Datenschutz-Grundverordnung 2018: Wie Sie Patientendaten sicher halten

Datensicherheit ist vor allem im Bezug auf Patienteninformationen enorm wichtig. Nicht nur die digitale Sicherheit spielt dabei eine große Rolle, auch die ärztliche Schweigepflicht oder der richtige Platz für den Computer zählen dazu.

Datenschutz-Grundverordnung bringt neue Vorschriften

Mit Stichtag 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Ihre inhaltlichen Anforderungen ähneln vielfach dem derzeit geltenden Recht.

Gleichwohl bringt sie zusätzliche Pflichten auch für Praxen mit sich. So müssen sie etwa die Einhaltung des Datenschutzes nachweisen. Bei Verstößen gegen die Vorgaben des Datenschutzes gelten zudem deutlich härtere Sanktionen.

Informationen zur Datenschutz-Grundverordnung

Was Praxen und MVZ ab 25. Mai 2018 benötigen

1. Verzeichnis von Verarbeitungstätigkeiten

Arztpraxen benötigen ein Verzeichnis von Verarbeitungstätigkeiten. Darin werden Tätigkeiten oder Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden.

Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.

Das ist zu tun

Die Kassenärztliche Bundesvereinigung (KBV) stellt für das Verzeichnis ein Muster bereit, das Sie nutzen können. Dazu gibt es ein Ausfüllbeispiel mit zwei Verarbeitungstätigkeiten.

2. Aufstellung der Maßnahmen zum Datenschutz: Interner Datenschutzplan

Arztpraxen sind für den Schutz personenbezogener Daten verantwortlich. Sie müssen dazu geeignete technische und organisatorische Maßnahmen ergreifen und diese dokumentieren.

Alle Teammitglieder sollten die Regeln kennen, so dass bei externen Kontrollen oder Anfragen der interne Datenschutzplan vorgelegt werden kann. Die DSGVO macht keine konkreten Vorgaben, welche Maßnahmen im Einzelnen dokumentiert werden sollen.

Letztlich geht es darum, zu erfassen, welche Vorkehrungen die Praxis getroffen hat, um einen Missbrauch von personenbezogenen Daten zu verhindern.

  • auf die punkte kommt es anPatientendaten werden niemals unverschlüsselt über das Internet versendet, beispielsweise per E-Mail.
  • Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der Praxis auf Dateien und Ordner zugreifen kann.
  • In den Praxisräumlichkeiten wird auf Diskretion geachtet: Die Anmeldung sollte getrennt zum Wartebereich angeordnet sein. Möglich ist auch, Patienten beispielsweise mit einem Schild darauf hinzuweisen, dass sie am Tresen Abstand halten sollen, wenn mehrere Personen dort warten.
  • Patientenakten werden sicher verwahrt: Die Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden stets so positioniert, dass andere Patienten diese nicht einsehen können. Wenn der Arzt / Psychotherapeut nicht im Raum ist, werden Patientenakten generell unter Verschluss gehalten.
  • Vertrauliche Arzt-Patienten-Gespräche finden stets in geschlossenen Räumen statt.
  • Bei Auskünften am Telefon wird die Identität des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.
  • Es ist festgelegt, wann und durch wen personenbezogene Daten gelöscht beziehungsweise vernichtet werden, sobald beispielsweise die Aufbewahrungsfrist abläuft.
  • Patientenakten werden nach DIN-Normen vernichtet.
  • Es ist festgelegt, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt (in der Regel an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden).
  • Die Mitarbeiter in der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert.

 

3. Informieren Sie Ihre Patienten, was mit ihren Daten geschieht

Arztpraxen müssen Patienten darüber informieren, was mit ihren Daten passiert. Dies muss in der Regel zum Zeitpunkt der Datenerhebung erfolgen.

Die Information sollte folgende Angaben enthalten:

  • Zweck
  • Rechtsgrundlage der Datenverarbeitung
  • Kontaktdaten der Praxis
  • gegebenenfalls Kontaktdaten des Datenschutzbeauftragten.

Das ist zu tun

Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, oder ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden.

4. Auftragsverarbeitung: Zusammenarbeit mit Dienstleistern wie Cloud-Systeme

  • Die Praxissoftware wird gewartet,
  • Akten- und Datenträger müssen nach Ablauf der Aufbewahrungsfrist vernichtet werden.

Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (als Anlage zum Hauptvertrag) erforderlich.

Die Auftraggeber müssen sich ferner davon überzeugen, dass der Dienstleister die Vorschriften des Datenschutzes einhält und entsprechende technische und organisatorische Maßnahmen durchführt. Die Firmen sollen dem Auftragsnehmer dazu ein Datenschutzsiegel oder eine Zertifizierung, zum Beispiel ISO/IEC 27001, vorlegen.

Auftragsverarbeitung: ja oder nein?

Eine Auftragsverarbeitung liegt auch hier vor:

  • Nutzung von Cloud-Systemen
  • Terminvergabe durch Externe (die Terminservicestellen der KVen fallen nicht darunter).

Dagegen ist eine rein technische Wartung der IT-Infrastruktur durch einen Externen, zum Beispiel Arbeiten an

  • der Stromzufuhr,
  • Kühlung oder
  • Heizung, keine Auftragsverarbeitung.

Dies gilt ebenso bei der Beauftragung von

  • Steuerberatern,
  • Rechtsanwälten,
  • Wirtschaftsprüfern und
  • Angehörigen anderer Berufe, die als „Geheimnisträger“ gelten. Auch hier liegt in der Regel keine Auftragsverarbeitung vor.

Quelle: Kassenärztliche Bundesvereinigung