Bei Datensicherheit nichts riskieren
Vor der nächsten Sitzung erledigt der Therapeut rasch noch einige Dienstgänge. Unter anderem holt er die Post. Zwischen zwei Sitzungen öffnet er die Briefe teilweise. In einem der Briefe ist der Hausarztbericht für einen Klienten, der sich in der vergangenen Woche vorgestellt hat, inklusive Stammdaten und Diagnosen sowie Medikatation. Der nächste Klient ist schon da, daher bleibt die Bewilligung offen auf dem Schreibtisch liegen. Es ist der letzte Klient für heute. Die Reinigungskraft, die einen Schlüssel hat, kommt heute ein paar Minuten früher, da sie noch eine Verabredung hat. Beim Säubern des Schreibtisches hat sie keine Mühe, Namen und Inhalt des Patientenbriefes zu erkennen.
Kennen Sie diese Alltagssituation – vielleicht sogar aus Ihrer eigenen Praxis? Wir alle fokussieren stark auf unsere therapeutische Arbeit. Wollen das Optimale für die Klienten. Wir setzen den Großteil unserer Zeit dafür ein, geeignete Therapieformen und Interventionen zu entwickeln. Für die kreative Organisation unserer Praxis jedoch fehlt uns oft die Kapazität. Dabei kann ein Plan, umgesetzt in eine solide Struktur und durchdachte Maßnahmen und Handlungen, uns das Leben als Therapeut enorm erleichtern und neue Freiräume schaffen. Ordnung, Struktur und Planung verschaffen uns den nötigen Überblick. Das gibt Sicherheit und baut Stress ab. Und hilft, die eigene Lebensqualität mit einer hohen therapeutischen Qualität zu kombinieren und so stetig gute Leistungen auf hohem Niveau zu erzielen.
Ich lade Sie ein, sich die Brille „Datenschutz“ einmal aufzusetzen und vor Ihrem inneren Auge mit mir durch Ihre Praxis zu gehen. Vielleicht entdecken Sie noch ein Feld, das sich zu beackern lohnt. Lassen Sie sich von einigen Fragen und Anregungen leiten.
Können Sie die Daten Ihrer Patienten ungestört erheben?
Diese Frage ist besonders für Therapeuten in Gemeinschaftspraxen oder in gemieteten Räumen interessant. Sie sollten sicherstellen, dass die Daten diskret erhoben werden können.
Kann der Computerbildschirm von Unbefugten eingesehen werden?
Wählen Sie den Standort des Bildschirms so, dass niemand ihn einsehen kann oder der Bildschirm am Fenster oder Spiegel reflektiert. Außerdem sollten Sie einen Bildschirmschoner mit Passwort aktivieren, sobald Sie im Gespräch sind. Unterwegs schützen Entspiegelungsfolien auf dem Laptop-Bildschirm die Augen und die Privatsphäre.
Wie ist Ihre Patientenakte aufgebaut?
Idealerweise existiert nur eine Patientenakte, in der alle Informationen zum Patienten zusammengefasst sind. Diese kann nach Abschluss der Therapie dann vollständig aufbewahrt werden.
Haben Sie Regeln im Umgang mit patientenbezogenen Auskünften formuliert? Wem geben Sie welche Auskunft? Und wie klären Sie die Identität dieser Personen?
Ein solches Raster hilft Ihnen, schnell und automatisch in der Situation zu reagieren.
Nutzen Sie ein Faxgerät zum Austausch mit Ärzten, Krankenkassen, Behörden oder sonstigen an der Behandlung beteiligten? Wo steht dieses Gerät?
Es sollte, gerade in gemeinschaftlich genutzten Räumen, an einem zutrittgeschützen Ort stehen. Regelmäßig genutzte Nummern sollen eingespeichert und jeweils per Kurzwahl angewählt werden, um Fehler beim Versand zu vermeiden. Vergewissern Sie sich auch beim Gegenüber, dass Ihr Fax nur durch berechtigte Personen entgegengenommen wird.
Wie sichern Sie sich im Zeitalter der elektronischen Datenübermittlung ab? Verwenden Sie Verschlüsselungen oder versenden Sie die Patientendaten, -unterlagen und -befunde über ein öffentliches Konto?
Formulieren Sie Regeln, diese Daten immer digital signiert und verschlüsselt zu versenden.
Therapie kann ein sehr kreativer und produktiver Prozess sein. Die Teilergebnisse lassen sich in der modernen Zeit auf ganz unterschiedliche Weisen dokumentieren: per Video, auf Fotos, als Bilder oder geschriebene Texte in Papierform, als Audiofiles.
Wie bewahren Sie diese Dokumente auf und wie stellen Sie sicher, dass Sie die Aufbewahrungsfrist von 10 Jahren garantieren können?
Die Systematik zur Aufbewahrung der Video-, Foto- und Audiodateien sollte mit der Systematik der Patientenakten übereinstimmen, so dass sich auch nach langer Zeit auf Abruf schnell alle relevanten Daten finden lassen können.
Wie vernichten Sie die Informationen, Unterlagen und Daten am Schluss?
Bisher galt bei uns für den Bereich der Datenvernichtung die DIN 32757. Die Ausbreitung digitaler Datenträger und gestiegene Anforderungen an den Datenschutz führten dazu, dass eine neue DIN-Norm ausgearbeitet wurde: die DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“. Sie greift die Besonderheiten der vielseitigen digitalen Datenträger auf und legt somit einen neuen Standard fest. Die DIN 66399 ersetzt die DIN 32757 und bestimmt genaue Anforderungen an die ordnungsgemäße Datenvernichtung, damit die Patientendaten nicht irgendwann „offen auf der Straße liegen“. Papierdaten, elektronische Daten, Filme und Videodokumentationen müssen ordnungsgemäß vernichtet werden. Für alle patientenbezogenen Daten gilt in der Vernichtung mindestens die Sicherheitsstufe 3: sensible und vertrauliche Daten sowie personenbezogene Daten, die einem erhöhten Schutzbedarf unterliegen. Besser noch wählen Sie Hilfsmittel, die die Vernichtung in Sicherheitsstufe 4 ermöglichen: besonders sensible und vertrauliche Daten sowie personenbezogene Daten, die einem erhöhten Schutzbedarf unterliegen.
Haben Sie die Zugriffsrechte auf das EDV-System geregelt?
Verschaffen Sie sich einen Überblick darüber, wer auf das System zugreift. Das kann neben dem Systemadministrator in einem Netzwerk ein Familienmitglied sein. Oder Sie holen sich für Organisation und Buchführung Hilfe von Fachleuten. Definieren Sie klar die Zugriffsrechte auf das EDV-System und kommunizieren Sie diese Rechte eindeutig. Beschränken Sie Lese- und Schreibrechte für sämtliche Unterlagen, die für die Tätigkeiten dieser Personen nicht relevant sind.
Wie haben Sie die Verantwortlichkeiten für die Durchführung wesentlicher Aufgaben festgelegt? Wer administriert Ihr EDV-System? Wer führt regelmäßige Wartungen und Updates durch?
Legen Sie auch hier die Verantwortlichkeiten und die Zeitabstände fest, in denen Sie dieses Thema überprüfen wollen. Und fertigen Sie kleine „Leistungsbeschreibungen“ an, mit denen Sie sich und den Unterstützern Sicherheit geben.
Liegen von allen Mitarbeitern und externen Dienstleistern unterschriebene Datenschutz-, und Schweigepflichtserklärungen vor?
Lassen Sie sich diese Erklärungen unterschreiben und heben Sie sie gut auf. Es bietet sich an, diese Erklärungen alle 2 bis 3 Jahre zu aktualisieren.
Wie sichern Sie Ihre Daten?
Eine Möglichkeit der Sicherung ist die des Drei- Generationen-Prinzips, bei dem am Abend eines Praxistages, am Ende einer Woche und am Ende eines Monats gesichert wird. Dabei werden alle Rechner und Speichermedien berücksichtigt.
Ein Virenschutzprogramm sollte auf allen Rechnern und Devices permanent im Hintergrund mitlaufen und regelmäßig aktualisiert werden.
Und wenn der Strom einmal unterbrochen ist? Mit einer unterbrechungsfreien Stromversorgung (USV) vermeiden Sie nicht nur Schäden durch Stromausfall, sondern fangen auch gefährliche Spannungsspitzen ab. Die USV-Systeme im kleinen und mittleren Leistungsbereich sind leicht anzuschließen und zu bedienen und sind wartungsfrei.
Es kann sehr erhellend sein, mit anderen Augen auf die eigene Praxis zu blicken, verschiedenste Abläufe zu hinterfragen und Ideen zur weiteren Optimierung und Verbesserung zu sammeln.
Ich würde mich freuen, wenn ich Ihre Begeisterung für diese Themen geweckt habe und Sie Lust bekommen, in dieses Feld der kontinuierlichen Verbesserung einzutauchen. Sie werden bald die Notwendigkeit und die Chancen erkennen, die es bietet. Zum Wohl Ihrer Patienten und zu Ihrer eigenen Sicherheit!
Barbara Frede
Heilpraktikerin für Psychotherapie, Auditleiter IRCA ISO 9000:2000, NLP Practitioner, Politikwissenschaftlerin