In einer Pressemitteilung hat das Bayerische Landesamt für Datenschutzaufsicht darauf aufmerksam gemacht, dass Sie nun Datenschutzprüfungen bei Unternehmen durchführt.
Eine der ersten Verantwortlichen, bei denen eine Prüfung durchgeführt wird, sind Arztpraxen. Dort werden mit Hilfe eines "Fragebogen Verschlüsselungstrojaner (Ransomware) in Arztpraxen" folgende Aspekte abgefragt:
- Führen Sie regelmäßige automatisierte Backups Ihrer Patientendaten durch?
- Mit welcher Software führen Sie die automatisierten Backups durch?
- Auf welchen Speichermedien werden die Backups gespeichert?
- Welchen Virenscanner setzen Sie ein?
- Testen Sie regelmäßig (z.B. 1x/Jahr) das Zurückspielen von Backupdaten?
- Ist das Praxisverwaltungssystem (PVS) an das Internet angeschlossen?
- Befinden sich an das Internet angeschlossene (Recherche-)Rechner in anderen Netzsegmenten als das Praxisverwaltungssystem?
- Sind Netzlaufwerke mit relevanten Patientendaten mit Rechnern verbunden, die an das Internet angeschlossen sind?
- Wurden Awareness-Schulungen durchgeführt, die Internetbedrohungen (z.B. Schadcode, Phishing,...) zum Inhalt hatten?
- Ist bekannt, dass bei einem erfolgreichen Angriff durch einen Verschlüsselungstrojaner eine Meldung beim Bayerischen Landesamt für Datenschutzaufsicht durchgeführt werden muss?
Antworten auf diese und weitere datenschutzrechtliche und informationssicherheitstechnische Fragen müssen individuell erörtert und abgegeben werden. Gerne unterstütze ich Sie dabei.
Weitere Prüfungen durch die Bayerische Aufsichtsbehörde laufen gerade bzw. stehen derzeit aus:
- Umgang der Verantwortlichen mit personenbezogenen Daten von Bewerberinnen und Bewerbern
- Prüfkatalog Rechenschaftspflicht
- Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen
- Löschen von Daten bei ERP-Systemen (SAP)
- Datenschutzverletzungen bei (Unter-)Auftragverarbeitern
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter,
Datenschutz und Informationssicherheit
Aachen