Welche IT Bestimmungen für Praxis für Physiotherapie

[Osprey]

Hallo zusammen, weiß jemand was für Bestimmungen wegen DS-GVO bei Physiotherapeuten gelten? Hintergrund, mein Kumpel hat eine eigene Praxis und ich habe ihm bisher die IT eingerichtet auf 3 Arbeitsplätze. Jetzt war ein Datenschutzbeauftragter da und hat ihn beraten und gesagt alles muss neu.
- kein Wlan einschalten
- Datensicherung verschlüsselt auf einem extra Server im abgeschlossenen Raum
- kein Admin Zugriff von Mitarbeitern auf Rechnern
- kein gmail als email
Kann das sein oder will der nur Geld verdienen und Angst machen? Die Beratung von 2x 4Std. hat fast 1000.- gekostet.

 

[DarkStarXxX]

Vorab, ich mit dem Thema gar nichts zu tun, aber das klingt für mich alles mehr als Suspekt.

Warum zum Beispiel kein WLAN?
Warum sollte der Raum mit der Datensicherung abgeschlossen sein? Besonders wenn sie doch Verschlüsselt sein muss.
Warum keine Google Email? Google hat mit G Suite eine der größten Cloud Services Plattformen Weltweit (wo man unter anderen auch sein Backups ablegen könnte).

Mein Arzt hat mir als Patient im Sommer lediglich ein Infoschreiben ausgehändigt, dass meine Daten 10 Jahre elektronisch gespeichert werden und gut war.

Da will einer bestimmt nur Kohle abziehen.

 

[axel]

Hi,

+1, Blödsinn. Vor allem bei 3! Arbeitsplätzen...

Trotzdem sollte da eine Struktur rein.

Gruß

PS: Soll der Amigo das schriftlich aufsetzen.

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[Emerged]

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Vielleicht hilft das weiter!

 

[HarryHase]

...
Kann das sein oder will der nur Geld verdienen und Angst machen? Die Beratung von 2x 4Std. hat fast 1000.- gekostet.

JA, finde ich für eine Erstberatung unverschämt.

- kein Wlan einschalten

Wenn es ein GAST WLAN ist und separiert vom Restnetzwerk ist, ist das kein Problem

- Datensicherung verschlüsselt auf einem extra Server im abgeschlossenen Raum

Die Aufbewahrung der Backups sollte sicher sein

- kein Admin Zugriff von Mitarbeitern auf Rechnern

nicht notwendig

- kein gmail als email

totaler Blödsinn

------
Da will einer Geld machen oder hat keine Ahnung.

 

[Osprey]

Die Aufbewahrung der Backups sollte sicher sein

Danke das hört sich gut an.
Würde da eine Sicherung (wie in Windows10 vorhanden) reichen auf einem NAS in einem anderem Raum?

 

[axel]

Hi,

ich würde wie folgt das einrichten:

- Domänencontroller (Active Directory, Samba) als Gateway + Router, Rechteverwaltung, Backupserver, Proxy (falls Internet)

- getrennter NAS + Backupserver (USB Platen, LTO etc.)

- kein Gäste-WLAN, Pech.

Wichtig ist eine Mitprotokollierung Internet und Rechteverwaltung.

Ganz ganz wichtig: Sämtliche Software muss lizenziert sein! (Freeware oder Linux natürlich nicht ).

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[DarkStarXxX]

Ich würde da eher eine auf eine Externe Lösung setzen, zB Macrium Reflect.
Zusätzlich würde ich mir dann wirklich Gedanken darüber machen das ganze noch Verschlüsselt in einen Cloud zu laden, wenn nämlich mal sowas wie Feuer in der Praxis ist dann wären die Daten so auch Sicher.

 

[axel]

Hi,

"erweitern" kann man das immer...

Frage des Budgets.

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[Osprey]

Würde ich einen alten PC mit 1TB Festplatte und Ubuntu mit verschlüsselter Home Partition installieren als Backupserver (SMB u. FTP). Sollte ausreichen oder?

 

[axel]

Das reicht dicke.

Das Backup kannst Du ja erweitern (USB Platten).

Ubuntu etc. als kostenloser Domänencontroller bietet sich da an, ebenso als NAS.

Bei den Arbeitsplätzen würde ich 3x Windows 10Pro Lizenzen besorgen, nicht jeder Mitarbeiter kennt sich mit Linux aus.

Schon kann der Datenschutzexperte Zuhause bleiben, passt.

Inwiefern es im medizinischen Sonderbereich da Auflagen gibt, müsst Ihr recherchieren am Besten.

So sollte grob der Drops gelutscht sein, geschäftlich.

Gruß

PS: Für die 1000€ hätte der Kumpel alles grob an Hardware gehabt + wahrscheinlich kleinere Rosenkohlohren.

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[conga]

Wenn es man wohlwollend sieht, könnten einige genannten Punkten als Maßnahmen aus der DSVGO ableiten lassen. Wenn sensible Daten verarbeitet werden, müssen bestimmte Anforderungen eingehalten werden. Das verbietet aber kein WLAN, weder ist der DSVGO eine Verschlüsselung der Daten vorgeschrieben noch dürfen keine Admin Rechte vergeben werden.

Die DSVGO verlangt das ein Verarbeitungsverzeichnis geführt wird, Mitarbeiter die Personen bezogene Daten verarbeiten geschult und verpflichtet werden, dass die Verarbeitung nach den Grundsätzen der DSVGO erfolgt. Ein Recht auf löschen von Daten, Informationspflicht über die persönlichen vearbeitenden Daten. Bei der Datensicherheit werden Standartmasnahmen gefordert, wie z. B. Aktuelles Betriebsystem, Passwort Schutz, regelmäßige Backups, Antivirenschutz, Zugriffs- und Berechtigungskonzept, usw..

Hier einMuster für die Anforderungen der DSVGO FÜR kleine Arztpraxen

Sie müssen registriert sein, um Links zu sehen.

Hier ein Muster für ein Verarbeitungsverzeichniss:

Sie müssen registriert sein, um Links zu sehen.

Bei 3 Mitarbeiter ist kein Datenschutzbeauftragter notwendig, erst ab 10 Personen die ständig personenbezogene Daten verarbeiten muss ein Datenschutzbeauftragter benannt werden.

 

[HarryHase]

Das hätte für ein schöne Gäste-Wlan gereicht

 

[axel]

Noch ein Tipp:

Openmediavault auf HP Proliant Würfel (Gen10).

Domänencontroller, Gateway, Proxy, Backup, Dateiserver, Firewall- fertig. Debian Basis.

Das wären auch die 1000€ gewesen, keine Lizenzen erforderlich.

1-2 USB Platten dran (oder Gdrive etc.), Fertig.

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[conga]

gmail als E-Mail könnte Problematisch werden, wenn personenbezogene Daten übermittelt und verarbeitet werden, da Google personenbezogene Daten im Auftrag verarbeitet. Sobald ein Unternehmen Daten im Auftrag bearbeitet ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich. So ein Vertrag kann mit Google nicht abgeschlossen werden.

Wobei zu überlegen ist, ob man Patienten Daten ohne Verschlüsselung durch die die Gegend sendet ;-)