Cloud-Migration von Patientendaten
Ärzte, Psychotherapeuten und Zahnärzte müssen sicherstellen, dass ihre Aufzeichnungen gemäß den gesetzlichen Vorgaben mindestens 10 Jahre nach der letzten Behandlung verfügbar bleiben. Aufgrund der großen Datenmengen kann es bei der Speicherung schnell zu Kapazitätsengpässen kommen, was Cloud Services besonders interessant macht.
Die Nutzung von Cloud Services zur Archivierung von Patientenakten ist unter bestimmten Voraussetzungen rechtlich zulässig. Insbesondere in Deutschland bzw. Europa mit seinen strengen Datenschutzgesetzen ergeben sich besondere Anforderungen an die Erstellung von Sicherungskopien von Patientenakten.
Es wird empfohlen, Patienteninformationen nur dann in der Cloud zu speichern oder zu verarbeiten, wenn eine lückenlose Verschlüsselung aller personenbezogenen Daten gewährleistet ist. Dabei ist entscheidend, dass nur die Praxis über die notwendigen Schlüssel zur Entschlüsselung verfügt. Bei der Auswahl eines Cloud-Anbieters sollte zudem darauf geachtet werden, dass dieser als vertrauenswürdig gilt und seine Rechenzentren innerhalb der EU betreibt, um den europäischen Datenschutzrichtlinien zu entsprechen.
Werden die Daten auf Servern im Ausland gespeichert, kann zusätzlich das dortige Datenschutzrecht zur Anwendung kommen. Darüber hinaus ist die Übermittlung personenbezogener Daten von EU‑Bürgern in Drittländer nur dann zulässig, wenn diese Länder über ein mit der EU vergleichbares Datenschutzniveau verfügen. Für die Vereinigten Staaten wurde beispielsweise festgestellt, dass ein solches Schutzniveau nicht gegeben ist. Anbieter wie Google, Microsoft oder Apple kommen nicht in Betracht.
Daraus folgt, dass bei der Nutzung von Cloud-Diensten genau geprüft werden muss, in welchem Land der Anbieter seinen Sitz hat und wie es dort um den Datenschutz bestellt ist. Zudem empfiehlt es sich, eine Risikoanalyse durchzuführen, um auf mögliche Gefahren wie technische Störungen oder Insolvenz des Anbieters vorbereitet zu sein, die den Zugriff auf die Daten verhindern könnten. Das Datenschutzgesetz verlangt, dass personenbezogene Daten, insbesondere sensible Gesundheitsdaten, sicher vor unbefugtem Zugriff aufbewahrt werden. Dies schließt Vorkehrungen gegen Datenverlust und -diebstahl mit ein. Ihr Datenschutzbeauftragter, sofern vorhanden, sollte in den gesamten Prozess einbezogen werden.
Zusammenfassend sollten folgende Maßnahmen ergriffen werden:
- Verschlüsselung der Datenübertragung sowie der Datenspeicherung, wobei nur der Arzt über die Schlüssel verfügt.
- Der Cloud-Anbieter muss in der Lage sein, die medizinischen Daten getrennt von anderen Informationen zu speichern.
- Bei der Auswahl eines Cloud-Anbieters sollte auf dessen Vertrauenswürdigkeit und die Einhaltung europäischer Datenschutzstandards geachtet werden.
Für nähere Fragen zum Thema Datenschutz und Cloud Services stehen wir gerne zur Verfügung.