Datensicherung und Schulungen
Die Gründe, eine regelmäßige Sicherung aller EDV-Daten durchzuführen, sind vielfältig. Die Daten des Praxisinformationssystems müssen zur Dokumentation der Behandlung und Befundung der Patienten gesichert werden. Die Sicherung von Abrechnungsdaten ergibt sich aus den Anforderungen des BGB. So unterschiedlich die Gründe, die für eine regelmäßige Sicherung sprechen, für die einzelnen Daten sind, so unterschiedlich sind auch die jeweiligen Aufbewahrungsfristen.
Daten können über viele Wege verloren gehen (etwa Hardwaredefekte, Diebstahl, Brände oder Wassereintritt). Da solche Fälle jederzeit eintreten können, muss in regelmäßigen Abständen eine Sicherung durchgeführt werden. Die Regelmäßigkeit steht dabei im Verhältnis zur Änderungshäufigkeit der Daten. Daraus folgt, dass Daten, die sich sehr häufig ändern, am besten täglich, und Daten, die sich nur selten ändern, wöchentlich oder nur monatlich gesichert werden. Dabei sollten mehrere transportable Datenträger (etwa Bänder, externe Festplatten, USB-Sticks, CDs/DVDs) zum Einsatz kommen, um mehrere Sicherungen zur Verfügung zu haben. Bei einer täglichen Sicherung unter der Woche empfehlen sich fünf Medien (für jeden Tag von Montag bis Freitag eins), so dass immer eine Sicherung der kompletten vergangenen Woche vorliegt und dann erst ein Medium überschrieben wird.
Das „Generationenprinzip“ ist eine in der EDV weit verbreitete Strategie der Datensicherung, um immer mehrere Sicherungen unterschiedlicher zeitlicher Abstufungen (Großvater, Vater, Sohn genannt) zu haben. Der am weitesten verbreitete Sicherungsrhythmus unterscheidet zwischen täglichen, wöchentlichen und monatlichen Sicherungsintervallen. Auf vier Bändern, für die Sicherung unter der Woche (Söhne genannt), wird montags bis donnerstags die Sicherung aufgespielt. Jeden Freitag wird auf eines der vier Bänder der wöchentlichen Sicherung (Väter-Bänder) geschrieben und jeden letzten Tag eines Monats auf eines der zwölf Bänder der monatlichen Sicherung (Großväter-Bänder). So lässt sich mit nur 20 Bändern eine Sicherung über ein ganzes Jahr abbilden. Beginnt ein neues Jahr, fängt der Zyklus von vorn an und die Sicherungen werden peu à peu überschrieben.
Beachtet werden muss hierbei, dass Datensicherung keine Archivierung ist. Folglich müssen etwaige Aufbewahrungsfristen im PVS geregelt werden. Wie die Sicherung der Daten für die jeweilige Praxisstruktur im Detail zu vollziehen ist, muss in jedem Fall mit den Herstellern der in der Praxis verwendeten Systeme (PVS, Röntgen) geklärt werden. Gegebenenfalls ist das Hinzuziehen von IT-Experten, die Sie beim Einrichten einer ordnungsgemäßen Sicherung unterstützen können, zu empfehlen.
Doch allein mit dem Kopieren der Daten ist die Sicherung nicht abgeschlossen. Bevor die Sicherungsmedien eingelagert werden, muss geprüft werden, ob die Sicherung erfolgreich war, also die entsprechenden Daten gespeichert wurden. Bei der Einlagerung müssen die Speichermedien gegen den Zugriff Unbefugter und gegen Zerstörung geschützt werden. Schutz gegen Dritte bietet zum einen die Lagerung in Räumlichkeiten, die nur von autorisierten Personen betreten werden können. Zum anderen bietet eine Verschlüsselung der Daten auf den Medien selber Schutz, da diese auch bei Entwendung nicht gelesen werden können. Vor Zerstörung durch Umwelteinflüsse, wie Brände oder Wasserschäden, schützt ebenfalls eine geeignete Aufbewahrung. Der Aufbewahrungsort sollte sich mindestens in einem anderen Brandabschnitt des Gebäudes befinden. Da die meisten Praxisräume jedoch, aufgrund ihrer geringen Größe, nicht in unterschiedlichen Brandabschnitten liegen, sollten die Sicherungsmedien außerhalb der Praxis, beispielsweise in einem Datentresor, gelagert werden, der so aufgestellt ist, dass die Medien auch bei einem Wassereinbruch keinen Schaden nehmen. Befinden sich Daten auf Bändern, die über längere Zeiträume gelagert und nicht überschrieben werden, müssen die Bänder in regelmäßigen Abständen auf neue umkopiert werden. Das liegt darin begründet, dass jedes Speichermedium einem natürlichen Verfall unterliegt und ab einer bestimmten Zeit die Medien nicht mehr zu lesen sind.
Verantwortlichkeiten definieren
Eine geeignete Datensicherungssoftware kann die hier genannten Schritte unterstützen. Viele Betriebssysteme bieten mittlerweile Datensicherungsmechanismen an, so dass nicht mal mehr eine spezialisierte Software notwendig ist, um Rechner im Praxisalltag zu sichern. Somit wird die Sicherung automatisch durchgeführt, nur die Speicher- medien müssen noch per Hand gewechselt werden. Diese Aufgabe sollte einer definierten Person (inklusive Vertreter) zugewiesen werden, die geschult wird,den Sicherungsvorgang durchführt und protokolliert.
Andererseits besteht auch die Möglichkeit eine verschlüsselte Sicherung der Daten über das Internet etwa in einer Cloud abzulegen. Hierbei sind jedoch einige Aspekte zu beachten, die in einem späteren Beitrag dieser Reihe genau beleuchtet werden.
Wichtig ist, eine Zuweisung von Mitarbeitern zu Verantwortlichkeiten im Umgang mit der EDV vorzunehmen. Dazu gehört auch die Definition von Vertretern. Festzulegen ist unter anderem die Verantwortung für:
• Einhaltung der Sicherheitsvorschriften
• Aktualisierung Virenschutz
• Datensicherung
• Sicherheitsupdates
§ 7 Abs. 3 der Musterberufsordnung für Zahnärzte und die entsprechende Umsetzung der jeweiligen Landeszahnärztekammer verlangen von jedem Zahnarzt, seine Mitarbeiter über die gesetzlichen Regelungen zur Verschwiegenheit zu belehren und dies zu dokumentieren. Zusätzlich müssen die Mitarbeiter bei der Aufnahme ihrer Tätigkeit, insofern sie mit personenbezogenen Daten arbeiten, gemäß § 5 BDSG auf das Datengeheimnis und gemäß § 35 SGB I in Verbindung mit § 67 Abs. 1 SGB X auf das Sozialdatengeheimnis verpflichtet werden. Diese Verpflichtung bleibt auch nach der Beendigung des Arbeitsverhältnisses fortbestehen.
Neben der initialen Datenschutzschulung muss in regelmäßigen Abständen eine Nachschulung durchgeführt werden, um die Inhalte aufzufrischen und über neue Entwicklungen informieren zu können. Wir empfehlen die Schulung im jährlichen Turnus durchzuführen.
Schulungen sind auch für einen störungsfreien Betrieb der EDV nötig. Daher sollten mindestens die Mitarbeiter, die für den Betrieb und die Pflege der EDV verant- wortlich sind, Seminare besuchen, um die dafür notwendige Sach- und Fachkenntnis aufbauen zu können.
Prof. Dr. Thomas JäschkeSimon Hacks B.Sc.ISDSG Institut für Sicherheit und Datenschutzim GesundheitswesenWestfalendamm 25144141 Dortmund