Schutz vor Datenklau

[McKiba]

Guten Morgen liebes Computerbase Forum,

Folgende Ausgangslage: Ich bin Inhaber einer Therapiepraxis und wir nutzen Google Drive um so Dokumente an mehreren Ipads/Pcs/Macs zur Verfügung zu haben (bspw. Befundbögen).

Jetzt meine Frage, da mit der Erstellung und Pflege dieser Dokumente ein gewisser Aufwand verbunden ist... Gibt es die Möglichkeit in Google Drive hierzu die Möglichkeit des Teilens einzuschränken. Bzw. eine Mail zu bekommen falls etwas geteilt wurde?

Gleiche Frage dann bzgl. eines Macs/Pcs. Gibt es die Möglichkeit den USB Zugang mit einem Passwort zu "schützen".

Ich frage hier mal ganz vorsichtig, und bin gespannt auf die Antworten.

Viele Grüße

 

[FGA]

Sensible Daten bei Google hochladen ganz schlechter Plan. In dem Moment sind sie quasi öffentlich. Korrigiert mich wenn ich falsch liege.

 

[H3llF15H]

Korrigiert mich wenn ich falsch liege.

Ich wollte es auch gerade anmerken, dass das gefühlt die Schlechteste Idee überhaupt ist.

 

[spamarama]

Wer ist euer Datenschutzverantwortliche? Dieser ist der Ansprechpartner für solche Fragen! Die Kunden sind hoffentlich darüber informiert, dass ihr ihre Dokumente bei Google ablegt? Google und DSGVO ist extrem schwieriges Terrain, siehe EU Privacy Shield. Das kann sehr schnell sehr teuer werden, wenn das ein Kunde mitbekommt, dem seine Daten nicht sch*egal sind.

 

[primehelix]

Ich frage mich, ob das Datenschutzrechtlich überhaupt so erlaubt ist.
Wenn du sensible Patientendaten auf einen Server lädst, besonders wenn diese wie bei Google in den USA stehen, verbleibt die Verantwortung, dass die Daten in nicht befugte Hänge geraten beim Übermittler. Das wärest dann Du.

Nur mal so als Hinweis

 

[Atkatla]

Die persönlichen Daten der Nutzer und erst Recht Patientendaten an einen US-Anbieter hochzuladen, der das Recht hat, diese weiterzuverabeiten ist eine furchtbar schlechte Idee, die zu hohen Folgekosten führen kann.

Dem Inhaber der Praxis (und damit derjenige der das ausbaden muss) würde ich auf jeden Fall empfehlen, sich entsprechend fachlich beraten zu lassen. Sei es von einem Anwalt, der in dem Gebiet bewandert ist, oder einem Datenschutzbeauftragten, der vielleicht über einen Berufsverband greifbar ist. Man muss das Rad nicht selbst neu erfinden, aber man sollte dringend jemanden finden, der die Vorgaben und für den eigenen Beruf / Unternehmen praktikable Umsetzungen kennt.

 

[slrzo]

Hört sich für mich nach Gesundheitsdaten, also ein hochsensibler Bereich, an. Da hast du neben dem Datenschutz gleich noch das Problem der Archivierung.
Vielleicht bietet der Anbieter eurer Praxissoftware ja hierzu etwas. Bei meinem ehemaligen Arbeitgeber wurde in MVZ Arztpraxen z.B. die Software von medatixx eingesetzt. Deren Software kann soweit ich mich erinnere auch mobil eingesetzt werden.

 

[kevlar]

Google ist zwar im EU US Pivacy Shield Abkommen und dadurch in der Praxis für Human Resources nach DSGVO freigegeben, persönlich würde ich aber davon Abstand nehmen.

Suche dir / euch professionelle Hilfe. Schaut das eure Daten auf deutschem Boden sind (T-Systems z. B.), kümmert euch um die Auftragsdatenverarbeitungen und Datenschutzerklärungen.

 

[fixedwater]

Ich hoffe die Praxen, mit denen ich so zu tun hab, machen das nicht so...

 

[Atkatla]

Google ist zwar im EU US Pivacy Shield Abkommen und dadurch in der Praxis für Human Resources nach DSGVO freigegeben, persönlich würde ich aber davon Abstand nehmen.

Der Privacy-Shield ist doch vom EU-Gerichtshof für ungültig erklärt worden?
https://www.heise.de/news/Nach-dem-...-von-EU-Institutionen-in-die-USA-4944089.html

 

[SpamBot]

Ich hoffe die Praxen, mit denen ich so zu tun hab, machen das nicht so...

Schon mal von IT Systemen in Krankenhäuser etwas gehört? Da liegen deine Daten einfach unverschlüsselt auf einem Server, jeder Patient kann sich diese über den Netzwerkanschluss in seinem Zimmer ziehen. Das ist zumindest nicht ungewöhnlich.

Vielleicht läuft das nicht bei allen so miserable, aber wenn du dir erstmal eine MAC Adresse kopierst bist du wohl spätestens drin.

 

[fixedwater]

Ich weiß dass z.B. mein Physiotherapeut da GANZ anderen Aufwand betreibt. Eigener Server mit Verschlüsselung und externem Backup, etc. Aber der regelt das auch über einen externen Dienstleister, was wahrscheinlich auch hier sinnvoll wäre.

 

[Serana]

Zum einen gilt, daß es hier eine datenschutzrechtliche Dimension gibt. Solange es sich nur um die unausgefüllten Vorlagen handelt ist die Sache nicht zu beanstanden. Problematisch wird es dagegen wenn Google Drive auch genutzt wird um ausgefüllte Bögen, die also persönliche Daten enthalten, zu speichern.

Werden derartige Daten unverschlüsselt gespeichert könnte euch das massive Probleme verursachen. Sind die Daten dagegen so verschlüsselt, daß auch Google nicht an die Daten kommen könnte, könnte man das ganze zur Not noch akzeptieren, obwohl es da definitiv bessere Möglichkeiten gibt die ich in einem solchen Fall auch dringend empfehlen würde.

Zur Frage an sich ist zu sagen, daß es zwei verschiedene Mechanismen beim Teilen von Daten gibt. Zum einen funktioniert das bezogen auf den Account, um zum anderen kann man auch einen Link teilen. Wenn man das ganze Account-basiert löst müssen entweder alle Beteiligten über einen Praxis-Account auf die Daten zugreifen oder jeder braucht einen eigenen Account und wird dann eben als berechtigt hinzugefügt. Wird die Methode des Teilens über einen Link gewählt kann jeder der den Link kennt auf die Daten zugreifen. Empfehlen würde ich in diesem Fall, wenn es denn schon Google Drive sein muß, einen extra Praxis-Account anzulegen der eben dafür benutzt wird.

Disclaimer:
Ich bin kein Jurist. Meine Aussagen basieren auf meinen eigenen, möglicherweise mangelhaften, Kenntnissen und können keine fundierte Rechtsberatung ersetzen. Für gesicherte Aussagen empfehle ich den Kontakt mit eurem zuständigen Datenschutzbeauftragten.

 

[Sephe]

Der Privacy-Shield ist doch vom EU-Gerichtshof für ungültig erklärt worden?
https://www.heise.de/news/Nach-dem-...-von-EU-Institutionen-in-die-USA-4944089.html

So isses... Aktuell gibt es kein gültiges rechtliches Datenschutzabkommen zwischen EU und USA.
Damit ist es aktuell rechtlich gleichwertig, ob du die Daten nach China, Russland oder in die USA hochlädst.

Gerade für Patientendaten (Datenschutzrechtlich HÖCHSTE Kategorie!) ist es ein absolutes No-Go die auch überhaupt bei irgendeinem Cloudanbieter außerhalb von Deutschland / Firmensitz außerhalb Deutschlands zu speichern.

 

[Madman1209]

Hi,

IHK-zertifizierter Datenschutzbeauftragter hier: Gesundheitsdaten zu Google ist ein No Go, sofern diese vorab nicht in irgendeiner Form (z.B. Boxcryptor o.Ä.) verschlüsselt wurden. Und selbst dann wäre mir persönlich dabei absolut noch nicht wohl!

Ich würde hier - und zwar ganz, ganz schnell - ein IT-Haus mit Datenschutz-Kenntnissen beauftragen eine lokal (sprich in Deutschland und nur in Deutschland!) gehostete und verwaltete Lösung zu schaffen.

VG,
Mad

 

[KnolleJupp]

Patientendaten nicht gemäß dem geltenden Bundesdatenschutzgesetz, der Datenschutzgrundverordnung, der ärztlichen Schweigepflicht usw. aufzubewahren, ist ein Straftatbestand!
Wer Patientendaten preisgibt, macht sich strafbar.

Diese Daten einfach bei Google Drive, Microsoft OneDrive o.ä. hochzuladen, halte ich für hochgradig kritisch.
Es geht dabei nicht nur darum wer alles von außen Zugriff bekäme, sondern das die Konzerne selber die Daten auf ihren Servern auswerten können und dürfen.
Das erlaubst du ihnen, wenn du den Allgemeinen Geschäftbedingungen zustimmst.

Und wenn du Daten freigibst/teilst, kann jeder der diesen Link kennt, selbst aus Uganda, auf die Daten zugreifen.

Ich bin kein Datenschutz-Experte. Du, als Inhaber der Praxis, solltest dir fachlichen Rat einholen.
Und erstmal - bis eine rechtssichere Form gefunden ist - Google Drive & Co. sein lassen!

Ich würde schnellstens den Therapeuten wechseln, wenn ich erfahren würde das meine Befunde/Berichte/Verschreibungen usw. Konzernen wie Google in die Hände fallen.
Das ist zwar schön einfach und bequem und für private Daten zu Hause auch völlig in Ordnung.

Aber Patientendaten haben auf solchen Cloudspeichern einfach gar nichts zu suchen. Das ist naiv blauäugig.

Ich nutze privat zwar kein Google Drive, sondern Microsoft OneDrive, aber die wichtigen Dinge bzw. persönliche Daten,
die ich dort hochlade, sind alle in einem passwortgeschützten Archiv gepackt.

 

[Nitschi66]

Diese Daten einfach bei Google Drive, Microsoft Onedrive o.ä. hochzuladen, halte ich für hochgradig kritisch.

Stimme bei alle den kritischen Gedanken zu, aber bietet Microsoft nicht ihre Services mit deutschen Rechenzentren an?
https://www.microsoft.com/de-de/cloud/deutsche-rechenzentren

Das ist zwar defintiv teurer als Google Drive, aber man merke sich: Wenn das Produkt nichts kostet, bist du das Produkt.

 

[KnolleJupp]

aber bietet Microsoft nicht ihre Services mit deutschen Rechenzentren an?

Ja, aber so wie ich das sehe muss man dazu Azure-Kunde sein.

 

[Palomino]

Bzw. eine Mail zu bekommen falls etwas geteilt wurde?

Spätestens an dieser Stelle könnte es für den Staatsanwalt interessant werden.

Was spricht denn dagegen in der Praxis einen eigenen Server zu betreiben und nach euren Bedürfnissen abzusichern? Dann hast Du die volle Kontrolle über alles.

 

[Madman1209]

Hi,

deutsches Rechenzentrum alleine reicht nicht! Wenn hier Fernwartung aus einem anderen "unsicheren Drittland" stattfindet verstößt das genauso gegen die DSGVO!

Daher mein Hinweis: gehostet und verwaltet aus Deutschland!

VG,
Mad