Fragen und Antworten

Sicherheit

Cloud-Lösungen werden grundsätzlich vom GesundheitstelematikG anerkannt. Care01 im Speziellen ist im Rahmen der ELGA Regulierung zulässig. Care01 ist mit der Gesetzen des Gesundheitstelematikgesetz 2012 und Datenschutzgesetz 2000 konform.

Weitere Informationen zu den Themen finden Sie unter:
  • GTelG 2012: Gesundheitstelematikgesetz 2012 (https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20008120)
  • DSG 2000: Datenschutzgesetz 2000 (https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597)
Folgende Maßnahmen und Funktionen wurden umgesetzt um Ihnen höchste Sicherheit und Stabilität zu bieten:
  • Keine Speicherung des Passworts möglich.
  • Somit kann kein Unbefugter per Zufall sich im System anmelden oder zufällig auf die Daten zugreifen.
  • Das Passwort ist der Schlüssel zu allen Daten, daher ist hier besondere Vorsicht geboten!
  • Es wird die Passwortstärke geprüft.
  • Nur sichere Passwörter (länger als 7 Zeichen, Sonderzeichen, Groß- und Kleinschreibung) werden angenommen.
  • Das Konto wird für eine Zeit gesperrt falls das Passwort mehrfach falsch eingegeben wurde.
  • Eine Erinnerungsmail zum Erneuern des Passworts wird alle 6 Monate verschickt.
  • Multi Factor Authentication:
  • Es wird ein Code auf das Mobiltelefon des Benutzers geschickt, den er zur Anmeldung eingeben muss. Somit wird eine weitere Sicherheitsstufe aktiviert und es können sich nur Personen anmelden, die im Besitz des Mobiltelefons sind. Man kann sich auch den Code als Email verschicken lassen. Es wird aber empfohlen das Mobiltelefon zu verwenden.
  • Auto Logout: Wenn die Applikation eine Zeit lang (15, 30, 60 Minuten) nicht verwendet wurde wird der Benutzer automatisch abgemeldet.
  • Meldet sich der gleiche Benutzer an einem zweiten System an (z.B. anderer PC, Tablet, auch ein anderen Browser am gleichen PC) ist die erste Anmeldung ungültig und der Benutzer der ersten Session wird nach kurzer Zeit abgemeldet. D.h. falls der Benutzer vergessen hat sich am Gerät in der Ordination abzumelden, dann kann man sich dort abmelden, indem man sich auf einem anderen Gerät anmeldet.
  • Verschlüsselung der personenbezogenen Daten und der abgelegten Befunde.
  • Jede Praxis hat einen eigenen Schlüssel. Der Schlüssel ist wiederum mit dem Passwort verschlüsselt. Falls das Passwort vergessen wurde ist ein Zurücksetzen des Passworts über einen strikten Prozess und nur über autorisierte Support Teammitglieder möglich.
  • Für Helfer/innen können eigene User angelegt werden.
  • Das ist zum einen wichtig um rückverfolgen zu können wer welche Änderungen durchgeführt hat und wer wann am System angemeldet war.
  • Zum anderen können diese User gesperrt werden falls sie das System nicht mehr verwenden sollen. Nur Hauptuser können weitere User anlegen, d.h. es besteht nicht die Gefahr, dass Helfer weitere User Zugriffe auf das System gewähren.
  • Protokollierung jeder Anmeldung am System.
  • Es wird protokolliert wer sich wann von wo (IP, Systemumgebung) angemeldet hat.
  • Protokollierung der letzten Änderung eines Datensatzes
  • Trennung der Systeme:
  • Die gesamte Applikation und die Daten sind auf mehrere Serverfarmen aufgeteilt.
  • Vorteile einer solchen Aufteilung sind:
    – Angriffe auf ein System reichen nicht aus um die Daten lesen zu können.
    – Ausfälle eines Systems können rasch behoben werden.
    – Skalierbarkeit/Optimierung: Ressourcen können punktgenau eingesetzt werden.
    – Strikt getrennte Verantwortungen: Nur wenige Mitarbeiter haben Zugriff auf die Daten und die Business-Engine.
  • Datenspiegelung:
    Die Daten-Server werden auf weitere Server gespiegelt. Für den Fall, dass ein Server ausfällt, kann fast unbemerkt der zweite Server den Betrieb aufnehmen.
  • Backup:
    Tägliche Backups ermöglichen im Notfall das zurückspielen der Daten. Backupdaten werden auf einem getrennten Backupserver aufbewahrt.
Die eigene Umgebung kann durch ein paar einfache Maßnahmen besser gesichert werden. Anbei einige Vorkehrungen, die Sie treffen können:
  • Passwörter vor dem Zugriff unbefugter Dritter schützen.
  • Regelmäßige Änderung der Passwörter (alle 3-6 Monate).
  • Passwörter sollen länger als sieben Zeichen sein, nicht in Wörterbüchern vorkommen, sowie nicht aus Namen oder persönlichen Daten (z. B. Geburtsdatum) bestehen. Des Weiteren sollten auch Sonderzeichen (z. B. $, #, ?, *, &) und/oder Ziffern enthalten sein.
  • Multi-Factor-Authentication Option aktivieren. Somit wird eine weitere Sicherheitsstufe aktiviert und es können sich nur Personen anmelden, die im Besitz des Mobiltelefons sind.
  • Eigene Geräte verwenden (keine öffentliche Geräte oder die von Freunden, Verwandten oder Kollegen)
  • Geräte (PC, Tablet) sollen durch Passwort oder PIN geschützt sein und sich automatisch nach 5 Minuten sperren.
  • Festplatte verschlüsseln
  • Unterschiedliche Benutzerprofile am Gerät einrichten falls mehrere Personen das gleiche Gerät verwenden.
  • Weitere User anlegen falls weitere Personen auf die Daten zugreifen soll (z.B. HelferInnen oder eine Vertretung)
  • Anti-Virus & Anti-Malware installieren
  • Regelmäßige Updates der Systeme: Web-Browser, Betriebssystem, Virenschutzprogramme und E-Mail-Programme
  • Gesichertes WLAN verwenden: WPA/WPA2
  • Lokale Daten löschen vor der Entsorgung oder Reparatur der Geräte: Falls das Gerät weitergegeben (verkauft, verliehen oder nur zur Reparatur gebracht) wird, ist empfohlen den Browser Cache zu leeren. Wird das Gerät entsorgt ist eine vollständige Löschung von Datenträgern empfohlen.
Bei Multi Factor Authentication sind mindestens zwei Sicherheitsstufen notwendig um sich an einem System anzumelden. Hierbei wird meistens zum Passwort ein weiterer Sicherheitsschritt eingeführt. Dieser Schritt kann die Abfrage eines weiteren Codes, eine Hardware oder ein Anruf sein. Bei Care01 wird zusätzlich zum Passwort die Option angeboten einen vom System generierten Zufallscode anzugeben. Dieser Code wird wird wahlweise per SMS oder E-Mail verschickt und muss zur Anmeldung angegeben werden. Das heißt auch falls Ihr Passwort in die falschen Hände geraten ist, sind Ihre Daten weiterhin geschützt. Des Weiteren ist die Nachricht, die Sie bei jeder Anmeldung erhalten ein Indikator dafür, dass sich jemand mit Ihren Benutzerdaten an Care01 anmelden versucht. Für den Fall sollten Sie Ihr Passwort sofort ändern.