Ligby

Hallo zusammen, ich bräuchte eure professionelle Einschätzung zu einer Situation, die ich gerade bei einer dreitägigen Probearbeit in einer Augenklinik (Zentrum) erlebt habe. Ich bin seit meinem Ausbildungsende zum Fachinformatiker vor knapp zwei Jahren auf Jobsuche und eigentlich froh über jedes Angebot. Was ich dort jedoch gesehen habe, macht mich fertig. Hier ein Auszug aus dem Probearbeit: Datenschutz-GAU: Ich habe dort drei Tage ohne unterschriebene Datenschutzerklärung oder Vertrag gearbeitet. Die Antwort der Personalabteilung auf meine Nachfrage: "Das kann man ja auch mündlich aufklären." Währenddessen konnte ich bereits hochsensible Patientendaten (OCT-Scans/Befunde, Krankenkasen, daten und so weiter ) inklusive Klarnamen sehen. Admin-Rechte für alle: Mir wurden sofort lokale Admin-Passwörter für diverse Geräte ausgehändigt. Ein MDM (Mobile Device Management) oder eine Softwareverteilung existiert nicht. Technisches Harakiri: Um eine interne Lösung zu testen, sollte ich einen Docker-Container bauen (mit Perl). Mir wurde klar, dass ich dort absolut alles machen könnte: Über Docker das Host-Filesystem mounten, einen persistenten VPN-Tunnel nach außen legen oder Skripte in den Autostart schmuggeln. Niemand prüft dort, was ich technisch eigentlich treibe. Passwort-Management: Es gibt eine Excel-Tabelle (!), in der IP-Adressen und Passwörter im Klartext stehen. Das hat mich als ITler fast körperlich schmerzt. Kommunikation & Struktur: Es gibt kein Ticketsystem. Probleme werden über die Nachrichtenfunktion der Praxissoftware (Tomedo) wie in einem schlechten Chat ohne Priorisierung hin- und hergeschickt. Dokumentation? Fehlanzeige. Kompetenz-Gerangel an der Spitze: Der IT-Verantwortliche ist eigentlich als Arzt eingestellt. Er besitzt zwar ein gewisses technisches Grundverständnis, arbeitet aber nicht operativ in der IT. Das Problem: Er projiziert sein medizinisches Fachwissen auf die IT-Infrastruktur und denkt, er könne komplexe technische Entscheidungen allein durch seine Position treffen. Vermischung der Bereiche: Für ihn ist IT kein eigenes Fachgebiet mit Sicherheitsstandards, sondern ein Anhängsel von „Allgemeiner Orga und Verwaltung“. Warnungen vor Sicherheitslücken werden eher als organisatorisches Hindernis gesehen und „durchgeprügelt“, anstatt sie fachlich zu bewerten. Datenschutz nur als Alibi: Besonders fragwürdig finde ich, dass ein Datenschutzbeauftragter offenbar nur auf dem Papier existiert. In der Praxis scheint dieser keinen Einfluss zu haben, sonst wären Zustände wie Admin-Rechte für Probearbeiter und Patientendaten-Versand via WhatsApp längst gestoppt worden. Meine Fragen an euch: Würdet ihr so eine Stelle nach 2 Jahren Arbeitslosigkeit annehmen, "nur um erst mal was zu haben"? Wie schätzt ihr das persönliche Haftungsrisiko ein, wenn man in so einem Chaos mit Patientendaten hantiert? Kann man so einen Laden überhaupt noch retten, wenn die Führungsebene IT nicht ernst nimmt?