklärung zum Datengeheimnis, im sogenannten DSGVO-Cockpit, direkt in der App.
Was denkst Du, müssen Therapeutinnen und Therapeuten beachten, tun es aber noch zu wenig?
Ich hoffe doch, dass sich die meisten mittlerweile der Wichtigkeit des Datenschutzes generell bewusst sind, also dass es die DSGVO gibt und dass diese auch einzuhalten ist. Es geht einfach darum, mehr Bewusstsein zu schaffen, in welchen Situationen ich Daten preisgebe, die eigentlich niemanden etwas angehen, außer meine Patientinnen und Patienten und mich.
„Hallo Frau Mayer, wie geht’s denn ihrem Knie? Können Sie schon wieder Tennis spielen?“ Wenn so meine Begrüßung einer Patientin im Warteraum lautet, während noch andere Personen anwesend sind, gebe ich etwas über ihren gesundheitlichen Zustand und private Interessen preis. Ich kann das genauso erst hinter verschlossenen Türen im Behandlungsraum machen, was ich in dem Fall auch sollte.
Personenbezogene Daten sind schützenswert, von Menschen, die ich behandle, genauso wie von Menschen, die für mich arbeiten. Man kann sich antrainieren, damit im Alltag achtsamer umzugehen.
Gibt es abschließend noch Ergänzungen zum Thema Sicherheit und Datenschutz, die dir noch wichtig sind?
Ich sehe natürlich appointmed als Software-Anbieter in der Pflicht, alles zu tun, um die Datensicherheit zu gewährleisten. Genauso ist es aber gefragt, dass unsere Kundinnen und Kunden ihren Teil dazu beitragen. Dazu zählen auch ein sicheres Passwort und der entsprechende Schutz des eigenen Computers. Es ist also eine geteilte Verantwortung.
Neben dem Schutz von Computern und mobilen Endgeräten ist es auch wichtig, regelmäßig Backups zu erstellen, um im Ernstfall keine Daten zu verlieren und schnell wieder Zugriff auf alles zu haben.
Wie läuft das bei appointmed ab?
Bei appointmed wird alle 15 Minuten ein automatisches Backup aller Daten der Praxis erstellt. Das heißt, wir haben ein sehr feines Netz an Sicherheitsmechanismen, mit denen wir sicherstellen, dass keine Daten verloren gehen.
Header © martinsteiger.at
