Vertraulichkeit und Fernarbeit während der COVID-19-Pandemie


Das Vertraulichkeitskomitee der IPA hat diesen kurzen Rat für IPA-Mitglieder vorbereitet
besorgt über die Vertraulichkeit bei der Fernarbeit

Aufgrund der COVID-19-Pandemie mussten sich viele Psychoanalytiker ohne Vorbereitung oder Warnung schnell auf die Verwendung von Remote-Technologie einstellen, um mit ihren Patienten in Kontakt zu bleiben und weiterhin psychiatrische Versorgung anzubieten. Analysten und Patienten verwenden eine Vielzahl physischer Geräte (Telefone, Tablets, Computer, Router usw.) und Softwaredienste (Skype, FaceTime, WhatsApp, Zoom usw.), häufig ohne Zugriff auf technischen Support. Angesichts des Stresses, der Unsicherheit und der Seltsamkeit dieser Situation müssen IPA-Mitglieder auf ihre interne Belastbarkeit sowie die Unterstützung von Kollegen zurückgreifen. 

Die Vertraulichkeit steht im Mittelpunkt der Psychoanalyse. Leider ist keine Technologie vollständig sicher. Das Risiko eines Verstoßes gegen die Vertraulichkeit ist häufig gering, aber praktisch die gesamte Internetkommunikation kann abgefangen werden, Material kann gestohlen oder geändert werden, und die Folgen eines Verstoßes können schwerwiegend sein. Die Erfüllung gesetzlicher Anforderungen wie HIPAA (in den USA) oder GDPR (in Europa) kann helfen, macht die Technologie jedoch nicht vollständig sicher. 

Es können einfache Schritte unternommen werden, um das Risiko zu verringern

Diese umfassen:

Verwenden Sie sichere Passwörter und ändern Sie diese häufig. 
Verwenden einer Firewall; Installation und Aktualisierung von Antivirensoftware; 
Aktivieren optionaler Sicherheitsfunktionen des von Ihnen verwendeten Kommunikationsdienstes.

Schritte wie diese verringern das Risiko der Vertraulichkeit, ebenso wie Händewaschen und soziale Distanzierung das Infektionsrisiko verringern, aber nicht auf Null reduzieren können. Wenn Sie nicht wissen, wie Sie einen von ihnen ausführen sollen, wenden Sie sich nach Möglichkeit an jemanden, der dies tut.

Besser informiert werden
Je mehr IPA-Mitglieder sich über Cybersicherheit informieren können, desto besser können sie sich und ihre Patienten schützen. Weitere nützliche Informationen finden Sie im Internet, einschließlich in Abschnitt 4 des Bericht des IPA Confidentiality Committeeund auf dem Seite zur Selbstverteidigung der Überwachung der Electronic Frontier Foundation.


Transparenz
Mitglieder möchten möglicherweise die Vertraulichkeitssituation mit ihren Patienten besprechen. Eine Möglichkeit könnte darin bestehen, sowohl die Unmöglichkeit der Gewährleistung der Vertraulichkeit als auch die Grenzen ihres Verständnisses der Technologie offen anzuerkennen.

Weitere Empfehlungen zur Verbesserung der Sicherheit:

Für Mitglieder, die bereits Kenntnisse über Remote-Technologie haben, können die folgenden zusätzlichen Hinweise hilfreich sein:

  • Starke End-to-End-Verschlüsselung aller Daten (einschließlich Live-Audio und -Video) ist ein wünschenswertes Merkmal jeder Kommunikationssoftware oder -dienstleistung. Dies bedeutet, dass Informationen verschleiert ("verschlüsselt") werden, während sie über das Internet übertragen werden, so dass es für jeden (z. B. einen Softwareanbieter, Dienstleister, "Hacker" oder eine Regierungsbehörde) schwierig ist, Zugang zu den verständlichen Inhalten von zu erhalten eine Kommunikation, auch wenn sie sie erfolgreich abfangen kann.

 

  • Open-Source-Software ist vorzuziehen. Dies bedeutet, dass der Quellcode der Software veröffentlicht wurde und von der globalen Community von Cybersecurity-Experten geprüft werden kann. Es ist daher weniger wahrscheinlich, dass versteckte Schwachstellen wie eine eingebaute "Hintertür" verborgen sind, als Software, deren Quellcode aus kommerziellen Gründen privat gehalten wird. 

 

  • Effektive Endpunktsicherheit ist wichtig. Dies bezieht sich auf die Sicherheit der physischen Geräte, die sowohl vom Analytiker als auch vom Patienten verwendet werden, und ist unabhängig von einer bestimmten Software oder einem bestimmten Dienst, der für die Kommunikation verwendet wird. In einer Unternehmensumgebung wie einem Krankenhaus oder einer Universität, in der Geräte von einem zentralen IT-Service bereitgestellt und verwaltet werden, kann die Endpunktsicherheit relativ gut gesteuert werden. Für die meisten Analysten und Patienten ist dies nicht der Fall, sodass ihre Endpunktsicherheit ad hoc erfolgt und davon abhängt, was sie selbst bereitstellen können. Die oben beschriebenen einfachen Schritte, Kennwörter, eine Firewall und Antivirenprogramme zu verwenden und die ausschließliche Kontrolle über persönliche Geräte zu behalten, schließen einige der Lücken.

 

  • Einhaltung gesetzlicher Vorschriften (z. B. HIPAA oder GDPR) sollten als Indikatoren für die relative Sicherheit mit Vorsicht behandelt werden. Beispielsweise schützt die HIPAA-Sicherheitsregel nur e-PHI (Electronic Protected Health Information), die keine Live-Audio- oder Videokommunikation enthält. Eine echte HIPAA-Konformität kann dem Arzt auch erhebliche administrative und technische Belastungen auferlegen, die jedoch während des COVID-19-Notfalls teilweise gelockert werden.

    Fragen oder Kommentare?
    Wenn Sie Fragen oder Kommentare zu diesem Rat haben, senden Sie diese bitte per E-Mail an das IPA Confidentiality Committee: [E-Mail geschützt]

    Erstveröffentlichung am 27. April 2020