Previous Page  4 / 24 Next Page
Information
Show Menu
Previous Page 4 / 24 Next Page
Page Background

4

VR

MEDICUS

GESUNDHEITSPOLITIK.

In Zusammenhang mit der Digitalisierung gilt die Gewährleistung der IT- bzw. Datensicherheit auch im Gesund-

heitswesen als eine der größten Herausforderungen. Insgesamt werden die entsprechenden Anforderungen in den

kommenden Jahren erheblich zunehmen. Einen ersten Vorgeschmack liefert die Europäische Datenschutzgrundver-

ordnung (DSGVO), die zusammen mit dem neuen Bundesdatenschutzgesetz (BDSG) am 25. Mai in Kraft trat.

Verzeichnis von Verarbeitungstätigkeiten:

Alle Praxen

haben ein Verzeichnis von Verarbeitungstätigkeiten per­

sonenbezogener Daten zu erstellen und auf Verlangen der

Aufsichtsbehörde auszuhändigen. Eine Datenverarbeitung

im Sinne des Gesetzes erfolgt u. a. bei der Verarbeitung

von Patientendaten zu Behandlungszwecken (also bereits

bei der Terminvereinbarung am Telefon oder beim Einlesen

der elektronischen Gesundheitskarte, beim Speichern, Ak­

tualisieren, Weiterleiten oder Löschen der Daten etc.), bei

der Abrechnung (über die KV bzw. PVS), beim Betrieb einer

Website mit einem Online-Terminvereinbarungssystem so­

wie bei der Lohn- und Gehaltsabrechnung der Mitarbeiter.

Das Verzeichnis muss u.a. den Zweck der Datenverarbeitung,

die rechtliche Grundlage, die Art der Daten (getrennt nach

Patienten, Personal, Lieferanten etc.), mögliche Empfänger

der Daten (z. B. Krankenkassen, PVS), Löschfristen sowie

die Beschreibung der technischen und organisatorischen

Sicherheitsmaßnahmen enthalten. Betroffen ist auch die

papiergebundene Datenverarbeitung (z. B. Patientenkartei).

Information/Datenschutzverpflichtung des Personals:

Alle Mitarbeiter in der Praxis sind über die Einhaltung von

Schweigepflicht und Datenschutz zu informieren und ha­

ben eine entsprechende Erklärung zu unterzeichnen. Auch

die Unterweisung der Mitarbeiter zum Erkennen/Melden

der Datenschutzverletzungen sollte schriftlich festgehalten

werden. Ein interner Datenschutzplan dokumentiert die

zur Gewährleistung des Datenschutzes ergriffenen (techni­

schen und organisatorischen) Maßnahmen.

Sicherheitsmaßnahmen bei der Datenverarbeitung:

Neben Standardmaßnahmen (Betriebssysteme auf aktu­

Der Schutz sensibler Patientendaten ist für Heilberufler im

Grunde kein Neuland. Sie sind auch nach den bislang beste­

henden gesetzlichen Regelungen bereits zum Datenschutz

verpflichtet. Viele Praxen sind jedoch mit den neuen, teilwei­

se verwirrenden Regularien noch nicht ausreichend vertraut.

So ist künftig unter anderem ein Nachweis über die Einhal­

tung datenschutzrechtlicher Grundsätze zu erbringen. Ferner

gelten spezielle Informationspflichten gegenüber den Patien­

ten. Änderungen ergeben sich auch bei den gesetzlich vorge­

sehenen Sanktionen, die deutlich härter als bisher ausfallen.

Welche Daten sind schützenswert im Sinne des Gesetzes?

Für Praxisinhaber ergeben sich datenschutzrechtliche Anfor­

derungen sowohl hinsichtlich ihrer Funktion als Behandler

als auch als Arbeitgeber. Grundsätzlich fallen alle Daten der

Patienten unter die DSGVO – also deren Gesundheitsdaten

(Befunde, Blutwerte, Röntgen-, MRT- und CT-Aufnahmen)

sowie persönliche Daten (Name, Anschrift, Versicherungs­

nummer etc.). Schützenswert sind darüber hinaus die Daten

des Praxispersonals (Name, Adresse, Geburtsdatum, Sozial­

versicherungsnummer etc.). Private Daten (z. B. Kontaktdaten

von Freunden) fallen nicht unter die Verordnung. Angesichts

der umfassenden gesetzlichen Regelungen empfiehlt es sich,

die daraus resultierenden grundlegenden Anforderungen

anhand einer Checkliste abzuarbeiten.

Checkliste zur DSGVO*

Datenschutzbeauftragter (DSB):

Im Regelfall ist nur dann

ein DSB zu benennen, wenn mindestens zehn Personen

regelmäßig mit der automatisierten Verarbeitung perso­

nenbezogener Daten befasst sind. Hierunter fallen z. B.

Sprechstundenhilfen, nicht aber das Reinigungspersonal.

Die Funktion des DSB kann von einem fachlich qualifizier­

ten Mitarbeiter (nicht durch den Praxisinhaber selbst) oder

durch einen externen Datenschützer übernommen werden.

Name und Kontaktdaten des DSB sind dem Landesdaten­

schutzbeauftragten mitzuteilen. Unter die Aufgaben des

DSB fallen: Maßnahmen zur Kontrolle der Einhaltung von

Datenschutz und -sicherheit in der Praxis, Information und

Beratung des Praxisteams über die entsprechenden Pflich­

ten, Ansprechpartner für die Aufsichtsbehörde.

Datenschutzgrundverordnung: Das müssen Praxen beachten