Datenschutz für Ärzte und Krankenhäuser – Von den Experten von Datenschutzberater.NRW
Datenschutzberatung für Ärzte
Der Datenschutz und damit die Vorgaben der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) gelten für jeden, der personenbezogene Daten verarbeitet, unabhängig von Größe oder Branche.
Das Gesundheitswesen ist keine Ausnahme, ganz im Gegenteil, Ärzte müssen besonders acht bei dem Umgang mit Patientendaten bzw. personenbezogenen Daten geben. Patientendaten enthalten Informationen, die als besonders schützenswert (besondere Kategorien) gelten und müssen deswegen dementsprechend behandelt werden. Auch werden im Gesundheitswesen Daten immer häufiger digital verarbeitet – hier ist ein Beispiel die digitale Patientenakte.
Der Datenschutz in der Arztpraxis fängt mit der Datenerhebung bei Aufnahme bzw. Anlage des Patienten an, es sollten nur die Personenbezogenen Daten der Patienten erhoben werden, die für die Behandlung nötig sind. Dabei ist es vorgeschrieben Patienten über die Verarbeitung zu informieren. Oft wird in der Arztpraxis eine Datenweitergabe von Daten durchgeführt, dazu müssen die Patienten in den meisten Fällen eine Einwilligungserklärung unterschrieben, damit ihre Daten an Dritte weitergegeben werden dürfen. Gerade bei der Verarbeitung von Daten der besonderen Kategorien ist es wichtig, den Patientendatenschutz mit einer gründlichen Bestandsaufnahme zu gewährleisten, bei der die analogen Daten aber auch für Daten im IT-System oder Software der Arztpraxis überprüft werden.
Wenn Ärzte in einer Gemeinschaftspraxis arbeiten, dann dürfen die Patientendaten nur unter den betreuenden Ärzten weitergegeben werden, solange diese notwendig für die Behandlung sind.
Der Arbeitsalltag in einer Arztpraxis kann verschieden Hürden mit sich bringen, allein die Tatsache, dass Patienten im Wartezimmer Gespräche mitverfolgen können, sollte im Rahmen der Erstaufnahme geprüft werden. Diagnosen oder andere Gesundheitsdaten, die an Patientinnen und Patienten ungeschützt übermittelt werden, verstoßen gegen das Datenschutzrecht. Es besteht immer die Gefahr, das sensible Daten durch Telefon, E-Mail oder fehlende Verifizierung an unberechtigte Parteien gelangen deswegen ist der Umgang mit Patientendaten ein Kernteil der Arbeit von Praxen.
Checkliste für den Datenschutz in der Arztpraxis:
- Können Personen am Empfang die Gespräche mitverfolgen?
- Kann man Patienteninformation oder Diagnosen mitgehört werden?
- Bleibt der Empfang Akten, Patientendaten oder Arbeits-PCs oft unbeaufsichtigt?
- Ist die Arztpraxis physisch sicher (verschlossene Türen und Fenster, etc).
- Hat der Patient die Einwilligungserklärung der Datenverarbeitung nach Art.13 DSGVO unterschrieben?
- Wird der Datenaustausch am Telefon verifiziert?
- Werden Passwörter sicher vergeben und auch regelmäßig gewechselt?
- Gibt es eine ausreichende IT Sicherheit?
- Gibt es einen Datenschutzbeauftragen oder einen Mitarbeiter, der entsprechende Schulungen besucht hat?
Datenschutz und DSGVO für Krankenhäuser
Der Datenschutz im Krankenhaus ist genau so wichtig wie der Datenschutz in der Arztpraxis. Krankenhäuser müssen sich auf viele der neuen Änderungen in der Gesetzgebung einstellen, etwa wie die Einführung der elektronische Patientenakte (ePA), das Patientendatenschutzgesetz (PDSG) und das Krankenhauszukunftsgesetz (KHZG). Genau so wie bei der Arztpraxis gibt es auch in Krankenhäuser eine Schweigepflicht, die eingehalten werden muss, dies kann schwierig fallen, wenn es Angehörige gibt, die nach dem Gesundheitszustand ihrer Familienmitglieder fragen. Um diese Daten DSGVO konform teilen zu dürfen, müssen unter anderem folgenden Kriterien erfüllt werden:
- Der Patient willigt die Auskunft für berechtige Personen ein.
- Einem Vormund ist uneingeschränkt Auskunft zu gewähren.
- Arbeitgeber dürfen den behandelnden Arzt über der Dauer der Arbeitsunfähigkeit befragen.
- Ärzte dürfen die Polizei informieren, wenn es sich um schwere Straftaten handelt.
- Bei Bewusstlosigkeit kann der Arzt von einem mutmaßlichen Einverständnis ausgehen und Angehörige über den Gesundheitsstand informieren.
- Bei Krankheiten mit Ansteckungsgefahr ist der Arzt verpflichtet, den Gesundheitsstand zu informieren.
- Wenn ein Patient von mehreren Ärzten behandelt wird, dürfen diese unter sich alle relevanten Daten zu Behandlung austauschen.
Auch wie bei den Arztpraxen ist es immer besser für Krankenhäuser eine unterschriebene Datenschutzerklärung zu bekommen. Dies erleichtert den Datenaustausch während der medizinischen Versorgung, es gibt aber auch ausnahmen, die unter der Offenbarungspflicht nach §§ 108, 301 SGB V abgedeckt sind.
Bußgelder bei DSGVO
Da Arztpraxen und Krankenhäuser mit hochsensiblen Daten arbeiten, besteht immer ein hohes Risiko bei der Verarbeitung personenbezogener Daten. Eine Missachtung des Datenschutzes kann zu hohen Bußgeldern führen. Die Vergangenheit hat bereits gezeigt, wie schnell in der Branche Bußgelder drohen. Sei es durch mangelnde technische und organisatorische Maßnahmen (TOM), Verwechslung von Patientendaten oder falsche Rechnungen verstoßen auch gegen das Datenschutzrecht, aber auch fehlende Sicherstellung der Daten (Unbefugter Zugriff oder Daten Leaks) kann zu Bußgelder führen.
Verarbeitung von Patientendaten nach Art. 9 Abs. 1 DSGVO
Patientendaten gelten als besondere personenbezogenen daten, diese werden als Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO kategorisiert. Die Rechtsvorschrift für Verarbeitung besonderer personenbezogener Daten innerhalb Deutschlands ergibt sich aus Art. 9 Abs. 1 DSGVO i. V.m § 22 Abs. 1 Nr. 1 lit. b) BDSG. Für den gesamten europäischen Raum gilt dagegen der Art. 9 Abs. 2 lit. h) und i) DSGVO. Deshalb ist die datenschutzrechtliche Einwilligung des Patienten unverzichtbar.
Wie lange werden Patientenakten aufbewahrt?
Patientendaten oder die Patientenakte müssen zum Zweck der Behandlung in Papierform und digital erfasst werden (elektronische Patientenakten – ePA). Diese Daten müssen auch nach der Behandlung vom Krankenhaus oder der Arztpraxen aufbewahrt werden.
Es gibt verschiedene Regelungen, zu wann Patientendaten gelöscht werden. Die meisten Daten werden gelöscht, sobald die zehn Jahres Frist ablauft. Andere Daten wie z. B. Röntgenbilder können auch bis zu 30 Jahre gespeichert werden.
Kümmern Sie sich um Ihre Patienten – beim Thema Datenschutz, können Sie sich auf uns verlassen
Wir stellen sicher das ihre Arztpraxis DSGVO konform arbeitet, da Praxen nach Art. 35 DSGVO umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO bearbeiten wird in den meisten Fällen ein Datenschutzbeauftragter benötigt. Als Dienstleister stellen wir Ihnen einen externen Datenschutzbeauftragten für Ihre Praxis zur Verfügung – dies oft schon zu attraktiven Konditionen.
Betroffenenrechte, TOMS und VVT als wichtiger Baustein für die Datenverarbeitung
Die DS-GVO und das BDSG geben verschiedene Vorgaben, um den Datenschutz für den Umgang mit personenbezogenen Daten sicher zu stellen und zu dokumentieren. Einige davon möchten wir an dieser Stelle ausführen.
An erster Stelle stehen natürlich die Betroffenenrechte, die zum Beispiel sein können:
- Informationspflichten für Betroffene
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Vergessenwerden
- Recht auf Widerruf
Oftmals werden diese Rechte rudimentär umgesetzt.
Verarbeitung von besonderen Kategorien personenbezogener Daten erfordern einen entsprechenden Schutz
Wir bieten für Einrichtungen passende Beratungskonzepte und unterstützen Sie bei der Umsetzung rechtlichen Anforderungen an die DSGVO.
Unsere Beratungs- und Dienstleistungskompetenzen
- Erstellung von Konzepten, Prozessen und Abläufen zur rechtssicheren Einhaltung der DS-GVO
- Implementierung, Kontrolle und kontinuierlich Weiterentwicklung von Datenschutzkonzepten
- Schulung und Sensibilisierung von Firmenangehörigen und Mitarbeitern
- Unterstützung unternehmenseigener Datenschutzbeauftragter
- Planung und Durchführung von Audits
- Ansprechpartner für betroffene Personen und Aufsichtsbehörden
- Prüfung von IT Systemen und IT Partnern
Partner & Zertifikate
Datenschutz bringt Sicherheit
Die Betreuung durch die Datenschutzberater.NRW ist ein echter Mehrwert für Ihre Praxis. Wir übernehmen die Verantwortung für Ihre Datensicherheit und entwickeln gemeinsam mit Ihnen einen ein langfristiges und effizientes Datenschutz-Konzept – zu Ihrer Sicherheit und der Sicherheit Ihrer Patienten!
Ein externer Datenschutzbeauftragter bietet viele Vorteile
Viele Unternehmen setzen bei der Einhaltung der Datenschutzrichtlinie auf Know-how aus dem eigenen Haus. Doch die Beauftragung eines externen Datenschutzbeauftragten bietet im Vergleich hierzu verschiedene Vorteile:
- Unsere Datenschutzexperten sind zertifiziert, verfolgen stets die neuesten Entwicklungen in der Rechtsprechung und bilden sich kontinuierlich fort – so können interne Ressourcen geschont werden.
- Wir bieten individuelle und maßgeschneiderte Betreuungs- und Beratungsverträge – je nach nötigem Aufwand.
- Bei uns finden Sie immer einen Ansprechpartner – unabhängig von Urlaubszeiten oder Ausfällen durch Krankheit
- Wir bieten Ihnen aus der Erfahrung praxisnahe und Umsetzbare Lösungen
GoBD – ein wichtiges Thema für alle Unternehmen
„Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ – kurz: GoBD.
Bereits im November 2019 ist eine aktuelle Neufassung der GoBD veröffentlicht worden, die Vorgaben für den steuerrechtskonformen Ablauf der elektronischen Buchführung enthalten.
Die Experten der Datenschutzberater.NRW unterstützen ihre Mandanten bei der rechtskonformen Umsetzung der GoBD. Dabei ist auch hier die Analyse der Ist-Situation im Unternehmen die Basis für eine kontinuierliche Optimierung der elektronischen Buchführung.
Kümmern Sie sich um Ihre Patienten- beim Thema Datenschutz können Sie sich auf uns verlassen
Für wen wir tätig sind
Wir bieten Datenschutzberatung für Unternehmen aller Art.
Datenschutzberater.NRW – Immer schnell bei unseren Kunden
Die Experten von Datenschutzberater.NRW sind immer für Sie da! Entweder per Telefon oder – dank unseres Büros in Köln – auf Wunsch auch schnell persönlich vor Ort!
Sie möchten mehr über unser Unternehmen und unsere Leistungen erfahren?
Dann setzen Sie sich mit uns in Verbindung, wir freuen uns auf Ihre Anfrage oder vereinbaren Sie direkt einen kostenfreien Beratungstermin!
Besuchen Sie auch den Blog auf unserer Homepage, in dem unsere Datenschutzexperten regelmäßig Antworten auf aktuelle Fragen rund um das Thema Datenschutz geben.