DSGVO

EU-Datenschutz-Grundverordnung

dsgvo datenschutz grundverordnung apothekenDie DSGVO ist in ihrem zweiten Halbjahr und securPharm steht vor der Tür..

Was bisher oft "nur" ärgerlich oder teuer war - ein Virus, ein Trojaner, ein Hacker oder Datendieb -, kann nun für alle, die mit besonders schützenswerten Daten anderer Personen umgehen, innerhalb von 72 Stunden zu einer Straftat werden.

Die Vorgaben der Verordnung sind auch von Apotheken umzusetzen, sonst drohen üppige Strafzahlungen.

Doch viele Apothekeninhaber warten noch ab, wie sich die Thematik weiterentwickelt. Zumindest die wichtigsten Kriterien sollten jedoch in jeder Apotheke erfüllt sein.
 

Diese sind: 

  1. Es sollte eine tägliche Datensicherung erfolgen.
  2. Der Mindeststandard an IT-Sicherheit sollte erfüllt sein.
  3. Alle Verträge mit Auftragsdatenverarbeitern wie Abrechnungsstellen und Lieferanten der Apothekensoftware sind zu überprüfen.
  4. Es sollte ein Datenschutzbeauftragter bestimmt sein – entweder ein Mitarbeiter oder ein externer. Ist niemand benannt, es der Chef/die Chefin selber.
  5. Es wird ein Informations-Sicherheitsmanagement-Systems und eine Risikomanagement-Systems gefordert.
  6. Der Datenschutz sollte Eingang in den QM-Ordner gefunden haben.
  7. Jeder Apothekeninhaber sollte sich Gedanken machen, wie er im Schadenfall die 72-Stunden-Vorgabe erfüllt oder im Zweifel die Restrisiken versichert.

Datenwert: Worum genau geht es?

Wir können sicher eine weitere Zunahme der Internetkriminalität voraussetzen. Immerhin werden komplette Gesundheitsdatensätze schon heute für Summen zwischen 275 Euro und 750 Dollar gehandelt. Angesichts dieses höchst attraktiven Risiko-/Ertragsverhältnisses dürften Datendiebstähle die Einbrüche von morgen werden.

Die neue Verordnung regelt deshalb den Umgang mit sensiblen personenbezogenen Daten neu. So sind beispielsweise bis dahin die apothekeninternen IT-Risiken zu erfassen und es muss eine Risikoeinschätzung samt Dokumentation vorliegen. Art. 32 DSGVO verlangt seit Juni 2018 den Betrieb eines Informationssicherheitsmanagementsystems und eines Risikomanagementsystems.

Meldepflichten: die 72-Stunden-Hürde reißt wohl jede Apotheke

Innerhalb von maximal 72 Stunden muss das Informationssicherheitsmanagementsystem drei unterschiedliche Meldungen generieren und absetzen können, sonst wird aus einer Ordnungswidrigkeit automatisch ein Straftatbestand:

  1. Die Feststellung und Behebung der Ursache für den Datenverlust.
    Es muss gemeldet werden, wie genau es zu der Datenschutzverletzung gekommen ist. Hier sind grundsätzlich drei Möglichkeiten denkbar (die wir in Summe in kaum einer Apotheke für umsetzbar halten):
    1. Ein gezielter Angriff: Jemand hat es exakt auf die Daten dieser Apotheke abgesehen. Das ist sicher eher unwahrscheinlich, kann aber passieren.
    2. Sie werden Opfer einer nicht zielgerichteten Attacke. Das kann ein versteckter Virus, eine Spam-Mail oder eine gegen Apotheken bereits mehrfach eingesetzte Fake-Bewerbung sein.
    3. Ein Diebstahl, Streich oder eine unbedachte Aktion: Jemand stiehlt Daten außerhalb der Apotheke, z.B. ein Laptop wird verloren oder der PC wird bei der Wartung gestohlen oder jemand postet (auch ohne böse Absicht) ein Foto mit Patientendaten bei facebook.
  2. Die Information der zuständigen Stellen über den Datenverlust als solchen. 
    Der Datenschutzbeauftragte der Apotheke muss alle zuständigen Datenschutz-Institutionen über den Vorfall informieren. Dafür ist immer grundsätzlich die Inhaberin oder der Inhaber persönlich haftbar. Damit ist die Zuständigkeitsfrage a priori für jeden Fall geklärt.
  3. Eine Kundeninformation muss verschickt werden. 
    Apothekeninhaber/innen müssen jeden einzelnen Kunden persönlich informieren, dessen Daten vom Datenleck in der Apotheke betroffen sind.

IT-Revision: Externe Expertise ist gefragt

Diese muss die vorhandenen Datenschutzprogramme um einen definierten Prozess für den Fall von Datenpannen ergänzen. Konkret fordert das von jedem Apothekeninhaber eine komplette IT-Revision. Diese hat sowohl die internen Sicherheiten zu erfassen und zu beschreiben sowie erkannte Schwachstellen nachzurüsten, als auch alle externen Prozesse und Verträge mit Auftragsdatenverarbeitern wie Abrechnungsstellen oder dem Großhandel zu überprüfen.

dsgvo it revision expertiseEine rechtssichere Umsetzung der neuen DSGVO scheint für Laien oder im "Nebenberuf" bei laufendem Apothekenbetrieb und voller Offizin zu komplex zu sein.

Auch weil es keine Patentrezepte gibt, eine wirksame Umsetzung kann nur von Apotheke zu Apotheke individuell risikobasiert erfolgen, ausgehend von den tatsächlich genutzten IT-Systemen.

Da allein schon die Erstellung einer individuellen Risikobetrachtung die allermeisten Apothekeninhaber entweder technisch oder zeitlich überfordern dürfte, bieten wir allen Apotheken für die Umsetzung der Vorgaben an, einen der Spezialisten unseres Netzwerkes zu beauftragen.

Ob das für Sie und Ihre Apotheke(n) notwendig ist, zeigt ein kostenloser Sicherheits-Check: Fordern Sie dazu unseren IT-Gutschein an

Restrisiken versichern

Wir empfehlen dringend, dass alle Apothekerinnen und Apotheker für die Umsetzung der Vorgaben Spezialisten beauftragen. Denn für Laien scheint eine rechtssichere Umsetzung zu komplex. Das gilt gerade auch angesichts der Zunahme der Internetkriminalität, die dazu geführt hat, dass Datendiebstähle fast schon zum Alltag gehören.

100% Sicherheit gegen Datenpannen gibt es nicht. Allerdings sind die Restrisiken versicherbar. Und verbunden mit einem professionellen Krisenmanagement verlieren IT-Attacken einen Großteil ihres Schreckens. Eine Cyber-Versicherung kann weit mehr sein als nur eine Police. Mit einem hochspezialisierten Expertennetzwerk erfüllt sie zudem die rechtlichen Erfordernisse und Obliegenheiten im Schadenfall. Mehr

Vier Kriterien für Cyberrisk-Schutz

Cyberrisk-Policen, die ihrem Namen gerecht werden, müssen vier Risiken abdecken, die in den marktüblichen Versicherungen üblicherweise nicht mitversichert sind:

  1. Hinreichender Haftpflichtschutz für Schadenersatz Dritter
  2. Ausreichender Werteschutz für den eigenen Besitz, von Technikschäden bis Datenwiederherstellung
  3. WICHTIG: Übernahme der Kosten einer Betriebsunterbrechung aufgrund von Datenschutzverletzungen
  4. ENTSCHEIDEND: Bereitstellung von Assistanceleistungen durch Datenschutzanwälte und IT-Forensiker zur Erfüllung der 3-Tage-Frist für die Obliegenheiten

Gerade durch diese vertraglich geregelte Verbindung mit einem professionellen externen Krisenmanagement verlieren IT-Attacken einen Großteil ihres Schreckens. Denn mit einem solchen hochspezialisierten Expertennetzwerk erfüllen gute Cyberrisk-Policen die rechtlichen Erfordernisse und Obliegenheiten im Schadenfall. Und das rund um die Uhr:

  • IT-Forensiker identifizieren, eliminieren und dokumentieren das aufgetretene Problem.
  • Datenwiederherstellung und Kostenausgleich für den Austausch von Hardware sind inklusive.
  • Fachanwälte übernehmen die vorgeschriebenen Meldungen an Behörden und Kunden.
  • Falls notwendig, werden Krisenkommunikations- oder PR-Maßnahmen vorgenommen.
  • Drittschäden, etwa aufgrund von Persönlichkeitsrechtsverletzungen Ihrer Kunden, werden befriedigt.
  • Kosten der Betriebsunterbrechung durch einen Cyber-Angriff sind mitversichert

Bitte informieren Sie sich im eigenen Interesse über die Details dieses neuen Risikoschutzes. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!