4
VR
MEDICUS
GESUNDHEITSPOLITIK.
In Zusammenhang mit der Digitalisierung gilt die Gewährleistung der IT- bzw. Datensicherheit auch im Gesund-
heitswesen als eine der größten Herausforderungen. Insgesamt werden die entsprechenden Anforderungen in den
kommenden Jahren erheblich zunehmen. Einen ersten Vorgeschmack liefert die Europäische Datenschutzgrundver-
ordnung (DSGVO), die zusammen mit dem neuen Bundesdatenschutzgesetz (BDSG) am 25. Mai in Kraft trat.
Verzeichnis von Verarbeitungstätigkeiten:
Alle Praxen
haben ein Verzeichnis von Verarbeitungstätigkeiten per
sonenbezogener Daten zu erstellen und auf Verlangen der
Aufsichtsbehörde auszuhändigen. Eine Datenverarbeitung
im Sinne des Gesetzes erfolgt u. a. bei der Verarbeitung
von Patientendaten zu Behandlungszwecken (also bereits
bei der Terminvereinbarung am Telefon oder beim Einlesen
der elektronischen Gesundheitskarte, beim Speichern, Ak
tualisieren, Weiterleiten oder Löschen der Daten etc.), bei
der Abrechnung (über die KV bzw. PVS), beim Betrieb einer
Website mit einem Online-Terminvereinbarungssystem so
wie bei der Lohn- und Gehaltsabrechnung der Mitarbeiter.
Das Verzeichnis muss u.a. den Zweck der Datenverarbeitung,
die rechtliche Grundlage, die Art der Daten (getrennt nach
Patienten, Personal, Lieferanten etc.), mögliche Empfänger
der Daten (z. B. Krankenkassen, PVS), Löschfristen sowie
die Beschreibung der technischen und organisatorischen
Sicherheitsmaßnahmen enthalten. Betroffen ist auch die
papiergebundene Datenverarbeitung (z. B. Patientenkartei).
Information/Datenschutzverpflichtung des Personals:
Alle Mitarbeiter in der Praxis sind über die Einhaltung von
Schweigepflicht und Datenschutz zu informieren und ha
ben eine entsprechende Erklärung zu unterzeichnen. Auch
die Unterweisung der Mitarbeiter zum Erkennen/Melden
der Datenschutzverletzungen sollte schriftlich festgehalten
werden. Ein interner Datenschutzplan dokumentiert die
zur Gewährleistung des Datenschutzes ergriffenen (techni
schen und organisatorischen) Maßnahmen.
Sicherheitsmaßnahmen bei der Datenverarbeitung:
Neben Standardmaßnahmen (Betriebssysteme auf aktu
Der Schutz sensibler Patientendaten ist für Heilberufler im
Grunde kein Neuland. Sie sind auch nach den bislang beste
henden gesetzlichen Regelungen bereits zum Datenschutz
verpflichtet. Viele Praxen sind jedoch mit den neuen, teilwei
se verwirrenden Regularien noch nicht ausreichend vertraut.
So ist künftig unter anderem ein Nachweis über die Einhal
tung datenschutzrechtlicher Grundsätze zu erbringen. Ferner
gelten spezielle Informationspflichten gegenüber den Patien
ten. Änderungen ergeben sich auch bei den gesetzlich vorge
sehenen Sanktionen, die deutlich härter als bisher ausfallen.
Welche Daten sind schützenswert im Sinne des Gesetzes?
Für Praxisinhaber ergeben sich datenschutzrechtliche Anfor
derungen sowohl hinsichtlich ihrer Funktion als Behandler
als auch als Arbeitgeber. Grundsätzlich fallen alle Daten der
Patienten unter die DSGVO – also deren Gesundheitsdaten
(Befunde, Blutwerte, Röntgen-, MRT- und CT-Aufnahmen)
sowie persönliche Daten (Name, Anschrift, Versicherungs
nummer etc.). Schützenswert sind darüber hinaus die Daten
des Praxispersonals (Name, Adresse, Geburtsdatum, Sozial
versicherungsnummer etc.). Private Daten (z. B. Kontaktdaten
von Freunden) fallen nicht unter die Verordnung. Angesichts
der umfassenden gesetzlichen Regelungen empfiehlt es sich,
die daraus resultierenden grundlegenden Anforderungen
anhand einer Checkliste abzuarbeiten.
Checkliste zur DSGVO*
Datenschutzbeauftragter (DSB):
Im Regelfall ist nur dann
ein DSB zu benennen, wenn mindestens zehn Personen
regelmäßig mit der automatisierten Verarbeitung perso
nenbezogener Daten befasst sind. Hierunter fallen z. B.
Sprechstundenhilfen, nicht aber das Reinigungspersonal.
Die Funktion des DSB kann von einem fachlich qualifizier
ten Mitarbeiter (nicht durch den Praxisinhaber selbst) oder
durch einen externen Datenschützer übernommen werden.
Name und Kontaktdaten des DSB sind dem Landesdaten
schutzbeauftragten mitzuteilen. Unter die Aufgaben des
DSB fallen: Maßnahmen zur Kontrolle der Einhaltung von
Datenschutz und -sicherheit in der Praxis, Information und
Beratung des Praxisteams über die entsprechenden Pflich
ten, Ansprechpartner für die Aufsichtsbehörde.
Datenschutzgrundverordnung: Das müssen Praxen beachten