Viele Arztpraxen in Deutschland haben Probleme mit dem Datenschutz sensibler Gesundheitsdaten. Laut einer kürzlich veröffentlichten Studie des GDV (Gesamtverband der deutschen Versicherungswirtschaft) sichern viele Arztpraxen ihre Online-Passwörter nur unzureichend.
Patientendaten im Darknet
Eine IT- Sicherheitsprüfung, die im Auftrag des GDV im Zeitraum September bis Dezember 2018 erfolgte, legte offen, dass Zugangsdaten der Praxen aufgrund fehlender Passwortstärke häufig im Darknet auffindbar wären. Tausende von vertraulichen Patientendaten sind somit für Hacker einsehbar. Ein hohes Risiko für den Datenschutz!
Dieses hohe Datenschutzrisiko ist laut GDV vor allem darauf zurückzuführen, dass 22 von 25 befragten Arztpraxen sehr einfache Passwörter zur Sicherung der Daten verwenden. Zudem teilten sich mehrere Benutzer dieselbe Zugangskennung. In 20 von 25 befragten Arztpraxen hatten alle Benutzer Administratorenrechte.
Was können Arztpraxen tun um ihren Datenschutz zu verbessern?
1. Komplexe Passwörter und hohe Kennwortlänge
Prinzipiell ist zu empfehlen, komplexe Passwörter festzulegen (bestehend aus Großschreibung, Kleinschreibung, Sonderzeichen und Zahlen) und die Passwörter alle 90 Tage zu wechseln. Außerdem ist es ratsam, dass der Administrator eine hohe Kennwortlänge festsetzt. Je länger das Passwort ist, desto mehr Zeit muss ein Angreifer aufwenden, um das Passwort zu entschlüsseln und umso besser der Datenschutz.
2. Verbindliche Passwortrichtlinien
Der Umgang mit digitalen Zugängen sollte von den Arztpraxen in einer verbindlichen Passwortrichtlinie, gerichtet an alle Mitarbeiter, zusammengefasst werden. In dieser Passwortrichtlinie sollte auch festgelegt sein, in welchem Turnus die Passwörter seitens der Mitarbeiter zu ändern sind.
3. Wechselpflicht der Passwörter
Viele Betriebssysteme und Programme unterstützen eine Wechselpflicht, d.h. der Benutzer muss sein Passwort nach einem bestimmten Zeitraum ändern. Ein häufiger Passwortwechsel dienst als zusätzlicher Schutz. Der Administrator sollte außerdem festlegen können, dass bereits einmal verwendete Passwörter vom System nicht akzeptiert werden.
4. Passwortmanager
Angesichts des Umstandes, dass heutzutage eine Menge an Passwörtern festzulegen sind, wenden viele Unternehmen sogenannte Passwortmanager an. Dies hat den Vorteil, dass sich die Mitarbeiter die Passwörter nicht selbst notieren müssen, was wiederum zu Sicherheitsrisiken führen würde. Sofern sich die Unternehmensführung für ein solches Tool zur Unterstützung entscheidet, sollte ein Passwort- Manager gewählt werden, der seinerseits die erforderlichen technischen Sicherheitsmerkmale aufweist.
5. Arbeitsplatzrichtlinien
Weiterhin ist es erforderlich, dass Mitarbeiter ihre Arbeitsgeräte sperren, sollten sie ihren Platz verlassen. Nur dann ist der Passwortschutz aktiv und gewährleistet eine Kontrolle über den Zugriff. Bei Mobilgeräten, wie z.B. Smartphones oder Tablets, sollte nach Inaktivität ebenfalls ein Passwort abgefragt werden. Dieser Punkt kann in einer Arbeitsplatzrichtlinie formuliert werden. In dieser kann z.B. auch der Umgang mit Besuchern, der Einsatz von Speichermedien oder das Downloadverbot von nicht genehmigter Software thematisiert werden. Es empfiehlt sich generell, sich diese Richtlinien per Unterschrift von den Mitarbeitern bestätigen zu lassen. Im Sinne der DSGVO können solche Richtlinien sogar als „technische und organisatorische Maßnahmen“ dienen und sind somit Bestandteil des Datenschutzkonzeptes einer Praxis bzw. eines Unternehmens.
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten oder sinnvollen Online-Tools zur Unterstützung des Datenschutzkonzeptes Ihrer Praxis?
Dann informieren Sie sich unverbindlich über DictaLex Health: