Anschluss von Arztpraxisrechnern ans Internet
Hinweise zum Anschluss von Arztpraxisrechnern an das Internet
Das Unabhängige Landeszentrum für Datenschutz hat sich aus Anlass eines Gütesiegelverfahrens sowie im Rahmen von Anfragen durch Ärzte mit der Frage des Internetanschlusses für Arztpraxisrechner auseinander gesetzt und folgende Hinweise hierzu erarbeitet:
Angesichts der Entwicklungen im Gesundheitswesen kann diese Empfehlung jedoch nach unserer Auffassung nicht mehr aufrecht erhalten werden. Verfahren wie die elektronische Gesundheitskarte setzen voraus, dass das Praxisverwaltungssystem des Arztes an die Telematik-Infrastruktur angeschlossen ist. Entsprechendes gilt bereits heute für die Teilnahme an regionalen Praxisnetzen, die gerade den technisch vereinfachten Austausch von medizinischen Informationen bezwecken. Zwar sollen diese Netze jeweils für sich eine sichere Infrastruktur zur Verfügung stellen; der Anschluss an jene kann also nicht ohne weiteres mit dem Anschluss an "das Internet" gleichgesetzt werden. Allerdings setzen sie in technischer Hinsicht doch auf das Internet auf. Oder etwas plastischer: Dieses kommt aus der gleichen Dose an der Wand und kann über dasselbe Patch-Kabel erreicht werden, wie die genuin medizinischen Netze. Damit kommt es zu einem Anschluss des Praxis-Systems an ein externes Netz. In dieser Situation wird man realistischer Weise nicht mehr fordern können, dass für die Nutzung des Internet ausschließlich ein weiterer Stand-Alone-Rechner benutzt werden darf.
Um eine Offenbarung von Patientendaten über den Internetanschluss zu verhindern, ist der Arzt-PC jedoch ausreichend gegen Angriffe zu sichern. Zur Gewährleistung eines hinreichenden Schutzes der Patientendaten sind aus Sicht des ULD folgende Maßnahmen erforderlich:
- Einsatz je einer Firewall auf Netzwerkebene (z.B. DSL-Routerfirewall) und auf Rechnerebene (Personal Firewall), die unzulässige Zugriffe von innen und außen blockieren.
- Verfahren zur Sicherstellung eines aktuellen Patchlevels von Betriebssystem und verwendeter Software, damit erkannte Sicherheitslücken so schnell wie möglich geschlossen werden.
- Einsatz einer Antiviren-Software (incl. regelmäßiger Updates der Signaturen), um - auf welchem Wege auch immer - in das System gelangte Schadsoftware identifizieren und beseitigen zu können.
- Keine Nutzung von Internet-Diensten wie WWW (Browsen) oder E-Mail auf Rechnern, die Patientendaten verarbeiten. Auf diesen Rechnern darf neben netzbasiertem Softwareupdates (Betriebssystem, Antiviren-Software, Arztsoftware) ein Netzzugriff nur über die Arztsoftware erfolgen.
Für Anwendungen, die beliebige Dateien von Dritten aus dem Internet herunterladen können (WWW, Downloads, File-Sharing, E-Mail etc.), sollte eine eigene Hardware verwendet werden.