Datenschutz Arztpraxis – hier Informationen für Ärzte finden.

Datenschutzbeauftragtenfinden.de Wissensartikel

Share on facebook
Share on twitter
Share on google
Share on linkedin
Share on xing

Der Gesundheitsbereich ist besonders im Auge der Datenschutzbehörden, da hochsensible Patientendaten verarbeitet werden. Viele Arztpraxen stehen vor der Herausforderung der DSGVO. Wenn Sie zum ersten Mal Datenschutz in der Arztpraxis umsetzten müssen, ist dies nicht so einfach. Man macht schließich Datenschutz nicht alle Tage. Folgende Fragen schweben einem im Kopf: Was heißt Schutz von personenbezogenen Daten im Gesundheitsbereich? Was muss ich in freien Berufen wie z.B. in einer Arztpraxis gemäß der DSGVO beachten? Was ist ein Datenschutzkonzept? Wie setze ich Datenschutz in der Arztpraxis um? Wie gestalte ich eine Datenschutz Folgenabschätzung? Wie sieht der Praxisalltag mit der DSGVO aus? Gibt es eine DSGVO Vorlage für Datenschutz Arztpraxis?

In diesem Beitrag versuchen wir diese Fragen zu klären und eine Richtung zu geben. Am Ende des Beitrags finden Sie ein Praxisbeispiel Datenschutz Arztpraxis. Ziehen Sie jedoch einen externen Datenschutzbeauftragten oder Compliance spezialisierten Rechtsanwalt um Rat hinzu.

Inhaltsverzeichnis


Genereller Umgang mit Patientendaten konform mit der EU-DSGVO

Ärzte  erfahren bei der Behandlung von Patienten sehr intime und vertrauliche Dinge. Sie werden als Vertrauensperson wahrgenommen und die Patienten erwarten, dass ihre persönlichen Daten umfangreich geschützt werden. Neben der ärztlichen Schweigepflicht, in der Ärzte verpflichtet werden, keinerlei Informationen über die Krankheit und die Krankengeschichte des Patienten preiszugeben, verstärkt die EU-DSGVO die Rechte des Patienten weiter. In der EU-DSGVO und der BDSG-neu werden dafür „Gesundheitsdaten“ definiert. Zu ihnen gehören personenbezogene Daten, die die körperliche und/oder geistige Gesundheit betreffen, und einen Rückschluss auf den Gesundheitszustand zulassen. Nach Artikel 4, Absatz 15 EU-DSGVO gehören dazu auch die Daten, die für die Erbringung einer Gesundheitsdienstleistung verarbeitet werden.

Übertragen auf den direkten, datenschutzkonformen Umgang mit den Patientendaten bedeutet dies, dass vier Bereiche betroffen sind – die Datenerhebung, die Weitergabe der Daten, ihre Sicherung und die Verpflichtung, das Datengeheimnis zu wahren. Datenschutz Arztpraxis wird immer wichtiger. Hier noch ein paar interessante Details:

Bereits bei der Sammlung der Daten werden klare Grenzen gesetzt, denn es dürfen nur die Patientendaten erhoben werden, die für die Durchführung von Diagnose und Behandlung gebraucht werden.

Patientendaten dürfen nicht vollständig an andere Parteien – wie die Krankenversicherung oder andere Ärzte – weitergegeben werden. Bei Datenweitergabe sind bestimmte Regeln einzuhalten, außerdem ist die Unterschrift der Person notwendig.

Daten über Erkrankungen gehören zu den sensiblen Daten und genießen daher ein besonders hohes Schutzniveau. Sie müssen Dritten gegenüber bestmöglich gesichert sein. Dies gilt auch für digitale Daten genauso wie für schriftliche Formulare.

Laut § 5 BDSG-neu müssen alle Angestellten in privat geführten Arztpraxen in regelmäßigen Abständen auf das Datengeheimnis zu verpflichten.

Liegt ein Verstoß gegen die genannten Kriterien vor – beispielsweise die direkte Weitergabe der personenbezogenen Daten eines Patienten an andere Ärzte – kann er bestraft werden. Nur Ärzte, die den Patienten mit betreuen, haben ein Anrecht darauf, die Daten zu sehen.

Umsetzung der EU-DSGVO im Praxisalltag

Im Gesundheitsbereich – ganz speziell in Arztpraxen – gehört der Umgang mit sensiblen Patientendaten zum Alltag. Bereits vor der Einführung der EU-DSGVO galten für Unternehmen und Praxen im Gesundheitsbereich hohe Sicherheitsmaßgaben. Durch die Anwendung der EU-DSGVO wurden diese Maßgaben noch weiter erhöht, um das Risiko eines Missbrauchs und dadurch ggf. hoher Strafen zu reduzieren.

Doch es gibt Stolperfallen – schnell ist es passiert, dass unachtsames Handeln oder Unwissenheit der Mitarbeiter zu einem Verstoß gegen die EU-DSGVO führt. Ohne Anspruch auf Vollständigkeit sollen hier ein paar der häufigsten Fehler aufgezählt werden:

o  Weitergabe von Patientendaten über das Telefon oder das Fax

o Dritte können Telefonate an der Theke mithören

o Die E-Mail-Übermittlung von Patientendaten erfolgt unverschlüsselt

Um sicherzustellen, dass der Umgang mit sensiblen Patientendaten zu jeder Zeit den Vorgaben der EU-DSGVO entspricht, sollten die Mitarbeiter regelmäßig geschult werden. Gleichzeitig ist es sinnvoll, das Gefühl für Datensicherheit zu stärken und die Wichtigkeit zu verdeutlichen. Vor allem vermeidbar um  Datenschutz Arztpraxis zu gewährleisten.

Pflicht zur Erstellung einer Datenschutzfolgenabschätzung – Datenschutz Arztpraxis

Werden Verfahren der Datenverarbeitung genutzt, die für Betroffene negative Folgen oder Risiken bedeuten, muss laut Artikel 35 EU-DSGVO eine Datenschutzfolgenabschätzung durchgeführt werden. Sie zielt darauf ab, mögliche Risiken für die Rechte und Freiheiten für die betroffene Person zu beschreiben, zu bewerten und Maßnahmen zu ergreifen, die vorhandene Risiken verringern kann.

Studien zufolge kommt die Erstellung einer Datenschutzfolgenabschätzung bei Arztpraxen relativ selten vor. Sie kommt im Grunde nur dann zum Tragen, wenn der Umfang und Zweck der Verarbeitung von Patientendaten ein hohes Risiko für den Patienten zur Folge hat. Zunächst gilt es allerdings zu klären, ob eine Datenschutzfolgenabschätzung überhaupt zu erstellen ist. Im Erwägungsgrund 91 EU-DSGVO werden die Kriterien für die Durchführung festgelegt.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Sollten Ärzte einen Datenschutzbeauftragten bestellen?

Wenn die Daten der Patienten geschützt werden müssen, werden sowohl IT-gestützte als auch organisatorische Maßnahmen gebraucht. Beim Datenschutz Arztpraxis sind die sogenannten TOMs wichtig. Sie müssen Hand in Hand zusammenarbeiten und sich gegenseitig ergänzen, um wirklich gut zu funktionieren. Die rechtliche Grundlage ist die EU-DSGVO und – sollten die Regelungen nicht eindeutig aus der EU-DSGVO hervorgehen – die BDSG-neu.

Viele Ärzte, die eine eigene Praxis haben und somit regelmäßig mit sensiblen Patientendaten umgehen und diese verarbeiten, denken darüber nach, einen Datenschutzbeauftragten zu bestellen. Sie sollten sich immer darüber im Klaren sein, dass bei Verfehlungen gegenüber dem Datenschutz nicht der Datenschutzbeauftragte haften wird, sondern der Praxiseigner.

Doch es gibt Fälle, bei denen die Bestellung eines Datenschutzbeauftragten zwingend erforderlich ist. Liegt einer der folgenden Fälle vor, ist eine medizinische Praxis die folgenden Punkte erfüllt:

Nach Artikel 35 Absatz 3 lit. b EU-DSGVO ist eine Datenschutzfolgenabschätzung insbesondere in den Fällen erforderlich, wenn eine großangelegte Verarbeitung personenbezogener Daten nach Artikel 9 Absatz 1 durchzuführen.

Praxisbeispiel Radiologie: Hohe Komplexität bei der Umsetzung

In der Radiologie ist die Umsetzung der Richtlinien der EU-DSGVO besonders komplex, da ein Großteil aller Tätigkeiten digital erfasst und gespeichert werden. Radiologen erheben sensible Patientendaten, die gleich mehrfach geschützt werden müssen. Da sie Rückschlüsse auf den Gesundheitszustand des Patienten zulassen, handelt es sich laut Artikel 4 Nummer 15 EU-DSGVO um Gesundheitsdaten, die aufgrund der Sensibilität nur unter verschärften Anforderungen verarbeitet werden dürfen. Relevant in diesem Zusammenhang ist der Artikel 4, Nummer 2, der den Begriff der „Datenverarbeitung“ genauer definiert. Für Radiologen ist die Umsetzung der EU-DSGVO im Unternehmen aufgrund der digitalen Datener­fassung und -speicherung sowohl umfangreich als auch komplex.

Um ein effektives Sicherungskonzept zu entwickeln, muss zunächst der Status Quo ermittelt werden. Aus den gewonnenen Daten können Sicherheitslücken aufgedeckt werden. Im Anschluss sollte der angestrebte Zustand der Datensicherheit festgelegt und der Weg definiert werden, wie dieser Wunschzustand erreicht wird. Außerdem sollten in einem Handbuch, im Rahmen des Datenschutz Arztpraxis, alle Prozesse und Kontrollen beschrieben werden, die für die Umsetzung notwendig sind:

Nach Artikel 30 EU-DSGVO muss ein Verarbeitungsverzeichnis angelegt werden, das die Kontaktdaten des Verantwortlichen, den Zweck der Verarbeitung, Angabe zu den Personen und deren personenbezogene Daten, die Löschungsfristen sowie die Beschreibung der technischen und organisatorischen Maßnahmen, mit denen das Schutzniveau gewährleistet werden soll.

Bei der Führung des Verzeichnisses ist viel Sorgfalt angesagt, weil es dient gegenüber den Aufsichtsbehörden als Beweis, dass alle Maßnahmen zum Datenschutz im Sinne der DSGVO erfüllt wurden. Außerdem ist es eine wesentliche Grundlage für eine strukturierte Dokumentation.

Alle Tätigkeiten der Datenverarbeitung sollten rechtzeitig in einem Verzeichnis beschrieben werden, weil Datenschutz Arztpraxis wichtig ist.

Patienten, die untersucht werden, müssen darüber informiert werden, zu welchem Zweck ihre Daten genutzt werden und welche Rechte sie haben. Dazu müssen sie die Namen und Kontaktdaten des Verantwortlichen, den Kontakt zum Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Datenverarbeitung sowie die Dauer der Speicherung. Auch über das Recht des Patienten auf Auskunft, Berichtigung oder Löschung muss informiert werden.

Zur Vereinfachung und als Beleg sollten sämtliche Informationen in einem Informationsschreiben zusammengefasst werden, damit die Patienten ihre Rechte auch später noch wahrnehmen konnten.

 Nach Artikel 32 EU-DSGVO muss den Behörden bei einem Datenverlust beispielsweise durch einen Cyberangriff oder einer Datenmanipulation innerhalb von höchstens 72 Stunden mitgeteilt werden, dass eine Datenpanne eingetreten ist. Auch die betroffenen Patienten müssen informiert werden. Achten Sie auf den Datenschutz Arztpraxis.

Es gilt die Regel, dass nur größere Praxen mit mehr als 20 Mitarbeitern einen Datenschutzbeauftragten bestellen muss. Daher ist es erforderlich, dass der für den Datenschutz Verantwortliche – zumeist der Inhaber der Praxis – mit den Behörden klärt, ob er einen Beauftragten für den Datenschutz bestellen muss und dies auch an die Behörden weiterleiten.

Regelung der Auftragsverarbeitung

Werden Verträge zur Datenverarbeitung mit Dritten – beispielsweise Wartungsverträge für IT-Geräte –geschlossen, müssen diese den Vorgaben von Artikel 28 EU-DSGVO entsprechen.

Um sich abzusichern, sollte die Praxis als Auftraggeber im Vertrag mit dem Dienstleister eine Ausschlussklausel einbauen.

Im Artikel 7 EU-DSGVO ist festgelegt, dass der Patient der Datennutzung seiner personenbezogenen Daten aus freien Stücken zugestimmt hat.

Alle vorhandenen Formulare sollten auf diesen Hinweis geprüft und ggf. angepasst werden.

Laut Artikel 32 EU-DSGVO ist unsere Beispielpraxis verpflichtet, sämtliche technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Neben einer Hochrüstung der IT-Infrastruktur und dem Einsatz von Verschlüsselungstechniken ist es hier immens wichtig, die Mitarbeiter ins Boot zu holen, ihnen das Thema Datensicherheit bewusst zu machen und sie entsprechend zu schulen.

Die Praxis sieht sich nach Artikel 5, Absatz 2 EU-DSGVO außerdem umfassenden Dokumentations- und Rechenschaftspflichten gegenüber, mit denen die Einhaltung der Regelungen der EU-DSGVO belegt werden kann.

 

Fazit: Datenschutz Arztpraxis ist kein einfaches Thema

In der Arztpraxis geht es hauptsächlich um personenbezogene Gesundheitsdaten, also um hochsensible Daten. Datenschutz im Gesundheitsbereich wird immer relevanter. Jedoch mit fleiß und dem richtigen Verständnis zur DSGVO kann Datenschutz in der Arztpraxis umgesetzt werden. Ein Datenschutzbeauftragter oder ein Mitarbeiter mit DSGVO Verständis kann die Aufgaben der DSGVO umsetzen. Ziehen sich gerne einen externen Datenschutzbeauftragten und Compliance spezialisierten Rechtsanwalt hinzu um Ihre individuellen Bedürfnisse zu klären.

Externen Datenschutzbeauftragten finden? Angebote kostenlos vergleichen

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Datenschutzgesetz
Datenschutz
Tarek Mandelartz

Basis-Datenschutz-Modell (nach SDM)

Dieser Artikel beschreibt die Basis-Datenschutz-Modell DIN SPEC 32789 (BDM) nach dem Standard Datenschutzmodell (SDM). Auf folgende Fragen geben wir Antworten: Was ist das Basis-Datenschutz-Modell? Welche

Mehr lesen »

Schreibe einen Kommentar