Patientendaten unterliegen den strengsten Datenschutzanforderungen des deutschen Rechts. Wir prüfen Ihre IT-Infrastruktur systematisch und zeigen Ihnen, wo Handlungsbedarf besteht.
Es ist ein Dienstagmorgen. Die Praxis ist voll besetzt, das Team arbeitet konzentriert. Dann kommt eine Anfrage der Landesbeauftragten für Datenschutz. Sie möchten wissen, wie Ihre Praxis mit Patientendaten umgeht.
Für viele Arztpraxen ist dieser Moment mit erheblicher Unsicherheit verbunden. Nicht weil etwas falsch läuft, sondern weil die eigene IT-Infrastruktur nie systematisch unter datenschutzrechtlichen Gesichtspunkten geprüft wurde. Gewachsene Systemlandschaften, unterschiedliche Softwarelösungen, externe Dienstleister mit Datenzugang: Komplexität entsteht oft stillschweigend.
Genau hier setzt unsere Arbeit an. Nicht als Reaktion auf einen Vorfall, sondern als präventive Standortbestimmung.
Ein IT-Sicherheitsaudit für medizinische Einrichtungen ist kein standardisierter Prozess von der Stange. Jede Praxis hat eine eigene Geschichte, eigene Systeme, eigene Schwachstellen.
Wir erfassen Ihre gesamte Netzwerkarchitektur: Router, Switches, WLAN-Zugangspunkte, Segmentierung zwischen Praxis- und Verwaltungsnetz. Offene Ports, veraltete Firmware, unzureichende Verschlüsselung: Diese Punkte werden systematisch identifiziert und in einem strukturierten Bericht festgehalten.
KIS-Systeme, elektronische Patientenakte, Abrechnungssoftware: Wie werden Daten gespeichert, verschlüsselt und gesichert? Wir prüfen Zugriffskontrollen, Protokollierung und Backup-Konzepte.
Externe IT-Dienstleister, Cloud-Anbieter, Abrechnungszentren: Jeder Dritte mit Zugang zu Patientendaten erfordert einen rechtssicheren AVV. Wir prüfen, ob alle erforderlichen Verträge vorliegen und inhaltlich den Anforderungen der DSGVO entsprechen.
Technische Sicherheit allein reicht nicht. Wir analysieren Berechtigungskonzepte, Schulungsstand der Mitarbeitenden und dokumentierte Prozesse für Sicherheitsvorfälle. Der menschliche Faktor ist in vielen Praxen die größte Lücke.
Das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, technische und organisatorische Maßnahmen nach Art. 32 DSGVO: Wir prüfen, ob Ihre Dokumentation vollständig, aktuell und nachweisbar ist.
Jeder Audit endet mit einem strukturierten Prüfbericht. Klar, priorisiert, handlungsorientiert. Kein technisches Fachjargon ohne Erklärung. Sie erhalten ein Dokument, das Sie verstehen und mit dem Sie arbeiten können.
Allgemeine IT-Sicherheitsberater kennen Netzwerke. Wir kennen Netzwerke und die spezifischen Anforderungen des deutschen Gesundheitswesens.
Unsere Prüfmethodik berücksichtigt die KBV-Technischen Anlagen, die BSI-Grundschutz-Profile für Arztpraxen sowie die spezifischen Anforderungen der ärztlichen Schweigepflicht nach §203 StGB.
Wir prüfen vor Ort und remote. Kein theoretisches Fragebogenverfahren, sondern direkte technische Analyse Ihrer tatsächlichen Infrastruktur.
Nicht jede Lücke ist gleich kritisch. Unser Bericht unterscheidet zwischen unmittelbarem Handlungsbedarf, mittelfristigen Maßnahmen und optionalen Verbesserungen.
Der Abschlussbericht dient als Nachweis gegenüber Datenschutzbehörden, Kassenärztlichen Vereinigungen und im Rahmen von Zertifizierungsverfahren.
Alle Prüftätigkeiten und Ergebnisse unterliegen strikter Vertraulichkeit. Wir schließen zu Beginn jedes Mandats eine Vertraulichkeitsvereinbarung ab.
Ein strukturierter Prozess, der Ihre Praxis so wenig wie möglich belastet und so viel wie nötig prüft.
Im ersten Gespräch erfassen wir Ihre Praxisstruktur, die eingesetzten Systeme und Ihre konkreten Fragen. Kein Formular, sondern ein offenes Gespräch unter Fachleuten.
Wir führen die technische Prüfung direkt in Ihrer Praxis durch. Netzwerk-Scanning, Systemkonfigurationen, Zugriffsrechte: Alles wird systematisch dokumentiert. Der Praxisbetrieb wird dabei nicht unterbrochen.
Parallel zur technischen Analyse prüfen wir Ihre vorhandene Datenschutzdokumentation. Verarbeitungsverzeichnisse, AVV-Verträge, Datenschutzrichtlinien: Vollständigkeit und Aktualität werden bewertet.
Die Ergebnisse werden in einem strukturierten Prüfbericht zusammengefasst. Jeder Befund wird beschrieben, bewertet und mit einer konkreten Empfehlung versehen. Der Bericht ist für Nicht-Techniker verständlich geschrieben.
Wir stellen Ihnen den Bericht persönlich vor und beantworten Ihre Fragen. Sie erhalten ein vollständiges Bild Ihrer Sicherheitslage und wissen genau, welche nächsten Schritte sinnvoll sind.
Der Schutz von Patientendaten ist in Deutschland durch ein vielschichtiges Regelwerk gesichert. Ein Audit muss alle relevanten Ebenen berücksichtigen.
Arztpraxen bewegen sich gleichzeitig im Anwendungsbereich der DSGVO, des Bundesdatenschutzgesetzes, der Musterberufsordnung für Ärzte und der technischen Anforderungen der KBV. Diese Ebenen sind nicht immer deckungsgleich.
Unsere Prüfmethodik ist so aufgebaut, dass alle einschlägigen Anforderungen systematisch abgedeckt werden. Kein Regelwerk wird isoliert betrachtet, sondern das Zusammenspiel aller relevanten Vorschriften geprüft.
Art. 5, 24, 25, 32 DSGVO: Grundsätze, Verantwortlichkeit, Privacy by Design, technische Maßnahmen
Bundesdatenschutzgesetz in der aktuellen Fassung, insbesondere Betroffenenrechte und betriebliche Datenschutzbeauftragte
Technische Anlage zur Vereinbarung zur IT-Sicherheit in der vertragsärztlichen und -psychotherapeutischen Versorgung
Relevante Bausteine des BSI IT-Grundschutzes für Arztpraxen und Gesundheitsdienstleister
Ärztliche Schweigepflicht und deren Auswirkungen auf IT-Dienstleisterverträge und Datenzugang Dritter
Niedergelassene Ärztinnen und Ärzte, die ihre IT-Infrastruktur erstmals strukturiert prüfen lassen möchten oder nach einem Systemwechsel den Ist-Zustand dokumentieren wollen.
Medizinische Versorgungszentren und Gemeinschaftspraxen mit komplexeren Netzwerkstrukturen, mehreren Standorten und einer Vielzahl von Mitarbeitenden mit unterschiedlichen Zugriffsrechten.
Medizinische Einrichtungen unterhalb der Schwelle zum Krankenhaus: Tageskliniken, ambulante Operationszentren, Pflegeeinrichtungen mit elektronischer Dokumentation.
Zahnarztpraxen, Physiotherapeuten, Psychotherapeuten und andere Heilberufsgruppen, die ebenfalls unter die strengen Datenschutzanforderungen für Gesundheitsdaten fallen.
Ein erster Austausch kostet nichts und klärt vieles. Beschreiben Sie kurz Ihre Situation und wir melden uns bei Ihnen, um den nächsten Schritt zu besprechen.