Die Umsetzung der Datenschutzgrundverordnung (DSGVO) in den Arztpraxen
Die DSGVO tritt nach zweijähriger Übergangsfrist zum 25.05.2018 in Kraft. Neben der ärztlichen Schweigepflicht und weiteren Vorschriften, ist stets der Verantwortliche, also die Praxis, das Krankenhaus etc. für die Umsetzung, Einhaltung und den Nachweis der DSGVO verantwortlich.
Die Auseinandersetzung mit der DSGVO hat die Sensibilität bei Firmen, Kunden und beim Verbraucher deutlich erhöht. Damit erhöht sich auch das Risiko, wegen Nichteinhaltung der datenschutzrechtlichen Vorgaben in Anspruch genommen zu werden.
Bei Gesundheitsdaten handelt es sich gem. Artikel 9 DSGVO um besonders schützenswerte personenbezogene Daten. Eine Datenweitergabe an einen Dritten darf nur unter bestimmten Voraussetzungen erfolgen. Sollten Sie für bestimmte Tätigkeiten auf einen Dienstleister zurückgreifen, der Zugriff auf personenbezogene Daten hat oder dieser nicht ausgeschlossen werden kann, handelt es sich gem. Artikel 28 DSVO um eine Datenverarbeitung im Auftrag. Hierzu ist ein entsprechender Vertrag dringend erforderlich. Dies ist zum Beispiel bei IT-Dienstleistern der Fall, auch wenn nur ein Wartungs- und Supportvertrag besteht.
Für die Datenweitergabe an uns, die PVS Reiss GmbH, wird von jedem Patienten eine schriftliche Einwilligung eingeholt und jeder Patient stimmt der Datenweitergabe explizit zu. Dementsprechend ist in diesem Fall eine vertragliche Regelung zur Auftragsverarbeitung nicht erforderlich. Umso wichtiger ist, dass Sie diese Einwilligung von jedem Patienten vor der Behandlung auch einholen!
Innerhalb Ihrer Praxis gibt es im Hinblick auf das neue Gesetz einiges zu beachten. Dies betrifft zum Beispiel bereits die Datenerhebung: Nicht alle Informationen eines Patienten dürfen auch gesammelt und archiviert werden. In der Regel dürfen Sie nämlich nur die Daten, die auch für die Durchführung von Behandlung und Diagnose von Belang sind, in der Patientenakte vermerken oder elektronisch verarbeiten.
Sie sollten die Gelegenheit nutzen, sich selbst und Ihr Personal auf den neuesten Stand zu bringen und alle Datenwege in Ihrer Praxis überprüfen. Auch ein externer Datenschutzbeauftragter kann Ihnen dabei helfen, Gewissheit zu erlangen, ob alle Vorgaben der DSGVO in Ihrer Praxis umgesetzt sind. Ebenso sind Kammern und Verbände behilflich. In keinem Falle dürfen Sie die DSGVO unbeachtet lassen!
Die 10 häufigsten Stolperfallen in Punkto Datenschutz in einer Arztpraxis könnten sein:
- Die Weitergabe von Gesundheitsdaten erfolgt per FAX, hierbei können unberechtigte Personen an das Dokument gelangen
- Die Weitergabe von Gesundheitsdaten erfolgt telefonisch und hierbei können unberechtigte Personen unter Umständen mithören
- Der Bereich, der für Empfang und Bedienung der Patienten vorgesehen ist (in der Regel eine Theke) befindet sich in Hör- oder Sichtweite anderer Patienten
- Gesundheitsdaten werden unverschlüsselt per Mail versendet
- PC-Arbeitsplätze sind bei Abwesenheit nicht zuverlässig gesperrt
- Patienten befinden sich alleine in einem Behandlungszimmer und haben Zugriff auf PC-Arbeitsplätze oder Krankenakten
- Keine oder nicht ausreichende Verträge zur Auftragsverarbeitung mit Dienstleistern wie z.B. IT-Dienstleistern
- Keine regelmäßige Datensicherung
- MitarbeiterInnen wurden nicht schriftlich auf das Datengeheimnis verpflichtet
- Es erfolgte keine Bestellung eines Datenschutzbeauftragen, obwohl erforderlich. (Datenschutzbeauftragter darf weder Mitglied von Geschäfts- noch Personalleitung sein)
- Unkorrekte Entsorgung von nicht mehr benötigten Patientenakten oder Datenträgern ins Altpapier oder den Haushaltsmüll.
Besser wäre es zum Beispiel:
- Die Rezeptbestellungen oder Überweisungen von Bestandspatienten werden über eine eigene Telefonnummer und einen angeschlossenen Anrufbeantworter aufgenommen. Dies spart zudem Zeit für die wartenden Patienten, denn die Bestandskunden holen das Angeforderte lediglich ab
- Alle Personen, die in der Praxis tätig sind, wurden schriftlich auf das Datengeheimnis gem. DSGVO und BDSG (neu) verpflichtet. Diese Verpflichtungserklärung sollte außerhalb des Arbeitsvertrages, aber mit Beginn der Tätigkeit erfolgen. Auch Personen, die sich zu anderen Zwecken in der Praxis aufhalten, z.B. Reinigungskräfte, müssen verpflichtet werden. Zudem sollte über die Konsequenzen bei Nichteinhaltung informiert werden
- Die räumliche Empfangssituation erlaubt es, auch persönliche Worte zu wechseln. Aufklärungsgespräche finden in einem separaten Bereich oder Zimmer statt.
Aus dem Magazin:
Kundenmagazin up date 02/2018
Redaktionsadresse:
Wir freuen uns über Anregungen, Ideen, Meinungen und Themenvorschläge. Herausgeber und Redaktion sind um die Genauigkeit der dargestellten Informationen bemüht, dennoch können wir für Fehler, Auslassungen oder hier ausgedrückte Meinungen nicht haften. Alle Angaben sind ohne Gewähr!
Fotos:
kuhnle + knödler fotodesign, pvs Reiss, U. Sommer, N. Ernst, M. Bochmann, S. Müller, pixabay: myriam u. gellinger, shutterstock: Africa Studio, DragonImages u. ESB Professional, Fotolia: gpointstudio, K. Reischmann, G. Römhild.
Autoren, sofern nicht ausführlich benannt:
sbay Saskia Bayer, db Daniel Bolte, svg Sabine von Goedecke, mh Michaela Helbig, sm Sabine Müller, aw Arndt Wienand, gw Gerda-Marie Wittschier.