Seit dem 25.05.2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Sie regelt den Umgang mit personenbezogenen Daten. Insbesondere beim Datenschutz für die Arztpraxis ergeben sich einige Änderungen.
Bei Nichteinhaltung des Datenschutzes muss mit deutlich härteren Sanktionen gerechnet werden. Um das zu verhindern sollte man einige Kernelemente des Datenschutzes kennen und für die eigene Arztpraxis oder das MVZ umsetzen.
Was sind personenbezogene Daten?
Zu den personenbezogenen Daten gehören z.B. Name, Versicherungsnummer, Untersuchungsergebnisse, Röntgenbilder, Medikation oder auch Daten wie Alter und Gewicht. All diese Daten werden in der Regel elektronisch erfasst. Daten von Mitarbeitern, Kooperationspartnern oder Lieferanten zählen ebenfalls zu den personenbezogenen Daten. Auch diese Daten unterliegen der Datenschutzbestimmung.
Pflichten der Arztpraxen beim Umgang mit Patientendaten
Auch vor Inkrafttreten der EU-Datenschutzgrundverordnung sind Arztpraxen sorgsam mit Patientendaten umgegangen. Mit den neuen Regelungen haben Arztpraxen zusätzlich eine erhöhte Auskunftspflicht gegenüber den Patienten, was genau mit ihren Daten geschieht. Zudem müssen Arztpraxen bei einer Anfrage der Aufsichtsbehörden nachweisen, dass sie die Datenschutzbestimmungen einhalten. Dies lässt sich in der Regel durch ein ordentliches Datenschutzmanagement, dass der Datenschutzbeauftragte erstellen kann, erledigen.
Überarbeitung der Verträge mit externen Dienstleistern
Häufig findet der Austausch von Patientendaten zum Zwecke der Leistungserbringung statt. Dazu zählen z.B. Labore, private Verrechnungsstellen oder EDV-Dienstleister. Vertragliche Inhalte müssen den Vorgaben der DSGVO entsprechen und eine Geheimhaltungserklärung beinhalten.
Erstellung eines schriftlichen Verzeichnisses
Laut Art. 30 DSGVO verpflichtet sich jede Arztpraxis, ein Verzeichnis für die Verarbeitungstätigkeiten mit sensiblen Daten anzulegen. Darin aufgeführt sind alle technischen und organisatorischen Maßnahmen, die die Umsetzung des Schutzes personenbezogener Daten dokumentieren. Dieses Verzeichnis ist der Datenschutzbehörde nach Aufforderung vorzulegen. Für einen besseren Überblick ist an dieser Stelle die Erstellung eines Datenschutzhandbuches (z.B. durch den Datenschutzbeauftragten) zu empfehlen. Es dient nicht nur dazu, alle Prozesse genauestens zu dokumentieren, sondern enthält zusätzlich eine Beurteilung der durchgeführten technischen und organisatorischen Maßnahmen zum Schutz sensibler Daten.
Ernennung eines Datenschutzbeauftragten für die Arztpraxis
Bisher waren Betriebe mit mindestens 10 Mitarbeitern dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Künftig wird erst ab einer Mitarbeiterzahl von 20 Beschäftigten ein Datenschutzbeauftragter für die Arztpraxis Pflicht. Einen entsprechenden Gesetzesentwurf hat der Bundestag im Juni 2019 verabschiedet. Der Bundesrat muss dieser Änderung jedoch noch zustimmen, bevor das Gesetz in Kraft tritt. Die Funktion des DSB für die Arztpraxis kann ein entsprechend geschulter Mitarbeiter oder ein externer Datenschutzbeauftragter übernehmen. Dazu sind weitreichende prozessuale, betriebswirtschaftliche und juristische Kenntnisse nachzuweisen.
Die Aufgabe eines internen oder externen Datenschutzbeauftragten ist es, Arztpraxen bezüglich der Einhaltung der aktuellen Datenschutzbestimmungen zu beraten und Maßnahmen vorzuschlagen, um die Einhaltung eines ausreichenden Datenschutzes zu gewährleisten. Muss eine Arztpraxis aufgrund der geringen Mitarbeiterzahl keinen internen oder externen DSB für die Arztpraxis benennen, ist der leitende Arzt für die Einhaltung der Datenschutzgesetze verantwortlich. Hier kann eine Datenschutzberatung für die Arztpraxis helfen, um Unsicherheiten zu vermeiden und interne Prozesse datenschutzkonform zu halten.
Da es sich bei der Implementierung eines effektiven Datenschutzmanagementsystems entsprechend der DSGVO um einen sehr komplexen Vorgang handelt, ist es ratsam eine Datenschutzberatung für die Arztpraxis in Anspruch zu nehmen. Auch vor dem Hintergrund möglicher Sanktionen.
Nun aber zu den Fragen, die wir häufig in der Datenschutzberatung gestellt bekommen.
Wo lauern die Gefahren für den Datenschutz in einer Arztpraxis?
Der Prozess der Datenverarbeitung beginnt bereits bei der Terminvereinbarung bzw. beim Einlesen der Krankenkassenkarte. Bereits hier können personenbezogene Angaben wie Name, Telefonnummer und Gesundheitsdaten von anderen Patienten mitgehört werden. Ein gut einzusehender Computerbildschirm an der Rezeption oder im Arztzimmer, auf dem sich eine geöffnete Patientenakte befindet, verstößt ebenfalls gegen die geltenden Datenschutzbestimmungen. Aber auch bei der Weitergabe von Patientendaten an Dritte wie beispielsweise Labore oder bei Berichten an Kollegen können Datenschutzbestimmungen verletzt werden.
Welche Maßnahmen muss eine Arztpraxis ergreifen?
Betreibt eine Arztpraxis eine Webseite, müssen Datenschutzinformation und Impressum vorhanden sein. Können über die Internetseite zusätzlich noch Termine online vereinbart werden, muss sichergestellt sein, dass die Übertragung der eingegebenen Daten verschlüsselt erfolgt. Dasselbe gilt für den Email-Verkehr. Auch Computer oder Telefone müssen vor dem Zugriff durch Dritte geschützt werden, z.B. durch beschränkte Zugriffsrechte und Einrichten von Passwörtern.
Einwilligung in die Verwendung der Daten durch den Patienten In einigen Fällen muss für die Verarbeitung von Patientendaten eine Einwilligung durch den Patienten vorliegen. Gemäß Artikel 9 Abs. 1,4 Abs. 11 DSGVO muss jeder Patient der Nutzung und Verarbeitung seiner persönlichen Daten zustimmen. In dieser Erklärung muss umfangreich ausgeführt werden, wie und wofür die erhobenen Daten genutzt werden. Das betrifft nicht nur Angaben zur Person, sondern auch die Weitergabe von Daten an Labore oder weiterbehandelnde Ärzte. Eine allgemeine und unspezifische Beschreibung ist unzulässig. Die Patienten müssen zusätzlich über die Möglichkeit des Widerrufs aufgeklärt werden.