Lesezeit: 6 Min
Die DSGVO auch im Praxisalltag umsetzen
Wer unseren Blog und den Newsletter aufmerksam verfolgt, der hat es schon gelesen: Immer öfter zeigt es sich, dass Arztpraxen in Bezug auf den Schutz von personenbezogenen Daten besonders anfällig bei Datenschutz- und IT-Sicherheitslücken sind. Die Daten, die in Arztpraxen verarbeitet werden, sind zudem nicht selten besonders sensibel.
Natürlich ist der Datenschutz in Arztpraxen nicht erst seit der Einführung der EU-Datenschutzgrundverordnung (DS-GVO) ein sehr wichtiges und gesetzlich geregeltes Thema. Durch die EU-DSGVO wurden aber weitreichende Änderungen eingeführt, die eben auch Arztpraxen betreffen, welche durch die empfindlichen Daten, die hier verarbeitet werden, besonders in den Fokus treten. Grund genug für das Team von Datenschutzberater.NRW den Datenschutz in Arztpraxen näher zu beleuchten und aufzuzeigen, welche Sicherheitslücken es geben kann und wie Sie Datenschutzpannen entgegenwirken können.
Warum unsere Gesundheit auch im Datenschutz besonders schützenswert ist
Der Datenschutz im Bereich der Medizin ist ein sehr komplexes Thema, da die Daten, die in Arztpraxen erfasst und bearbeitet werden, über ein vielfaches Maß hinaus gehen, als in anderen Bereichen. Für eine Arztpraxis gelten die gleichen Vorgaben der DSGVO, wie für alle anderen Unternehmen, Kanzleien, Vereine usw. Trotzdem sollte man beachten, welche Daten in diesem Bereich verarbeitet werden und welche Personen zu diesen Daten Zugang haben könnten. Die Daten, die Arztpraxen verarbeiten gelten oft als besonders schützenswerte personenbezogene Daten. Unsere Gesundheit sollte also vom Arzt in jeglicher Hinsicht geschützt werden.
Jeder hat bei Arztterminen bereits ein Dokument zum Datenschutz unterschrieben. Was genau hier hinterlegt ist, hängt vom Arzt und der notwendigen Bearbeitung der personenbezogenen Daten ab. In einer Gemeinschaftspraxis, muss zum Beispiel ggf. sichergestellt sein, dass auch andere Ärzte, die in der Praxis praktizieren, auf die Daten zurückgreifen können. Auch eine Weitergabe an Dritte kann je nach Arbeitsweise notwendig sein. Dafür muss der Betroffene sein Einverständnis geben.
Wichtig ist aber: damit Daten verarbeitet werden können, bedarf es dem Einverständnis des Patienten – er muss aber nicht immer einwilligen. Bestimmten Vorgängen der Datenverarbeitung kann er auch nicht zustimmen. Genauso wie überall im Datenschutz gilt: personenbezogene Daten dürfen grundsätzlich erst eimal nicht verarbeitet werden. Erst mit gesetzlichen Vorgaben, die eine solche Verarbeitung notwendig machen oder einer Einwilligung des Betroffenen darf dies geschehen. Aktuelle Fälle zeigen auch, dass einem Patienten dadurch nicht grundsätzlich die Behandlung verweigert werden darf, wenn er die Zustimmung nicht gibt oder von seinem Widerrufsrecht Gebrauch macht.
Viele Arztpraxen verfügen auch über eine eigene Internetseite – achten Sie hier ebenfalls auf die Einhaltung der Datenschutzgrundverordnung. Besonders heikel wird dies, wenn auch eine Terminvergabe oder Social-Tracking auf der Homepage vorgenommen werden. Lassen Sie diese ggf. durch einen Fachmann (Datenschutzberater, Datenschutzbeauftragter) überprüfen und auf einen DSGVO-konformen Stand bringen.
Die Anmeldung – Dreh- und Angelpunkt für guten Datenschutz
Wie wir schon öfter thematisiert haben, sollten die Daten unzugänglich aufbewahrt werden. Dabei fängt es aber in vielen Praxen schon an, denn im meist hektischen Arbeitsalltag ist es nicht immer einfach diese sensiblen Daten zu schützen. Der Kern einer Praxis ist der Empfang – hier kommt der Patient das erste Mal an und schildert sein Anliegen. Egal ob telefonisch oder persönlich: durch eine Diskretionszone muss sichergestellt werden, dass kein anderer Patient das Anliegen oder personenbezogene Daten mithören kann.
Auch sollte der Bildschirm, auf dem die Daten sichtbar sein könnten, so stehen, dass er nicht für andere einsehbar ist. Eine Bildschirmsperre mit Passwort ist dabei selbstverständlich. Auch alle weiteren Zugänge zu den Patientendaten sollten nicht durch andere Personen zugänglich sein – egal ob andere Patienten, Externe wie Vertreter oder auch die Reinigungskraft.
In vielen Praxen werden die Daten immer noch in einer Patientenkartei geführt – händisch. Abschließbare Schränke sind hier natürlich ein Muss. Werden die Daten dann für die Untersuchung vorbereitet liegen diese Karteien nicht selten dort, wo sie für den Arzt am schnellsten erreichbar sind, also dort wo er ggf. den Patienten in Empfang nimmt – an der Anmeldung. Ein nicht selten gängiges Ritual, vor allem in kleinen Praxen, was aber zur Folge hat, dass diese Daten dort eben auch für andere einsehbar sein können. Genauso, wenn Arbeitsunfähigkeitsbescheinigungen oder Rezepte am Schalter ausgefüllt werden und sauber aufgereiht darauf warten, vom Arzt unterschrieben zu werden.
Natürlich ist es nicht unbedingt immer einfach, alle Daten unter Verschluss zu halten, haben sich viele Abläufe im Patientenverkehr auch als praktisch erwiesen. Allerdings muss man davor warnen, personenbezogene Daten den Blicken Unbeteiligter Preis zu geben.
Besonders angreifbar sind die Daten auch bei der Übermittlung an Dritte. Wie wir oben schon angesprochen haben, ist es im Praxisalltag notwendig personenbezogene Daten auch an Dritte zu versenden. Natürlich muss hier bei allen genutzten und gängigen Programmen auf die Verschlüsselung geachtet werden. Hier wird sehr deutlich, wie eng Datenschutz und IT-Sicherheit ineinandergreifen müssen, damit personenbezogene Daten geschützt werden können. Datenschutz in Arztpraxen bedeutet daher auch eine weit über das Mindestmaß gehende Richtlinie der Datensicherheit.
Der Praxisalltag – Stolpersteine und IT-Sicherheit
Beim Arzt werden Daten aber nicht nur erfasst, sondern diese sensiblen Daten auch zu gewissen Verarbeitungen weitergegeben. Die Daten müssen zum Beispiel an die Krankenkassen, an andere Ärzte und Krankenhäuser weitergegeben werden. Weitergehende Behandlungen und damit Überweisungen, Abrechnungen, Krankmeldungen, Arztberichte, Röntgenbilder – überall dort werden Daten angegeben und verarbeitet. Der Versand erfolgt heute meist elektronisch über ein Programm, ggf. auch per Post oder er wird dem Patienten mitgegeben.
Dabei sollte aber nicht vergessen werden, dass Daten auch gerne über andere Wege weitergegeben werden. E-Mail, Fax, Post und auch Drucker – um nur die wichtigen Beispiele zu nennen – verarbeiten Daten und speichern diese ggf. auch (siehe auch Datenvernichten aber richtig). Gerade bei manuell durchgeführten Aktionen in einer Arztpraxis, können Fehler passieren. Schnell ist eine E-Mail oder ein Fax an die falsche Nummer oder Adresse geschickt worden – was ist dann zu tun? Wie muss darauf reagiert werden und wann ist die Datenpanne so schwerwiegend, dass sie gemeldet werden muss? Einen Notfallplan sollte jede Arztpraxis vorliegen haben und jeder Mitarbeiter sollte wissen, wie er sich in diesem Fall zu verhalten hat. Da es sich bei den Daten, die in Arztpraxen verarbeitet werden, um besonders sensible Daten handelt, ist ein professioneller Ansprechpartner für den Bereich Datenschutz unverzichtbar.
Das Datenschutzhandbuch und eine ausreichende Schulung der Mitarbeiter sind für den Umgang mit den personenbezogenen Daten unerlässlich. Die Mitarbeiter sollten in diesem Zusammenhang eine besondere Verschwiegenheitserklärung unterschreiben. Auch für Arztpraxen gilt: unter bestimmten Voraussetzungen muss ein betrieblicher Datenschutzbeauftragter berufen werden – besonders hilfreich für kleine Praxen ist dabei der externe Datenschutzbeauftragte. Je nachdem welche Daten und in welchem Umfang diese verarbeitet werden, müssen Arztpraxen auch eine Datenschutzfolgenabschätzung erstellen. Das sollte zwingend von einem Fachmann geprüft werden.
Aufgrund der teilweise heiklen Art der personenbezogenen Daten, die in einer Arztpraxis verarbeitet werden und die derzeit teilweise uneindeutige Rechtsprechung, die in den Bundesländern zudem noch unterschiedlich ausfallen kann, sollte sich jede Praxis regelmäßig von einem Fachmann beraten lassen (z.B. durch ein Datenschutz-Audit) und in diesem Zusammenhang auch die IT-Sicherheit einer Prüfung unterziehen lassen. Auch wenn bei der Prüfung herauskommt, dass die DSGVO ausreichend umgesetzt wird, kann man mit relativ wenig eigenem Aufwand einen großen Effekt der Sicherheit erlangen.
Arztpraxen – oft leider immer noch ein Patient im Datenschutz
Wie wir schon berichtet haben, kam es in der letzten Zeit vermehrt zu Datenpannen in Arztpraxen. Ein Beispiel dafür war eine Arztpraxis, deren Patientendaten mit einem Mal im Netz frei zugänglich und für jeden sichtbar waren. (Wir berichteten)
Der Chaos Computer Club (CCC) hat unlängst gravierende Mängel im Gesundheitsnetzwerk aufgedeckt. Nach eigenen Angaben sei es möglich im digitalen Gesundheitsdatennetzwerk für Ärzte, Kliniken und Krankenkassen gültige Dokumente zu erstellen, die unter anderem einen Zugriff auf Gesundheitsdaten von Krankenversicherten zulassen. Angesichts der bevorstehenden Einführung der elektronischen Patientenakte ist das äußerst beunruhigend. Die Beteiligten halten aber trotzdem an diesem Vorhaben fest.
Diese beiden Beispiele zeigen, dass das Gesundheitswesen in Fragen zur IT- und Datensicherheit selber noch als Patient zusehen ist. Umso wichtiger ist es, dass jede einzelne Arztpraxis ein besonderes Augenmerk auf die genutzten Programme und eine sichere Verschlüsselung von Daten legt, um die personenbezogenen Daten Ihrer Patienten zu schützen.
Datenschutz ist auch in Arztpraxen Chefsache – ein Datenschutzberater kann helfen
Unser Artikel hat in keinem Fall Anspruch auf Vollständigkeit und ersetzt auch keine abschließende Beurteilung Ihrer Arztpraxis. Er zeigt aber auf, wie komplex das Thema Datenschutz im Bereich der Medizin und Gesundheitsvorsorge ist. In vielen Fällen ist keine allgemeine Aussage über den Datenschutz möglich und auch Gerichte, Datenschutzbeauftragte und Verbraucherzentralen beschäftigt die Einschätzung des Datenschutzes in Arztpraxen zwei Jahre nach Einführung der Datenschutzgrundverordnung immer noch.
Aufgrund diverser Unsicherheiten sollte jede Arztpraxis regelmäßig durch einen Fachmann auf IT-Sicherheit und auf die Einhaltung der gesetzlichen Vorgaben im Datenschutz hin überprüft werden. Immer wieder wird auch empfohlen, dass eine Arztpraxis aufgrund der besonderen Ansprüche und Verarbeitungssituationen einen Datenschutzbeauftragten berufen sollte, auch wenn für die Praxen die gleichen gesetzlichen Vorgaben gelten, wie für alle anderen, die personenbezogene Daten verarbeiten. Datenschutzberater, Datenschutz-Erstberatung oder ein regelmäßiges Datenschutzaudit können hier gute Maßnahmen sein.
Datenschutz und IT-Sicherheit gehören, wie unsere Beispiele zeigen eng zusammen, daher sollten Sie sich nach Möglichkeiten einen Fachmann suchen, der sowohl fachliche Kenntnisse in Datenschutz und IT-Sicherheit mitbringt, aber auch Erfahrungen in der Betreuung von Arztpraxen vorweisen kann. Achten Sie bei der Auswahl Ihres Experten auf diese Kombination von Wissen und Erfahrung.
Datenschutzberater.NRW – Ihr Datenschutzberater für Köln, Düsseldorf, Bonn und ganz NRW bietet Ihnen mit den entsprechenden Kenntnissen ein Angebot aus IT-Sicherheit und Datenschutz aus einer Hand. Wir betreuen bereits erfolgreich Arztpraxen und können auf eine langjährige Erfahrung in der IT zurückgreifen. Setzen Sie sich gerne mit uns in Verbindung: Kontakt oder FREECALL – oder informieren Sie sich über unser Angebot.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.