So schützen Arztpraxen ihre IT

Die Digitalisierung und Vernetzung im Gesundheitswesen birgt neben den grossen Vorteilen auch Risiken: Cyberangriffe auf Gesundheitsdaten und auf die ICT-Infrastruktur können die Privatsphäre der Patienten beeinträchtigen, das Tagesgeschäft einer Arztpraxis stark einschränken, finanziellen Schaden sowie Reputationsschaden nach sich ziehen – oder im schlimmsten Fall sogar Behandlungsabläufe manipulieren.

Da bisher auf Bundesebene keine Empfehlungen vorliegen, hat die Ärzteverbindung FMH Minimalanforderungen zum IT-Grundschutz für Arztpraxen erarbeitet. Diese haben laut der FMH Empfehlungscharakter und beinhalten Anforderungen, «die ein Mindestniveau an Sicherheit für Daten, Informationen und die ICT-Infrastruktur sicherstellen.»

Das 11-Punkte-Programm der FMH umfassen unter anderem Massnahmen zum Schutz vor Zugriff, zur Verwaltung von Benutzerrechten, zum Schutz des Netzwerkes oder zur Sensibilisierung der Mitarbeitenden. Dabei liefert die Ärzteverbindung gleich detaillierte Empfehlungen und Massnahmen – stufengerecht für Praxisinhaber oder für interne oder externe ICT-Dienstleister.

Die Arztpraxis ist für die Gewährleistung des Datenschutzes und der Datensicherheit verantwortlich. Der Gesetzgeber hat medizinische Daten im Bundesgesetz zum Datenschutz (DSG) als «besonders schützenswerte Personendaten» eingestuft, sodass umfangreiche Massnahmen für einen angemessenen Schutz dieser Daten erforderlich sind.

Aufbau, Unterhalt und Wartung einer sicheren ICT-Infrastruktur, die Erarbeitung von Sicherheitsanforderungen und die Sensibilisierung der Mitarbeitenden zugunsten einer neuen Sicherheitskultur sind laut der FMH umfassende Aufgaben, die personelle und finanzielle Ressourcen erfordern.