Offboarding: IT-Sicherheit bei Personalwechseln in Ihrer Arztpraxis

Wenn eine Kollegin in den Ruhestand geht oder ein neuer Kollege beginnt, denken viele zunächst an Übergaben und Einarbeitung. Mindestens genauso wichtig ist jedoch die IT-Sicherheit. Denn gerade bei personellen Veränderungen kommt es immer wieder zu Sicherheitslücken, über die Unbefugte auf sensible Daten zugreifen können. Für Sie als MFA und für jede Arztpraxis gilt daher vor allem: Digitale Zugänge müssen sauber beendet oder neu eingerichtet werden.

Sicherheitsrisiko „Alte Benutzerkonten“

Ein typisches Risiko: Benutzerkonten bleiben nach dem letzten Arbeitstag weiterhin aktiv. Cyberkriminelle testen automatisiert bekannte Namen und einfache Passwörter. Ohne zusätzliche Absicherung, etwa durch eine Multi-Faktor-Authentifizierung, kann ein Zugriff leicht gelingen – oft unbemerkt. Die Folgen reichen vom Zugriff auf Daten von Patientinnen und Patienten bis hin zur Installation von Schadsoftware und versuchter Erpressung.

Was bedeutet das konkret für den Alltag in Ihrer Arztpraxis? Für das Ausscheiden von Mitarbeitenden sollte es klare Abläufe geben. Dazu gehört ein strukturiertes „Offboarding“: Am letzten Arbeitstag werden alle Zugänge deaktiviert – etwa für Praxissoftware, E-Mail-Konten und andere interne Systeme. Laptops oder Datenträger der Arztpraxis werden zurückgegeben und geprüft. Wichtig ist auch, Passwörter von Konten, die weiter bestehen, sofort zu ändern. Darüber hinaus sollten Postfächer gesichert und übergeben werden.

Tipps für den Start von neuen Mitarbeitenden

Für den Start neuer Kolleginnen und Kollegen gilt: Weniger ist mehr. Vergeben Sie als Praxisleitung oder verantwortliche MFA Zugriffsrechte zunächst nur für das, was wirklich benötigt wird. Eine neue MFA am Empfang braucht beispielsweise zu Beginn keinen vollen Zugriff auf die Abrechnungsdaten. Wichtig: Legen Sie für jede Person ein eigenes Benutzerkonto an und verzichten Sie unbedingt auf gemeinsame Logins.

Auch bei kurzfristiger Unterstützung, etwa durch Aushilfen oder externes Technikpersonal, empfiehlt es sich, genau hinzusehen. Konten sollten zeitlich befristet eingerichtet und nach Einsatzende wieder gelöscht werden. Externe Zugriffe dürfen nur so lange bestehen, wie sie tatsächlich benötigt werden.

IT-Sicherheitsschulungen regelmäßig wiederholen

Neue Mitarbeitende sollten direkt zu Beginn ihrer Tätigkeit eine Schulung zu digitalen Zugängen und Abläufen sowie zu den IT-Sicherheitsregeln Ihrer Arztpraxis erhalten. Dazu gehören beispielsweise das Erstellen sicherer Passwörter, der sorgfältige Umgang mit den Daten von Patientinnen und Patienten sowie das Erkennen sogenannter Phishing-Nachrichten. Diese Schulungen sollten regelmäßig wiederholt werden, um Anforderungen der digitalen Praxis gerecht zu werden. Unterstützung bietet beispielsweise die Jährliche Unterweisung zur IT-Sicherheit in der Arztpraxis.

Auch kleine Lücken bergen potenzielle IT-Risiken: Praktikantinnen oder Praktikanten, die sich über ihr privates Smartphone einloggen, Rollenwechsel im Team oder alte Zugriffsrechte, die vergessen wurden. Prüfen Sie regelmäßig, ob bestehende Berechtigungen noch aktuell sind, und passen Sie diese gegebenenfalls an.

Strukturierte Checklisten und Mustervorlagen als Hilfe

Hilfreich sind strukturierte Checklisten und Mustervorlagen, wie sie etwa von der KBV bereitgestellt werden. Sie unterstützen dabei, keine wichtigen Schritte zu vergessen – weder beim Austritt noch beim Einstieg von Mitarbeitenden.

Für Sie als MFA bedeutet das: Achten Sie im Praxisalltag aktiv auf gesicherte Zugänge und sprechen Sie mögliche Lücken bei Ihrer Praxisleitung an. So tragen Sie dazu bei, dass die Daten Ihrer Patientinnen und Patienten geschützt bleiben und die Arbeit in Ihrer Arztpraxis reibungslos weiterläuft.