Cyberversicherung Zahnarzt-Praxis

Identitätsraub sowie Hackerangriffe und Datendiebstahl-Delikte sind seit Jahren auf dem Vormarsch. Die in den letzten Jahren bereits zu beobachtenden Eigenschäden und die Reputationsschäden durch Vertrauensverlust der Patienten sind enorm. Die Gefahr, die hiervon ausgeht, wird vor allem auch von Praxisinhabern noch stark unterschätzt. 

Ohne einen Computer kommen selbst kleinere Zahnarztpraxen nicht mehr aus. Je abhängiger eine Praxis von der Technik ist, desto gravierender können die Folgen eines Hackerangriffs sein. Legt ein Virus die IT für längere Zeit lahm, steht im schlimmsten Fall Ihre Existenz auf dem Spiel.

Als Zahnarzt, und damit als Unternehmer, trifft Sie eine besondere Verantwortung bei der Sicherung der Daten und IT-Systeme in Ihrer Praxis. Neben gefährdeten Adress-, Bank- und Gesundheitsdaten stellen Cyberangriffe für jede computergesteuerte Technik eine Bedrohung dar und können sogar eine Betriebsunterbrechung zur Folge haben. Ärger kann auch entstehen, wenn ein Tool zur Online-Terminierung gehackt oder manipuliert wird. 

Schutz vor Cyberangriffen auch für Zahnärzte wichtig


Auch wenn es in Zahnarztpraxen "nur" um Erkrankungen rund um den Mund geht, müssen die Gesundheitsdaten der Patienten geschützt werden. Alle Patientendaten sind nach den Regeln der EU-Datenschutz-Grundverordnung (DSGVO) zu schützen, egal, ob in Krankenhäusern oder Arztpraxen jeglicher Art und bei Verstößen werden hinsichtlich der Strafmaße ebenfalls keine Unterschiede gemacht. Also gilt auch in Bezug auf IT-Sicherheit und Datenaustausch das für Zahnärzte typische Motto: „Vorsorge ist besser als bohren.“ Bislang wurde die Bedeutung der DSGVO im Alltag der Zahnarztpraxen häufig unterschätzt, aber noch ist das Kind auch (hoffentlich) nicht in den Brunnen gefallen - Zahnärzte sollten sich durch sinnvolle Daten- und IT-Schutzmaßnahmen so gut wie möglich absichern und verbleibende Restrisiken adäquat versichern.

Auch wenn es nur um eine Zahnschiene geht …


… gehört der Schutz von weniger brisanten Patientendaten für den Zahnarzt ebenfalls zum Pflichtprogramm. Hierbei geht es nicht nur um den allgemeinen Datenschutz, dem in Heilberufen tätige Personen und Einrichtungen unterliegen, sondern auch um den Schutz von Patientendaten im Rahmen von Datenaustauschaktionen mit zahntechnischen Laboren und Auftragsdaten Verarbeitern. Darüber hinaus dürfen die Risiken, die von der sogenannten „72-Stunden-Regel“ ausgehen, nicht unbeachtet bleiben, denn diese kann für die Gesundheitsbranche zum unterschätzten Problem werden.

Besonders brisante Daten erfordern besondere Regeln


Persönliche Daten sowie Finanz – und Gesundheitsdaten gelten im Rahmen der DSGVO als besonders schützenswert und unterliegen daher im Fall von Datenrechtsverstößen speziellen Regeln. Diese wirken sich auch auf die beteiligten Auftragsdaten Verarbeiter aus, denn Praxis-Inhaber müssen auch gewährleisten, dass die Daten dort hinsichtlich Verarbeitung, Aufbewahrung und Übertragung ebenfalls in sicheren Händen sind. Damit ist der Datenschutz heutzutage auch in der Zahnarztpraxis absolute Chefsache und Verträge mit externen Laboren und anderen Auftragsdaten-Verarbeitern müssen in Bezug auf bestimmte Aspekte eine klare Definition der Umsetzung beinhalten.

Eine dieser besonderen Regeln für den Umgang mit brisanten Daten ist nun die sogenannte „72-Stunden-Regel“, die Zahnarztpraxen oftmals vor kaum erfüllbare Herausforderungen stellt. Nach dieser Klausel sind Zahnärzte und Zahnärztinnen verpflichtet, innerhalb von 72 Stunden ab der Erkenntnis, dass Daten verloren gegangen oder von nicht zugriffsberechtigten fremden Personen gestohlen wurden, in drei Schritten vorzugehen. Zunächst muss der Datenverlust fachlich korrekt festgestellt, dokumentiert und abgestellt werden. Und hier geht es schon los mit den Problemen … 

Zunächst muss ermittelt werden, welcher Fachmann das dazu erforderliche Know-how hat – in der Regel trifft das auf einen IT-Forensiker zu – und wo dieser schnellstmöglich aufzutreiben ist. Das alleine kostet schon jede Menge Zeit.

Im zweiten Schritt müssen Art und Ausmaß des erfolgten Verstoßes an die zuständigen Adressaten gemeldet werden. Auch das ist nicht so einfach, denn in der betroffenen Zahnarztpraxis müssten die in der Meldung einzuhaltende Form und die dafür geforderten Inhalte bekannt sein. Darüber hinaus stellt sich die Frage, wo man auf die Schnelle eine Liste mit den Adressaten, an die eine Meldung rausgehen muss, herbekommt. Oft muss auch hier erst zeitaufwendig recherchiert werden.

Der dritte Schritt ist sicher der unangenehmste und schwierigste, denn es gilt, alle betroffenen Patienten und Patientinnen innerhalb der Frist schriftlich über den Datenverlust in Kenntnis zu setzen. Es muss also zunächst überprüft werden, welche Personen tatsächlich zu den Betroffenen gehören und sind die persönlichen Daten samt Adressen weg, geht auch hier das Recherchieren los. Das jeweilige Anschreiben ist zu erstellen und eventuell folgende Anfragen der Patienten müssen beantwortet werden. Es ist also nach Bemerken des Datenverlustes jede Menge zu erledigen und das alles innerhalb 72 Stunden. Hier stößt so mancher Praxis-Inhaber an seine Grenzen.

Ist die Frist erst einmal verstrichen …


… wird es für den Praxis-Inhaber problematisch, denn die DSGVO besteht darauf, dass alles in 72 Stunden erledigt sein muss. Geschieht der Datenverlust an einem Wochenende, gibt es dennoch keinen Aufschub – Gesetz ist Gesetz und das macht auch keinen Halt vor Sonn- und Feiertagen. Es ist selbst an normalen Werktagen schon schwierig, alle drei Kriterien zu erfüllen, sodass Zahnarztpraxen an der Lösung des Problems innerhalb der gesetzten Frist häufig scheitern. Doch was passiert denn nun, wenn genau dieser Fall eintritt?

Es besteht der Tatbestand einer Ordnungswidrigkeit, der zum Leidwesen der betroffenen Praxis-Inhaber automatisch zum Straftatbestand und entsprechend von der Staatsanwaltschaft verfolgt wird.

Maßnahmen zur Lösung des „72-Stunden-Regel“ Problems


Die „72-Stunden-Regel“ stellt also für Zahnärzte und Zahnärztinnen ein ernst zu nehmendes Problem dar, das gelöst werden muss. Dazu sind allerdings verschiedene Maßnahmen wie die Einhaltung von technischen Mindestanforderungen an die Datensicherheit, die genaue Definition des individuellen Datenverlustrisikos und das Vorhandensein der erforderlichen Dokumente aus dem Qualitätsmanagement erforderlich. In größeren Zahnarztpraxen mit mindestens zehn Mitarbeitern muss es sogar einen ausgebildeten Datenschutzbeauftragten geben. Sind diese Kriterien erfüllt, kann das verbleibende Restrisiko ermittelt und eine entsprechende Cyber-Versicherung abgeschlossen werden, die den zahnärztlichen Bedürfnissen entspricht und im Schadensfall die Abwicklung aller im Rahmen der DSGVO anfallenden Pflichtaufgaben innerhalb von 72 Stunden gewährleistet.

Sicherheitssoftware ist wichtig, aber nicht ausreichend


Auch eine (vermeintlich) gute Verteidigungsstrategie gegen Cyberangriffe ersetzt keine Cyberversicherung. In jedem Jahr werden mehrere Millionen Internetseiten mit webbasierter Schadsoftware neu infiziert. Täglich werden mehrere Tausend neue Trojaner entwickelt. Bereits einer hiervon kann ausreichen, um Ihre Praxis still zu legen und / oder Ihre Reputation zu schädigen.

Inzwischen sind Trojaner und Würmer so intelligent und dynamisch programmiert, dass sie unbemerkt in Systeme eindringen und über längere Zeiträume dort ihre Aufgaben erfüllen. Mitunter werden sie erst nach einem Jahr oder später entdeckt und können bis dahin Ihr Netzwerk oder Ihr System unbemerkt ausspähen.  

Kein Schutz über Elektronik- und Praxisinventarversicherung


Elektronik- und Praxisinventarversicherungen allein helfen Ihnen beim Verlust von Datenbeständen nach einem Cyberangriff nicht weiter. Denn lediglich die Wiederherstellung von Datenträgern wie einer Festplatte ist nach einem Sachschaden über die Praxisinventarversicherung gedeckt.

Nicht versichert sind über eine Elektronikversicherung in der Regel Schäden, die durch Löschen oder Ändern von Daten, insbesondere durch Computerviren, verursacht werden. Ebenso nicht über die Elektronikversicherung abgedeckt ist ein Ertragsausfall, der entsteht, weil Ihnen zur Wiederherstellung der zerstörten Daten oder Programme nicht rechtzeitig genügend Kapital zur Verfügung steht.  

In diesen Fällen kann jedoch eine leistungsstarke Cyberversicherung helfen. 

Leistungen einer Cyberversicherung


Eine Cyberversicherung schützt Sie vor den gerechtfertigten Haftpflichtansprüchen, die aus dem Missbrauch der Daten, die in Ihrer Praxis gespeichert waren, entstanden sind. Dabei sind Entschädigungszahlungen bis zu Höhe des entstandenen Schadens, maximal jedoch bis zur Höhe des vertraglich vereinbarten Deckungssummen gedeckt. Für bestimmte Risiken gelten gegebenenfalls separat festgelegte Deckungssummen. 

Abgedeckt können über eine Cyberversicherung auch Eigenschäden. Weitere Bestandteile können Reputationsschäden, Benachrichtigungskosten oder besipielsweise Kreditkarten-Monitoring sein, wobei sich die Tarife teils erheblich in ihren versicherten Leistungen unterscheiden. Eine Beratung durch einen spezialisierten Makler tut deshalb Not!

Frühzeitige Absicherung ist entscheidend


Warten Sie mit dem Abschluss einer Cyberversicherung nicht bis der erste Schadensfall eingetreten ist. Neben der Problematik, dass Sie für diesen keine Leistungen erhalten, müssten Sie auch damit rechnen, dass Sie auf mehrere Jahre hinaus keine Cyberversicherung werden abschließen können. Denn im Rahmen eines Versicherungsvertrages wird auch nach eingetretenen, auch unversicherten, Schäden der letzten Jahre gefragt!

Beratung zur Praxisversicherung Zahnarzt vereinbaren


Die Leistungsunterschiede der Tarife am Markt sind beträchtlich und es gilt einige Fallstricke zu vermeiden. Nutzen Sie meine Expertise und fragen Sie über nachfolgenden Button eine Beratung zur Cyberversicherung an.

Markus Fischer hat 4,77 von 5 Sternen | 67 Bewertungen auf ProvenExpert.com