Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Datenschutz in der Praxis prüfen

Ab 25. Mai gilt die neue EU-Datenschutz-Grundverordnung. Praxen sollten die wichtigsten Anforderungen vorher noch prüfen. Dabei hilft eine Checkliste, die die Kassenärztliche Bundesvereinigung (KBV) erstellt hat.

Patienten informieren

Für die Praxen bedeutet die neue Verordnung, dass sie nachweisen müssen, dass sie den Datenschutz einhalten. Dieses Datenschutzmanagement beinhaltet unter anderem die Information der Patienten darüber, wie der Schutz ihrer Daten gewährleistet wird und welche Rechte sie haben. „Über die Regelungen können die Kollegen natürlich nicht jeden Patienten einzeln am Telefon oder am Tresen aufklären“, sagt Ingrid Gerlach, 2. Vorsitzende des Verbands medizinischer Fachberufe. Deswegen müssten die von der Verordnung geforderten Hinweise zum Beispiel über Aushänge und – so vorhanden – die Praxishomepage veröffentlich werden, meint Gerlach. Dazu gehören Informationen zur Rechtsgrundlage, der Dauer der Speicherung sowie zum Zweck der Verarbeitung und der Datenweitergabe.

Datenschutzrichtlinie für die Praxis

Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten, also zum Beispiel die Verantwortlichkeiten bei Datenverlusten benennen. Außerdem müssen in der Richtlinie die Zugriffsrechte sowie technische und organisatorische Maßnahmen zum Schutz der Daten dokumentiert werden. „In vielen Praxen dürfte das Qualitätsmanagement-Handbuch eine gute Grundlage für die Darstellung sein“, sagt Gerlach.

Verzeichnis für Verarbeitungsvorgänge

Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in Verzeichnissen für Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die Software für die Buchhaltung und gegebenenfalls die Terminverwaltung. Zudem schreibt die Verordnung vor, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren oder weiterbehandelnde Ärzte, auch Widerrufsmöglichkeiten enthalten müssen.

Datenschutzbeauftragten benennen

Sind in einer Praxis mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden. Dies kann ein entsprechend geschulter Mitarbeiter oder auch ein extern Beauftragter sein. Nicht in Frage kommt dafür der oder die Praxisinhaber, denn er kann und darf sich nicht selbst kontrollieren.

Infos

Die KBV und die Bundesärztekammer haben vor dem Hintergrund der Vorgaben der EU-Datenschutzgrundverordnung die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ aktualisiert. Sie sind ebenso wie ein „Datenschutz-Check 2018“ im Internet abrufbar, darin sind auch verschiedene Mustertexte enthalten.