Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), die den Schutz personenbezogener Daten regelt. Sie ist am 25. Mai 2018 in Kraft getreten und gilt für alle Unternehmen und Organisationen in der EU, die personenbezogene Daten verarbeiten.

Die Datenschutzgrundverordnung (DSGVO) definiert Patientendaten als „besondere Arten personenbezogener Daten“. Dazu gehören Identitätsdaten, Abrechnungsdaten, Anamnesedaten und Untersuchungsergebnisse. Sie sind in Deutschland besonders schutzwürdig und unterliegen dem sogenannten Arztgeheimnis und der Schweigepflicht.

Sie enthalten sensible Informationen, die sich auf die Gesundheit, die Versicherungsverhältnisse und das Privatleben von Personen beziehen.

Sichere Passwörter sind wichtig, um den Zugriff auf sensible Patientendaten zu schützen. Jede befugte Person, die Zugang zu Gesundheitsdaten haben soll, muss über ein eigenes Benutzerkonto mit einem individuellen Benutzernamen und einem eindeutigen Passwort verfügen.

Ein sicheres Passwort sollte nur dem Inhaber bekannt sein. Es sollte keinen Bezug zur Person des Benutzers haben. Es sollte mindestens 12 Zeichen lang sein und aus einer Mischung von Zahlen, Groß- und Kleinbuchstaben sowie Satz- und Sonderzeichen bestehen. Das Passwort sollte nur für ein Benutzerkonto und nicht für mehrere Benutzerkonten in Verwendung sein.

Erhebliche Sicherheitsrisiken entstehen, wenn einmal erteilte Passwörter nicht erneuert werden, das persönliche Passwort weitergegeben wird oder alle Benutzerkonten das gleiche Passwort verwenden. Gleiches gilt, wenn sich alle Berechtigten mit demselben Benutzerkonto einloggen.

Zugangs- und Zugriffskontrollen sind Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern. Dazu gehören: 

• elektronische Chipkarten und Signaturen, 

• die Protokollierung der An- und Abmeldung eines Benutzers, 

• die Verschlüsselung mobiler Datenträger, 

• gesicherte externe Zugänge zum Praxissystem mittels VPN, 

• bauliche Schutzmaßnahmen, 

• der Einsatz einer Firewall, 

• die Verwendung aktueller Betriebssysteme, 

• der Einsatz sicherer Browser für die Kommunikation über das Internet, 

• die Ende-zu-Ende-Verschlüsselung von E-Mails und Datenpaketen 

• sowie die Vergabe von definierten Benutzer- und Zugriffsrechten in der Praxisverwaltungssoftware.

Dies können „gewollte“ Eingriffe / Zugriffe anderer medizinischer Geräte oder Systeme sowie Fernzugriffe durch beauftragte IT-Dienstleister oder das Praxisteam sein. Auch diese sollten kritisch beobachtet werden.