1Fragen 2

20 kurze Fragen — pro Frage Ja, Nein oder Unsicher. Tippen Sie auf „Hilfe / Hinweis“ für Erklärungen.

Sicherheit

  • Nutzen Sie einen Passwort-Manager für Ihre Praxis-Mitarbeiter?

    Hilfe / Hinweis
    Z. B. BitWarden, LastPass, 1Password. Fragen Sie Ihre IT-Betreuung oder schauen Sie in den verwendeten Tools nach.

  • Müssen sich Mitarbeiter beim Login zusätzlich zum Passwort mit einem zweiten Schritt bestätigen (z. B. Code aufs Handy)?

    Hilfe / Hinweis
    Im Fachjargon „2-Faktor-Authentifizierung” oder „MFA”. Beim Login kommt nach dem Passwort ein Code per SMS, App (z. B. Google Authenticator) oder Push-Bestätigung. Wenn das beim Praxisverwaltungssystem UND bei E-Mail UND wichtigen Logins greift → Ja. Wenn nur teilweise → Unsicher.

  • Werden Ihre Systeme regelmäßig aktualisiert (Windows, Praxisverwaltung, sonstige Software)?

    Hilfe / Hinweis
    Updates: Prüfen Sie, ob bei Ihnen regelmäßig Updates installiert werden (z. B. Windows Update läuft monatlich; das Praxisverwaltungssystem wird durch Ihren Anbieter aktualisiert).

  • Haben Sie einen Virenscanner / Antivirus auf den Praxis-Rechnern aktiv?

    Hilfe / Hinweis
    Antivirus: Windows Defender, McAfee, Norton, Kaspersky, etc. Prüfen Sie unter Windows-Sicherheit oder fragen Sie Ihre IT-Betreuung.

  • Wird Ihr Praxispersonal regelmäßig zu IT-Sicherheit geschult (Phishing, sichere Passwörter, Schweigepflicht im Mailverkehr)?

    Hilfe / Hinweis
    Trainings müssen nicht aufwendig sein — 30 Minuten pro Quartal zu „Wie erkenne ich Phishing-Mails?” und „Was darf ich per E-Mail verschicken?” reichen oft. Fragen Sie nach, ob das angeboten wird.

  • Können Patientenakten nur von angemeldeten Mitarbeitern eingesehen werden (kein Dauer-Login an einem offenen Rechner)?

    Hilfe / Hinweis
    Klassische Schwachstelle in Praxen: Ein Rechner an der Anmeldung läuft den ganzen Tag mit demselben Login, jeder im Vorbeigehen kann mitlesen. Besser: kurzes Bildschirmsperre-Intervall, jeder Mitarbeiter einen eigenen Login, beim Wechseln abmelden. Wenn das sauber gehandhabt wird → Ja. Wenn der Bildschirm den ganzen Tag offen ist → Nein.

  • Hatten Sie in den letzten 12 Monaten einen IT-Vorfall (Hack, Datenverlust, Ausfall des Praxisverwaltungssystems, Ransomware)?

    Hilfe / Hinweis
    Auch ein verlorener Praxis-Laptop, ein Phishing-Klick mit Folgen, oder ein Server-Ausfall mit Datenwiederherstellung zählt — nicht nur große Cyberangriffe.

Backups & Disaster Recovery

  • Werden Ihre Praxisdaten (Patientenakten, Abrechnung, Server) regelmäßig gesichert?

    Hilfe / Hinweis
    Prüfen Sie, ob tägliche/wöchentliche Sicherungen laufen. Fragen Sie Ihre IT-Betreuung oder den Anbieter des Praxisverwaltungssystems: „Wie oft werden unsere Daten gesichert?”

  • Wurde schon einmal ein Backup probeweise zurückgespielt — und hat es funktioniert?

    Hilfe / Hinweis
    Backup-Test: „Haben wir schon mal eine Datei oder einen Server aus dem Backup wiederhergestellt?” Wenn ja = gut. Wenn nein = das Backup könnte längst kaputt sein und niemand würde es merken, bis es zu spät ist.

  • Liegt mindestens eine Kopie der Praxisdaten außerhalb der Praxis (z. B. in einer Cloud oder auf einer Festplatte zu Hause)?

    Hilfe / Hinweis
    Worst-Case-Test: Wenn ein Wasserschaden, Brand, Einbruch oder Ransomware-Angriff die gesamte Praxis-IT trifft — sind die Backups dann WEG oder noch WOANDERS gesichert? Microsoft 365 / Google Workspace allein zählt nicht als Backup, das ist nur der Live-Speicher.

  • Wissen Sie konkret, was passiert, wenn morgen früh KEIN Computer in der Praxis funktioniert?

    Hilfe / Hinweis
    Im Fachjargon „Notfallplan” oder „Disaster-Recovery-Plan”. Stellen Sie sich vor: Stromausfall, Cyber-Angriff, Server kaputt — wer ruft wen an, in welcher Reihenfolge, mit welchen Telefonnummern? Können Sie ohne PVS noch Patienten empfangen (Papier-Rezept, händischer Termin-Kalender)? Wenn Sie klare Antworten haben → Ja. Wenn Sie improvisieren müssten → Nein.

  • Wissen Sie konkret in Stunden oder Tagen, wie lange es dauern würde, bis der Praxisbetrieb nach einem Totalausfall wieder läuft?

    Hilfe / Hinweis
    Im Fachjargon „RTO” (Recovery Time Objective). Stellen Sie sich vor: morgen früh ist die ganze Praxis-IT weg. Wann sind die Patientenakten wieder online? Wann läuft die Abrechnung wieder? Eine konkrete Zahl ist gut, auch wenn's eine Woche ist. „Weiß nicht” ist ehrlicher als ein erfundenes „2 Stunden” — beides → Unsicher.

Compliance & Datenschutz

  • Haben Sie eine Liste, in der drinsteht, welche Daten von Patienten, Mitarbeitern und Lieferanten Sie verarbeiten?

    Hilfe / Hinweis
    Im DSGVO-Sprech „Verzeichnis von Verarbeitungstätigkeiten” (VVT) — für Praxen Pflicht, sobald auch nur ein Mitarbeiter Patientendaten anfasst (also immer). Eine Excel-Tabelle reicht. Hauptsache, sie existiert und ist einigermaßen aktuell. Wenn nichts existiert → Nein.

  • Haben Sie mit JEDEM Anbieter, der Patientendaten verarbeitet (Praxisverwaltung, Cloud, Abrechnungsstelle, Steuerberater, IT-Dienstleister), einen unterschriebenen Datenschutz-Vertrag?

    Hilfe / Hinweis
    Im DSGVO-Sprech „AVV” oder „Auftragsverarbeitungsvertrag” (Art. 28). Microsoft, Google, Ihr PVS-Anbieter, die Abrechnungsstelle, der Steuerberater, Lohnbuchhaltung — alle, die personenbezogene Daten von Ihnen verarbeiten, brauchen einen. Wenn Sie Cloud-Tools ohne unterschriebenen Vertrag nutzen → Nein.

  • Holen Sie sich von jedem neuen Patienten eine schriftliche Einwilligung zur Datenverarbeitung (inkl. Hinweis auf die ärztliche Schweigepflicht)?

    Hilfe / Hinweis
    Standard-Praxisformular bei der Erstaufnahme: Patient unterschreibt, dass Sie seine Gesundheitsdaten erheben, speichern und im Rahmen der Behandlung an Labore, Fachärzte und Abrechnungsstellen weitergeben dürfen. Wenn das bei JEDEM neuen Patienten unterschrieben wird → Ja. Wenn das mal vergessen wird → Unsicher. Wenn es das Formular gar nicht gibt → Nein.

  • Haben Sie Dokumentation für Ihre IT-Prozesse?

    Hilfe / Hinweis
    Dokumentation: aufgeschriebene Prozesse? Z. B. „So wird ein neuer Mitarbeiter angelegt”, „So werden Daten gelöscht wenn jemand kündigt”, „So melde ich einen IT-Vorfall”.

  • Haben Sie eine Cyber-Versicherung (idealerweise mit Heilberufe- oder Praxis-Klausel)?

    Hilfe / Hinweis
    Cyber-Versicherung deckt Ransomware-Lösegelder, Wiederherstellungskosten und Datenschutz-Bußgelder. Versicherer verlangen meist MFA + Backup-Nachweise als Voraussetzung. Heilberufe-Tarife berücksichtigen zusätzlich die längeren Aufbewahrungsfristen für Patientenakten (10 Jahre) und höhere Datenschutz-Bußgelder bei Gesundheitsdaten.

IT-Infrastruktur

  • Werden Ihre Praxis-IT-Systeme proaktiv überwacht?

    Hilfe / Hinweis
    Monitoring: „Merken wir Probleme vorher oder erst wenn etwas kaputt ist?” Beispiel: Festplatte wird voll, Backup läuft nicht durch, Server-Lüfter macht Geräusche — wird das gemeldet, bevor der Praxisbetrieb stillsteht?

  • Bekommen Ihre Computer und Server automatisch Sicherheits-Updates — ohne dass jemand manuell etwas anstoßen muss?

    Hilfe / Hinweis
    Im Fachjargon „Patch-Management”. Manche Updates installiert Windows von selbst (gut). Andere muss ein IT-Admin manuell anstoßen — und werden vergessen. Wenn ein Tool oder Dienstleister automatisch ausrollt → Ja. Wenn nur Windows-Update läuft, der Rest wird ignoriert → Nein.

  • Nutzen Sie eine zentrale E-Mail-Lösung (z. B. Microsoft 365, Google Workspace) mit Spam- und Phishing-Schutz?

    Hilfe / Hinweis
    Microsoft 365 + Defender, Google Workspace, oder ein eigener Exchange/Postfix-Server. Wenn Sie Ihre E-Mails über einen dieser Anbieter haben → Ja. Wenn jeder Mitarbeiter sein privates GMX-Konto nutzt → Nein.

  • Werden Konnektor und Praxisverwaltungssystem regelmäßig durch Ihren Anbieter gewartet und auf dem aktuellen Stand gehalten?

    Hilfe / Hinweis
    Konnektor = die Box, die Ihre Praxis mit der Telematik-Infrastruktur (TI) verbindet — für eRezept, eAU, ePA, KIM-Mail. Wenn der Konnektor und das Praxisverwaltungssystem regelmäßige Wartungsverträge mit Ihrem Anbieter haben → Ja. Wenn niemand verbindlich sagen kann, wann das zuletzt aktualisiert wurde → Unsicher.

  • Wissen Sie, wer Ihre Praxis-Firewall wartet und wann sie zuletzt aktualisiert wurde?

    Hilfe / Hinweis
    Wenn jemand klar benennbar dafür zuständig ist (interne IT, externer MSP, Hersteller-Support) → Ja. Wenn niemand das verbindlich sagen kann → Unsicher. Wenn die Firewall der Router vom Provider ist und niemand sich kümmert → Nein.

  • Können Mitarbeiter sicher von zu Hause oder unterwegs auf Praxisdaten zugreifen (z. B. Hausbesuche, Notdienst)?

    Hilfe / Hinweis
    Im Fachjargon „VPN”. Eine geschützte Verbindung sorgt dafür, dass der Hausbesuchs-Tablet oder das Notdienst-Notebook auf das Praxisverwaltungssystem zugreifen kann, ohne dass jemand mitliest. Wenn Sie das nutzen (z. B. OpenVPN, WireGuard, eine Lösung Ihres PVS-Anbieters) → Ja. Wenn Patientendaten per ungeschütztem WLAN unterwegs ausgetauscht werden → Nein.

Benutzer & Zugriff

  • Hat jeder Mitarbeiter nur Zugriff auf die Praxisdaten, die er für seine Arbeit wirklich braucht?

    Hilfe / Hinweis
    Im Fachjargon „Least Privilege”. Beispiel: Sieht die Empfangskraft auch Befunde, die nur den behandelnden Arzt etwas angehen? Hat jeder Praktikant Zugriff auf die Abrechnung und die Personalakten? Wenn Rechte sauber pro Rolle vergeben sind (Empfang sieht Termine, Ärzte sehen Befunde, Abrechnung sieht Abrechnung) → Ja. Wenn alle (fast) alles sehen → Nein.

  • Werden Nutzer-Accounts und Schlüsselkarten sofort deaktiviert, wenn ein Mitarbeiter geht?

    Hilfe / Hinweis
    Account- und Schlüssel-Offboarding: Wenn jemand kündigt, werden alle Logins (Praxisverwaltungssystem, E-Mail, VPN), Schlüsselkarten und ggf. mobile Geräte am letzten Arbeitstag sofort deaktiviert? Oder kann der ausgeschiedene Mitarbeiter theoretisch noch wochenlang in die Akten?

  • Werden alle Mitarbeiter-Logins an einer zentralen Stelle verwaltet — oder hat jedes Tool seinen eigenen Login-Bereich?

    Hilfe / Hinweis
    Im Fachjargon „Active Directory” oder „Single Sign-On”. Bei einem neuen Mitarbeiter: Muss man in 10 verschiedenen Tools (PVS, E-Mail, Cloud, Abrechnungsportal, …) manuell ein Konto anlegen? Oder reicht 1 Konto, das automatisch in alle Tools weiterleitet? Zentral → Ja. Jedes Tool eigenes Konto → Nein.

Über Sie

Damit wir den Bericht senden + ggf. einen Termin anbieten können.