Ist die Praxisleitung bzw. der Praxisinhaber die Gesamtverantwortung bezüglich Informationssicherheit bewusst?
Abhängig von der Praxisstruktur, kann dies der Geschäftsführer oder die delegierte Person sein, welche für die Verantwortung über die IT definiert wurde.
Im neuen Datenschutzgesetzt, welches voraussichtlich im Jahr 2022 in Kraft tritt, ist in jedem Unternehmen eine natürliche Person zu definieren, welche die Gesamtverantwortung übernehmen muss.
Die Steigerung der IT Sicherheit sowie des Datenschutz muss in der Geschäftsleitung verankert sein. Nur so ist es möglich, eine gesamtheitliche Steigerung der Sicherheits sowie des Datenschutzes zu erreichen.
Bestehen Verträge mit Lieferanten von betriebskritischen Komponenten?
Bestehende Verträge können SLA Verträge (Service Level Agreement) mit Lieferanten , welche eine garantierten Reaktionszeit oder einer Vereinbarung zur Aufrechterhaltung und Wartung von Systemen sein. Sie definieren die Leistungen, welche der Lieferant sowie die Praxis erbringen muss. Im Vorfeld erstellte Verträge klären die Ansprüche und beugen falschen Annahmen vor.
Gibt es ein Verzeichnis mit allen schützenswerten Daten, inkl. dessen Ablageort?
Als schützenswerte Daten können z.B. sein:
- Patientendaten / Gesundheitsdaten
- Daten des Personals / Bewerbung
- Finanzdaten
- Geschäftsleitungsdaten
- Zugangsdaten
- andere vertrauliche Daten
Eine Auflistung aller schützenswerten Daten sowie die Aufnahme des Ablageortes ist essentiell für die Erstellung von zielgerichteten Schutzmassnahmen.
Werden die Mitarbeiter kontinuierlich geschult im Umgang mit Cyberrisiken?
Schulungen können z.B. der korrekte Umgang mit Patientendaten in digitaler und analoger Form, der korrekte Umgang mit E-Mail und Internet zur Abwehr von Cyberrisiken sowie der praxisnahe Umgang mit Datenschutz im Praxis Alltag, sein.
Besteht für die Praxis einen Notfallplan bei einem IT Ausfall?
Der Notallplan kann der Praxis beim Eintreffen eins möglichen Totalausfall oder einem eingeschränktem IT System erlauben, die Praxis für einen bestimmten Zeitraum weiterzuführen.
Ist Datenschutz und Datensicherheit ein integraler Bestandteil ihres Praxishandbuches?
Ist im Praxishandbuch das Thema Datenschutz und Datensicherheit ein fester Bestandteil und ist es am Mitarbeiter jederzeit möglich, der korrekte Umgang mir Datensicherheit und Datenschutz nachzuschlagen. Dies kann dem Mitarbeiter helfen, sich in Situationen korrekt zu verhalten.
Sind sensitive Dokumente am Empfang durch unberechtigte Blicke geschützt?
Beispiele nennen. KG, Berichte, Medikamente, Fax, Notizen usw. Solche Dokumente könnten z.B. Krankengeschichten, Medikation, Berichte, Notizen , Ausdrucke, Überweisungen, Terminkarten o.ä. sein. Diese Dokumente könnten von unberechtigten Personen gelesen werden.
Findet eine regelmässige Erneuerung der Benutzerpasswörter statt?
Die Erneuerung kann organisatorisch oder auch technisch angeordnet werden. Das Passwort ist mit dem Praxisschlüssel zu vergleichen. Wenn dieses abhanden kommt, ist der Zugriff nicht mehr geschützt. Dies trifft auch bei schwach gewählten Passwörter zu.
Sind die Gerät mit einer aktuellen Schutzsoftware geschützt und werden diese aktiv überwacht?
Eine Schutzsoftware kann z.B. ein Antivirus oder ein Endpoint Protection sein. Dabei ist es unter anderem sehr wichtig, dass diese Schutzsysteme regelmässig auf dessen korrekte Funktion sowie deren Aktualität hin überprüft werden. Nicht funktionierende Schutzsysteme sind ein erhebliches Sicherheitsrisiko, da sie eine falsche Sicherheit vorgeben.
Wird eine Firewall im Netzwerk eingesetzt ie regelmässig aktualisiert und überwacht wird?
Eine Firewall trennt das interne Praxis Netzwerk vom Internet. Diese wichtige Schutzkomponente blockt die Zugriffe, welche vom Internet her auf das Praxis Netzwerk abzielen. Anderes Wegs kann die Firewall auch den ausgehenden Netzwerkverkehr überwachen und lässt diesen bei Bedarf sperren.
Werden die Daten nebst der täglichen Datensicherung zusätzlich ausser Haus aufbewahrt?
Datensicherungen sollten zudem ausserhalb der Praxis gelagert werden. Dies kann mittels einem Wechseldatenträger (z.B. USB Disk) oder einem Onlinespeicher erfolgen. Dies beugt im Falle von Feuer, Wasser, Virusbefall, Sabotage, Blitzeinschlag, Diebstahl usw. einem unwiderruflichen Datenverlust vor.
Wird die Datensicherung durchregelmässige Wiederherstellungstest geprüft?
Datensicherungen sollen regelmässig auf die Funktion und die Vollständigkeit sowie die Integrität hin überprüft werden. Dies kann z.B. durch die Wiederherstellung einzelner Daten erfolgen. Diese Daten müssen auch auf den korrekten Inhalt hin überprüft werden. Zur Nachvollziehbarkeit, empfiehlt es sich, ein Wiederherstellungsprotokoll zu führen.
Das regelmässige Wiederherstellen der Datensicherung reduziert im Notfall die Ausfallzeit der Praxis da der Vorgang bereits bekannt ist. Der Sicherung sowie der Wiederherstellungsplan sollte im Praxishandbuch zu finden sein.