Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
S2-08: Datensicherheit & DSGVO in der Praxis (mit Bernhard Keprt)
86 Plays9 months ago
In dieser Folge spreche ich mit meinem Teamkollegen Bernhard Keprt. Bernhard ist einer der Gründer und CTO – also "Chef-Entwickler" bei appointmed. Wir unterhalten uns über das Thema Datenschutz und ihr erfahrt unter anderem, wie wir Datensicherheit in unserem Unternehmen und innerhalb unserer Praxissoftware appointmed gewährleisten. Danach sehen wir uns an, welche Datenschutz Themen TherapeutInnen in ihrer eigenen Praxis auf jeden Fall beachten müssen.
Links:
- https://www.appointmed.com/team
- https://www.appointmed.com/dsgvo-funktionen
- https://www.appointmed.com/sicherheit-und-datenschutz
Recommended
Transcript
Bewusstsein für persönliche Daten
00:00:05
Speaker
Also am meisten, glaube ich, hat sich verändert, dass die Leute mehr über Daten nachdenken, speziell auch über die eigenen Daten, was einem vielleicht vorher gar nicht so bewusst war. Das ist das wichtigste Gut bei uns, dass die Daten unserer Kunden sicher sind. Das ist hier eine geteilte Verantwortung. Wir tun alles, was wir tun können. Aber natürlich müssen unsere Leute, unsere Kunden, die Appointment verwenden, auch ihren Teil dazu beitragen.
00:00:29
Speaker
Das einfachste, was man machen kann, ist das Handy sperren, den Computer sperren, die Computer so stellen, dass nicht derjenige, der sich gerade bei mir anmeldet, alles mitschauen kann. Das sind schon mal die Kleinigkeiten, die sehr, sehr viel bewegen können. Genauso wie ich es halt jedem empfehle, Backups zu erstellen von seinen Geräten zu machen, wie das natürlich bei Appointment auch regelmäßig im Hintergrund und eigentlich rund umgeht.
Einführung: Tipps für selbständige Therapeuten
00:00:54
Speaker
Hallo, Adela von Appointment hier.
00:00:56
Speaker
Herzlich willkommen zur Hashtag Praxis, unserem Podcast mit Tipps und Tricks für selbstständige Therapeutinnen und für eine erfolgreiche Praxisführung.
Bernhard Keppert über Datensicherheit
00:01:06
Speaker
In dieser Folge spreche ich mit meinem Teamkollegen Bernhard Keppert. Bernhard ist einer der Gründer und CTO, also Chefentwickler bei Appointment. Wir unterhalten uns über das Thema Datenschutz und er fahrt unter anderem, wie wir Datensicherheit in unserem Unternehmen und innerhalb unserer Praxissoftware Appointment gewährleisten.
00:01:25
Speaker
Danach sehen wir uns an, welche Datenschutzthemen Therapeutinnen in ihrer eigenen Praxis auf jeden Fall beachten müssen. Es wird also spannend. Viel Spaß, bleibt zuhören. Ja, hallo, Bernhard, hallo. Servus, grüß dich. Ja, schön, dass ich dich heute bei uns auf dem Podcast als Gast begrüßen darf. Freut mich auch.
00:01:48
Speaker
Ja, ich habe natürlich für unser spannendes Thema heute ein paar Fragen mitgebracht und würde einfach damit loslegen, dich zu bitten, dich ganz kurz mal vorzustellen. Ja, sehr gerne. Also meinen Namen hast du ja schon erwähnt. Ich bin CTO und somit zuständig für alles, was mit Technik zu tun hat bei Appointment. Mit der ganzen Software, mit der ganzen Infrastruktur, auf der die Software läuft. Und mache das auch schon sehr, sehr lange. Also das ist eigentlich mein gesamter Werdegang, der sich in der IT
00:02:18
Speaker
bewegt und im Cloud-Umfeld, Softwarebereich. Also all das, was ich jetzt auf PowerPoint mache, mache ich eigentlich auch schon die letzten 20 Jahre und macht unglaublich viel Spaß. Also das ist genau mein Metier und genau, da bringe ich mich natürlich nach bestem Wissen und Gewissen in den Firmen unserer Software ein. Sehr gut. Na gut, dass wir einen Experten mit dich an Bord haben, weil
00:02:40
Speaker
Das Thema ist ganz, ganz wichtig und ich bin froh, dass wir auch die Zeit haben, darüber zu sprechen.
Erfahrungen mit Datensicherheit
00:02:45
Speaker
Jetzt erzähl uns doch bitte, Bernhard, das Thema Datensicherheit, das ist dich ja schon ziemlich lange begleitet. Wie kam es denn dazu und wie hast du dir dein Wissen in diesem Bereich aufgebaut? Also das erste Mal so richtig in Berührung gekommen mit dem Thema Datenschutz und Datensicherheit bin ich in einem Engagement bei der Österreichischen Nationalbank. Da kann man sich vorstellen, dass natürlich Datensicherheit ganz besonders wichtig ist.
00:03:10
Speaker
Und dort hat man einfach wirklich ganz, ganz penibel auf bestimmte Punkte achten müssen. Mehr, was einem als normaler kleiner Junior-Software-Entwickler manchmal lieb ist. Aber das hat natürlich viel geprägt und das hat mir natürlich viel Material gegeben und den ich lernen kann und das ich natürlich mitgenommen habe.
00:03:30
Speaker
in andere Engagements bei Banken und Versicherungen. Also auch dort ging es spannend weiter mit dem Thema Daten und Datensicherheit und ist de facto ein Grundbestandteil, wenn man heutzutage wirklich Software schreibt und das auch für den Endkunden anbietet, dann ist Datensicherheit natürlich eines der wichtigsten Prioritäten, auf die man sich stützen sollte.
Auswirkungen der DSGVO
00:03:51
Speaker
Auf jeden Fall. Und du als alter Hase sozusagen in dem Metier kannst du uns sicherlich ein bisschen so beschreiben, was denn aus deiner Sicht sich seit der Einführung der DSGVO im Digitalbereich dann so verändert hat. Die Datenschutzgrundverordnung, die DSGVO, die ja versucht, europaweit einen Standard zu definieren oder ein Regelwerk zu definieren, in dem man sich orientieren kann und soll, wurde implizit in vielen Branchen bereits sehr lange gelebt.
00:04:20
Speaker
Jetzt gibt es dafür halt einen Namen, jetzt gibt es dafür ein Regelwerk. Im Prinzip, was sich meiner Meinung nach am stärksten verändert hat seit der Einführung der DSGVO, ist das Bewusstsein bei manchen Leuten. Es ist weniger so das Regelwerk, an das man sich jetzt halten muss, sondern dadurch, dass man sich mit dem Thema ein bisschen mehr auseinandersetzen muss, ist man noch gezwungen, ein bisschen mehr darüber nachzudenken, wie man eigentlich selbst mit Daten umgeht.
00:04:42
Speaker
Und das ist, das findet im ganz persönlichen Bereich statt, genauso wie natürlich im beruflichen Umfeld, ganz egal der Branche. Und ganz speziell intensiv trifft das natürlich dann zu, wenn man eine Software entwickelt, die andere Leute verwenden. Also da ist das Thema DSGV und Datensicherheit natürlich nochmal ganz groß geschrieben. Also am meisten, glaube ich, hat sich verändert, dass die Leute mehr über Daten nachdenken, speziell auch über die eigenen Daten.
00:05:09
Speaker
was einem vielleicht vorher gar nicht so bewusst war, dass man einfach sehr schnell hier irgendwo Daten oder Footprints hinterlässt in der digitalen Welt. Und wenn es auch nur bei privaten Leuten dazu geführt hat, dass sie einen PIN-Code am Handy verwenden, um einfach ihre eigenen Daten zu schützen, dann hat das auch schon dazu beigetragen, dass eigentlich DSGV uns alle irgendwo im Alltag getroffen oder berührt hat.
00:05:32
Speaker
Man hat ja gemerkt, im Laufe der Zeit, wie du sagst, ist es ja immer wichtiger geworden, vor allem auch, weil im Alltag würde man ja meinen, fällt es einem gar nicht so auf. Meistens dann erst, wenn etwas passiert, aber damit sozusagen wir schon sicherstellen, dass nichts passiert, müssen wir auch sehr vieles an Regeln und Sicherheitsmaßnahmen befolgen.
Kundendatensicherheit bei Appointment
00:05:52
Speaker
Jetzt ist es ja bei Appointments so,
00:05:54
Speaker
Als Softwareanbieter für Gesundheitsdienstleister und Dienstleisterinnen unterliegen wir ja bezüglich der Datensicherheit ja noch mal strengeren Spielregeln als vielleicht Firmen aus anderen Branchen. Was ist denn hierzu speziell für unsere Kundinnen zu beachten? Wir bei Appointment achten natürlich besonders darauf, dass die Daten unserer Kunden sicher sind. Wir unterlegen natürlich genauso den Datenschutzgrundverordnungsbestimmungen, das heißt auch wir dürfen nicht frei und wild Daten speichern, wie es uns gefällt, sondern
00:06:21
Speaker
Wir müssen auch darüber nachdenken und auch unsere Kunden letztlich darüber informieren, was wir mit diesen Daten anstellen. Das tun wir auch schon. Es gibt auf unserer Website eine gute Übersicht, was wir zum Thema Datenschutz-Grundverordnung eigentlich treiben den ganzen lieben langen Tag. Da kann man nochmal nachlesen. Aber hier kurz zusammengefasst, wir versuchen natürlich, Datensicherheit ganz hoch zu schreiben. Das ist das Wichtigste gut bei uns, dass die Daten unserer Kunden sicher sind.
00:06:46
Speaker
Das inkludiert natürlich auch, dass wir hier auf Anbieter setzen, die entsprechend sicher und gut unterwegs sind am Markt. Also wir setzen hier technologisch betrachtet auf die besten und am besten zertifiziertesten Unternehmen am Markt. Das ist uns einfach wie ein wichtiges Anliegen. Und genauso sind natürlich die Prozesse und die Art und Weise, wie wir intern bei uns arbeiten,
00:07:09
Speaker
entsprechend gestaltet, sodass eben keine Kundendaten nach außen dringen können. So auch wenn man bei uns zum Beispiel mit dem Support chattet, auch solche Daten sind letztlich schützenswert und auch da gibt es bei uns einfach Workflows und gibt es Arbeitsabläufe intern, die einfach sicherstellen, dass das wirklich nur bei uns oder zwischen uns und dem Kunden bleibt. Also Datensicherheit und Datenschutzgrundverordnung ist bei uns eigentlich im Alltag überall integriert und wir arbeiten wie gesagt nach bestem Wissen und gewissen Interesse unserer Kunden.
00:07:39
Speaker
Ich gehe jetzt zum nächsten Thema. Auch ganz spannendes Thema, weil du ja vorher erwähnt hattest, dass es auch bei uns Firmen intern eben sehr, sehr viele Prozesse gibt, die wir im Auge haben, die genau auf dieses Thema abzielen, Daten sicher und verschlüsselt aufzubewahren und zu verarbeiten.
Sicherheitsaudits erklärt
00:07:57
Speaker
Und zwar das Thema Security Audit. Kannst du uns vielleicht sagen, was denn ein Security Audit genau ist und was dabei konkret passiert?
00:08:05
Speaker
Natürlich, ein Security Audit ist im Endeffekt, simpel gesagt, eine Prüfung einer externen Firma. Das heißt, wir beauftragen eine andere Firma, unsere Software, unser Produkt durchzutesten und zu sehen, ob wir denn sicher sind. Ob es irgendwo vielleicht Lücken gibt, ob wir etwas übersehen haben, oder ob es vielleicht einfach Angriffsvektoren gibt, wie man so schön sagt. Also Möglichkeiten, wo ein potenzieller Angreifer eindringen kann in ein System und möglicherweise Schaden erzeugen kann. Oder sogar Daten stecken kann.
00:08:34
Speaker
So einen Security Audit machen wir regelmäßig und dabei ist einfach wichtig, dass wir mit Partnern zusammenarbeiten, die Experten auf dem Feld sind. Man kann leider nicht in jedem Feld Experte sein und wir fokussieren uns natürlich darauf, gute Software und ein gutes Produkt zu schaffen. Und hier gibt es einfach Firmen am Markt, die absolute Experten im Security Bereich sind.
00:08:52
Speaker
Und diese Firmen eben als Partner dazu zu nehmen, mit denen gemeinsam in Security Audit regelmäßig durchzuführen, sichert ganz einfach, dass wir bei Appointment lückenlos und sicher arbeiten können und dass wir einfach wirklich gewährleisten können, dass unsere Kunden auf einer Software arbeiten, die entsprechend regelmäßig getestet wird, regelmäßig überprüft wird und sämtlichen menschlich machbaren Sicherheitsstandards entspricht. Alles klar. Wechseln wir jetzt
Daten schützen als Therapeut
00:09:21
Speaker
Kurz die Perspektive und nehmen den Blickwinkel unserer Therapeutinnen her. Was müssen denn unsere Therapeutinnen im täglichen Arbeiten im Punkt der Datenschutz und Datensicherheit ganz besonders beachten?
00:09:35
Speaker
Speziell zu beachten, wenn man hier mit Patienten arbeitet, sind natürlich die schützenswerten Daten der Patienten. Das heißt, das fängt bei so Kleinigkeiten an, wie dass ich einen Patienten vielleicht nicht alleine mit einem Computer in einem Raum lasse und der Computer eingeschaltet ist und dort vielleicht die Stammdaten anderer Patienten angezeigt werden. Es sind solche Kleinigkeiten, wo das vielleicht schon beginnt.
00:09:56
Speaker
Es geht natürlich weiter, wenn ich irgendetwas ausdrucke und das dann offen und frei für alle einsehbar ist, so was wie Stundenlisten oder dergleichen. Das sind alles Dinge, auf die vergisst man oft gerne mal, aber wenn man sich selbst mal dabei beobachtet, wie man sich durch verschiedenste Bereiche im Alltag bewegt, sei es beim Arzt, im Warteraum, sei es sonst irgendwo, es fällt einem einfach oft ins Auge, dass man hier einfach fremde Namen, Telefonnummer, E-Mail oder so einfach sehen kann.
00:10:23
Speaker
und das völlig ohne dass diese geschützt werden. Das heißt, das einfachste, was man machen kann, ist einfach ein bisschen darauf achten, das Handy sperren, den Computer sperren, den Computer so stellen, dass nicht derjenige, der sich gerade bei mir anmeldet, alles mitschauen kann, weil dort vielleicht auch andere Dinge angezeigt werden am Computer. Das sind schon mal die Kleinigkeiten, die sehr, sehr viel bewegen können.
00:10:47
Speaker
Was würdest du denn sagen, ist dann das Minimum an Datenschutz, das in jeder Praxis umgesetzt sein muss? Also da sehe ich ganz stark die Möglichkeit, den Computer zu sperren mit einem Passwort, ebenso das Handy. Das sind so Dinge, damit macht man es einfach dem, ich möchte jetzt niemandem etwas unterstellen, aber man schließt zumindest die Möglichkeit aus, dass ihr unbefugtem Zugriff gewährt wird zu irgendwelchen Informationen.
00:11:14
Speaker
Das ist einmal das absolute Minimum, das tut nicht weh, das geht schnell und man schützt damit einfach wirklich die Arbeitsgeräte und die Daten, die man selbst hat. Dazu zählt natürlich auch, dass man Akten nicht einfach herumliegen lässt oder Ausdrucke und die entsprechend in eine Rolle oder sonst irgendwie versperrt, sondern einfach Leute, die damit nichts zu tun haben, auch gar keinen Zugriff dazu bekommen. Also man macht es ihnen auch nicht möglich, dass sie Zugriff bekommen und das sind die einfachsten, aber teilweise auch wirklich wirksamsten Maßnahmen, die man selbst setzen kann.
00:11:43
Speaker
Ja, sehr gut. Vor allem, wenn man natürlich auch eine Praxis Software verwendet, wo dann nicht die Ordner herumliegen am Tisch, ist es natürlich auch praktisch und das bringt mich auch gleich zur nächsten Frage. Was kann ich als Therapeutin im Alltag tun, um nicht in eine Datensicherheitsfalle zu tappen?
GDPR-Tools und Funktionen
00:12:02
Speaker
Also, wenn man Appointments zum Beispiel verwendet, ist es sehr einfach, sich eine Datenschutzgrundverordnung, Zustimmung gewähren zu lassen von Patienten.
00:12:10
Speaker
Das kann man auch per E-Mail machen. Man erfragt die E-Mail, man trägt die Einwehrappointment, man drückt auf einen kleinen Button und schon kommt die Bestätigung bzw. die Aufforderung für die Datenschutzzustimmung per E-Mail an den Patienten. Der kann mit einem Klick zustimmen und damit ist man schon mal sicher vor dieser Datensicherheitsfalle. Man hat wirklich aktiv dafür gesorgt, dass
00:12:33
Speaker
der Patient oder der Kunde zustimmt, sagt, ja, ich würde gerne, das passt für mich, ich möchte mit euch behandelt werden und die administrativen Daten, die einfach zu speichern sind, das ist in Ordnung für mich. Damit sind wir in den meisten Fällen eigentlich schon konform im Praxisalltag. Das heißt, ab diesem Zeitpunkt dürfen wir Daten speichern, dürfen wir entsprechend weiterverarbeiten und ist alles transparent und wir sind alle im Bilde, was eigentlich damit passiert.
00:13:00
Speaker
Kleine Ergänzung noch von meiner Seite an unsere Zuhörerinnen. Ihr findet natürlich auch direkt in Appointment selbst unser sozusagen DSGVO Cockpit, also alle Informationen rund um die Dokumente zur DSGVO, auf die ihr zugreifen könnt, direkt aus Appointment. Das Beispiel eben, wie schon erwähnt, die Zustimmungserklärung für Patientinnen.
00:13:21
Speaker
Aber auch das Dokument der Verpflichtungserklärung zum Datengeheimnis, falls ihr mehrere Mitarbeiterinnen habt oder die Vereinbarung zwischen uns, Appointment und euch. Also das nur als Side Note zum Nachlesen. Was denkst du denn, Bernhard, müssen die meisten Therapeutinnen beachten? Doch die wenigsten tun es. Ich hoffe, dass natürlich die meisten bereits sich bewusst sind, dass Daten zu schützen sind, dass es die DSGVO gibt.
00:13:47
Speaker
noch die Features in Appointment verwenden, um sich jede Zustimmung der Patienten teilen zu lassen. Ich denke aber auch, es ist einfach ganz wichtig, dass man eben diese Awareness mit in den Alltag bringt, dass einfach die Daten, die man letztlich von einem Patienten hat, schützenswert sind. Man kann sie wirklich wie ein Geheimnis behandeln und
00:14:04
Speaker
Es geht aber auch niemanden anderes was an. Das hat auch mit so ganz simplen Flossklingen zu tun, über die man vielleicht mal stolpert, so ja, guten Tag Herr Meyer, wie geht's denn, ihr am Knie? Können schon wieder Tennis spielen damit? Das sind einfach viele Informationen. Wenn ich so jemanden in einem Wartenraum begrüße, dann teile ich de facto eigentlich schon das Wwchen, den Namen,
00:14:23
Speaker
vielleicht seine Gewohnheiten. Das kann ich auch machen, wenn ich privat hinter der Tür verschwinde mit den Patienten. Dort kann ich mich dann wirklich mit unterhalten, vielleicht übers Wochenende plaudern oder sonstige Dinge mit ihnen besprechen. Also ich würde zusammenfassen und einfach sagen, einfach ein bisschen Awareness schaffen, dass personenbezogene Daten einfach schützenswert sind von Kunden, letztlich auch von Mitarbeitern und dass man da einfach im Alltag ein bisschen mehr achtsam damit angehen kann.
Gemeinsame Verantwortung für Datensicherheit
00:14:52
Speaker
Abschließend, empfallen dir noch Ergänzungen zum Thema Sicherheit und Datenschutz ein, welche wir vielleicht noch nicht angesprochen haben?
00:15:02
Speaker
Ja, gut, dass du das fragst. Ich sehe natürlich Appointment als Softwareanbieter hier in der Pflicht, dass wir natürlich alles tun, was wir tun können, um die Datensicherheit zu gewährleisten. Aber genauso ist es gefragt, dass unsere Kunden ihren Teil dazu beitragen. Dazu zählt eben ein sicheres Passwort. Dazu zählt eben auch, dass man seinen Computer entsprechend schützt. Denn wenn Appointment dort offen ist oder der Computer nicht versperrt ist, dann bringt auch das beste Passwort natürlich nichts.
00:15:30
Speaker
Das heißt, es ist hier eine geteilte Verantwortung bezüglich der Datensicherheit. Wir tun alles, was wir tun können. Aber natürlich müssen unsere Leute, unsere Kunden, die Appointment verwenden, auch ihren Teil dazu beitragen. Es ist nur auch wichtig, dass man andere Geräte sichert, nicht nur den Computer, sondern auch das Handy. Auch dort hat man oft Telefonlisten von Patienten oder vielleicht andere Notizen, die einfach Informationen im Pin halten, die schützenswert sind. Also hier einfach einen Pin-Code vergeben oder mit Face ID oder sonst etwas. Einfach das Gerät schützen.
00:16:00
Speaker
Und ganz wichtig, zuletzt auch, ist, dass man einfach Backups erstellt.
Wichtigkeit regelmäßiger Backups
00:16:05
Speaker
Sicherheitskopien seines Gerätes, sei es das Handy oder der Laptop, dass man hier einfach auch die Daten letztlich auch nicht verliert, sondern auch dafür sorgt, dass wenn etwas passieren sollte, hat man zumindest eine Sicherheitskopie, man hat zumindest wieder Zugriff auf diese Informationen, auf diese Daten. Und das kommt mir auch des Öfteren unter, dass Leute gerne mal darauf vergessen, aber auch ganz wichtig, man möchte natürlich auch die Daten, die man hat, nicht verlieren.
00:16:30
Speaker
Letzte Fanfrage von meiner Seite zum Thema Backups. Wie steht Appointment dazu oder macht Appointment Backups? Ja, wir machen sehr viele Backups. Um ehrlich zu sein, alle 15 Minuten werden wir uns Backups gezogen und automatisch erstellt. Das heißt, wir haben ein sehr, sehr feingranulares Netz an Sicherheitsmechanismen, wo wir natürlich auch sicherstellen, dass unsere Daten nicht verloren gehen im Hintergrund, sodass man das gar nicht mitbekommt und eigentlich rund um die Uhr.
00:17:00
Speaker
Sehr gut. Ich denke, das war schon ein guter Schlusssatz. Dann bedanke ich mich auch für deine Zeit und deinen Input. Es war sehr spannend zuzuhören. Ich habe einiges mitgenommen heute. Danke, dass du heute unser Gast aus Bern hat. Dankeschön.
00:17:18
Speaker
Dieser Podcast wird präsentiert von Appointment, der unkomplizierten Praxissoftware. Um dich voll auf deine Patientinnen und Patienten konzentrieren zu können, brauchst du einen freien Kopf. Mit Appointment verwaltest du deine Termine, Dokumentationen, Rechnungen im Hand und Ring. Das bedeutet weniger Stress mit Administration und mehr Zeit für deine Patientinnen und Patienten. Jetzt kostenlos testen. Auf www.appointment.com.