Datenschutz für Arztpraxis, Heil- und Pflegeberufe

Prophylaxe statt Symptombehandlung

Wir sind Ihre zuverlässigen Partner in Datenschutzfragen und bei der Umsetzung der Anforderungen des neuen Datenschutzrechts (DSGVO).

intern_datenschutz

Die DSGVO in der Arztpraxis

Patientendaten sind ein sensibles Gut. Das Gesundheitswesen wird durch die EU-Datenschutz-Grundverordnung daher vor besondere Anforderungen gestellt. Der Umgang mit Gesundheitsdaten in der Arztpraxis erfordert besondere Sicherheitsvorkehrungen und geschultes Personal. Wir unterstützen Sie bei der Erstellung und Umsetzung eines Datenschutzkonzepts und beraten Sie und Ihre Mitarbeiter.

patienten_datenschutz

Neue Rechte für Patienten

Die DSGVO hat für Patienten zusätzliche Rechte und für Ärzte neue Vorschriften eingeführt. Diese betreffen vor allem die Information darüber, welche Daten zu welchem Zweck erhoben werden, an wen sensible Daten weitergegeben werden dürfen und wie lange Daten gespeichert bleiben. Wir helfen Ihnen dabei, die Verarbeitung von Gesundheitsdaten an die gesetzlichen Standards anzupassen und die Informationspflichten gegenüber Ihren Patienten zu erfüllen.

dienstleister_datenschutz

Datenschutz-beauftragte für Ärzte

Gern prüfen wir für Sie, ob Ihre Arztpraxis dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Auf Wunsch können wir als externe Datenschutzbeauftragte für Sie tätig werden und Sie vor Kopfschmerzen bewahren.

Wir sind Ihre zuverlässigen Partner in Datenschutzfragen

... und bei der Umsetzung des neuen Datenschutzrechts (DSGVO) in Ihrer Arztpraxis.

Fragen aus der Praxis

Muss in der Arztpraxis der Empfangs- vom Wartebereich abgetrennt werden?

Um die Anzahl der Personen gering zu halten, die personenbezogene Informationen im Empfangsbereich mithören können, sollte dieser Bereich entsprechend den räumlichen Möglichkeiten vom eigentlichen Wartezimmer durch eine Tür getrennt sein.

Dürfen Praxismitarbeiter*innen Patientendaten mit Hilfe des Faxgeräts versenden?

Grundsätzlich sollten Patientendaten nicht per Fax versendet werden. Falls Patientendaten im Einzelfall doch gefaxt werden sollen, muss beim Versenden der Daten sichergestellt werden, dass nur der Empfänger selbst oder ausdrücklich dazu ermächtigte Personen Kenntnis vom Inhalt des Schreibens erhalten.

Muss eine Arztpraxis der gesetzlichen Krankenkasse stets alle gewünschten Daten übermitteln?

Erfolgen Anfragen der Krankenkassen auf nicht vereinbarten Vordrucken, muss die Krankenkasse im Einzelfall nachweisen, warum sie die Auskunft benötigt und aufgrund welcher Rechtsgrundlage sie diese fordert. Wenn diese Rechtsgrundlage dem Vertragsarzt/-psychotherapeuten kein gesetzliches Auskunftsrecht einräumt, hat die Krankenkasse eine aktuelle Entbindungserklärung von der Schweigepflicht beizufügen.

Erste Hilfe bei...

Erstellung von Datenschutzerklärungen und Patienteninformationen

Die Internetseite Ihrer Praxis/Ihres Unternehmens muss eine Datenschutzerklärung enthalten, in der die Seitenbesucher über die Nutzung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Diese Erklärung erstellen wir gern für Sie.

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Die für die Verarbeitung von personenbezogenen Daten verantwortlichen Stellen sind verpflichtet, ein Verzeichnis der Verarbeitungsvorgänge zu erstellen und es aktuell zu halten. Dafür müssen diese Vorgänge in der Praxis erfasst und dann einzeln dokumentiert werden. Hierbei beraten und unterstützen wir Sie gern.

Benennung eines Datenschutzbeauftragten für die Arztpraxis

Der Datenschutzbeauftragte Ihrer Praxis unterstützt die Verantwortlichen bei der Einhaltung der komplexen Vorschriften der neuen Datenschutz-Grundverordnung und dient zugleich als Ansprechpartner für die Betroffenen und die zuständigen Aufsichtsbehörden. Nach der neuen Rechtslage sind Arztpraxen öfter zur Bestellung eines Datenschutzbeauftragten verpflichtet als bisher. Wir prüfen, ob auch Sie einen Datenschutzbeauftragen bestellen müssen.

Meldung von Datenschutzverstössen

Datenschutzverstöße sind häufig – schon die versehentliche Übersendung eines Arztbriefs an einen falschen Kollegen ist eine erhebliche Verletzung von Datenschutzvorschriften. Wenn hierdurch ein hohes Risiko für die Rechte und persönlichen Freiheiten der Betroffenen entsteht, sind Sie dazu verpflichtet, den Verstoß gegenüber dem Betroffenen unverzüglich zu melden und auch bei der zuständigen Datenschutzbehörde zu melden, um empfindliche Sanktionen zu vermeiden. Wir helfen Ihnen zu überprüfen, ob ein entsprechender Verstoß in Ihrer Praxis vorliegt und was ggfs. zu veranlassen ist.

Beschwerden von Betroffenen

Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.

Wir unterstützen Sie für den Fall, dass eine Aufsichtsbehörde Ihnen ein Auskunftsersuchen zuschickt und übernehmen die Koordination und Kommunikation im Rahmen der gültigen Fristen.

Behandlungserfolge mit...

Einwilligungserklärungen für Patienten

In der Regel ist die Verwendung von personenbezogenen Daten in der Arztpraxis zu Diagnose- und Therapiezwecken durch bestehende Rechtsvorschriften oder einen Behandlungsvertrag abgedeckt. Soweit Einwilligungserklärungen benötigt werden – wie z.B. bei der Weitergabe von Patientendaten an private Verrechnungsstellen – stellen wir Ihnen entsprechende Formulare zur Verfügung.

Erfüllung der Informationspflichten

Neu in der DSGVO ist, dass die Verantwortlichen dazu verpflichtet sind, die von der Datenverarbeitung Betroffenen (in der Regel Patienten und Beschäftigte) über die Datenverarbeitungsvorgänge zu informieren. Hierbei unterstützen wir Sie gern.

Aufsetzen von Prozessen zu Patientenrechten

Patienten haben durch die DSGVO zum Teil neue Rechte, die z.B. Information über Datenverarbeitungsprozesse und umfassende Auskunft über gespeicherte Gesundheitsdaten, aber auch Ansprüche auf die Berichtigung und Löschung von Daten betrifft. Entsprechende Anfragen muss Ihre Praxis innerhalb kurzer Fristen bearbeiten, so dass Sie hierfür rechtzeitig Prozesse aufsetzen sollten, um nicht unvorbereitet von Anfragen überrascht zu werden. Bei der Erarbeitung und Umsetzung dieser Prozesse sind wir Ihnen gern behilflich.

Erarbeitung einer Datenschutzrichtlinie

Als „besondere Arten personenbezogener Daten“ sind Patientendaten besonders geschützt. Ein Datenschutzkonzept, das die Datenerhebung, -verarbeitung und -weitergabe ebenso wie Notfallpläne regelt und für Ärzte und ihre Mitarbeiter klare Regeln im Umgang mit Patienten- und Beschäftigtendaten enthält, ist eine gute Voraussetzung für den gesetzlich gebotenen sicheren Umgang mit personenbezogenen Daten. Bei der Erarbeitung eines Datenschutzkonzepts stehen wir Ihnen gern beratend zur Seite.

Verschreibung von...

Auftragsverarbeitungs-Verträgen (AVV)

Ärzte und Praxen, die sich bei der Verarbeitung personenbezogener Daten externer Dienstleister bedienen, sind verpflichtet, mit ihnen Vereinbarungen zur Auftragsverarbeitung abzuschließen, in denen die Rechte und Pflichten der Parteien geregelt werden. Wir stehen Ihnen beratend zur Seite und erstellen für Sie bei Bedarf entsprechende Verträge.

Technischen und organisatorischen Maßnahmen

Die rechtmäßige Verarbeitung von personenbezogenen Daten setzt voraus, dass in der Arztpraxis geeignete technische und organisatorische Maßnahmen (z.B. beim Einsatz von Praxissoftware und IT-Ressourcen, aber auch im Hinblick auf die Datensicherheit bzw. IT-Sicherheit in der Praxis) getroffen werden. Bei der Erfüllung der Anforderungen an die technischen und organisatorischen Maßnahmen beraten wir Sie gern.

Verpflichtungserklärungen

Neben den besonderen gesetzlichen Bestimmungen zu Berufsgeheimnissen und zur ärztlichen Schweigepflicht müssen Ihre Mitarbeiter auch unter Datenschutz-Gesichtspunkten schriftlich auf das Datengeheimnis verpflichtet werden. Entsprechende Formulare oder Zusätze zum Arbeitsvertrag erarbeiten wir gern für Sie.

Datenschutz-Folgenabschätzungen

Insbesondere bei der Verwendung neuer Technologien der Datenverarbeitung muss vorab geprüft werden, ob mit der Datenverarbeitung besondere Risiken für die Rechte und Freiheiten natürlicher Personen besteht. Wenn dies der Fall ist, muss der Verantwortliche vorab eine Abschätzung der Folgen der Verarbeitungsvorgänge durchführen. Hier führen wir Sie gern durch das Prozedere.

FAQs Datenschutz für Mediziner

Wann ist eine Arztpraxis oder eine Therapeutenpraxis zur Benennung eines Datenschutzbeauftragten verpflichtet?

Bislang brauchten nur große Arztpraxen mit minimal Zehn Beschäftigten einen Datenschutzbeauftragten (DSB). Dies hat sich mit der DSGVO geändert. Nun muss ein DSB beauftragt werden sobald eine umfangreiche Verarbeitung besonderer Kategorien von Daten – Gesundheitsdaten fallen unter diese Kategorie – vorliegt. Umfangreich ist die Verarbeitung dieser Daten laut Landesbeauftragte für Datenschutz des Landes Bremen sobald Zwei oder mehr Ärzte in einer Praxis beschäftigt sind.

Benötigt die Arztpraxis ein Verarbeitungsverzeichnis? In welchem Umfang?

Ja, jede Praxis benötigt ein Verzeichnis aller Verarbeitungsvorgänge, denn bei       Gesundheitsdaten handelt es sich um eine besonders sensible Kategorie von Daten. Hier ist zunächst zu klären welche Verarbeitungsvorgänge es gibt. Die verschiedenen Verarbeitungsvorgänge benötigen unterschiedliche Dokumentation von Formularen und es muss festgelegt werden, welche Daten mit welcher Berechtigung verarbeitet werden. Es müssen alle eingesetzten Anwendungen, auf denen personenbezogene Daten gespeichert werden, aufgelistet werden.

Mit wem muss die Arztpraxis eine Auftragsdatenvereinbarung abschließen?

Eine Auftragsdatenvereinbarung muss mit jedem externen Dienstleister, der Patientendaten verarbeitet abgeschlossen werden. Ob dies nun die Kassenärztliche Vereinigung oder ein Terminerinnerungsservice ist – der Auftraggeber trägt die datenschutzrechtliche Verantwortung für die übermittelten Daten.

Wer darf Datenschutzbeauftragte/r sein?

Der oder die Datenschutzbeauftragte (DSB) kann eine fachgerecht geschulte angestellte Person sein, diese genießt dann besonderen Kündigungsschutz. Alternativ kann auch ein externer DSB beauftragt werden. Unsere Mitarbeiter sind IHK-Zertifiziert und verfügen über das nötige datenschutzrechtliche als auch das technische Fachwissen.

Wann sind Patientendaten zu löschen?

Personenbezogene Daten dürfen nur Zweckgebunden erhoben werden. Im Falle einer unberechtigten Erhebung von Daten müssen diese gelöscht werden. Wenn die Zweckbindung nicht mehr besteht – z.B. weil die Behandlung abgeschlossen ist – dürfen die Daten ohne Einwilligung des Patienten nicht mehr verwendet werden. Es besteht bei ärztlichen Dokumenten allerdings eine Aufbewahrungsfrist von Zehn bis 30 Jahren, unter Umständen steht Patienten aber auch ein Recht auf Löschung, Benachrichtigung oder Sperrung einzelner personenbezogener Daten zu.

Was passiert bei einer Datenpanne?

Datenschutzverstöße sind binnen 72 Stunden der Datenschutzbehörde zu melden egal ob Werktags, Sonn- oder Feiertags. Bei der Speicherung sensibler Daten die ein hohes Risiko für die Betroffenen bedeuten bedarf es zudem eine Datenschutzfolgeabschätzung (DSFA). Diese wird auch bei Praxen in denen Zwei oder mehr Ärzte zusammen arbeiten benötigt.

Gibt es eine Möglichkeit Datenschutz einfacher zu gestalten?

Ja, durch Privacy by Design. Datenschutz lässt sich schon von Anfang an integrieren. Datenschutz durch Technikgestaltung beschreibt das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Sinne der Datenschutz-Grundverordnung. So lässt sich die Einhaltung der DSGVO durch Privacy by Design vereinfachen.