von RAin, FAin für MedR Taisija Taksijan, LL.M., legal-point.de
Ein Datenleck in der Radiologie – Patientendaten aus PACS-Servern im Netz. Ein solches Horrorszenario kann die in der DS-GVO vorgesehenen Geldbußen für die betroffenen Praxen real werden lassen. Nach fast zwei Jahren DS-GVO folgt ein Überblick über die zehn häufigsten Datenschutz-Fehlerquellen, die Sie unbedingt vermeiden sollten.
Ihre Pflicht zum Schutz sensibler Patientendaten beginnt aus Sicht Ihrer Patienten spätestens mit dem Betreten Ihrer Praxis. Grobe Datenschutzverstöße können durch einfache Maßnahmen vermieden werden:
Wegen des erheblichen Volumens der Bilddaten, mit denen Sie täglich arbeiten, sind Sie als Radiologe regelmäßig auf die Verwendung der PACS-Server angewiesen. Gerade nach dem Bekanntwerden technischer Fehlerquellen im Zusammenhang mit PACS-Servern sind Sie in der Pflicht, Ihre IT-Infrastruktur kritisch zu prüfen. Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik ergab sich die neueste Datenpanne, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden.
Praxistipp |
Prüfen Sie, wie die Datenflüsse in Ihrer Praxis funktionieren und was genau mit Ihren Dateien passiert. Stellen Sie – auch durch Verwendung sauberer Auftragsverarbeitungsverträge (s. u.) – sicher, durch welche technischen Maßnahmen die Daten Ihrer Patienten durch Ihre IT-Dienstleister geschützt werden. |
Wenn Sie etwa zur Datenaufbewahrung, Vernichtung von Patientenakten oder Abrechnung Ihres Honorars externe Dienstleister beauftragen, gewähren Sie Dritten Zugang zu sensiblen Patientendaten. I. d. R. benötigen Sie dann einen Vertrag über die Auftragsverarbeitung nach den Vorgaben der DS-GVO, der den externen Dienstleister streng weisungsgebunden einbindet.
Schließen Sie schriftliche Verträge ab, mit denen Sie zugleich dokumentieren, dass Sie Ihren Pflichten als Datenverarbeiter nachkommen.
Zur Vermeidung von Strafbarkeitsrisiken sollten Sie außerdem darauf achten, dass
Praxistipp |
Verzichten Sie nicht auf die Einholung der Patienteneinwilligung im Sinne einer Entbindung von der ärztlichen Schweigepflicht. Die straf- und datenschutzrechtlichen Vorschriften, die eine Datenweitergabe an Dritte erleichtern, können die ärztliche Schweigepflicht aus dem Berufsrecht regelmäßig nicht einschränken. |
Mittlerweile gibt es zahlreiche Muster datenschutzkonformer Informationsschreiben für Patienten, die nach geringfügiger Anpassung für die eigene Praxis verwendet werden können. Wichtig ist, diese auch nachweisbar in der Praxis einzusetzen.
Die Information kann an der Rezeption oder im Wartezimmer der Praxis gut sicht- und lesbar ausgehangen werden. Erforderlich ist zudem eine aktive Unterrichtung des Patienten. Die Informationsschreiben sollten den Patienten ausgehändigt werden. Eine Unterschrift der Patienten ist nicht nötig. Sie müssen jedoch nachweisen können, den Patienten informiert zu haben. Auf eine belastbare Dokumentation – etwa ein Vermerk über die Aushändigung der Informationen in der Patientenakte – sollte daher auf keinen Fall verzichtet werden.
Zur Gewährleistung eines angemessenen Schutzniveaus müssen Gesundheitsdaten wie Röntgenbilder bei der elektronischen Übermittlung verschlüsselt werden. Die Übermittlung dieser Daten durch Versenden einer einfachen, unverschlüsselten E-Mail kommt nur ausnahmsweise – etwa bei medizinischen Notfällen – in Betracht.
Praxistipp |
Weniger sensible Daten – z. B. reine Terminanfragen – können i. d. R. unverschlüsselt per E-Mail übermittelt werden. |
Sie benötigen einen Datenschutzbeauftragten (DSB) und müssen diesen der Aufsichtsbehörde anzeigen, wenn
Letzteres ist regelmäßig bei einer umfangreichen Datenverarbeitung oder bei hohem Risiko der Datenverarbeitung der Fall. Nicht auszuschließen ist es, dass gerade die radiologischen Praxen nach dem Bekanntwerden der Datenlecks eher als Einheiten mit hohem Risiko eingestuft werden. Dann müssen Sie die Datenschutz-Folgeabschätzung durchführen und in der Folge einen DSB bestellen.
Praxistipp |
Wenn Sie sich für einen internen DSB aus Ihrer Praxis entscheiden, beachten Sie, dass für ihn besondere Kündigungsvorschriften gelten. |
Das Verarbeitungsverzeichnis sollte alle Datenverarbeitungsprozesse in Ihrer Praxis detailliert beschreiben. Auch wenn die erstmalige Erstellung des Verzeichnisses mit zeitintensiver Arbeit verbunden ist, sollte Ihre Praxis darüber verfügen. Das Verarbeitungsverzeichnis muss auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.
Praxistipp |
Es besteht auch die Möglichkeit, das Verarbeitungsverzeichnis im elektronischen Format zu führen. Dies erleichtert insbesondere die Datenpflege und Aktualisierung. |
Es ist Ihr gutes Recht, eine schlechte Bewertung in einem Arztportal entfernen zu lassen, wenn sie beleidigend ist oder unzutreffende Tatsachen enthält. Hierfür müssen Sie durch eine eigene (Gegen-)Darstellung des Sachverhalts den Portalbetreiber über die unzulässige Bewertung informieren. Sie dürfen aber zunächst keine identifizierenden Patientendaten gegenüber dem Portalbetreiber preisgeben.
Praxistipp |
Überprüfen Sie daher lieber einmal mehr Ihre Gegendarstellung, bevor Sie diese an den Portalprovider richten. Stellen Sie den Sachverhalt klar, ohne dass Rückschlüsse auf die Identität des Patienten möglich sind. |
Als Praxisinhaber trifft Sie eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DS-GVO nachgewiesen werden soll.
Das Verarbeitungsverzeichnis, das dem Nachweis der Einhaltung der Datenschutz-Vorgaben dient, bietet Ihnen eine gute Grundlage für eine strukturierte Dokumentation.
Bei den datenschutzrechtlichen Verpflichtungen handelt es sich um fortwährende Pflichten. Achten Sie insbesondere bei Veränderungen Ihrer Praxisprozesse darauf, ob die datenschutzrechtlichen Anforderungen weiterhin eingehalten werden.
Praxistipp |
Haben Sie einen neuen DSB oder haben Sie sich dafür entschieden, neue Technologien in Ihrer Praxis zu verwenden, so überprüfen Sie erneut die Datenschutzkonformität Ihrer Praxis (Patienteninformation, Verarbeitungsverzeichnis, Datenschutz-Folgeabschätzung etc.). |
Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.
Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de
Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über folgende E-Mail-Adresse: rwf@iww.de.
Wenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.
>>Zum Kontaktformular