Datenschutz macht vor Arztpraxen nicht halt

Datenschutz macht vor Arztpraxen nicht halt

Die EU-Datenschutz-Grundverordnung (DSGVO) macht vor Arztpraxen nicht halt: Ab dem 25. Mai 2018 gilt sie verbindlich in ganz Europa. Ganz gleich, ob Sie in einer großen Gemeinschaftspraxis mit vielen Angestellten arbeiten oder als einziger Arzt in Ihrer Praxis tätig sind und nur wenige Mitarbeiter haben: Die DSGVO gilt auch für Sie! Deshalb gebn wir heute Tipps, was Sie ab dem 25.05. beachten sollten.

Überlegungen zur internen Datenschutzorganisation für Arztpraxen

Arztpraxen nutzen zahlreiche elektronische Verarbeitungsvorgänge, verarbeiten jedoch auch Patientendaten in Karteien. Bitte überprüfen Sie dies auf datenschutzrechtliche Konformität. Ergreifen Sie geeignete technisch-organisatorische Maßnahmen. Was dies konkret bedeutet, können Sie dem Gesetzestext unter Art. 32 DSGVO entnehmen. Die Maßnahmen, die hier genannt werden, sind jedoch sehr allgemein gehalten – wenn Sie konkrete Fragen speziell zu Ihrer Arztpraxis haben, nehmen Sie gerne Kontakt zu uns auf und lassen Sie sich beraten!

Bestehen bestimmte Risiken beim Verarbeiten der Patientendaten, so kann unter Umständen eine Datenschutzfolgeabschätzung notwendig sein. Darüber klärt Art. 35 DSGVO auf. Mit der Datenschutzfolgeabschätzung werden Maßnahmen zum Abstellen der Risiken bestimmt. Die Aufsichtsbehörden sind Ihr Ansprechpartner. Welche Aufsichtsbehörde für Ihre Arztpraxis zuständig ist, erklärt die Ärztekammer.

Verfahrensverzeichnis ist Pflicht für Arztpraxen

Arztpraxen müssen – wie jedes andere Unternehmen – ein Verfahrensverzeichnis anlegen. Verstehen Sie dieses Verfahrensverzeichnis bitte als Bestandsaufnahme darüber, welche Daten Sie in Ihrer Praxis zu welchem Zweck und auf Basis welcher Rechtsgrundlage verarbeiten. Art. 30 DSGVO erklärt Details. Auch wir haben uns mit dieser Thematik ausführlicher auseinandergesetzt und empfehlen Ihnen als Lektüre unseren Beitrag „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.

Benötigen Arztpraxen einen Datenschutzbeauftragten?

Über die Notwendigkeit von Datenschutzbeauftragten informiert Art. 37 DSGVO. Das Gesetz sieht vor, dass Arztpraxen die Wahl zwischen einem internen oder einem externen Datenschutzbeauftragten (DSB) haben. Wann ein DSB notwendig wird, erklärt § 38 Abs. 1 BDSG neu: Sin in Ihrer Praxis mindestens 10 Personen dauernd mit dem automatisierten Verarbeiten von personenbezogenen Daten befasst, benötigen Sie einen Datenschutzbeauftragten.

Praxisinhaber kommen dafür nicht in Frage – hier bestünde ein Interessenskonflikt. Jedoch können Sie andere interne Personen mit dieser Aufgabe betreuen. Dafür ist Voraussetzung, dass diese Person fachlich qualifiziert ist. Dies können Sie mithilfe von Schulungen erreichen. Alternativ können Sie den DSB auch extern bestellen.

Wie Sie sich auch entscheiden: Der Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde gemeldet werden. Ihr DSB zeigt sich dafür verantwortlich, das Einhalten von Datenschutz sowie die Datensicherheit zu kontrollieren. Weiter ist er Ansprechpartner, wann immer Fragen zum Datenschutz aufkommen.

Rechtsdokumente anpassen

Kein Muss, aber ein Kann ist das Erarbeiten einer internen Datenschutzrichtlinie in Ihrer Arztpraxis. Die Vorteile liegen klar auf der Hand: Sie haben einen Leitfaden, wie im Falle eines Datenschutzvorfalls zu reagieren ist, Sie sensibilisieren Ihre Mitarbeiter für das Thema Datenschutz und Sie schaffen weiter ein Bewusstsein für Datenschutzrisiken. Inhalte können beispielsweise sein: Die Verhaltensweisen beim Erfassen von Patientendaten, die Kompetenzen und Verantwortlichkeiten von Mitarbeitern oder aber auch Zugriffsbeschränkungen.

Überprüfen Sie darüber hinaus auch Ihre Einwilligungserklärungen sowie Verträge mit Dritten, wenn diese Datenverarbeitungsvorgänge betreffen. Passen Sie diese Dokumente ans neue Datenschutzrecht an.

In Arztpraxen müssen technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit zu gewährleisten. Dies trifft sowohl Ihre eigenen Mitarbeiter, die beispielsweise durch Zugriffsrechte daran gehindert werden können, unbefugt an Daten zu gelangen, als auch Angreifer von außen. Letztere können Sie beispielsweise mithilfe von Verschlüsselung aussperren.

Maßnahmen im Umgang mit Patienten

Um Daten von Kunden zu speichern und/ oder zu verarbeiten, braucht es mit der DSGVO nun eine Einwilligungserklärung. Das sieht bei Arztpraxen ein wenig anders aus: Sie behandeln Patienten routinemäßig; die Datenverarbeitung beruht auf einer gesetzlichen Grundlage. Sie benötigen damit keine Einwilligung zum Verarbeiten von Patientendaten.

Jedoch kann es bestimmte Datenverarbeitungsvorgänge geben, für die Einwilligungserklärungen doch notwendig sind. Dies kann beispielsweise das Einbeziehen einer privaten Verrechnungsstelle sein. Haben Sie solche Einwilligungen in Ihrer Praxis bislang nicht eingeholt, so sind Sie verpflichtet, dies nachzuholen. Sie als Praxisinhaber müssen nachweisen, dass entsprechende Einwilligungserklärungen zum Verarbeiten der Daten vorliegen.

Informationspflichten & Betroffenenrechte in Arztpraxen

Art. 12 – 14 DSGVO erläutern die Informationspflichten, die auf Arztpraxen und sonstige Organisationen zukommen. Sie können sich entsprechende Vordrucke erstellen, mit denen Sie Ihre Patienten so informieren, wie es das Gesetz verlangt: Seien Sie präzise, transparent und drücken Sie sich in verständlicher Weise mit einfacher Sprache aus. Sie könnten Vordrucke dieser Art in Ihrer Praxis aushängen.

Mit dem Auskunftsrecht, welches in Art. 15 DSGVO geklärt wird, haben Patienten die Möglichkeit, in Arztpraxen Auskunft über die über sie gespeicherten Informationen zu verlangen. Bedenken Sie diesen Punkt in Ihrer internen Datenschutzrichtlinie, in der Sie auch ein bestimmtes Verfahren dafür vorschlagen. So lassen sich Anfragen effizienter und zügiger beantworten.

Patienten erhalten zudem das sogenannte Recht auf Löschung. Hierbei sind jedoch die Aufbewahrungs- und Löschfristen gemäß Art. 17 DSGVO zu berücksichtigen. Legen Sie auch dazu in Ihrer Datenschutzrichtlinie ein Verfahren fest, um Löschanträgen zügig nachkommen zu können. Bestimmen Sie, wann nach Ablauf der Aufbewahrungsfrist welche Daten durch wen gelöscht werden.

Welche Betroffenenrechte noch existieren und wie Sie mit diesen Rechten umgehen, erklären wir Ihnen im Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Vertragsgestaltung für Arztpraxen mit Dritten

Haben Sie Daten in der Cloud gespeichert? Existieren Verträge mit externen Dritten, etwa um Ihre Praxis-EDV-Infrastruktur regelmäßig zu warten? Oder planen Sie, Verträge mit privaten Verrechnungsstellen abzuschließen? In all diesen und weiteren Fällen, in denen Sie mit Dritten zusammenarbeiten, sind Sie in der Pflicht, sämtliche existierenden und künftigen Verträge auf die neuen Vorschriften hin zu prüfen. Übersehen Sie dabei bitte nicht, dass diese Verträge auch strafrechtliche Vereinbarungen zur ärztlichen Schweigepflicht enthalten sollten. Verpflichten Sie Ihre externen Dienstleister in den Verträgen unbedingt zur Geheimhaltung – andernfalls kann es zur Strafbarkeit kommen!

Handelt es sich bei Ihren Verträgen um Auftragsverarbeitungen, beachten Sie bitte die Anforderungen, die sich aus Art. 28 Abs. 3 DSGVO ergeben.

DSGVO in Arztpraxen

Ist Ihre Praxis schon fit für die DSGVO? Dann: Glückwunsch, Sie haben sich ausgezeichnet vorbereitet! Fehlen hier und da noch Details? Dann ist bereits Eile geboten, denn in wenigen Tagen gilt die DSGVO verbindlich in ganz Europa. Benötigen Sie Unterstützung oder haben Sie noch ungeklärte Fragen, scheuen Sie sich nicht, uns zu kontaktieren – wir sind mit Sicherheit Ihr Partner!

Möchten Sie sich ausführlicher zur DSGVO informieren, haben wir im Folgenden noch einige Lesetipps für Sie:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*