Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Datenschutz beachten: Patientendaten in die Cloud?

04.09.2018 KVNO aktuell

Ärzte müssen ihre Behandlungsdokumentationen mindestens zehn Jahre nach Abschluss der Behandlung aufbewahren. Für elektronische Dokumentationen müssen entsprechende Sicherungen vorhanden sein. Viele Praxen stellen sich die Frage, ob sie ihre Patientendaten auch in der Cloud ablegen können.

Der Vorteil beim Cloud-Computing: Anstatt in der Praxis liegen die Daten auf einem Server in einem ausgelagerten, ausfallsicheren Rechenzentrum, das ein Dienstleister zur Verfügung stellt. Die Praxis muss die Hardware nicht in den eigenen Praxisräumlichkeiten vorhalten.

Kostengünstig und flexibel

Der Zugriff erfolgt in der Regel über das Internet und ist von unterschiedlichen Geräten möglich. Die Nutzung einer Cloud ermöglicht es so, Daten kostengünstig und ortsunabhängig zu speichern. Die Verantwortung für den Betrieb liegt beim Dienstleister. Das sind die Hauptgründe, warum Cloud-Computing immer beliebter wird.

Das Bild zeigt einen Arzt, der schreibt.

Patientendaten dürfen nur in einer Cloud gespeichert werden, wenn sie vorher in der Praxis verschlüsselt wurden.

Es gibt aber auch kritische Punkte: Praxen arbeiten mit hochsensiblen Patientendaten, die der ärztlichen Schweigepflicht unterliegen. Der Arzt oder Psychotherapeut ist dafür verantwortlich, dass die Daten vor unberechtigten Einsichtnahmen und Zugriffen geschützt werden. Die Nutzung von Cloud-Diensten ist deswegen nur unter bestimmten rechtlichen Voraussetzungen möglich. Das oberste Gebot lautet: Ein Zugriff durch den Dienstleister auf Patientendaten muss ausgeschlossen sein.

Daten verschlüsseln

Wie können Praxen das sicherstellen? Indem sie dafür sorgen, dass die Daten nur verschlüsselt auf dem Server liegen. Die Verschlüsselung muss bereits in der Praxis erfolgen, bevor die Daten in die Cloud fließen. Den Schlüssel zum Ver- und Entschlüsseln dürfen nur der Arzt und seine zugriffsberechtigten Mitarbeiter besitzen.

Der Dienstleister sollte sorgfältig ausgewählt werden. Er sollte vertrauenswürdig sein und über ein IT-Sicherheitsmanagement verfügen.Im Idealfall ist er zertifiziert nach der Norm ISO 27001. Die medizinischen Daten sollten zudem getrennt von anderen Daten auf den Servern gehalten werden.

Server in der EU

Cloud-Computing ist auch deshalb preiswert, weil die Server oft weltweit verteilt sind. Hier lauert die nächste Gefahr. Denn wenn Daten beispielsweise auf einem Server in den USA oder in Indien lagern, gilt das dortige Datenschutz-Recht – und das entspricht in der Regel nicht den deutschen Anforderungen. Im Ex­-
tremfall könnten so auch nicht berechtigte Personen Zugriff auf die Patientendaten erhalten.

Praxen sollten daher beachten, dass die Server, auf welchen die Patientendaten lagern, in Deutschland oder mindestens in einem Land der Europäischen Union stehen. Hier gelten nämlich die strengen Regelungen der EU-Datenschutz-Grundverordnung (EU-DSGVO). Danach ist es übrigens nötig, mit dem Dienstleister eine Auftragsverarbeitung zu schließen.

Sind diese Voraussetzungen erfüllt, können Praxen die Cloud für eine Langzeitarchivierung nutzen. Problematisch könnte der spontane Zugriff auf die Daten sein. Denn zum einem muss immer eine schnelle und zuverlässige Internetleitung vorhanden sein, zum anderen könnte etwa bei einem technischen Defekt oder bei Insolvenz des Dienstleisters ein Zugriff temporär nicht möglich sein.

Der Betrieb eines Praxisverwaltungssystems in einer Cloud ist allerdings ausgeschlossen. Warum? Um die Daten verarbeiten zu können, müssten diese entschlüsselt werden. Genau dann aber ist technisch nicht mehr auszuschließen, dass der Dienstleister auf die Patientendaten zugreifen kann.

Claudia Pintaric

Cloud

Cloud bzw. Cloud-Computing bedeutet, dass ein Netzwerk mit mehreren Rechnern genutzt wird. Meist erfolgt der Zugriff über das Internet. Neben Speicherplatz und Rechenleistung kann auch Software zur Verfügung gestellt werden. Der Nutzer benötigt beim Cloud-Computing lediglich einen Internetzugriff und einen Rechner oder Laptop, mit dem er die Daten oder die Software abrufen kann. Cloud-Computing kann auf diese Weise Kosten oder Aufwände reduzieren. Datenträger wie externe Festplatten oder USB-Sticks sind überflüssig, da die Nutzer jederzeit von überall mit einem Internetanschluss auf die Daten zugreifen können.