EU-Datenschutzgrundverordnung-DSGVO: ab 25. Mai 2018 für Zahnärzte Pflicht

Patientendaten gehen durch viele „Hände“. Jede Praxis verarbeitet täglich unzählige personenbezogene Daten – sei es auf Seiten der Patienten, Lieferanten oder aus dem erweiterten Netzwerk. Auch wenn die Vorgaben des Berufsstands, was die Verarbeitung personenbezogener Daten und Schweigeplichten anbetrifft, bereits heute als sehr umfangreich gelten, so sind die Regelungen der

https://www.e-wise.de/news/eu-datenschutzgrundverordnung-ds-gvo-ab-25-mai-2018-f%C3%BCr-zahn%C3%A4rzte-pflicht?utm_source=za_zm-markt&utm_medium=listing&utm_campaign=za_zm-markt_180423 - external-link-new-window

für jede Praxis umzusetzen.

Im Kern sieht die Verordnung umfassende Rechte für die Patienten vor. Sie sollen in die Lage versetzt werden, ihre Ansprüche in Sachen Datenschutz besser einfordern zu können. Was heißt das genau? Zunächst: Ohne Erlaubnis dürfen zukünftig keine personenbezogenen Daten mehr verarbeitet werden. Eine Erlaubnis ist der Behandlungsvertrag. Für weitergehende Verarbeitungen, z.B. ein Recall zur nächsten Prophylaxe bedarf es einer ausdrücklichen Einwilligung des Patienten. Diese sollte schriftlich auf einem Formular eingeholt werden. Patienten und auch alle anderen Personen, deren Daten in der Praxis gespeichert werden, können verlangen, dass sie jederzeit Auskunft über die von ihnen vorgehaltenen Daten erhalten. Hier wird natürlich schnell deutlich, wenn Daten ohne Erlaubnis gespeichert wurden, z.B. aufgeschnappte Privatinformationen. Die Patienten haben das Recht auf Berichtigung ihrer Daten, wenn diese falsch sind und auf Löschung, wenn keine Aufbewahrungspflicht eingreift, wie beispielsweise die zehnjährige Aufbewahrungspflicht für Rechnungen oder 30 Jahre bei Röntgentherapieaufzeichnungen. Ist letzteres der Fall, so muss die Praxis sicherstellen, dass die Daten wirklich in allen IT-Systemen entfernt wurden. Sonst drohen empfindliche Bußgelder, theoretisch von bis zu 20 Mio. Euro.

Sind IT-Dienstleister oder sonstige Drittanbieter, beispielsweise zur Abrechnung der Dienstleistung, involviert und werden in diesem Zusammenhang personenbezogene Daten weitergegeben, so sind mit diesen Anbietern Vereinbarungen zur Auftrags(daten)verarbeitung zu schließen. Damit ist sichergestellt, dass diese Unternehmen ebenfalls nach den geltenden Datenschutzregeln arbeiten. Ein Punkt, der besonders wichtig ist, weil die EU-DSGVO eine Haftung des Auftraggebers für die Dienstleister vorsieht.

Unser Gesundheitssystem belastet die Praxen mit einer Vielzahl von administrativen Aufgaben. Nun kommt die Umsetzung des EU-Datenschutzes hinzu, die eine überblicksartige  Dokumentation der Datenverarbeitungsprozesse fordert. Das kann man bedauern oder aber als Chance begreifen. Denn überall, wo Prozesse gut beschrieben sind, gibt es in der Folge sehr positive Effekte – sei es in der Einheitlichkeit von Arbeitsweisen, der Einarbeitung neuer Mitarbeiter oder in der Reduktion von Fehlern. Wir empfehlen unseren Mandanten, gemeinsam mit ihrem Team eine Datenschutzrichtlinie zu erstellen. Diese beschreibt, welche datenverarbeitenden Prozesse es im Detail in der Praxis gibt, wie diese ganz konkret ausschauen und welche Risiko- und Folgenabschätzungen möglicherweise erforderlich sind. In der Risiko- und Folgenabschätzung wird u.a. konkret geprüft, ob die Gesundheitsdaten so verarbeitet werden, dass für den Patienten kein datenschutzrechtliches Risiko besteht, also beispielsweise diese nicht leicht in Hände Dritter gelangen können. Die Datenschutzrichtlinie legt auch fest, in welcher Form die Einhaltung sichergestellt und geprüft wird. Bei der Zusammenstellung sollte man nicht nur an die naheliegende Patientenakte denken, sondern die Bereiche weiter fassen (Personalführung, Buchhaltung etc.). Im besten Fall hilft es, alle Schritte der Wertschöpfungskette einmal komplett durchzugehen, vom Patienten, über Lieferanten, Mitarbeiter bis zu eingesetzten externen Dienstleistern wie ein IT-Haus oder ein Dentallabor.

Zahnärzte leben von Ihrer Reputation, von Stammpatienten und deren Empfehlungen. Neupatienten zu gewinnen ist ungleich teurer. Zum perfekten Service und persönlicher Patientenansprache gehört auch der gute Umgang mit Daten. Das Vermeiden von „Datenpannen“ gewinnt an Bedeutung. Somit macht es Sinn, in regelmäßigen Abständen den Stand der Datenschutzrichtlinie und Organisation zu aktualisieren. Wichtig ist es, vor allem neue Prozesse und Änderungen in den täglichen Abläufen auf Konformität zu prüfen.

Ein Beispiel: Entscheidet sich eine Praxis zur besseren Sicherheitsüberwachung eine Videokamera zu installieren, so stellt sich die Frage, ob diese Maßnahme datenschutzrechtlich zulässig ist. Bei einer Installation einer Videokamera mag dies noch auf der Hand liegen, bei anderen Maßnahmen ist das unter Umständen nicht immer auf den ersten Blick der Fall und rasch stellt sich ein datenschutzrechtliches Problem.

Einer der wichtigsten Aspekte des Datenschutzes kommt der Datensicherheit zu. In der Regel verbergen sich dahinter angemessene IT-Sicherheitsmaßnahmen, denn zunehmend sind kleinere Unternehmen im Visier der Datenhacker. Für jede Praxis ist es aber immens wichtig, das eigene Team für Schadsoftware oder Hackerversuche zu sensibilisieren. Zudem sollten Firewall und Virenscanner immer aktuell sein. Anhand von Checklisten kann umfassend geprüft werden, ob die Patienten- und Mitarbeiterdaten in den IT-Systemen sicher sind – oder ein externer Berater testet die IT durch Test-Hacking-Angriffe.

Ab dem 25.5.2018 müssen zumindest die Praxen, die regelmäßig zehn Bildschirmarbeitsplätze besetzen, einen Datenschutzbeauftragten benennen – auch bei kleineren Praxen sprechen aufgrund der Verarbeitung von Patientendatendaten gute Gründe für die Notwendigkeit eines Datenschutzbeauftragten. Der Datenschutzbeauftragte unterrichtet und berät das Praxisteam. Er überwacht die Einhaltung des Datenschutzes sowie insbesondere die Durchführung der erforderlichen Folgenabschätzungen und ist der Ansprechpartner für die Aufsichtsbehörde. Die Kontaktdaten müssen auf der Homepage veröffentlicht werden. Der Datenschutzbeauftragte kann eine intern oder extern benannte Person sein. Für die externe Beauftragung empfiehlt sich die Auswahl eines Fachmanns mit entsprechender Zertifizierung, z.B. durch den TÜV oder einen Branchenverband.

https://www.e-wise.de/news/eu-datenschutzgrundverordnung-ds-gvo-ab-25-mai-2018-f%C3%BCr-zahn%C3%A4rzte-pflicht?utm_source=za_zm-markt&utm_medium=listing&utm_campaign=za_zm-markt_180423 - external-link-new-window