10_Wissenschaft & Praxis Nr. 3 | März 2009 | www.kn-aktuell.de DVT – Für & Wider aus Sicht des Anwenders (2) Während im ersten Teil unserer Artikel-Trilogie (KN 1/2-2009) die Anforderungen an die elektro- nische Archivierung sowie das Versenden von Patientendaten und Röntgenbildern im Mittelpunkt standen, widmet sich Teil 2 nun dem Thema IT-Voraussetzungen. IT-Spezialist Johannes Oberhu- ber erläutert darin, welche herausragend wichtige Stellung der Datenschutz innerhalb des kie- ferorthopädischen Praxisalltags einnimmt und wie Daten entsprechend gesichert werden können. Sobald Sie in Ihrer Praxis mittels elektronischer Daten- verarbeitung Patientendaten aufnehmen und bearbeiten bzw. ein digitales Röntgen- bild vorliegen oder dieses zu erstellen haben, sollten Ihnen folgende Begriffe unbedingt geläufig sein: StGB, BDSG, EG-Richtlinie, DIN, VDE, RöV und QS-RL. Zwar stellen diese lediglich eine kleine Auswahl an Gesetzen,Verord- nungen und Normen dar,den- noch sollten sie in der Praxis- routine unbedingt ihre Be- rücksichtigung finden. Hinzu kommen weitere Vorschrif- ten hinsichtlich Buchhaltung oder E-Mail-Verkehr, wie bei- spielsweise die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unter- lagen“ (GDPdU). Ein Großteil jener Begrifflich- keiten ist im täglichen Ar- beitsablauf sehr gut handhab- bar – vorausgesetzt,es werden außer den technischen Vorga- ben zwei ganz entscheidende, wichtige Punkte beachtet: der Datenschutz und die Daten- sicherheit.Ersterer beinhaltet vor allem, dass personenbe- zogene oder andere persönli- che Daten (auch Unterneh- mensdaten) nicht unberech- Zustimmung des betroffenen Patienten aufgeweicht wer- den könnte. Unberührt davon bleibt jedoch das Recht des Patienten auf Auskunftsertei- lung, das sich z.B. bei Verwendung einer digitalen Röntgenanlage auch auf die „Auskunft über den logischen Aufbau der automatisierten Verarbeitung“ usw. erstreckt. Hier jedoch ist bereits äußers- te Vorsicht geboten. Denn Sie als Arzt sind nicht nur dafür verantwortlich, was Sie spei- chern, sondern auch für den Umstand, wer, wo und wie Zugriff auf das Gespeicherte hat. Hinzu kommt der Fakt, dass dies alles noch doku- mentierbar sein muss. Hierbei reicht keinesfalls der Fakt aus, dass die Daten ein- fach nicht weitergegeben werden. Sie bedürfen einer zusätzlichen ordentlichen wie zuverlässigen Sicherung, so- dass sie bei Bedarf jederzeit wiederhergestellt werden kön- nen bzw. auch nach Jahren verfügbar sind. Wie sieht nun die Umsetzung all dessen in der realen Arbeits- welt kieferorthopädischer Pra- xen aus? Schaut man sich heutzutage Speichermedien an, sind z.B. Was ist, wenn Daten korrum- piert werden oder sich gar im Internet wiederfinden? Leider werden oft Datenbe- stände nur sporadisch, man- gelhaft oder gar nicht gesi- chert. Was jedoch passiert, wenn diese Daten auf einmal unbrauchbar werden oder gar der Server gestohlen wird? Ein weiteres Extrem stellen diejenigen dar, die die Daten- sicherung online bei einem Provider auf einen FTP-Ser- ver spielen. Was ist, wenn diese Daten öffentlich wür- den? Wie stellen Sie sicher, dass nur Befugte den ge- wünschten Zugriff haben? Diese fünf Beispiele sollen ver- deutlichen, dass es in vielen Praxen oft ganz anders aus- schaut, als es eigentlich der Fall sein sollte.Oft werden auf- grund von mangelndem Wis- sen, aus Zeitnot oder einfach nur durch schlechte Beratung Risiken eingegangen,die nicht nur unkontrollierbar sind,son- dern im krassen Gegensatz zu Rechtsvorschriften stehen (siehe erwähnten § 203 StGB). Zur Erinnerung sollten im Fol- genden nochmals die von den Datenschutzbeauftragen der Länder grundlegend definier- ten Sicherheitsziele genannt schlüsselt werden, wobei le- diglich der rechtmäßige Emp- fänger über den entsprechen- den Schlüssel verfügt. Damit diese Vorgaben einge- halten werden können, sollte die EDV verschiedene Anfor- derungen erfüllen. So müssen z.B. alle Daten zentral auf einem Server gela- gert werden, um letztlich die Verwaltung und Zugriffsres- triktion zu gewährleisten. Unabhängig davon müssen die Daten permanent verfüg- bar sein, da ein längerer Aus- fall direkten Einfluss auf die tägliche Arbeit hätte. Hierfür sind sogenannte RAID-Sys- teme zu empfehlen. Server- systeme sollten mindestens über RAID-1, besser jedoch über RAID-5 verfügen. Bei einigen Betriebssystemen können zusätzlich sogenannte Schattenkopien aktiviert wer- den, damit zweimal täglich ein „Snapshot“ der Festplatten ab- gelegt werden kann. Würde eine Datei versehentlich ge- löscht, könnte diese binnen weniger Minuten wieder her- gestellt werden. Mitarbeitern sollten nur so viele Rechte im System ge- währt werden, wie diese mini- mal benötigen, um arbeiten zu a b Abb. 2: Darstellung einer Hyperplasie der Tonsilla pharyngea (Pfeile) mithilfe der Spezialsoftware MESANTIS-3D. Derartige Befunde sind insbesondere bei Patienten mit Mundatmung von besonderer Bedeutung und in der interdisziplinären Behandlung mit HNO-Kollegen zu therapieren. Abb. 3a, b: Darstellung einer Einengung des Oropharynx (Pfeile) in der Sagittalebene (a). Diese Veränderungen sind im Einzelfall nur durch Unterkiefer- vorverlagerungen – soweit kieferorthopädisch indiziert – zu therapieren. Der 2-D-Querschnitt der oberen Atemwege in der Sagittalebene täuscht in man- chen Fällen aber nur ein geringes Volumen der oberen Atemwege vor. Daher sind 3-D-Aufnahmen, in denen man die Breite sowie das Volumen direkt berechnen kann, sehr vorteilhaft (b). tigt weitergegeben werden bzw. vor sonstigem Miss- brauch geschützt sind. Der zweite Punkt, die Sicherheit der Daten, resultiert aus dem Datenschutz bzw. ist dessen logische Konsequenz. Wie wichtig beide Punkte sind, wird in §203 StGB (Strafgesetzbuch) deutlich. Dort heißt es: „Wer unbefugt ein fremdes Geheimnis, na- mentlich ein zum persön- lichen Lebensbereich gehö- rendes Geheimnis oder ein Betriebs- oder Geschäftsge- heimnis, offenbart, das ihm als (…) Arzt, Zahnarzt (…) anvertraut worden oder sonst bekannt geworden ist, wird mit einer Freiheitsstra- fe von bis zu einem Jahr oder mit einer Geldstrafe be- straft.“ Das Verbot der Weitergabe von Daten stellt jedoch nur einen Aspekt innerhalb des Datenschutzes dar, welcher unter gewissen Umständen auch durch die schriftliche externe Festplatten sehr preiswert zu haben und daher sehr beliebt, um Patientenda- ten darauf zu sichern.Schließ- lich sind sie bequem transpor- tierbar und daher leicht über- allhin mitzunehmen. Doch was ist, wenn die Festplatte in der U-Bahn vergessen wird und dadurch eine Kopie der Patientendaten in der Öffent- lichkeit kursiert? Oder aber der E-Mail-Verkehr, mit dessen Hilfe Röntgen- bilder oder ganze Patienten- stammdaten unverschlüsselt an einen Kollegen verschickt werden, um diese fachlich mit ihm zu besprechen bzw. eine Behandlungsstrategie festzu- legen. Was ist, wenn diese wichtigen Daten durch Un- befugte einfach „mitgelesen“ werden? Nicht selten sind ganze Netz- werke nach außen hin (Inter- net) nur sehr unzureichend geschützt oder verfügen noch nicht einmal über eine funk- tionierende Virenprüfung. sein, die von Systemen zur medizinischen Datenverar- beitung gewährleistet wer- den müssen: 1.Vertraulichkeit 2.Authentizität (Zurechenbar- keit) 3. Integrität 4.Verfügbarkeit 5. Revisionsfähigkeit 6.Validität 7. Rechtssicherheit 8. Nicht-Abstreitbarkeit von Datenübermittlungen 9. Nutzungsfestlegung. Der Datenschutz fängt bei der IT mit der Erfassung der Da- ten an. So sollte genau defi- niert sein, wer welche Daten eingeben oder ändern darf. Das unberechtigte Weiterge- ben oder Löschen von Daten muss prinzipiell unterbunden werden. Zudem sollte jede Datenbewegung dokumen- tiert sein. Kommt es aus gu- tem Grund zur Weitergabe von Daten, müssen diese ver- können. Hinsichtlich der Da- tensicherung muss ein Plan mit Verantwortlichkeiten exis- tieren. Zudem müssen turnus- gemäß Medien zur Verfügung stehen, die nur ein einziges Mal beschrieben werden und danach nur noch lesbar sein können. Dieser Fakt ist für die revisionssichere Datenablage von Belang. Alle externen Transaktionen müssen sicher verschlüsselt und dokumentiert werden. Nur wenn sichergestellt wer- den kann, dass die richtige Person der Datenempfänger ist, stehen Sie selbst nicht in der Verantwortung. Ein weiteres Problem stellen die Vorschriften bezüglich Aufbewahrungsdauer von Unterlagen dar. Diese gelten für elektronische Systeme übrigens genauso wie für her- kömmliche Patientenakten oder Röntgenbilder. Die gesamten Patientendaten einer mittelgroßen Praxis auf einem USB-Stick zu speichern a b c Abb. 1a–c: Eine klassische rechtfertigende Indikation für ein DVT sind verlagerte Zähne. Dabei kommt es – wie häufig angenommen – jedoch nicht nur auf die Topografie der verlagerten Zähne in Relation zu den benachbarten Strukturen an (a), sondern für den kieferorthopädischen Spezialisten vor allen Dingen auf das vestibuläre Knochenangebot in den Cross Sections benachbarter Zähne (b) sowie auf eventuelle Wurzelre- sorptionen benachbarter Zähne in der Axialebene (c). Erst diese Trias macht ein DVT für einen Kieferortho- päden klinisch wertvoll. und dann einfach in die Ho- sentasche zu stecken,ist heute ohne Weiteres möglich. Durch diese moderne,leicht zu hand- habende Technik erscheint es uns daher auch abwegig, hier an irgendwelche Fallstricke zu denken. Doch genau darin liegt künftig die Crux. Um zu erkennen, welche Probleme auf uns alle, die wir moderne IT in unseren Unternehmen und Praxen einsetzen,zukom- men können, müssen wir erst einmal einen kurzen Blick zu- rückwerfen. Kennen Sie beispielsweise noch die 8-Zoll-Diskette, die mit etwas mehr als 200mm Sei- tenlänge aus heutiger Sicht rie- sig erschient? Nein? Oder die 51/4-Zoll-Diskette mit ihrer für damalige Verhältnisse enormen Speicherkapazität von 110KB (ca. 0,1MB)? Sicher haben Sie auch noch ein passendes,funk- tionierendes Laufwerk parat, um die auf solchen Disketten befindlichen Daten zu lesen. Oder müssen Sie etwa auch hier mit „Nein“ antworten? So wie Ihnen wird es wohl 99,9% aller Leser dieses Bei- trags gehen. So wird diese „al- ten“ Speichermedien heute so gut wie keiner mehr auslesen können und das, obwohl die Einführung der 51/4-Zoll-Dis- kette gerade einmal rund 30 Jahre zurückliegt. Dennoch vertrauen wir wie selbstverständlich darauf,dass wir im Jahr 2039 ganz automa- tisch imstande sein werden,die ausgelagerten Daten von heute bzw. die Datensicherung von morgen wieder einzulesen. Ohne ein sinnvolles Daten- sicherungskonzept und ohne eine entsprechende Migra- tionsstrategie für die Archivie- rung wird es Ihnen jedoch nicht möglich sein, Patienten- akten und ggf. Röntgenbilder bis dahin aufzubewahren bzw. sie dann auch noch lesen zu können. Adresse Johannes Oberhuber Senior-Consultant it-netconsult GmbH Neuling 4 83278 Traunstein Tel.: 0 94 41/1 74 97-90 E-Mail: kontakt@itntc.de www.itntc.de Denn mit der steigenden Da- tenmenge nimmt auch das Problem der Datenmigration zu.Daten auf oben erwähnten USB-Stick sind nach maxi- mal zehn Jahren verschwun- den. Festplatten sind da sogar noch „vergesslicher“ – dort ist bereits nach rund fünf Jahren mit ersten Ausfallerscheinun- gen zu rechnen. So gibt es momentan eigent- lich nur zwei wirklich sinn- volle Alternativen, große Da- tenmengen über lange Zeit- räume zu speichern und dann immer noch abrufen zu kön- nen: Das gilt zum einen für das Magnetband im LTO-4- Standard (bis zu 1.600GB) und zum anderen für ein Hochsicherheitsrechenzent- rum, auf dem die Daten kom- plett verschlüsselt übertra- gen und gespeichert werden. Beim Magnetband stellt sich allerdings die Frage nach den Gerätschaften in 30 Jahren und beim Rechenzentrum die Frage nach dem Datenschutz. Denn diese sichere Infra- struktur ist erst noch im Auf- bau. Aus heutiger Sicht aller- dings sind diese beiden Wege die einzigen zukunftssiche- ren Möglichkeiten, um gege- bene Vorschriften zu erfüllen und die Daten auch in 30 Jah- ren noch lesen zu können. Kurzvita Johannes Oberhuber • Studium Wirtschaftsingenieur- wesen an der TU Berlin, Studien- schwerpunkt Informations- und Kommunikationssysteme • seit 1993 als IT-Consultant im Bereich Security tätig • seit 2004 Senior Consultant der it-netconsult GmbH, zuständig für die deutschlandweite Betreuung von vorwiegend zahnmedizinisch ausgerichteten Kunden