Seit dem 1. September 2023 sind Schweizer Arztpraxen gesetzlich verpflichtet, Patientendaten durch Verschlüsselung im Ruhezustand zu schützen. Dies betrifft sensible Daten wie Diagnosen, Laborresultate und Medikationspläne. Verstösse können mit Bussen bis zu CHF 250’000.– geahndet werden. Hier die wichtigsten Punkte:
- Gesetzliche Vorgaben: Das revidierte Datenschutzgesetz (revDSG) verlangt angemessene technische und organisatorische Massnahmen. Der FMH IT-Grundschutz konkretisiert diese Anforderungen.
- Verschlüsselungsstandard: AES-256 wird als Standard empfohlen, da er höchste Sicherheit bietet.
- Risiken unverschlüsselter Daten: Datenverluste durch Diebstahl oder Ransomware-Angriffe können hohe Kosten (CHF 50’000.– bis CHF 200’000.–) und Betriebsunterbrüche verursachen.
- Compliance und Dokumentation: Datenschutz-Folgenabschätzungen (DSFA), Verzeichnisse der Bearbeitungstätigkeiten und verschlüsselte Backups sind Pflicht.
- Technische Umsetzung: Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrollen (RBAC) und regelmässige Audits sind essenziell.
Praxen müssen zwischen lokaler Speicherung und Cloud-Lösungen wählen, wobei beide Varianten klare Vor- und Nachteile haben. Der Schutz sensibler Daten ist unerlässlich, um rechtliche Vorgaben einzuhalten und das Vertrauen der Patienten zu sichern.
Rechtliche Anforderungen an die Datenverschlüsselung in der Schweiz und der EU
Vergleich: Schweizer DSG vs. EU DSGVO für Arztpraxen
Gesundheitsdaten fallen sowohl unter die DSGVO (Artikel 9) als auch das revidierte Schweizer Datenschutzgesetz (revDSG) in die Kategorie der besonders schützenswerten Daten. Diese Einstufung bedeutet, dass Arztpraxen strengere technische und organisatorische Massnahmen umsetzen müssen. Eine der zentralen Massnahmen ist die Verschlüsselung von Daten im Ruhezustand, um die Vertraulichkeit und Integrität der Patientendaten sicherzustellen.
«Die Arztpraxis hat entsprechend technische und organisatorische Massnahmen für die Datensicherheit zu treffen. Die zu wählenden technischen und organisatorischen Massnahmen richten sich nach dem Risiko.»
– FMH / SAMW
Zusätzlich schreiben beide Rechtsrahmen eine Datenschutz-Folgenabschätzung (DSFA) vor, wenn Gesundheitsdaten verarbeitet oder risikoreiche Technologien wie Cloud-Dienste genutzt werden. Arztpraxen müssen zudem ein Verzeichnis der Bearbeitungstätigkeiten führen, in dem technische Schutzmassnahmen wie die Verschlüsselung dokumentiert sind. Im Fall einer Datenschutzverletzung mit erhöhtem Risiko – etwa durch den Verlust unverschlüsselter Daten – besteht eine Meldepflicht: In der Schweiz an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und in der EU an die zuständige Datenschutzbehörde.
| Merkmal | Schweizer DSG (revidiert 2023) | EU DSGVO |
|---|---|---|
| Status Gesundheitsdaten | Besonders schützenswert | Besondere Kategorie (Art. 9) |
| DSFA-Pflicht | Obligatorisch bei hohem Risiko | Obligatorisch bei hohem Risiko |
| Maximale Bussen | Bis zu CHF 250’000.– (persönliche Haftung) | Bis zu €20 Mio oder 4 % des Jahresumsatzes |
| Meldepflicht bei Verstoss | Bei «hohem Risiko» an EDÖB | Bei «Risiko» an Aufsichtsbehörde |
Diese Vorgaben sind nicht nur entscheidend für den Schutz von Patientendaten, sondern bilden auch die Grundlage für die technische Umsetzung, die in den nächsten Abschnitten genauer behandelt wird.
DSGVO– und Schweizer DSG-Regeln für Gesundheitsdaten
Das revidierte Schweizer Datenschutzgesetz orientiert sich an der DSGVO, um den freien Datenverkehr sicherzustellen, unterscheidet sich jedoch in einem zentralen Punkt: der Sanktionierung. Während die DSGVO primär Organisationen bestraft, legt das Schweizer Recht den Fokus auf die persönliche Haftung der verantwortlichen natürlichen Person, sofern die Verletzung absichtlich erfolgt.
«Die Busse von bis zu CHF 250’000.– wird dabei der fehlbaren natürlichen Person auferlegt. Voraussetzung ist, dass die Datenschutzverletzung vorsätzlich begangen wird.»
– FMH / SAMW
Arztpraxen sind zudem verpflichtet, mit externen Dienstleistern wie Cloud-Anbietern oder IT-Support-Partnern Auftragsverarbeitungsverträge (AVV) abzuschliessen. Diese Verträge müssen gemäss Art. 9 DSG (Schweiz) bzw. Art. 28 DSGVO (EU) ausdrücklich die Verschlüsselung von Daten im Ruhezustand verlangen. Seit dem «Schrems II»-Urteil wird Verschlüsselung als essenziell angesehen, um Daten vor unbefugtem Zugriff durch ausländische Behörden zu schützen – insbesondere bei Übermittlungen in Drittstaaten wie die USA.
Häufige Compliance-Probleme in Arztpraxen
In der Praxis scheitert die Umsetzung von Verschlüsselungsstandards oft an menschlichen Fehlern und unzureichender Zugriffsverwaltung. Viele Arztpraxen verwenden nicht zertifizierte Cloud-Dienste, ohne vorher eine gründliche Risikoanalyse durchzuführen. Mobile Datenträger wie Laptops, USB-Sticks oder externe Festplatten bleiben zudem häufig unverschlüsselt. Geht ein solches Gerät verloren oder wird gestohlen, führt dies direkt zu einer meldepflichtigen Datenschutzverletzung.
Ein weiteres Problem ist das Fehlen von rollenbasierten Zugriffskontrollen (RBAC), was unbefugte Zugriffe erleichtert und dem Prinzip der Datenminimierung widerspricht. Zusätzlich versäumen es viele Praxen, Service Level Agreements (SLAs) ihrer Cloud-Anbieter auf Verschlüsselungsstandards zu prüfen. Im Schadensfall können daraus erhebliche Haftungsrisiken entstehen. Diese Herausforderungen machen es notwendig, Verschlüsselungsmassnahmen sorgfältig zu planen und regelmässig zu überprüfen.
sbb-itb-741ab7b
Technische Standards für die Verschlüsselung im Ruhezustand
Die Wahl eines geeigneten Verschlüsselungsstandards ist für Arztpraxen nicht nur eine technische Entscheidung, sondern eine rechtliche Verpflichtung. AES-256 (Advanced Encryption Standard) gilt als „Gold-Standard“ für den Schutz sensibler Gesundheitsdaten. Dieser Standard wird sogar von der US-Regierung für die Verschlüsselung von „Top Secret“-Informationen und Nuklearcodes genutzt. Mit einem 256-Bit-Schlüssel verschlüsselt AES-256 Daten in einen unleserlichen Code, der nur mit demselben Schlüssel wieder entschlüsselt werden kann.
AES-256 teilt die zu verschlüsselnden Daten in Blöcke auf und durchläuft mehrere Transformationsrunden. Ein Brute-Force-Angriff, der alle möglichen Kombinationen durchprobiert, wäre mit 2^256 Varianten praktisch unmöglich – selbst mit modernster Technologie würde dies 13,8 Milliarden Jahre dauern. Damit bietet AES-256 eine solide Grundlage, um Daten in verschiedenen Speicherumgebungen abzusichern.
Selbst wenn ein Server gestohlen wird, bleiben die Daten dank AES-256 unlesbar. Allerdings reicht Verschlüsselung allein nicht aus. Sie muss in ein umfassendes Sicherheitskonzept integriert sein, das unter anderem Tools wie Managed File Transfer (MFT), Multi-Faktor-Authentifizierung (MFA) und rollenbasierte Zugriffskontrollen (RBAC) umfasst. Diese Massnahmen schützen auch die kryptografischen Schlüssel. Zudem wird empfohlen, auf AES-128 zu verzichten, da dieses Verfahren langfristig anfälliger für Sicherheitslücken ist – insbesondere im Hinblick auf die Bedrohung durch Quantencomputer.
AES-256-Verschlüsselung: Was sie ist und warum sie sinnvoll ist
AES-256 ist ein symmetrischer Algorithmus, der denselben Schlüssel für die Ver- und Entschlüsselung verwendet. Dadurch ist er schneller und ressourcenschonender als asymmetrische Verfahren. Das ist besonders vorteilhaft beim Verschlüsseln grosser Datenmengen wie Patientendatenbanken oder Backup-Archiven.
Für Arztpraxen bedeutet das konkret: Alle Endgeräte, von Laptops über Desktop-PCs bis hin zu externen Festplatten, sollten mit einer vollständigen Festplattenverschlüsselung ausgestattet sein. Backups dürfen niemals unverschlüsselt auf externen Speichermedien abgelegt werden. Stattdessen sollte eine verschlüsselte Kopie an einem externen Standort – beispielsweise in einer Schweizer Cloud – gesichert werden.
Ein zusätzlicher Vorteil von AES-256: Selbst bei einem Sicherheitsvorfall, bei dem ein Angreifer physischen Zugriff auf einen Server erhält, bleiben die Daten ohne den entsprechenden Schlüssel unbrauchbar. Doch die Sicherheit hängt nicht nur von der Verschlüsselung selbst ab, sondern auch von der Umgebung, in der sie eingesetzt wird. Ohne strikte Zugriffskontrollen und MFA könnten Angreifer dennoch an die Schlüssel gelangen.
Verschlüsselung lokaler Server und Cloud-Speicher
Nach der Auswahl des Verschlüsselungsstandards muss die Praxis entscheiden, ob sie lokale Server oder Cloud-Lösungen nutzen möchte. Diese Entscheidung hängt von Faktoren wie Kontrolle, rechtlichen Vorgaben und Wartungsaufwand ab. Lokale Server bieten die volle physische Kontrolle über Hardware und Schlüssel, was die Nachweisbarkeit des Datenstandorts erleichtert. Allerdings erfordert diese Option auch manuelle Updates, kontinuierliche Überwachung der Hardware und ein eigenes Schlüsselmanagement.
Cloud-Anbieter arbeiten hingegen nach einem Shared-Responsibility-Modell. Während der Anbieter für die Sicherheit der Infrastruktur sorgt, bleibt die Praxis für die Zugriffsverwaltung und die Datenverschlüsselung verantwortlich. Um die DSGVO und das Schweizer Datenschutzgesetz (DSG) einzuhalten, müssen Verträge klar regeln, dass die Daten in der Schweiz oder im EWR gespeichert werden – zum Beispiel in AWS– oder Google-Cloud-Regionen in Deutschland oder Irland. Zudem sollten Standardvertragsklauseln (SCC) sowie Zertifizierungen wie ISO/IEC 27001 oder SOC 2 berücksichtigt werden. Viele Anbieter bieten auch «Bring Your Own Key» (BYOK) an, sodass die Praxis die Kontrolle über die Verschlüsselungsschlüssel behält.
Ein Beispiel: Eine Arztpraxis, die eine Schweizer Cloud mit AES-256-Verschlüsselung nutzt, muss sicherstellen, dass der Anbieter Audit-Trails bereitstellt. Diese Protokolle zeigen, wer wann auf welche Dateien zugegriffen hat. Solche Nachweise sind nicht nur für die Rechenschaftspflicht gemäss DSG wichtig, sondern auch im Fall einer Datenschutzverletzung, die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden muss. Ausserdem sollten veraltete Betriebssysteme vermieden werden, da Windows 10 ab Oktober 2025 keine Sicherheitsupdates mehr erhält.
Umsetzung der Verschlüsselung in Arztpraxen
Verschlüsselung allein reicht nicht aus – sie sollte immer mit weiteren Massnahmen wie Zugriffskontrollen und Authentifizierungsverfahren kombiniert werden. Dieser Abschnitt beleuchtet die technische Umsetzung solcher Sicherheitspraktiken, basierend auf den rechtlichen Vorgaben.
Bevor neue Technologien eingeführt werden, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Zudem sollten alle Sicherheitsmassnahmen im Bearbeitungsverzeichnis dokumentiert werden. Falls externe IT- oder Cloud-Dienstleister eingebunden werden, muss der Anbieter vertraglich verpflichtet werden, die gleichen Sicherheitsstandards gemäss Art. 9 DSG einzuhalten.
Rollenbasierte Zugriffskontrolle (RBAC) und das Prinzip der minimalen Rechte
Verschlüsselte Daten sind nur so sicher wie der Zugang zu den Entschlüsselungsschlüsseln. Daher sollte die Praxissoftware so konfiguriert werden, dass Mitarbeitende ausschliesslich Zugriff auf die Daten haben, die sie für ihre Aufgaben benötigen. Zum Beispiel benötigt eine Praxisassistentin Zugang zu Terminkalendern und Abrechnungsdaten, aber nicht zu detaillierten Diagnosen. Der Zugang von Mitarbeitenden, die das Unternehmen verlassen, sollte umgehend deaktiviert werden.
Zusätzlich sind Audit-Trails hilfreich, um zu protokollieren, wer wann auf welche Daten zugegriffen hat. Diese Nachweise sind nicht nur für die Rechenschaftspflicht gemäss DSG entscheidend, sondern auch bei der Meldung von Datenschutzverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Bildschirme sollten zudem nach maximal fünf Minuten Inaktivität automatisch gesperrt werden.
Multi-Faktor-Authentifizierung (MFA) für mehr Sicherheit
Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Schutzschicht, indem sie neben einem Passwort einen zweiten Faktor verlangt, wie zum Beispiel einen Code aus einer Authenticator-App oder biometrische Daten.
Für Arztpraxen ist MFA besonders wichtig, vor allem beim Remote-Zugriff über VPN und beim Zugang zur Praxissoftware. Passwörter sollten mindestens 12 Zeichen umfassen und idealerweise mit einem Passwort-Manager verwaltet werden. MFA sollte für alle Mitarbeitenden verpflichtend sein, nicht nur für Administratoren. Die Protokolle der MFA können in Audit-Trails integriert werden, um jede Anmeldung nachvollziehbar zu machen.
Die Kombination aus RBAC, MFA und Verschlüsselung sorgt für ein mehrschichtiges Sicherheitskonzept, das den Anforderungen des DSG entspricht. Zusätzlich sollten Speicherlösungen anhand ihrer Sicherheits- und Compliance-Anforderungen sorgfältig ausgewählt werden.
Lokal vs. Cloud-Speicher: Vergleichstabelle
Die Wahl zwischen lokaler Speicherung und Cloud-Lösungen hängt von verschiedenen Faktoren ab. Die folgende Tabelle zeigt die wichtigsten Unterschiede auf:
| Merkmal | Lokale Speicherung (On-Premise) | Cloud-Speicher (SaaS/IaaS) |
|---|---|---|
| Kontrolle | Volle Kontrolle über Hardware und Schlüssel. | Kontrolle wird mit dem Anbieter geteilt; strikte SLAs nötig. |
| Compliance | Einfache Definition physischer Grenzen; erfordert lokales Backup-Management. | Erfordert eine DSFA gemäss Schweizer DSG. |
| Risikomanagement | Risiko durch physischen Diebstahl oder Hardware-Ausfälle. | Risiko durch unbefugten Internetzugriff; MFA erforderlich. |
| Regulatorische Anforderungen | IT-Grundschutz für Arztpraxen erforderlich. | Einhaltung von Art. 9 DSG bei Auslagerung. |
| Kosten | Hohe Anfangsinvestitionen (Server, USV, Kühlung). | Skalierbare monatliche Betriebskosten (OPEX). |
| Skalierbarkeit | Begrenzt durch Hardware-Kapazität. | Hohe Skalierbarkeit; Speicher kann sofort erweitert werden. |
Lokale Server bieten maximale Kontrolle, erfordern jedoch regelmässige Updates und Wartung. Cloud-Lösungen hingegen punkten mit automatisierten Updates und professioneller Redundanz, setzen jedoch voraus, dass die Daten in der Schweiz gespeichert werden.
Verschlüsselungs-Audits und Compliance-Überprüfungen
Dieser Abschnitt widmet sich der kontinuierlichen Überwachung und Prüfung von Verschlüsselungsmassnahmen, die auf technischen und umsetzungsbezogenen Vorgaben basieren.
Verschlüsselung allein reicht nicht aus – regelmässige Audits sind unverzichtbar. Diese stellen sicher, dass Sicherheitsvorgaben dauerhaft eingehalten werden. Ein systematisches Audit startet mit einer Gap-Analyse, die den aktuellen IT-Stand mit den Anforderungen des FMH IT-Grundschutzes abgleicht. Dabei wird überprüft, ob Verschlüsselungslösungen wie BitLocker (Windows) oder FileVault (Mac) auf allen Geräten aktiviert sind und ob Backup-Medien tatsächlich verschlüsselt wurden.
Die Verantwortung liegt klar beim Praxisinhaber: Verstösse gegen die Vorgaben können Bussen von bis zu CHF 250’000.– nach sich ziehen. Deshalb sind eine lückenlose Dokumentation und regelmässige Restore-Tests unerlässlich. Christoph Kuling, Founder & IT Consultant bei avenios GmbH, bringt es auf den Punkt:
"A backup that has never been tested is not a backup."
Audits helfen, Schwachstellen zu erkennen, bevor sie ausgenutzt werden können. Wichtige Punkte sind etwa die Nutzung persönlicher Accounts (keine gemeinsamen Logins) und der Zugriff nach dem Need-to-know-Prinzip. Diese Erkenntnisse bilden die Basis für Verträge mit IT-Dienstleistern.
Was in Service Level Agreements (SLAs) enthalten sein muss
SLAs sollten klare Vorgaben wie AES-256-Standards und definierte Reaktionszeiten (RTO/RPO) enthalten. Die Recovery Time Objectives (RTO) legen fest, wie schnell Daten wiederhergestellt werden müssen, während Recovery Point Objectives (RPO) den maximal akzeptablen Datenverlust definieren.
Bei Cloud-Lösungen ist es sinnvoll, BYOK-Optionen (Bring Your Own Key) zu vereinbaren, damit die Praxis die Verschlüsselungsschlüssel selbst kontrollieren kann. Zudem muss der Vertrag sicherstellen, dass Daten ausschliesslich in der Schweiz gespeichert werden, wie es Art. 9 DSG verlangt. Grössere Praxen sollten auch Managed Detection & Response (MDR)-Dienste einbeziehen, um Bedrohungen rund um die Uhr zu erkennen.
Regelmässige Verschlüsselungs-Überwachung und Audit-Trails
Neben vertraglichen Regelungen ist eine fortlaufende Überwachung entscheidend, um Sicherheitslücken frühzeitig zu erkennen.
Audit-Trails spielen dabei eine zentrale Rolle: Sie dokumentieren Zugriffe und 2FA-Ereignisse präzise – ein Kernelement des DSG für die Rechenschaftspflicht. Neben punktuellen Audits ist kontinuierliches Monitoring erforderlich. Automatisierte Systeme überwachen den Netzwerkverkehr in Echtzeit und melden ungewöhnliche Aktivitäten sofort. Die folgende Tabelle zeigt, welche Audit-Aktivitäten in welchen Abständen geprüft werden sollten:
| Audit-Aktivität | Empfohlene Frequenz | Ziel |
|---|---|---|
| Backup-Restore-Tests | Mindestens vierteljährlich | Sicherstellen, dass verschlüsselte Daten wiederhergestellt werden können. |
| IT-Sicherheitsschulungen | Jährlich | Mitarbeitende über Phishing und Datenschutz informieren. |
| Notfall-Übungen | Mindestens einmal jährlich | IT-Notfallplan und Eskalationsketten testen. |
| Netzwerk-Monitoring | Kontinuierlich | Cyberbedrohungen in Echtzeit erkennen (MDR). |
Auch die physische Sicherheit darf nicht vernachlässigt werden. Serverräume und Netzwerkschränke sollten stets abgeschlossen sein, und der Zugang muss dokumentiert werden. Zusätzlich sollten Bildschirme nach maximal fünf Minuten Inaktivität automatisch gesperrt werden. Diese Massnahmen ergänzen den umfassenden Ansatz zur Sicherung der IT-Infrastruktur.
Der Ansatz der Datacom AG für sichere Verschlüsselung in Arztpraxen
Die Datacom AG aus Gossau SG hat sich auf IT-Sicherheitslösungen für Arztpraxen spezialisiert. Dabei setzt sie auf Schweizer Hosting-Partner wie cyon, um sicherzustellen, dass Patientendaten ausschliesslich in der Schweiz gespeichert werden. Dies entspricht den Anforderungen von Art. 9 DSG. Durch die Kombination von Remote-Support via TeamViewer und lokal gehosteter Infrastruktur bietet die Datacom AG schnelle technische Unterstützung, ohne dass sensible Daten das Land verlassen. Im Folgenden werden die wichtigsten IT-Sicherheitsdienste des Unternehmens näher beschrieben.
IT-Sicherheitsdienste der Datacom AG
Die Datacom AG bietet eine Reihe von Sicherheitslösungen an, die speziell auf Arztpraxen zugeschnitten sind. Dazu gehört die Full-Disk-Verschlüsselung mit BitLocker (für Windows) und FileVault (für macOS), die auf allen Geräten der Praxis implementiert wird. Zusätzlich schützt die Software Wordfence Webapplikationen vor Cyberangriffen. Für die sichere Kommunikation zwischen Gesundheitsdienstleistern wird HIN (Health Info Net) eingesetzt, das verschlüsselte E-Mails ermöglicht. Die Backup-Strategie basiert auf der bewährten 3-2-1-Regel.
Ein weiteres Highlight ist der Einsatz von Managed Detection & Response (MDR), das eine professionelle Endpoint-Sicherheit bietet und über klassische Antivirenlösungen hinausgeht. Um die Netzwerksicherheit zu gewährleisten, setzt die Datacom AG auf VPN-Verschlüsselung für Remote-Zugriffe sowie auf Netzwerksegmentierungen (VLANs) für medizinische Geräte wie Röntgen- oder Laborequipment.
Massgeschneiderte Verschlüsselungslösungen für Gesundheitsdienstleister
Diese Sicherheitsmassnahmen bilden die Basis für individuelle Verschlüsselungslösungen, die sich an den spezifischen Anforderungen von Gesundheitsdienstleistern orientieren. Die Datacom AG bietet Lösungen gemäss FMH IT-Grundschutz, einem Standard, der internationale Normen wie ISO 27001 und BSI-Grundschutz für Schweizer Arztpraxen adaptiert. Seit der Revision des DSG im September 2023 sind diese Standards de facto verpflichtend.
Die Kosten für die Implementierung variieren je nach Grösse der Praxis: Einzelpraxen zahlen zwischen CHF 3’000.– und CHF 8’000.– für die Erstinstallation sowie monatliche Gebühren von CHF 200.– bis CHF 500.–. Für grössere Zentren liegen die Initialkosten bei CHF 15’000.– bis CHF 40’000.–, während die monatlichen Kosten zwischen CHF 1’000.– und CHF 3’000.– liegen. Diese Investition schützt vor den erheblichen finanziellen Folgen eines Ransomware-Angriffs, die sich auf durchschnittlich CHF 50’000.– bis CHF 200’000.– belaufen können, bei einer Ausfallzeit von 10 bis 14 Tagen.
Fazit: Was Arztpraxen über Datenverschlüsselung wissen müssen
Seit dem 1. September 2023 verlangt das revidierte DSG, dass sensible Gesundheitsdaten durch geeignete technische und organisatorische Massnahmen geschützt werden. Verstösse gegen diese Vorgaben können mit Bussen von bis zu CHF 250’000.– geahndet werden.
Technisch bedeutet dies den Einsatz von AES-256-Verschlüsselung für lokale Server und Cloud-Speicher, kombiniert mit rollenbasierten Zugangskontrollen (RBAC) und Multi-Faktor-Authentifizierung (MFA). Diese Massnahmen sind entscheidend, um Patientendaten vor unbefugtem Zugriff zu schützen. Arztpraxen müssen zudem ein Verzeichnis der Bearbeitungstätigkeiten führen und bei Hochrisiko-Datenverarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Sicherheitsvorfälle mit hohem Risiko sind unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.
Um diesen Anforderungen gerecht zu werden, bieten massgeschneiderte Sicherheitslösungen eine solide Grundlage. Die Datacom AG unterstützt Gesundheitsdienstleister mit IT-Sicherheitslösungen, die sich an den FMH IT-Grundschutz und internationale Standards wie ISO 27001 anlehnen. Mit Technologien wie Full-Disk-Verschlüsselung, Managed Detection & Response (MDR) und verschlüsselter Kommunikation über HIN (Health Info Net) können Arztpraxen die gesetzlichen Vorgaben einhalten und das Vertrauen ihrer Patientinnen und Patienten langfristig sichern.
FAQs
Welche Daten in meiner Praxis müssen «im Ruhezustand» verschlüsselt werden?
In Ihrer Praxis sollten sämtliche personenbezogenen und gesundheitsbezogenen Daten, die im Ruhezustand gespeichert sind, verschlüsselt werden. Dazu zählen unter anderem:
- Patientendaten
- Befunde
- Blutwerte
- Röntgenaufnahmen
- Personaldaten
Durch die Verschlüsselung dieser sensiblen Informationen wird unbefugter Zugriff verhindert und die Einhaltung der Datenschutzvorgaben gewährleistet.
Wie weise ich gegenüber Behörden nach, dass Verschlüsselung und Zugriffskontrollen korrekt umgesetzt sind?
Arztpraxen müssen eine umfassende Dokumentation über ihre technischen und organisatorischen Massnahmen vorweisen. Dazu gehören beispielsweise Sicherheitsrichtlinien, Zugriffsprotokolle sowie Nachweise über die Implementierung dieser Massnahmen. Diese Unterlagen sollten den Vorgaben des FMH IT-Grundschutzes entsprechen und nachweisen, dass sowohl Verschlüsselung als auch Zugriffskontrollen korrekt umgesetzt wurden.
Was muss ich bei Cloud-Hosting (Schweiz/EWR) vertraglich und technisch beachten?
Beim Cloud-Hosting innerhalb der Schweiz oder im EWR stehen Datenschutz und Datensicherheit an oberster Stelle. Es ist entscheidend, dass vertragliche Vereinbarungen klare Verantwortlichkeiten festlegen – insbesondere in Bezug auf die Verarbeitung und den Schutz von Patientendaten. Zudem müssen die Anforderungen der DSGVO sowie des Schweizer Datenschutzgesetzes strikt eingehalten werden.
Auf technischer Ebene spielen mehrere Massnahmen eine zentrale Rolle, um sensible Daten zu schützen:
- Datenverschlüsselung im Ruhezustand: Dadurch bleiben Informationen auch bei unbefugtem Zugriff unlesbar.
- Strenge Zugriffskontrollen: Nur autorisierte Personen erhalten Zugang zu den Daten.
- Sichere Verbindungen: Technologien wie VPN und TLS gewährleisten eine geschützte Übertragung.
- Zuverlässige Backup-Strategien: Diese minimieren das Risiko von Datenverlust und sichern den Zugriff auf kritische Informationen.
Diese Kombination aus rechtlichen und technischen Vorkehrungen sorgt dafür, dass vertrauliche Daten sicher bleiben.