Der niedergelassene Arzt Logo
 

< zurück

Praxishinweise zum Umgang mit Patientendaten in der Cloud

Ärzte müssen ihre Aufzeichnungen im Allgemeinen mindestens zehn Jahre nach Abschluss der Behandlung aufbewahren. Die Menge der Daten kann schnell zu einem Platzproblem führen – auch bei elektronischer Ablage. Einige Firmen bieten deshalb an, Patientendaten über das sogenannte Cloud-Computing zu sichern. Cloud-Dienste sind grundsätzlich nutzbar, bergen aber Risiken.

Tipps zur Praxis-IT für niedergelassene Ärzte. Foto: Blackboard/Shutterstock

Zunehmend ist auch der Trend zu beobachten, dass sich immer mehr Anwendungen nur noch online, das heißt in der Cloud nutzen lassen. Eine Installation auf dem lokalen Rechner ist nicht mehr vorgesehen. Die Hersteller von Praxisverwaltungssystemen (PVS) nutzen ebenfalls die Vorteile, die aus ihrer Sicht mit einer Zentralisierung ihrer Systeme verbunden sind. So werden eventuell Probleme mit der Betriebsumgebung weitgehend vermieden und der Anwendersupport kann reduziert werden. Doch die externe Datenablage in der Cloud birgt Risiken.

Beim Cloud-Computing stellt ein Dienstleister seinen Nutzern Speicherplatz, Rechenleistung oder gesamte Anwendungen zur Verfügung. Dies erfolgt zumeist über das Internet. Der Nutzer kann das Angebot an seine aktuellen Bedürfnisse anpassen und muss dabei nur die von ihm tatsächlich genutzte Leistung bezahlen.

Vorteile einer Cloud-Lösung

Wer Cloud-Computing nutzt, kann seine Daten kostengünstig speichern und ortsunabhängig und mit unterschiedlichen Geräten auf die Daten zugreifen. Datensicherungen, das Einspielen von Updates sowie die IT-Sicherheit können mit zunehmender Funktionalität in der Cloud anwenderseitig reduziert werden. Der Praxisinhaber muss sich nicht mehr umfassend um Aufbau oder Erhalt der notwendigen IT-Infrastruktur kümmern.

Dienstleister darf keinen Zugriff auf unverschlüsselte Patientendaten haben

Was verlockend klingt, birgt allerdings auch Risiken. Denn Patientendaten sind hochsensibel, unterliegen der ärztlichen Schweigepflicht und müssen vor unberechtigter Einsichtnahme und Zugriff geschützt werden. Verantwortlich dafür ist der Arzt.

Dieser besondere Schutz der Patientendaten ist beim Cloud-Computing nicht ohne Weiteres gegeben. Denn auf welchen Servern die Patientendaten lagern, weiß häufig nur der Anbieter des Dienstes. Lagern die Daten auf Servern im Ausland, gilt gegebenenfalls auch die dort gültige Rechtslage für Daten und Datenschutz. Das kann im Extremfall dazu führen, dass nicht berechtigte Personen Zugriff auf sensible Patientendaten erhalten. In diesem Zusammenhang ist das sogenannte „Schrems II“-Urteil zu benennen. Der Europäische Gerichtshof hat mit dem Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint.

Dies bedeutet im Umkehrschluss, dass jede Nutzung von Cloud-Diensten darauf abgeprüft werden muss, ob personenbezogene Daten insbesondere einem US-Dienstleister im Klartext zugänglich gemacht werden. Dies gilt auch für sogenannte „Metadaten“, also Angaben, die einen möglicherweise verschlüsselten Datenbereich beschreiben und klassifizieren. 

Cloud-Dienste jedoch grundsätzlich nutzbar 

Die Kassenärztliche Bundesvereinigung (KBV) empfiehlt daher, Patientendaten grundsätzlich nur dann mithilfe von Cloud-Computing außerhalb der Praxis zu speichern oder zu verarbeiten, wenn eine vollständige Verschlüsselung aller personenbezogenen Daten sichergestellt ist. Das zum Entschlüsseln erforderliche Schlüsselmaterial darf hierbei nur der Praxis bekannt sein. 

Bei Cloudspeicherung sollte ferner eine Risikoanalyse vorgenommen werden: Wer die Cloud als alleinigen Speicherplatz für seine vollständigen Patientendaten nutzt, geht selbst mit einer sicheren Verschlüsselung der Daten das Risiko ein, dass er nicht immer auf sie zugreifen kann – beispielsweise bei einem technischen Defekt oder bei der Insolvenz des Dienstleisters. Hier sind geeignete Maßnahmen für den Notfall vorzusehen. Dies kann z. B. ein Notfallsystem an einem anderen Standort sein oder das Hinterlegen wesentlicher Systembestandteile (z. B. Quellcode) an vertrauenswürdiger Stelle (z.B. bei einem Notar).

Generell kann Cloud-Computing jedoch unter bestimmten technischen Voraussetzungen eine Möglichkeit bieten. Dabei sollten jedoch mindestens folgende Punkte gewährleistet sein, damit ein unbefugter Zugriff des Dienstleisters auf die Patientendaten ausgeschlossen ist:

 
  • Verschlüsselte Datenübertragung zwischen Praxis und Dienstleister
  • Verschlüsselung der Daten bereits in der Praxis – also bevor die Daten in die Cloud fließen. Den einzigen Schlüssel zum Ver- und Entschlüsseln besitzt lediglich der Arzt
  • Der Anbieter muss die medizinischen Daten in seinem System von anderen Daten getrennt vorhalten
  • Der Cloud-Dienstleister sollte vertrauenswürdig sein und über ein geeignetes IT-Sicherheitsmanagement verfügen. Er sollte beispielsweise nach ISO 27001 oder einer vergleichbaren Norm zertifiziert sein
  • Der Cloud-Dienstleister sollte ausschließlich europäischem Recht unterliegen und seine Server in der EU betreiben
 

 

Weitere Informationen zum Thema finden Sie bei der KBV unter www.kbv.de/html/datensicherheit.php#content2759.

Quelle: Kassenärztliche Bundesvereinigung

Das könnte Sie auch interessieren