Gesundheitsinformationen einer Person gehören zu den besonderen Kategorien personenbezogener Daten und sind als solche besonders schützenswert. In der medizinischen Praxis (z.B. Arztpraxis, medizinisches Versorgungszentren, Krankenhäuser) ist es deshalb von größter Bedeutung, sehr sorgsam mit diesen Informationen umzugehen. Dies folgt nicht nur aus der beruflichen Verschwiegenheitsverpflichtung, denen Ärzte und deren Mitarbeiter unterliegen, sondern auch aus den datenschutzrechtlichen Anforderungen: Die Bestimmungen der Datenschutzgrundverordnung (DSGVO und des BDSG) gelten für jeden, der personenbezogene Daten speichert.
Die rechtlichen Anforderungen gelten unabhängig davon, ob Patientendaten per Hand in eine Patientenkartei geschrieben werden, oder ob die Verarbeitung der Daten automatisiert, z.B. in einem Patientendatenmanagementsystem erfolgen.
Hierzu gehört nicht nur, dass medizinische Praxen verpflichtet sind, nachzuweisen, dass die datenschutzrechtlichen Anforderungen von ihnen eingehalten werden, sondern auch die Verpflichtung, Patienten darüber zu informieren, dass und wie deren personenbezogene Daten verarbeitet werden.
Wir können Sie dabei unterstützen, Ihr bestehendes Datenschutzkonzept zu überprüfen oder ein solches zu entwickeln.
Die Ernennung eines Datenschutzbeauftragten ist nicht immer verpflichtend. Es kann dabei sowohl ein Mitarbeiter aus der Praxis zum Datenschutzbeauftragten durch entsprechende Aus- und Weiterbildung bestellt werden oder ein externer Datenschutzbeauftragter benannt werden. Eigene Mitarbeiter sind in der Regel mit den Abläufen und Prozessen in der Praxis im Zusammenhang mit den verarbeiteten Patientendaten vertraut. Ein externer Datenschutzbeauftragter unterstützt Sie objektiv auf der Basis seiner Expertise. Gerne unterstützen wir Sie bei der Klärung der gesetzlich benannten Kriterien und stehen Ihnen im Bedarfsfall auch als externer Datenschutzbeauftragter zur Verfügung.
Patientinnen und Patienten sollten beim ersten Praxisbesuch eine Patienteninformation zum Datenschutz erhalten und der Datenverarbeitung schriftlich zustimmen.
Jede Praxis mit einer Internetpräsenz muss auf dieser eine Datenschutzerklärungen bereitstellen, die möglichst spezifisch gestaltet ist und präzise Formulierungen enthält. Das gilt auch für Social Media Accounts.
Die Verarbeitung personenbezogener Daten beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit Patientendaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In dem Verzeichnis der Verarbeitungsvorgänge, werden alle Verarbeitungen festgehalten, in denen Patientendaten verarbeitet werden. Dazu gehören z.B. auch Röntgenbilder, MRT- oder CT Aufnahmen sowie Aufzeichnungen von Ultraschall- oder EKG-Geräten. Das Verzeichnis der Verarbeitungsvorgänge ist einer Aufsichtsbehörde auf Nachfrage
In einem internen Datenschutzhandbuch oder Datenschutzplan sind alle organisatorischen Maßnahmen und technischen Schutzmaßnahmen aufzunehmen, die zu Einhaltung der Datenschutzanforderungen zu beachten sind. Richtlinien zum Datenschutz, Arbeitsanweisungen, Hinweise, technische Maßnahmen werden in einem solchen Datenschutzplan beschrieben, der auf Anforderung der Aufsichtsbehörden diesen vorlegbar sein sollte.
Im Rahmen der Ausgliederung von Tätigkeiten oder Beauftragung von IT-Leistungen ist regelmäßig zu prüfen, ob gegebenenfalls die erforderlichen Auftragsverarbeitungsverträge abzuschließen sind.
Pflichtverletzungen oder ein Datenschutzvorfall kann zu Bußgeldern führen und kann im Falle der Verletzung der Verschwiegenheitsverpflichtung mit einer Geld- oder bis zu einjähriger Freiheitsstrafe geahndet werden. Achten Sie in Ihrem Alltag besonders auf folgende Hinweise:
Sorgen Sie auch bei hohem Patientenaufkommen dafür, dass die Privatsphäre der Patienten gewahrt wird und diesen ausreichenden Abstand zueinander halten.
Wahren Sie auch im Rahmen von Telefonaten besondere Diskretion und geben Sie nur telefonische Auskünfte, sofern die Identität des Anrufers zweifelsfrei feststeht.
Führen Sie Gespräch zwischen Arzt und Mitarbeitern in geschützten Räumen und achten darauf, dass andere Patienten und Personen an Ihren Gesprächen Gespräch nicht teilhaben.
Lassen Sie sich das Einverständnis Ihrer Patienten in die Datenverarbeitung immer schriftlich geben. Der Hinweis, die Patienteninformationen zum Datenschutz lediglich durchzulesen und die Kenntnisnahme mündlich zu bestätigen, ist nicht ausreichend, nicht aus.
Stellen Sie sicher, dass kein Unbefugter Zugriff auf Patientenakten nehmen kann oder andere Informationen erhält. Dies gilt für den Empfang wie für die Behandlungsräume einschließlich des Labors. Sichern Sie papierbasierte Patientenakten und -Unterlagen in abschließbaren Schränken und schützen die elektronische Patientendaten durch eine Bildschirmsperre und einen adäquaten Passwortschutz.
Verpflichten Sie alle Mitarbeiter regelmäßig auf das Datengeheimnis und schulen Sie diese zum Datenschutz.
Weitere Best Practise finden Sie hier
Wenn Sie sich für weitere Informationen interessieren, so stellen wir Ihnen gerne eine erste Checkliste zur Verfügung. Im Gespräch lassen sich Ihre Fragen klären. Kommen Sie gerne auf uns zu. Wir sind für Sie da.