DSGVO: Datenschutz-Grundverordnung für Ärzte und MVZ

[Last Minute Check-Up]
MEDICUSplus News
16.05.18

Dieser Beitrag wird regelmäßig um Informationen aus zuverlässigen Quellen erweitert. (Stand: 19.05.18)

DSGVO – Was ist das?
Datenschutz ist ein sensibles Thema und gewinnt zu Zeiten der Digitalisierung immer mehr an Bedeutung. Insbesondere wenn es nicht nur um personenbezogene Daten geht, sondern auch medizinische Daten/ Patienteninformationen involviert sind, werden Betroffene besonders in die Pflicht genommen.

Um einen europaweit einheitlichen Standard zu gewährleisten, wurde eine neue Datenschutz-Grundverordnung ausgearbeitet, die schon seit ca. einem Jahr gültig ist und deren geforderten Maßnahmen bis zum 25. Mai 2018 umgesetzt sein müssen. Das stellt nicht nur mittelständische und große Unternehmen vor neue Herausforderungen, sondern bedeutet auch für medizinische Einrichtungen und Ärzte einige Neuerungen. 

Die KBV hat hierzu umfangreiche Informationen bereitgestellt, die wir Ihnen in diesem Artikel zusammengefasst und aufbereitet haben, damit Sie “last minute“ prüfen können, ob Sie für den Stichtag gerüstet sind. Den KBV Beitrag finden Sie hier.

Das ist für Sie ab dem 25. Mai 2018 wichtig:

Verzeichnis von Verarbeitungstätigkeiten
In diesem Verzeichnis wird festgehalten,  bei welchen Tätigkeiten und Vorgängen personenbezogene Daten erfasst und be- bzw. verarbeitet werden. Dieses Verzeichnis sollte sorgfältig geführt werden, da es ggf. Der Aufsichtsbehörde bereitgestellt werden muss.

Im Folgenden wird kurz beschrieben, wie Sie beim Ausfüllen des Verzeichnisses vorgehen sollten:
1. Schritt: Überlegen Sie, wo in der Praxis Daten erhoben, gespeichert, bearbeitet oder weitergeleitet werden (z.B. Nutzung des Praxisverwaltungssystems, Führen von Personalakten etc.).

2. Schritt: Zu jeder Tätigkeit müssen bestimmte Angaben ergänzt werden
– Zweck der Verarbeitung (z.B. ärztliche Dokumentation)
– betroffene Personengruppen (z.B. Patienten, Beschäftigte)
– Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)
– Empfänger gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkasse,  Kassenärztliche Vereinigung)

3. Schritt: Fügen Sie die Kontaktdaten und den Namen Ihrer Praxis hinzu. Ggf. nennen Sie noch Ihren Datenschutzbeauftragten.
Prüfen Sie nun noch einmal, ob es evtl. besonders risikoreiche Prozesse gibt. In dem Fall kann es sein, dass Sie eine Datenschutz-Folgenabschätzung vornehmen müssen. 

Hier finden Sie die entsprechenden Unterlagen der KBV zu diesem Thema:
Muster: Verzeichnis von Verarbeitungstätigkeiten [Download]
Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten Ausfüllbeispiel [Download]

Aufstellung der Maßnahmen zum Datenschutz
Im Verarbeitungsverzeichnis haben Sie festgehalten, welche Daten wie verarbeitet werden. Bei der Aufstellung der Maßnahmen zum Datenschutz geht es darum, zu dokumentieren, welche Maßnahmen vorgenommen wurden, um Daten zu schützen. Hierzu zählen technische als auch organisatorische Maßnahmen.

Hier finden Sie die wichtigsten Grundsätze und Maßnahmen, die die KBV benennt:
– Patientendaten werden niemals unverschlüsselt über das Internet versendet (z.B. unverschlüsselte eMails)
– Zugriffsberechtigungen sind vergeben um nachvollziehen zu können, wer Zugriff auf welche Dateien/Ordner hat
– Diskretion wird beachtet: Anmeldung und Wartebereich sind ausreichend getrennt. Ggf. wird auch auf einen ausreichenden Abstand vom Tresen hingewiesen
– Patientenakten werden sicher verwahrt: Sämtliche Computer sind passwortgeschützt, Bildschirmschoner aktivieren sich automatisch, Patientenunterlagen werden so positioniert, dass andere Patienten diese nicht einsehen können; Patientenakten werden unter Verschluss gehalten, wenn sich der Arzt nicht in den Räumlichkeiten befindet
– Vertrauliche Gespräche zwischen Arzt und Patient werden stets in geschlossenen Räumen geführt
– Patientenakten werden nach DIN-Normen vernichtet
– es ist festgelegt, was bei Verstößen gegen den Datenschutz und bei Datenpannen zutun ist und wer die Meldung an die Behörde übernimmt (innerhalb von 72 Stunden)
– Mitarbeiter der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert

R

Bereit für die DSGVO

MEDICUSplus bietet Ihnen unter anderem eine überarbeitete Patienteneinwilligung, verschlüsselte Datensicherungen und eine praktische Screensaver-Funktion, sodass Sie auch zukünftig datenschutzkonform arbeiten können.

Patienteninformation zum Datenschutz
Auch Ihre Patienten müssen darüber informiert werden, was mit ihren Daten geschieht. Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten.

Es empfiehlt sich, einen Aushang in Ihrer Praxis anzubringen, mit dem Sie möglichst viele Patienten erreichen. Auch Informationsblätter im Wartezimmer oder zusätzliche Informationen auf Ihrer Webseite sind sinnvoll. Die KBV bietet auch hierzu ein Muster zum Download an.

Patienteninformation zum Datenschutz Muster [Download]

Auftragsverarbeitung
Im Praxisalltag sind viele Dritte involviert und dabei spielt auch die Nutzung von Daten eine Rolle. Sobald Dritte auf Mitarbeiter- oder Patientendaten zugreifen können, ist ein Vertrag zur Auftragsverarbeitung notwendig.

Eine Auftragsverarbeitung liegt nicht nur bei der Wartung der Praxis-EDV oder der Akten- und Datenträgervernichtung vor. Weitere Beispiele sind die Nutzung von Cloud-Systemen und die Terminvergabe durch Externe (die Terminservicestellen der KVen fallen nicht darunter).

Eine rein technische Wartung der IT-Infrastruktur durch einen Externen, zum Beispiel Arbeiten an der Stromzufuhr, Kühlung oder Heizung ist dagegen keine Auftragsverarbeitung! Wenn Sie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer etc. („Geheimnisträger“) beauftragen, liegt i.d.R. ebenfalls keine Auftragsverarbeitung vor.

Checkliste der KBV wie Sie in Fällen der Auftragsverarbeitung vorgehen sollten:

Schritt 1: Schauen Sie zunächst, ob Sie für Ihre Dienstleistungsverträge (z.B. zur Wartung der Praxis-EDV) jeweils einen Vertrag zur Auftragsverarbeitung haben, und passen Sie diesen in Abstimmung mit dem Auftragnehmer gegebenenfalls an.

Schritt 2: Ist das nicht der Fall, sprechen Sie Ihren Dienstleister an. Er benötigt einen Vertrag zur Auftragsverarbeitung und wird Ihnen in der Regel einen Entwurf zusenden.

Folgende Inhalte sollte der Vertrag enthalten:

  • Gegenstand und Dauer der Verarbeitung (um welche Leistung handelt es sich, wie lange wird diese beauftragt)
  • Art und Zweck der Verarbeitung (wozu dient sie, welches Ziel soll erreicht werden)
  • Art der personenbezogenen Daten und Kategorien betroffener Personen (z.B. Zugriff auf Gesundheitsdaten)
  • Rechte und Pflichten des Auftraggebers sowie dessen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
  • Benennung der technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz personenbezogener Daten durchführt (z.B. Einhaltung von Vorgaben der ISO/IEC 27001)
  • Verpflichtung des Auftragnehmers zur Unterstützung des Auftraggebers bei:
    • Anfragen und Ansprüchen Betroffener im Zusammenhang mit der Auftragsverarbeitung
    • der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Verpflichtung des Auftragnehmers, dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten bereitzustellen. Möglich ist auch eine Überprüfung oder Inspektion durch einen vereinbarten Prüfer.

Schritt 3: Lassen Sie sich vom Dienstleister ein geeignetes Zertifikat, zum Beispiel ISO/IEC 27001, vorlegen. Das Zertifikat dient dem Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer. Eine weitergehende Pflicht zur Kontrolle durch Sie besteht nicht.

 

 

Quelle: www.kbv.de