CME-Fortbildung: Patientendaten – richtig handeln und schützen
Ina ReinschGesundheitsdaten von Patienten sind hochsensible Daten. Sie müssen sorgfältig vor dem Zugriff Fremder geschützt werden. Welche Daten in der Arztpraxis darunterfallen, wann sie gelöscht werden dürfen und welche Vorschriften zu beachten sind.
Weil ein älterer Router eine Schwachstelle aufwies, waren im Jahr 2019 30.000 Patientendaten einer Gemeinschaftspraxis frei im Internet verfügbar. Jedermann konnte von außen auf die Stammdaten, Befunde, Arztbriefe und Gesprächsnotizen des gesamten Patientenstamms zugreifen. Darüber berichtete die Computerzeitschrift c‘t nach einem Hinweis. Die Praxis wurde zuvor über die Datenpanne informiert und das Leck geschlossen. Grund war offenbar eine Verquickung unglücklicher Umstände: Zum einen hatte die Praxis den SMB-Server mit Patientendaten ohne vernünftige Authentifizierung im internen Netz betrieben, hinzu kam ein Bug in dem Router.
Ob der Fall ein juristisches Nachspiel hatte, ist nicht bekannt. Doch immer wieder werden Fälle öffentlich, bei denen unzureichende technische oder organisatorische Maßnahmen in Arztpraxen zu einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten (Datenpannen) führen. In einer Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen des Bundesinstituts für Sicherheit in der Informationstechnik (BSI) in rund 1.600 Arztpraxen gab lediglich ein Drittel der Befragten eine vollständige Umsetzung aller in der IT-Sicherheitsrichtlinie gemäß § 75b SGB V vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.
Beim Datenschutz in der Praxis ist noch Luft nach oben
Die aktuelle Studie CyberPraxMed des BSI aus dem Jahr 2023 förderte noch mehr zutage. In 16 Arztpraxen führte das BSI eine Umfrage mit dem Ziel durch, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, also personelle Aspekte, in den Blick genommen. Das BSI stellte teils schwerwiegende Sicherheitsmängel fest, darunter den unzureichenden Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups.
Trotz aller Schwachstellen sind Arztpraxen in den vergangenen Jahren in puncto Datenschutz und IT-Sicherheit deutlich sensibler geworden. Dafür sorgten unter anderem die seit 2016 geltende Europäische Datenschutz-Grundverordnung (DSGVO) sowie die IT-Sicherheitsrichtlinie. Aber auch die zunehmende Bedrohung durch Hackerangriffe ist ein Treiber. Viele Ärzte haben zudem Angst, bei einer Datenpanne eine hohe Strafe zahlen zu müssen. Vom Vertrauensverlust der Patienten ganz zu schweigen. Das generelle Vertrauen vieler Patienten in die Datensicherheit ist in Deutschland ohnehin nicht besonders groß. 2019 gaben nur zwei von drei Deutschen in einer Studie von PricewaterhouseCoopers an, darauf zu vertrauen, dass ihre Hausarztpraxis Datenpannen oder Datenschutzverstöße an die Aufsichtsbehörde meldet.
Datenschutzbeauftragter schon ab zwei Ärzten?
Eine Arztpraxis ist gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt oder mindestens 20 Personen personenbezogene Daten von Patienten verarbeiten. Wann in einer Arztpraxis von einer „umfangreichen Datenverarbeitung“ ausgegangen werden kann, ist nicht abschließend geklärt. In den sogenannten Erwägungsgründen zur DSGVO heißt es sinngemäß, dass dies bei einem einzelnen Arzt nicht der Fall sein sollte. Im Umkehrschluss könnte das bedeuten, dass eine Gemeinschaftspraxis mit zwei oder mehr Ärzten einen Datenschutzbeauftragten benötigt. Im Zweifel sollten sich Praxen beraten lassen.
Beim Thema Patientendatenschutz muss man verschiedene Begrifflichkeiten unterscheiden. Bei der IT-Sicherheit geht es darum, informationstechnische Systeme vor Bedrohungen, zum Beispiel dem Zugriff durch Dritte, zu schützen. Dazu zählen zum Beispiel eine aktuelle Antiviren-Software sowie ein angemessener Schutz vor Hackerangriffen. Es geht hier also um technische Maßnahmen. Datenschutz in der Arztpraxis bedeutet Schutz von personenbezogenen Daten, mit denen sich Patienten identifizieren lassen und deren Recht auf informationelle Selbstbestimmung. Datenschutz ist ein sogenannter Grundrechtsschutz. Er ergibt sich aus Artikel 8 der EU-Grundrechtecharta. Dort wird der Schutz personenbezogener Daten genannt. In Deutschland ergibt sich der Schutz personenbezogener Daten aus dem Grundgesetz und wird in dem Recht auf informationelle Selbstbestimmung konkretisiert.
Die Begriffe IT-Sicherheit und Datenschutz werden häufig vermischt. Das ist auch nicht verwunderlich, denn sie greifen ineinander. IT-Sicherheit ist ein Mittel, das zu mehr Datenschutz in der Arztpraxis führt. Denn nur mit abgesicherten IT-Systemen ist es möglich, Daten vor dem unbefugten Zugriff Dritter zu schützen.
Wie der Datenschutz in der Arztpraxis umzusetzen ist, regeln die DSGVO und das Bundesdatenschutzgesetz (BDSG). Die DSGVO macht verbindliche Vorgaben dazu, wie in der EU personenbezogene Daten zu verarbeiten sind. Das BDSG reguliert den Datenschutz in Deutschland und ergänzt die DSGVO dort, wo die nationalen Regelungen den einzelnen Staaten überlassen sind. Die Umsetzung überprüfen die Aufsichtsbehörden.
Von der DSGVO sind in der Arztpraxis alle personenbezogenen Daten erfasst, mit denen sich Patientinnen und Patienten identifizieren lassen. Darunter fallen die Stammdaten des Patienten (unter anderem Name, Adresse, Telefonnummer, Geburtsdatum, Geschlecht, Versicherungsstatus, Krankenkasse, Versicherungsnummer, eindeutige Patientennummer), aber auch alle Diagnosen, Behandlungen, Befunde, Arztbriefe, Therapien und Informationen, die der Patient im Arztgespräch offenbart, wie zum Beispiel seine privaten, beruflichen und finanziellen Verhältnisse.
Gesundheitsdaten zählen zu den besonders sensitiven Daten, die einem besonderen Schutz unterliegen. Sie dürfen nur verarbeitet werden, wenn der Patient ausdrücklich eingewilligt hat oder eine gesetzliche Grundlage dafür besteht.
DSGVO und StGB sehen Strafen vor
Wer Daten ohne Zustimmung oder ohne eine andere rechtliche Grundlage weitergibt, begeht einen Verstoß gegen die DSGVO. Zudem verletzen Ärztinnen und Ärzte ihre ärztliche Schweigepflicht, die in § 9 Abs. 1 MBO-Ä beziehungsweise den entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern geregelt ist. Danach haben Ärztinnen und Ärzte über das, was ihnen in ihrer Eigenschaft als Ärztin oder Arzt anvertraut oder bekannt geworden ist, auch nach dem Tod des Patienten zu schweigen. Die unbefugte Weitergabe personenbezogener Daten stellt zudem eine Straftat dar (§ 203 StGB, Verletzung von Privatgeheimnissen). Sie kann mit einer Freiheitsstrafe von bis zu einem Jahr oder mit einer Geldstrafe bestraft werden. Ärztinnen und Ärzte müssen nach dem Strafgesetzbuch zudem dafür sorgen, dass die für sie tätigen sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 Satz 2 Nr. 1 StGB).
Der Verstoß gegen die DSGVO kann ein Bußgeld von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr nach sich ziehen. Diese Strafhöhe ist für Arztpraxen natürlich eher theoretischer Natur. Was droht also? Um ein Beispiel zu nennen: Gegen eine Arztpraxis, die einen Befundbericht an einen falschen Empfänger versandt hatte, wurde ein Bußgeld von 500 Euro verhängt.
Wenn der Patient die Löschung seiner Daten verlangt
Im Praxisalltag kommt häufig die Frage auf, wann Patientendaten gelöscht werden dürfen und müssen. Nach der DSGVO gilt der Grundsatz der Datensparsamkeit. Werden personenbezogene Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt, müssen sie gelöscht werden. Dies ergibt sich aus Art. 17 DSGVO. Allerdings gilt das nur, wenn keine Aufbewahrungspflichten entgegenstehen. Ärztliche Aufzeichnungen und Patientendaten sind nach der Berufsordnung für die deutschen Ärztinnen und Ärzte sowie § 630f Abs. 3 BGB bis zu zehn Jahre nach der Behandlung aufzubewahren. In einigen Fällen gelten sogar längere Fristen. So sind beispielsweise Aufzeichnungen über Röntgen- und Strahlenbehandlungen sogar 30 Jahre lang aufzubewahren. Immer wieder kommt es vor, dass sich Patienten mit ihrem Arzt oder ihrer Ärztin überwerfen und dann mit Verweis auf den Datenschutz – manchmal sogar mit Drohungen – verlangen, dass ihre Daten sofort gelöscht werden. Praxisinhaber sollten diesem Ansinnen jedoch nicht nachkommen. Vor allem die zehnjährige Aufbewahrungsfrist nach Abschluss der Behandlung müssen Ärzte einhalten. Sollte die Sorge bestehen, dass Patienten wegen einer Behandlung Schadensersatzansprüche geltend machen könnten, dürfen die Patientendaten sogar bis zu 30 Jahre lang aufbewahrt werden, da die Verjährungsfrist für Schadensersatzansprüche wegen Körper- oder Gesundheitsverletzungen gemäß § 199 Abs. 2 BGB 30 Jahre nach Vornahme des potenziell schadensträchtigen Ereignisses beträgt. Hier müssen Ärztinnen und Ärzte eine Abwägung vornehmen zwischen den Interessen des Betroffenen und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen. Vorschnell löschen sollten sie jedenfalls nicht.
Sensible Patientendaten richtig schützen
Das Vertrauen zwischen Arzt oder Ärztin und Patienten sowie der vertrauliche Umgang mit allen behandlungsrelevanten Informationen sind zentrale Bestandteile des Arzt-Patienten-Verhältnisses. Wie Sie diesem Vertrauen gerecht werden, den Datenschutz konkret umsetzen und Ihr Praxisteam sensibilisieren.
Datenschutz ist Aufgabe der gesamten Arztpraxis. Die Verantwortung tragen dabei die Ärztinnen und Ärzte. Diese delegieren Aufgaben an die Mitarbeitenden. Sie alle müssen personenbezogene Daten, mit denen sie während ihrer Arbeit in Berührung kommen, vor unbefugten Zugriffen schützen. Dabei beginnt der Datenschutz nicht erst im Behandlungszimmer, sondern betrifft alle Bereiche.
Datenschutz am Empfang
Der Anmeldebereich in einer Arztpraxis ist ein besonders sensibler Bereich. Oft herrscht hier nicht allzu viel Platz, da vor allem ältere Praxen baulich so geplant wurden, die Quadratmeter lieber in den Wartebereich oder die Sprechzimmer zu investieren. Dem Datenschutz ist das nicht zuträglich, weshalb manche Praxisinhaberinnen und -inhaber über eine Modernisierung nachdenken müssten. Denn am Empfang einer Arztpraxis können sich gleich mehrere datenschutzrechtliche Probleme ergeben, die leicht zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) führen können.
Kann an der Anmeldung kein ausreichender Abstand gehalten werden, ist es sehr leicht möglich, dass andere Patienten persönliche Daten sowie Gesundheitsdaten (Diagnosen, akutes Anliegen) mithören können. Das ist nicht zulässig. Praxisinhaber und Personal der Arztpraxis sollten auch daran denken, sich am Empfang nicht über Laborergebnisse oder Diagnosen anderer Patienten auszutauschen. Patienten dürfen auch keine Telefongespräche der MFA am Empfang mit anderen Patienten mithören, vor allem dann nicht, wenn Namen oder Diagnosen genannt werden.
Bei der Weitergabe von Untersuchungsergebnissen per Telefon, Fax oder E-Mail sollten Ärzte und Praxispersonal außerdem überprüfen, ob es sich beim Empfänger wirklich um die berechtigte Person handelt. Es ist sehr leicht möglich, dass bei diesen Kommunikationswegen sensible Daten an Nichtberechtigte gelangen. Viele Ärzte und MFA erkennen ihre Patienten an der Stimme. Besser ist es allerdings, am Telefon nachzufragen, mit wem man genau spricht und sich das Geburtsdatum oder die Versichertennummer nennen zu lassen. Ist einem die Person am Telefon unbekannt, sollten keine Informationen erteilt werden. E-Mails mit gesundheitsbezogenen Daten sollten nie unverschlüsselt versendet werden. Soziale Medien wie WhatsApp sind ohnehin tabu. Auch der Fax-Versand stellt keine sichere Übermittlung dar (siehe Kasten auf S. 74). Sicherer ist es, wenn sich Patienten Laborbefunde bei ihrem nächsten Besuch in der Praxis abholen oder diese per Brief versendet werden.
Bei der Anmeldung neuer Patienten ist es zudem wichtig, sie über den Datenschutz in der Arztpraxis nach Art. 12 und 13 DSGVO mit einem Informationsschreiben zu informieren. Zwar sieht die DSGVO dafür keine ausdrückliche Dokumentationspflicht vor, die Nichterfüllung wird aber mit einem Bußgeld belegt. Der Arzt muss die Dokumentation gegenüber der Aufsichtsbehörde nachweisen können. Daher empfiehlt sich zumindest ein Vermerk in der Patientenakte über die Aushändigung, besser eine Unterschrift.
Ein weiteres Problem an der Anmeldung können herumliegende Patienten-akten oder Rezepte sein. Diese dürfen für andere Personen niemals einsehbar sein oder so liegen, dass sich Unberechtigte Zugriff verschaffen können. Das gilt auch für Postkörbe und Ablagen, offene Aktenschränke oder einsehbare Computer. Computer müssen blickgeschützt betrieben werden. Ist die Anmeldung, wenn auch nur für kurze Zeit, unbesetzt, müssen Schränke verschlossen und der Computer mit einem Passwort geschützt werden. Am Empfang dürfen generell keine Unterlagen offen herumliegen.
Datenschutz im Wartezimmer
Der Datenschutz in der Arztpraxis endet jedoch nicht am Empfang, sondern setzt sich im Wartezimmer fort. Die Arztpraxis sollte baulich so gestaltet sein, dass man im Wartezimmer keine Gespräche vom Empfang mithören kann. Ärzte und Personal sollten darauf verzichten, vertrauliche Gespräche mit Patienten auf dem Gang vor dem Wartezimmer zu führen oder mit dem Patienten gar im Wartezimmer im Beisein anderer Patienten zu sprechen. Für solche Gespräche ist das Sprechzimmer der richtige Ort. Auch lautstarke Nachfragen von MFA an Patienten im Wartezimmer sollten lieber unterbleiben.
Datenschutz in Sprechzimmern und Behandlungsräumen
Das stringente Datenschutzkonzept einer Arztpraxis sollte sich auch in den Behandlungsräumen fortsetzen. Vertrauliche Gespräche zwischen Arzt und Patienten sollten nur bei geschlossener Tür geführt werden. Auf dem Tisch sollten zudem keine fremden Patientenakten liegen, die der Patient einsehen kann. Ein Patient darf auch nicht im Behandlungszimmer platziert werden, wenn am Computer noch die Patientenakte des Vorgängers digital einsehbar ist. Der Computer sollte beim Verlassen des Raums immer gesperrt werden.
Die häufigste Ursache für Verstöße gegen die DSGVO ist der Faktor Mensch. Mitarbeitende verhalten sich bisweilen nicht sensibel genug. Daher ist eine regelmäßige Schulung der Mitarbeitenden in der Arztpraxis durch einen kompetenten Fachspezialisten wichtig. Eine direkte Rechtspflicht zur Schulung besteht zwar nicht. Aber indirekt kann man die Verpflichtung aus Art. 5 Abs. 2, Art. 39 Abs. 1a und Art. 32 DSGVO ableiten. Was „regelmäßig“ bedeutet, ist nicht festgelegt. Einmal im Jahr eine Datenschutzschulung in der Arztpraxis durchzuführen, ist nach Ansicht von Experten aber ratsam. Dabei ist es wichtig, dass die Mitarbeitenden im Anschluss ein Zertifikat erhalten. Denn der Praxisinhaber als Verantwortlicher muss nachweisen können, dass er Maßnahmen zum Datenschutz in der Arztpraxis trifft.
Die größte Schwachstelle ist der Mensch selbst
Hacker kennen die Schwachstelle Mensch und nutzen sie, um sich Zugang zu sensiblen Gesundheitsdaten zu verschaffen. Schnell hat eine MFA im stressigen Alltag auf einen Link in einer Phishingmail geklickt oder einen verdächtigen Anhang geöffnet. Hier ist die Achtsamkeit aller Praxismitarbeitenden gefragt. Insbesondere, wenn nach einem Urlaub viele Mails abgearbeitet werden müssen, kommt es zu Unaufmerksamkeiten. E-Mails erfordern immer die volle Aufmerksamkeit (siehe Grafik rechts). Mitarbeitende sollten dabei immer auf ihr Bauchgefühl hören und im Zweifel beim Absender nachfragen. Wichtig: Nie auf die E-Mail mit der Anfrage antworten, sondern immer auf einem anderen Kanal nachfragen, zum Beispiel per Telefon.
Folgende kritische Fragen bei E-Mails können helfen:
Sind die Namen richtig geschrieben?
Hat die sendende Person mit solchen Themen/Dokumenten normalerweise zu tun (Verträge, Rechnungen etc.)?
Stimmt die Signatur des Absenders mit der in bisherigen E-Mails überein?
Hat die empfangende Person in der Praxis mit solchen Themen/Dokumenten normalerweise zu tun? Hatte sie mit dem Absender überhaupt schon einmal Kontakt?
Klingt die E-Mail richtig und plausibel? Phishingmails sind oft (KI-)generiert und klingen steril. Sie können auch Schreibfehler enthalten oder Sonderzeichen sind ersetzt oder fehlen ganz.
Ist die sendende Person anwesend oder im Urlaub? Angriffe per E-Mail finden häufig während der Abwesenheit der Absender statt, da sie dann beim Absender nicht so schnell auffallen.
Sind E-Mail-Adressen korrekt (Umlaute, ausgetauschte Buchstaben wie m/rn, w/vv, Domain etc.)? Wird überhaupt ein Dokument per Mail erwartet?
Für Links gilt: Vor dem Klicken prüfen, wohin sie führen (Mouse-over über den Link in der Mail und das Ziel des Links überprüfen).
Der Werkzeugkasten der Hacker
Spear Phishing ist ein gezielter Phishing-Angriff auf eine ausgewählte Person, um von dieser vertrauenswürdige Daten wie Passwörter zu erhalten.Quishing ist ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes. Der Empfänger wird in einer Mail dazu aufgefordert, mit seinem Smartphone einen QR-Code zu scannen, um ihn auf eine böswillige Website zu lenken.Smishing ist ein Phishing-Angriff auf die Cybersicherheit, der über mobile Textnachrichten erfolgt und auch als SMS-Phishing bezeichnet wird. Bei dieser Variante des Phishings werden die Opfer dazu verleitet, einem getarnten Angreifer vertrauliche Informationen zu übermitteln.Vishing ist die Abkürzung für „Voice Phishing“ und bezeichnet Phishing-Anrufe per Telefon. Visher verwenden gefälschte Telefonnummern, stimmverändernde Software, Textnachrichten und Social Engineerin
WormGPT ist eine eigene KI für Betrüger. WormGPT generiert Experten zufolge überzeugende Phishingmails und wird mit Malware trainiert.
Spear Phishing ist ein gezielter Phishing-Angriff auf eine ausgewählte Person, um von dieser vertrauenswürdige Daten wie Passwörter zu erhalten.
Quishing ist ein Kofferwort aus „QR“ und „Phishing“. Darunter versteht man das Phishing mit QR-Codes. Der Empfänger wird in einer Mail dazu aufgefordert, mit seinem Smartphone einen QR-Code zu scannen, um ihn auf eine böswillige Website zu lenken.
Smishing ist ein Phishing-Angriff auf die Cybersicherheit, der über mobile Textnachrichten erfolgt und auch als SMS-Phishing bezeichnet wird. Bei dieser Variante des Phishings werden die Opfer dazu verleitet, einem getarnten Angreifer vertrauliche Informationen zu übermitteln.
Vishing ist die Abkürzung für „Voice Phishing“ und bezeichnet Phishing-Anrufe per Telefon. Visher verwenden gefälschte Telefonnummern, stimmverändernde Software, Textnachrichten und Social Engineering, um ihre Opfer dazu zu bringen, vertrauliche Informationen preiszugeben.
72 Stunden Zeit, um einen Datenschutzvorfall zu melden
Kommt es zu einer Datenpanne, also einer Verletzung des Schutzes personenbezogener Daten in der Arztpraxis, etwa weil Daten vernichtet oder verändert wurden oder verloren gegangen sind (etwa über einen verlorenen USB-Stick) oder weil Dritte sich unbefugt Zugang zu personenbezogenen Daten verschafft haben oder diese unbefugt offengelegt wurden, muss der Praxisinhaber handeln. Innerhalb von 72 Stunden nach Bekanntwerden muss er eine Meldung an die zuständige Aufsichtsbehörde abgeben. Sollte die Frist von 72 Stunden nicht eingehalten werden, muss die Verzögerung zusammen mit der Meldung begründet werden.
Eine Meldepflicht besteht dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht oder nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Als gering ist das Risiko beispielsweise dann einzustufen, wenn Dritte zwar Zugang zu personenbezogenen Daten erhalten haben, diese aber verschlüsselt sind (verschlüsselter USB-Stick geht verloren, falsch versandter Brief kommt ungeöffnet zurück). Sind Gesundheitsdaten betroffen, ist eher von einem hohen Risiko auszugehen. Fehleinschätzungen bei der Risikobewertung gehen zulasten des Verantwortlichen. Im Zweifel gilt: lieber melden. Für die Meldung halten die Aufsichtsbehörden online entsprechende Formulare bereit.
Zudem kann es sein, dass neben der zuständigen Aufsichtsbehörde auch die betroffenen Personen informiert werden müssen. Dies ist dann der Fall, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Hier bedarf es einer Risikoabwägung.
Ist das Senden von Faxen noch datenschutzkonform?
An wohl keinem anderen Ort halten sich Faxgeräte so lange wie in Arztpraxen und Krankenhäusern. Selbst im Deutschen Bundestag wurden Mitte 2024 die letzten Fax-Stecker gezogen. Die schlechte Nachricht ist: Die Datensicherheit beim Fax ist gering, denn die Vertraulichkeit der Daten ist stark gefährdet. Ein Fax überträgt Informationen offen und unverschlüsselt. Wird versehentlich die falsche Nummer angewählt oder steht der Empfänger während des Sendens nicht direkt neben dem Faxgerät, können Dritte von personenbezogenen Daten Kenntnis nehmen. Auch bei der Übertragung des Fax über das Internet könnten Dritte unbefugt Zugriff erhalten. „Aus diesen Gründen kann der Faxversand ähnlich risikoreich sein wie der unverschlüsselte Versand von E-Mails“, heißt es etwa auf der Internetseite der nordrhein-westfälischen Datenschutzbeauftragten Bettina Gayk.
A&W CME-Service – jetzt CME-Punkte sammeln
Die Fortbildung „Patientendaten – richtig handeln und schützen" ist mit zwei CME-Punkten zertifiziert. Um die CME-Punkte zu erhalten, müssen Sie noch den entsprechenden Wissenstest auf der Online-Fortbildungsplattform MedLearning absolvieren: https://cme.medlearning.de/aw/patientendaten_schuetzen/index.htm