Datenschutz macht vor Arztpraxen nicht halt
Die EU-Datenschutz-Grundverordnung (DSGVO) macht vor Arztpraxen nicht halt: Ab dem 25. Mai 2018 gilt sie verbindlich in ganz Europa. Ganz gleich, ob Ihr in einer großen Gemeinschaftspraxis mit vielen Angestellten arbeitet oder als einziger Arzt in Eurer Praxis tätig seid und nur wenige Mitarbeiter habt: Die DSGVO gilt auch für Euch! Deshalb geben wir heute Tipps, was Ihr ab dem 25.05. beachten solltet.
Datenschutz in Arztpraxen: Überlegungen zur internen Datenschutzorganisation für Arztpraxen
Arztpraxen nutzen zahlreiche elektronische Verarbeitungsvorgänge, verarbeiten jedoch auch Patientendaten in Karteien. Bitte überprüft dies auf datenschutzrechtliche Konformität. Ergreift geeignete technisch-organisatorische Maßnahmen. Was dies konkret bedeutet, könnt Ihr dem Gesetzestext unter Art. 32 DSGVO entnehmen. Die Maßnahmen, die hier genannt werden, sind jedoch sehr allgemein gehalten – wenn Ihr konkrete Fragen speziell zu Eurer Arztpraxis habt, nehmt gerne Kontakt zu uns auf und lasst Euch beraten!
Bestehen bestimmte Risiken beim Verarbeiten der Patientendaten, so kann unter Umständen eine Datenschutzfolgeabschätzung notwendig sein. Darüber klärt Art. 35 DSGVO auf. Mit der Datenschutzfolgeabschätzung werden Maßnahmen zum Abstellen der Risiken bestimmt. Die Aufsichtsbehörden sind Euer Ansprechpartner. Welche Aufsichtsbehörde für Eure Arztpraxis zuständig ist, erklärt die Ärztekammer.
Verfahrensverzeichnis ist Pflicht für Arztpraxen
Arztpraxen müssen – wie jedes andere Unternehmen – ein Verfahrensverzeichnis anlegen. Versteht dieses Verfahrensverzeichnis bitte als Bestandsaufnahme darüber, welche Daten Ihr in Eurer Praxis zu welchem Zweck und auf Basis welcher Rechtsgrundlage verarbeitet. Art. 30 DSGVO erklärt Details. Auch wir haben uns mit dieser Thematik ausführlicher auseinandergesetzt und empfehlen Euch als Lektüre unseren Beitrag „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.
Benötigen Arztpraxen einen Datenschutzbeauftragten?
Über die Notwendigkeit von Datenschutzbeauftragten informiert Art. 37 DSGVO. Das Gesetz sieht vor, dass Arztpraxen die Wahl zwischen einem internen oder einem externen Datenschutzbeauftragten (DSB) haben. Wann ein DSB notwendig wird, erklärt § 38 Abs. 1 BDSG neu: Sind in Eurer Praxis mindestens 10 Personen dauernd mit dem automatisierten Verarbeiten von personenbezogenen Daten befasst, benötigt Ihr einen Datenschutzbeauftragten.
Praxisinhaber kommen dafür nicht infrage – hier bestünde ein Interessenskonflikt. Jedoch könnt Ihr andere interne Personen mit dieser Aufgabe betreuen. Dafür ist Voraussetzung, dass diese Person fachlich qualifiziert ist. Dies könnt Ihr mithilfe von Schulungen erreichen. Alternativ könnt Ihr den DSB auch extern bestellen.
Wie Ihr Euch auch entscheidet: Der Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde gemeldet werden. Ihr DSB zeigt sich dafür verantwortlich, das Einhalten von Datenschutz sowie die Datensicherheit zu kontrollieren. Weiter ist er Ansprechpartner, wann immer Fragen zum Datenschutz aufkommen.
Rechtsdokumente anpassen
Kein Muss, aber ein Kann ist das Erarbeiten einer internen Datenschutzrichtlinie in Eurer Arztpraxis. Die Vorteile liegen klar auf der Hand: Ihr habt einen Leitfaden, wie im Falle eines Datenschutzvorfalls zu reagieren ist, Ihr sensibilisiert Eure Mitarbeiter für das Thema Datenschutz und Ihr schafft weiter ein Bewusstsein für Datenschutzrisiken. Inhalte können beispielsweise sein: Die Verhaltensweisen beim Erfassen von Patientendaten, die Kompetenzen und Verantwortlichkeiten von Mitarbeitern oder aber auch Zugriffsbeschränkungen.
Überprüft darüber hinaus auch Eure Einwilligungserklärungen sowie Verträge mit Dritten, wenn diese Datenverarbeitungsvorgänge betreffen. Passt diese Dokumente ans neue Datenschutzrecht an.
In Arztpraxen müssen technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit zu gewährleisten. Dies trifft sowohl Eure eigenen Mitarbeiter, die beispielsweise durch Zugriffsrechte daran gehindert werden können, unbefugt an Daten zu gelangen, als auch Angreifer von außen. Letztere könnt Ihr beispielsweise mithilfe von Verschlüsselung aussperren.
Maßnahmen im Umgang mit Patienten
Um Daten von Kunden zu speichern und / oder zu verarbeiten, braucht es mit der DSGVO nun eine Einwilligungserklärung. Das sieht bei Arztpraxen ein wenig anders aus: Ihr behandelt Patienten routinemäßig; die Datenverarbeitung beruht auf einer gesetzlichen Grundlage. Ihr benötigt damit keine Einwilligung zum Verarbeiten von Patientendaten.
Jedoch kann es bestimmte Datenverarbeitungsvorgänge geben, für die Einwilligungserklärungen doch notwendig sind. Dies kann beispielsweise das Einbeziehen einer privaten Verrechnungsstelle sein. Habt Ihr solche Einwilligungen in Eurer Praxis bislang nicht eingeholt, so seid Ihr verpflichtet, dies nachzuholen. Ihr als Praxisinhaber müsst nachweisen, dass entsprechende Einwilligungserklärungen zum Verarbeiten der Daten vorliegen.
Informationspflichten & Betroffenenrechte in Arztpraxen
Art. 12 – 14 DSGVO erläutern die Informationspflichten, die auf Arztpraxen und sonstige Organisationen zukommen. Ihr könnt Euch entsprechende Vordrucke erstellen, mit denen Ihr Eure Patienten so informiert, wie es das Gesetz verlangt: Seid präzise, transparent und drückt Euch in verständlicher Weise mit einfacher Sprache aus. Ihr könnt Vordrucke dieser Art in Eurer Praxis aushängen.
Mit dem Auskunftsrecht, welches in Art. 15 DSGVO geklärt wird, haben Patienten die Möglichkeit, in Arztpraxen Auskunft über die über sie gespeicherten Informationen zu verlangen. Bedenkt diesen Punkt in Eurer internen Datenschutzrichtlinie, in der Ihr auch ein bestimmtes Verfahren dafür vorschlagt. So lassen sich Anfragen effizienter und zügiger beantworten.
Patienten erhalten zudem das sogenannte Recht auf Löschung. Hierbei sind jedoch die Aufbewahrungs- und Löschfristen gemäß Art. 17 DSGVO zu berücksichtigen. Legt auch dazu in Eurer Datenschutzrichtlinie ein Verfahren fest, um Löschanträgen zügig nachkommen zu können. Bestimmt, wann nach Ablauf der Aufbewahrungsfrist welche Daten durch wen gelöscht werden.
Welche Betroffenenrechte noch existieren und wie Ihr mit diesen Rechten umgeht, erklären wir Euch im Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.
Vertragsgestaltung für Arztpraxen mit Dritten
Habt Ihr Daten in der Cloud gespeichert? Existieren Verträge mit externen Dritten, etwa um Eure Praxis-EDV-Infrastruktur regelmäßig zu warten? Oder plant Ihr, Verträge mit privaten Verrechnungsstellen abzuschließen? In all diesen und weiteren Fällen, in denen Ihr mit Dritten zusammenarbeitet, seid Ihr in der Pflicht, sämtliche existierenden und künftigen Verträge auf die neuen Vorschriften hin zu prüfen. Überseht dabei bitte nicht, dass diese Verträge auch strafrechtliche Vereinbarungen zur ärztlichen Schweigepflicht enthalten sollten. Verpflichtet Eure externen Dienstleister in den Verträgen unbedingt zur Geheimhaltung – andernfalls kann es zur Strafbarkeit kommen!
Handelt es sich bei Euren Verträgen um Auftragsverarbeitungen, beachtet bitte die Anforderungen, die sich aus Art. 28 Abs. 3 DSGVO ergeben.
DSGVO in Arztpraxen
Ist Eure Praxis schon fit für die DSGVO? Dann: Glückwunsch, Ihr habt euch ausgezeichnet vorbereitet! Fehlen hier und da noch Details? Dann ist bereits Eile geboten, denn in wenigen Tagen gilt die DSGVO verbindlich in ganz Europa. Benötigt Ihr Unterstützung oder habt Ihr noch ungeklärte Fragen, scheut Euch nicht, uns zu kontaktieren – wir sind mit Sicherheit Euer Partner!
Möchtet Ihr Euch ausführlicher zur DSGVO informieren, haben wir im Folgenden noch einige Lesetipps:
- Wie Ihr Eure Website DSGVO-konform gestaltet: Prüft, ob Eure Website bereits fit für die DSGVO ist.
- Weitere Vorbereitungen zur DSGVO: Wie schafft Ihr Compliance? Wie geht Ihr mit externen Daten um? Wann sind Einwilligungen notwendig? Wie meldet Ihr Datenschutzverstöße?
- Die DSGVO und Verschlüsselung: Verschlüsselung gehört zu den technisch-organisatorischen Maßnahmen. Welche Arten der Verschlüsselung gibt es? Wie kompliziert sind diese? Lohnt sich Verschlüsselung auch für uns?
- DSGVO: E-Mail-Verschlüsselung ist Pflicht: Hier gehen wir speziell auf das Verschlüsseln von E-Mails ein.
- Sammlung aller DSGVO-Artikel: Alle Artikel unserer DSGVO-Serie.