Radiologen verarbeiten durch MRT, CT, Röntgen und Mammografie täglich erhebliche Mengen medizinischer Bilddaten. Das PACS-System ist das Herzstück der radiologischen Praxis und gleichzeitig eine der datenschutzrechtlich sensibelsten IT-Infrastrukturen im Gesundheitswesen. Datenpannen in radiologischen Praxen können tausende Patientendatensätze betreffen.
Das Wichtigste in Kürze
- PACS-System als zentrales DSGVO-Risiko: Das Bildarchivierungssystem enthält die komplette Bildgebungshistorie aller Patienten und muss mit höchsten Sicherheitsstandards betrieben werden.
- Teleradiologie datenschutzkonform gestalten: Die externe Befundung über Teleradiologie-Plattformen erfordert verschlüsselte Übertragungen und Auftragsverarbeitungsverträge.
- Mammografiedaten besonders schützen: Mammografien als Teil des Krebsvorsorge-Screenings unterliegen besonderer Sensibilität und strengen Datenschutzanforderungen.
Datenschutz (DSGVO) speziell für Radiologen
Radiologische Praxen sind durch ihr Bildarchivierungssystem (PACS) in besonderer Weise DSGVO-relevant: Das PACS enthält nicht selten die Bildgebungshistorie von zehntausenden Patienten über viele Jahre. Ein erfolgreicher Cyberangriff auf eine radiologische Praxis kann eine Datenpanne mit tausenden Betroffenen auslösen, die innerhalb von 72 Stunden der Datenschutzaufsichtsbehörde gemeldet werden muss. Die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO müssen für radiologische Praxen besonders sorgfältig umgesetzt sein.
Teleradiologie hat in der Radiologie erheblich an Bedeutung gewonnen: Befundungen werden an externe Radiologen ausgelagert, Bilder über verschlüsselte Verbindungen übertragen und Berichte digital zurückgeleitet. Jeder dieser Schritte muss auf einer rechtswirksamen DSGVO-Grundlage basieren; Teleradiologie-Plattformbetreiber sind in der Regel Auftragsverarbeiter.
Worauf Radiologen besonders achten sollten
Radiologen sollten ihr PACS-System regelmäßig auf Sicherheitsupdates und DSGVO-Konformität prüfen, insbesondere wenn es sich um ältere Systeme handelt. Außerdem sollten für alle Teleradiologie-Kooperationen rechtswirksame Auftragsverarbeitungsverträge bestehen. Ärzteversichert empfiehlt radiologischen Praxen dringend den Abschluss einer Cyber-Versicherung: Angesichts der Datenmenge und der Sensibilität der Befunde ist eine radiologische Praxis ohne Cyber-Schutz ein erhebliches unversichertes Risiko.
Für das Mammografie-Screening sollte sichergestellt werden, dass die Daten den besonders strengen Datenschutzanforderungen des Krebsvorsorge-Screenings entsprechen und nur an berechtigte Stellen weitergeleitet werden.
Typische Fehler bei Radiologen
Ein häufiger Fehler ist die unzureichende Netzwerksegmentierung zwischen PACS und dem allgemeinen Praxisnetzwerk; über das allgemeine Netzwerk eingedrungene Ransomware kann so das gesamte Bildarchiv verschlüsseln. Ein zweiter Fehler ist das fehlende Backup-Konzept für das PACS: Ein Ransomware-Angriff ohne funktionierendes Backup kann die Praxis monatelang außer Betrieb setzen. Schließlich fehlen bei vielen radiologischen Praxen aktuelle Auftragsverarbeitungsverträge mit Teleradiologie-Plattformen.
Fazit
Radiologen müssen aufgrund der besonderen Datenmenge und der zentralen Bedeutung des PACS-Systems besonders sorgfältige technische und organisatorische DSGVO-Maßnahmen implementieren und durch eine Cyber-Versicherung absichern. Weitere Artikel finden Sie in der Blog-Übersicht.
Quellen und weiterführende Informationen
- Gesetze im Internet – DSGVO Art. 32
- Bundesgesundheitsministerium – Digitalisierung
- KBV – Kassenärztliche Bundesvereinigung
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →