Hinweise für Arztpraxen zur DSGVO (20180518)

by | 0 comments

Einige gesammelte kurze Hinweise zur Umsetzung der Datenschutzvorgaben nach der Datenschutzgrundverordnung (DSGVO) für die tägliche Praxis in der Arztpraxis.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) zählt Gesundheitsdaten und genetische Daten zu den besonderen Kategorien personenbezogener Daten (Artikel 9 DSGVO), für die spezielle Vorschriften bestehen. Wer im weiten Feld des Gesundheitswesens tätig ist, muss sich neben seiner Datenschutzorganisation insbesondere auch um die Themen Einwilligung, Datensicherheit, automatisierte Entscheidungen sowie ggf. Datenschutz-Folgenabschätzung kümmern.

Gesundheits-Apps, Online-Terminvereinbarungen, Online-Sprechstunden und die digitale Kommunikation von Patienten mit Ärzten und Krankenhäusern sind deutliche Zeichen für die Digitalisierung im Gesundheitswesen und damit Hinweise auf die zunehmende (automatisierte) Datenverarbeitung. Ein Bedarf an erhöhtem Schutz für solche Gesundheitsdaten liegt wohl auf der Hand.

Datenschutz ist Chefsache?

 

Nein!

Datenschutz kann nur gemeinsam durch alle Beteiligten funktionieren!

Aber der „tone from the top“ macht die Musik. Deswegen sollten die Praxisinhaber mit gutem Beispiel vorangehen.

Betroffenenrechte…

…,die sie immer im Hinterkopf[1] haben sollten, sind

    • Recht auf Auskunft

    • Recht auf Berichtigung

    • Recht auf fristgemäße Löschung der verarbeiteten Daten

    • Recht auf Einschränkung der Verarbeitung

    • (Sperrung)

    • Recht auf Datenübertragbarkeit

Wichtig

 

  • Es ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann (Übersicht)

  • …Dieses basiert auf einer Prozess- bzw. Verfahrensaufnahme und ist daraus schlüssig ableitbar (Verfahrens- bzw. Verarbeitungsdokumentation).

  • Eine Aufstellung der technischen und organisatorischen Maßnahmen, die die Praxis zum Schutz von personenbezogenen Daten ergreift, muss auf Verlangen vorgelegt werden können. Diese Dokumentation sollte ebenfalls den Istzustand in der Praxis wiedergeben.

  • Vorteilhaft ist auch eine Dokumentation der Datenschutzorganisation in der Praxis (Aufgabenverteilung, Kommunikationsvorgaben)

  • Unbedingt notwendig ist der Aushang einer Patienteninformation zum Datenschutz in der Praxis und ggf. ein Verweis auf die Verfügbarkeit im Internet (web-Auftritt der Praxis). Dies gilt besonders für die digitale Kommunikation (E-Mail, web-Formulare). Sind Kinder betroffen, muss die Information zur Datenverarbeitung besonders einfach und kindgerecht sein  (Art. 12 Abs. 1 DSGVO, EG 58).

  • Empfehlenswert ist auch eine (interne) Aufstellung zur Weitergabe personenbezogener Daten an externe Stellen (Artt. 26 bis 28 DSGVO)

  • Vereinbarungen zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern, wenn diese auf Patienten- oder Mitarbeiterdaten (weisungsgebunden) zugreifen können (Auftragsverarbeiter nach Art. 28 DSGVO) müssen verfügbar sein

  • Die nachweisbare Unterweisung der Mitarbeiter zur Verschwiegenheit (die nach DSGVO anders gelagert ist als die ärztliche Schweigepflicht!) sichert vor und gegen Vorwürfe der Nachlässigkeit. Regelmäßige (z.B. jährliche) Schulungen hierzu werden empfohlen

  • Ein interner oder externer Datenschutzbeauftragter ist zu benennen (und zu bestellen), wenn in der Praxis mindestens zehn Personen regelmäßig personenbezogene Daten automatisiert verarbeiten (zum Beispiel auch am Empfang, Ärzte im Praktikum, freie Mitarbeiter etc.).

Verfahrensdokumentation

 

Zu jeder Tätigkeit (Verarbeitung) sind die in der DSGVO geforderten Angaben zu erfassen. Das sind:

  • Rechtsgrundlage

  • Zweck der Verarbeitung (z.B. ärztliche Dokumentation)

  • betroffene Personengruppen (z.B. Patienten, Beschäftigte)

  • Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)

  • Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)

  • Fristen für die Löschung (z.B. zehn Jahre)

Verfahren die eigentlich in jeder Praxis anfallen 

 

  • Personalverwaltung und Personalabrechnung

  • Mitarbeiter-Bewerbermanagement

  • Patientenverwaltung und –behandlung

Diese bestehen grds. aus mehreren Prozessen und geben Ihnen einen Anhaltspunkt, ob in Ihrer Praxis noch weitere datenschutzrelevante Prozesse zu beachten sind.

Rechtsgrundlagen 

 

Der Datenschutz versteht sich generell als „Verbot mit Erlaubnisvorbehalt“, wie auch besonders im Fall der besonderen Kategorien personenbezogener Daten nochmals deutlich wird. Es gibt also Ausnahmen von dem Verbot der Datenverarbeitung.

Die möglichen Rechtsgrundlagen sind:

  • Gesetzliche Anforderungen

  • Vertragliche Vereinbarungen

  • Freiwillige Einwilligungen

  • Interessenabwägungen

…mit jeweils unterschiedlichen Folgen hinsichtlich Anwendbarkeit, Belastbarkeit und Dokumentationsanforderungen.

Sie sollten sich in allen Stufen des Behandlungsprozesses darüber im Klaren sein, auf welcher Rechtsgrundlage Sie Daten verarbeiten!

Sonderfall Einwilligung 

 

Eine wesentliche Rechtsgrundlage ist das Vorliegen einer Einwilligung von Patienten. Die Einwilligung darf aber nicht „nebenbei“ erfolgen und nicht mit anderen Angeboten verbunden sein.

Die DSGVO nennt als eine Voraussetzung zur Verarbeitung von Gesundheitsdaten: „Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt“. Dabei ist es wichtig, dass diese Einwilligung freiwillig erfolgt und auch nachweisbar dokumentiert wird.

Praxen, die mit Einwilligungserklärungen des Patienten arbeiten, zum Beispiel bei der Weitergabe von Daten an eine privatärztliche Verrechnungsstelle, müssen die Erklärung um einen Hinweis auf Widerrufbarkeit ergänzen.

Sonder- Sonderfall Interessenabwägung 

 

Wenn Sie keine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten finden, können Sie ggf. auf das relativ neue Instrument der Interessenabwägung zurückgreifen. Dabei handelt es sich quasi um einen Fall der Gerätemedizin, der den geschulten Spezialisten (hier allerdings zum Datenschutz) überlassen werden sollte.

Datensicherheit 

 

Es versteht sich fast von selbst, dass die Sicherheit der Verarbeitung bei besonderen Kategorien personenbezogener Daten höheren Ansprüchen genügen muss, da die Maßnahmen insbesondere unter Berücksichtigung der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen auszuwählen sind.

Anbieter in der Gesundheitsbranche sollten somit für die Umstellung auf die DSGVO nochmals genau prüfen, wie es um ihre Datensicherheit steht. Das gilt auch für Arztpraxen.

Web-Auftritte und Social Media Angebote 

 

Praxen, die eine Internet- oder Facebook-Seite anbieten, sollten die Datenschutzerklärung prüfen und gegebenenfalls anpassen; dies gilt ebenso, wenn personenbezogene Daten zum Beispiel über Kontaktformulare oder für einen Praxis-Newsletter erfasst und gespeichert werden.

Zusatzhinweis: Arztwechsel und das Recht auf Datenportabilität

 

Die Aufsichtsbehörden haben ´bereits in der Vergangenheit bei Fällen, bei denen Praxen an einen neuen Arzt übergeben wurden oder bei denen Patienten die Arztpraxis gewechselt haben, Versäumnisse festgestellt. Das Recht auf Datenübertragbarkeit gibt es aber auch oder gerade in der DSGVO, wenn die Verarbeitung auf einer Einwilligung beruht und automatisiert erfolgt.

Der Patient hat also ein Recht auf die eigenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“.

Kopierte Arztbriefe reichen demnach eigentlich nicht…

…und einige weitere Hinweise (KBV im März 2018)

Die DSGVO macht keine konkreten Vorgaben, welche Maßnahmen im Einzelnen dokumentiert werden soll. Doch letztlich geht es darum, zu erfassen, welche Vorkehrungen die Praxis getroffen hat, um einen Missbrauch von personenbezogenen Daten zu verhindern. Auf diese Punkte kommt es insbesondere an:

  • Patientendaten werden niemals unverschlüsselt über das Internet versendet, beispielsweise per E-Mail.

  • Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der Praxis auf Dateien und Ordner zugreifen kann.

  • In den Praxisräumlichkeiten wird auf Diskretion geachtet: Die Anmeldung sollte getrennt zum Wartebereich angeordnet sein. Möglich ist auch, Patienten beispielsweise mit einem Schild darauf hinzuweisen, dass sie am Tresen Abstand halten sollen, wenn mehrere Personen dort warten.

  • Patientenakten werden sicher verwahrt: Die Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden stets so positioniert, dass andere Patienten diese nicht einsehen können. Wenn der Arzt / Psychotherapeut nicht im Raum ist, werden Patientenakten generell unter Verschluss gehalten.

  • Vertrauliche Arzt-Patienten-Gespräche finden stets in geschlossenen Räumen statt.

  • Bei Auskünften am Telefon wird die Identität des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.

  • Es ist festgelegt, wann und durch wen personenbezogene Daten ge-löscht beziehungsweise vernichtet werden, sobald beispielsweise die Aufbewahrungsfrist abläuft.

  • Patientenakten werden nach DIN-Normen vernichtet.

  • Es ist festgelegt, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt (in der Regel an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden).

  • Die Mitarbeiter in der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert.

____________________________________

[1] occipitium