Datensicherheit und DSGVO in der Praxis – mit Bernhard Keprt

Lieber auf Nummer sicher!

Ob wir online einen Termin vereinbaren, etwas kaufen oder einen Kommentar posten – laufend geben wir irgendwo Daten von uns preis, ohne uns oftmals des Umfangs bewusst zu sein. Bernhard Keprt ist bei appointmed unter anderem für die Datensicherheit zuständig. Im Gespräch gibt er Tipps, wie man Datenlecks vermeiden kann, wie wir auch im täglichen analogen Umgang miteinander achtsamer mit sensiblen Daten umgehen können und wie einfach es appointmed macht, die eigenen Daten und die der Patientinnen und Patienten zu schützen.

Hör‘ Dir die Folge auf Spotify an!

 Alle Folgen auf: Spotify, Apple Podcasts, YouTube

---

Hallo Bernhard! Stell Dich doch erstmal kurz vor.

Bernhard: Ich bin CTO bei appointmed und somit zuständig für alles, was mit Technik, Software und der Infrastruktur zu tun hat. Damit beschäftige ich mich nunmehr schon seit 20 Jahren, weshalb es mir großen Spaß macht, meine Expertise für die Weiterentwicklung unserer Software einzubringen.

Adela: Das Thema Datensicherheit begleitet Dich in diesem Zusammenhang ja auch schon sehr lange. Wie kam es dazu und wie hast Du Dir Dein Wissen angeeignet?

Bernhard: Das erste Mal bin ich mit dem Thema Datenschutz und Datensicherheit durch ein Engagement bei der Österreichischen Nationalbank in Berührung gekommen. Wie Du Dir sicher vorstellen kannst, ist Datensicherheit hier besonders wichtig und man muss auf bestimmte Punkte sehr penibel achten – mehr, als einem als Junior-Software-Entwickler manchmal lieb ist. Ich habe bei der OeNB sehr viel gelernt, dieses Wissen in weitere Engagements bei Banken und Versicherungen mitgenommen und weitere Erfahrungen gesammelt.

Datensicherheit ist heute in allen Bereichen ein wichtiges Thema und Grundbestandteil der Softwareentwicklung.

Was hat sich aus Deiner Sicht seit der Einführung der DSGVO im Digitalbereich verändert?

Bernhard: Die Grundprinzipien der DSGVO, die ja versucht, europaweit einen Standard zu definieren, an dem man sich orientieren kann, wurden in vielen Branchen ja bereits sehr lange gelebt. Jetzt gibt es einen Namen dafür und ein gesetzliches Regelwerk. Was sich meiner Meinung nach am stärksten verändert, ist das Bewusstsein bei vielen Menschen. Da man aufgrund der Einführung der DSGVO gezwungen war, sich mit dem Thema auseinanderzusetzen, denken viele Menschen mehr darüber nach, wie sie selbst mit Daten umgehen. Das findet sowohl im persönlichen als auch im beruflichen Umfeld statt, egal in welcher Branche man tätig ist.

Vielen Leuten ist bewusst(er) geworden, dass man sehr schnell Daten und Footprints in der digitalen Welt hinterlässt.

Wenn das nur dazu geführt hat, dass viele Menschen einen zusätzlichen PIN-Code auf ihrem Smartphone eingerichtet haben, um den Zugriff darauf für Außenstehende zu erschweren und ihre Daten zu schützen, zeigt es, dass die DSGVO uns alle in unserem Alltag getroffen und beschäftigt hat.

Adela: Nun ist es bei appointmed ja so, dass wir als Softwareanbieter für Gesundheitsdienstleister bezüglich der Datensicherheit nochmal strengeren Spielregeln als Firmen in anderen Branchen unterliegen.

Auf was muss appointmed in Sachen DSGVO besonders achten?

Oberstes Ziel bei appointmed ist, dass die Daten unserer KundInnen zu jeder Zeit sicher sind.

Bernhard: Wir unterliegen dabei genauso den Bestimmungen der Datenschutzgrundverordnung. Das heißt, wir dürfen nicht frei und wild Daten speichern, wie es uns gefällt, sondern sind verpflichtet, unsere KundInnen darüber zu informieren, wofür wir welche Daten verwenden. Auf unserer Website gibt es eine gute Übersicht, welche DSGVO Maßnahmen wir umsetzen. Wir setzen aus technologischer Sicht auf die sichersten und am besten zertifizierten Partnerunternehmen am Markt.

Ebenso sind natürlich die Prozesse und die Art, wie wir intern arbeiten, entsprechend gestaltet, so dass keine KundInnendaten nach außen dringen können. Wenn man zB mit dem Support chattet, dann werden die Daten und Infos, die dabei ausgetauscht werden, vor fremdem Zugriff geschützt. Man kann also sagen, dass Datensicherheit bei uns überall im Alltag integriert ist.

Werden diese Prozesse auch von Unabhängigen geprüft?

Bernhard: Natürlich – das erfolgt im Rahmen eines so genannten „Security Audit“. Das ist – einfach gesagt – eine Prüfung durch eine externe Sicherheitsfirma.

Wir beauftragen eine unabhängige Firma damit, unsere Software und unser Produkt durchzutesten und zu sehen, ob unsere Sicherheitsmaßnahmen wirken.

So können wir feststellen, ob es irgendwo Lücken gibt, ob wir etwas übersehen haben oder ob es vielleicht einfach Angriffsvektoren gibt. Das wären Möglichkeiten, wo AngreiferInnen in das System eindringen und Schaden anrichten oder sogar Daten stehlen können.

Security Audits werden bei uns regelmäßig durchgeführt und wir arbeiten hier mit Unternehmen zusammen, die echte Experten auf diesem Gebiet sind. So können wir unsere Sicherheitsmaßnahmen laufend optimieren und gewährleisten, dass die Daten unserer KundInnen den größtmöglichen Schutz erfahren.

Adela: Wechseln wir nun kurz die Perspektive und nehmen die Position unserer TherapeutInnen ein. Was müssen sie bei der täglichen Arbeit in der Praxis in puncto Datenschutz und Datensicherheit ganz besonders beachten?

Was ist das Minimum an Datenschutz, das in jeder Praxis umgesetzt werden sollte?

Bernhard: Wenn man mit PatientInnen arbeitet, handelt es sich dabei um besonders schützenswerte Daten. Das fängt bei Kleinigkeiten an. Ich darf meine PatientInnen zB nicht mit meinem eingeschalteten Computer, auf dem vielleicht die Stammdaten anderer PatientInnen einsehbar sind, alleine lassen.

Auch im „analogen“ Bereich gibt es Beispiele. Wenn ich zB eine Terminliste ausdrucke, darf ich diese dann nicht offen und frei für alle einsehbar im Drucker liegen lassen. Selbst ein Papierkalender mit den Namen meiner PatientInnen, der offen einsehbar ist, stellt ein datenschutzrechtliches Problem dar.

All das sind Dinge, an die man oftmals nicht denkt. Umgekehrt kann man ganz einfach ein Experiment starten: Achte beim nächsten Arztbesuch darauf, welche Daten (Patientennamen, Telefonnummern, E-Mail Adressen, Ausdrucke,…) Du – zufällig – einsehen kannst.

Das Einfachste, was man in diesem Zusammenhang machen kann, ist, darauf zu achten, stets den Bildschirm des Computers/Tablets/Smartphones zu sperren, wenn man sich von den Geräten wegbewegt. Außerdem kann der Computer so gestellt werden, dass PatientInnen keinen direkten Blick auf den Bildschirm haben, wenn das nicht unbedingt notwendig ist.

Was können TherapeutInnen im Alltag tun, um nicht in eine Datenschutzfalle zu tappen?

Bernhard: Wenn man zB eine Praxis-Software wie appointmed verwendet, ist es sehr einfach, die Zustimmung zur Datenverarbeitung von PatientInnen einzuholen. Man trägt einfach die E-Mail-Adresse ein, drückt auf einen Button und schon wird die Bitte zur Freigabe an die/den PatientIn gesendet. Dieser kann dann mit einem Klick zugestimmt werden und TherapeutInnen sind für die Behandlung und administrative Abwicklung gut abgesichert.

Adela: Dazu ein Tipp von mir: Die NutzerInnen von appointmed finden alle Informationen rund um Dokumente zur DSGVO, wie zB die erwähnte Zustimmungserklärung, aber auch das Dokument der Verpflichtungserklärung zum Datenngeheimnis, im sogenannten DSGVO-Cockpit, direkt in der App.

Was denkst Du, müssen TherapeutInnen beachten, tun es aber noch zu wenig?

Bernhard: Ich hoffe doch, dass sich die meisten mittlerweile der Wichtigkeit des Datenschutzes generell bewusst sind, also dass es die DSGVO gibt und dass diese auch einzuhalten ist. Es geht einfach darum, mehr Bewusstsein zu schaffen, in welchen Situationen ich Daten preisgebe, die eigentlich niemanden etwas angehen, außer den/die PatientIn und mich.

„Hallo Frau Mayer, wie geht’s denn ihrem Knie? Können Sie schon wieder Tennis spielen?“

Wenn so meine Begrüßung einer Patientin im Warteraum lautet, gebe ich etwas über ihren gesundheitlichen Zustand und private Interessen preis. Ich kann das genauso erst hinter verschlossenen Türen im Behandlungsraum machen, was ich in dem Fall auch sollte.

Personenbezogene Daten sind schützenswert, von Menschen, die ich behandle, genauso wie von Menschen, die für mich arbeiten. Man kann sich antrainieren, damit im Alltag achtsamer umzugehen.

Gibt es abschließend noch Ergänzungen zum Thema Sicherheit und Datenschutz, über die wir noch nicht gesprochen haben?

Bernhard: Ich sehe natürlich appointmed als Software-Anbieter in der Pflicht, alles zu tun, um die Datensicherheit zu gewährleisten. Genauso ist es aber gefragt, dass unsere KundInnen ihren Teil dazu beitragen. Dazu zählen auch ein sicheres Passwort und der entsprechende Schutz des eigenen Computers. Es ist also eine geteilte Verantwortung.

Neben dem Schutz von Computern und mobilen Endgeräten ist es auch wichtig, regelmäßig Backups zu erstellen, um im Ernstfall keine Daten zu verlieren und schnell wieder Zugriff auf alles zu haben.

Adela: Wie läuft das bei appointmed ab?

Bernhard: Bei appointmed wird alle 15 Minuten ein automatisches Backup aller Daten der Praxis erstellt. Das heißt, wir haben ein sehr feines Netz an Sicherheitsmechanismen, mit denen wir sicherstellen, dass keine Daten verloren gehen.