Browser-Anwendung und Serverbetrieb

[teddyid]

Ich wurde kürzlich von einem Arzt beauftragt, eine browserfähige PHP Anwendung zu erstellen. Mit der Anwendung sollen Patientendaten erfasst, verarbeitet und gespeichert werden. Auf was muss ich grundsätzlich achten? Welchen Anforderungen muss der Server genügen? Macht es Sinn einen Server im (EU)Ausland zu mieten? Wer haftet für Datenverlust oder sonstige Schäden? Der Auftraggeber hat keine Ahnung von PC's und Servern. Soll ich den Server selber registrieren und verwalten und welche rechtlichen Konsequenzen hat das? Wie sieht das Ganze datenschutzrechtlich aus?

[mumpel]

Hallo!

Wenn Du selber keine Anung hast solltest Du es lassen. Oder besser einen Fachanwalt konsultieren. Ohne Lasten- und Pflichtenheft sollte man soetwas nicht machen. Sonst kannst Du rechtlich gewaltig auf die Nase fallen. Spezialisierte Web******er sind da besser.

Gruß, René

[mumpel]

Noch eine kleine Anmerkung:
Patientendaten haben im Internet nichts zu suchen. Der Server sollte in der Arztpraxis stehen und nicht über das Internet (www) erreichbar sein. Denn die Gefahr dass der Server gehackt wird ist extrem hoch (97% und höher). Wenn schon ein externer Server dann nur über eine abgeschirmte Leitung losgelöst vom Internet. Sonst habt ihr ganz schnell schlechte Karten, besonders wenn der Server gehackt wird.

[teddyid]

Hallo!

Wenn Du selber keine Anung hast solltest Du es lassen. Oder besser einen Fachanwalt konsultieren. Ohne Lasten- und Pflichtenheft sollte man soetwas nicht machen. Sonst kannst Du rechtlich gewaltig auf die Nase fallen. Spezialisierte Web******er sind da besser.

Gruß, René

Wer überprüft denn, ob bei einer Anwendung ein Lasten- und Pflichtenheft vorhanden ist? Wer kann die Umsetzung prüfen? Wer kann eine Software zertifizieren? Was bedeutet auf die Nase fallen und warum?

[teddyid]

Noch eine kleine Anmerkung:
Patientendaten haben im Internet nichts zu suchen. Der Server sollte in der Arztpraxis stehen und nicht über das Internet (www) erreichbar sein. Denn die Gefahr dass der Server gehackt wird ist extrem hoch (97% und höher). Wenn schon ein externer Server dann nur über eine abgeschirmte Leitung losgelöst vom Internet. Sonst habt ihr ganz schnell schlechte Karten, besonders wenn der Server gehackt wird.

Wo finde ich einen Hinweis darauf, dass Patientendaten nicht im Internet gespeichert werden dürfen? Internet bedeutet doch nicht persee dass die Daten für jedermann sichtbar sind. Warum kann der Server nicht z.B. in Irland stehen? Was spricht dagegen? Wer kommt zu dem Ergebnis, dass mindestens 97% der Server gehackt werden? Wie machen das eigentlich Banken mit der abgeschirmten Leitung, wenn ich über meinen Laptop Bankgeschäfte abwickle?

[mumpel]

[...] Wer überprüft denn [...]

Niemand. Denn es gibt keine gesetzliche Verpflichtung dazu. Aber seriöse Webagenturen machen das so. Dann haben sie hinterher keine Scherereien mit dem Auftraggeber. Der Auftraggeber kann dann hinterher nicht sagen "das war nicht vereinbart" oder "du hast nur die Hälfte vom Auftrag erledigt".

[mumpel]

[...] Wo finde ich einen Hinweis darauf, dass Patientendaten nicht im Internet gespeichert werden dürfen? [...]

Steht schon irgendwo dass Patientenakten besonderen Schutz bedürfen.

[...] dass die Daten für jedermann sichtbar sind [...]

Für einen Hacker sind alle Daten sichtbar.

[...] Warum kann der Server nicht z.B. in Irland stehen [...]

Wenn der Server für niemanden sichtbar ist und nur der Arzt darauf Zugriff hat...

[...] mit der abgeschirmten Leitung [...]

Die machen das mit https. Aber auch https ist inzwischen nicht mehr sicher. Und Du solltest mal die richtigen Informationen lesen. Es wurden schon Banken gehackt.

[...] dass mindestens 97% der Server gehackt werden [...]

Ich schrieb dass die Gefahr besteht dass der Server gehackt werden kann. Nur weil es nirgens Statistiken gibt heisst das nicht dass die Zahl (Dunkelziffer) nicht so hoch ist.


Auf jeden Fall sollte das sehr sorgfältig und sauber programmiert werden. Keine 08/15-Hausmannsprogrammierung.
Aber wie bereits erwähnt ist der Gang zum Rechtsanwalt unausweichlich. Gerade bei solch sensiblen Themen.

[TomRohwer]

Ich wurde kürzlich von einem Arzt beauftragt, eine browserfähige PHP Anwendung zu erstellen. Mit der Anwendung sollen Patientendaten erfasst, verarbeitet und gespeichert werden. Auf was muss ich grundsätzlich achten? Welchen Anforderungen muss der Server genügen? Macht es Sinn einen Server im (EU)Ausland zu mieten?

Patientendaten dürfen etwas vereinfacht gesagt die Arztpraxis grundsätzlich nicht verlassen. (Ausgenommen die Fälle, die vom Gesetz vorgesehen sind, also z.B. zwecks Abrechnung mit der KV, der BG usw. sowie bei ausdrücklicher vorheriger Einwilligung des Patienten.)

Alles andere wäre ein strafbarer Verstoß gegen die Schweigepflicht.

Patientendaten dürfen auch nur für den Arzt und seine Mitarbeiter überhaupt zugänglich sein.

Wie sieht das Ganze datenschutzrechtlich aus?

Es ist entweder strikt verboten oder zumindest rechtlich hochgradig problematisch. Es betrifft übrigens nicht nur das Datenschutzrecht, sondern auch das Strafrecht (§203 StGB), welches die Schweigepflicht von Ärzten und ihren Mitarbeitern regelt.

Für Arztpraxen gibt es Arztsoftware, die sowohl zur Führung einer digitalen Patientenakte als auch für die Abrechnung mit den Leistungsträgern und bei Bedarf auch für die Erstellung von Rechnungen nach GOÄ dient.

Eine Erfassung und Verarbeitung der Patienendaten ohne gleichzeitige Funktion zur entsprechenden Abrechnung macht herzlich wenig Sinn bzw. Doppelarbeit - der Arzt sollte das eigentlich wissen. Wenn nicht: dafür gibt es Fortbildungsveranstaltungen.

[TomRohwer]

Wo finde ich einen Hinweis darauf, dass Patientendaten nicht im Internet gespeichert werden dürfen?

§203 StGB. Der Arzt darf sie nicht an Dritte weitergeben, ausgenommen in den gesetzlich vorgesehenen Fällen. Er muß jederzeit die volle Kontrolle über die Daten und den Zugriff darauf haben, und das hat er nicht, wenn sie auf einem Webserver liegen, an den Dritte herankönnen.