Gerade in der Arztpraxis ist jedem schnell klar, dass hier mit hochsensiblen Daten gearbeitet wird. Dabei handelt es sich fast immer um personenbezogene Daten. Doch leider fehlt es in den Arztpraxen häufig an der Umsetzung der DSGVO. Gerade in den Bereichen IT-Sicherheit, sowie dem damit verbundenen Bereich der technisch- und organisatorischen Maßnahmen (TOMs), sind hier Lücken keine Seltenheit. Daher möchten wir den Arztpraxen mit diesem Beitrag den Einstieg in den erfolgreichen Datenschutz etwas leichter machen.
Datenschutz am Beispiel einer Allgemeinarztpraxis
Exemplarisch möchten wir hier anhand einer kleineren Arztpraxis die ersten Fragen zum Datenschutz beantworten. Exemplarische orientieren wir uns hierbei an einer Arztpraxis für Allgemeinmedizin. Die Praxis wird von einem Arzt betrieben. Insgesamt hat der Arzt vier MFAs eingestellt, um ihn in seinen Praxisräumen in Dortmund zu unterstützen. Neben den MFAs beschäftigt er noch eine Reinigungskraft. Des Weiteren ist die Schwester des Arztes für die Buchhaltung / Abrechnung in der Praxis als 400€ Kraft in Teilzeit tätig.
Da es sich bei der Praxis um eine modern ausgerichtet Praxis handelt, liegt der Fokus des Arztes auf der papierlosen Dokumentation der Behandlung sowie einem papierlosen Büro. Das eingesetzte Arzt-Informations-System (AIS) bietet dazu die Möglichkeit der Eingabe von Behandlungsdaten mittels eines Tablets. Die Abrechnung von privatärztlichen Leistungen erfolgt über eine private Abrechnungsstelle. Diese übernimmt auch das Mahnwesen für den Arzt. Natürlich ist die Praxis auch im Internet vertreten mit einer eigenen Homepage. Diese wurde durch eine Agentur erstellt und wird von dieser auch angepasst und gewartet. Die Agentur ist auch für den Betrieb der Webseite zuständig.
Die EDV der Arztpraxis wird durch ein befreundetes Systemhaus betreut. Die für die Verarbeitung notwendigen Server und Arbeitsplätze befinden sich in den Praxisräumen.
Zum Einstieg einige Antworten auf typische Fragen
Im Folgenden möchten wir einige Antworten auf ganz typische Fragen geben, die uns immer wieder erreichen. Wie sieht es hier in Ihrer Praxis aus? Sind Sie bezüglich der DSGVO schon gut aufgestellt?
Ist für die Praxis ein Datenschutzbeauftragter zu benennen?
Nein, in der dargestellten Konstellation muss zunächst kein Datenschutzbeauftragter benannt werden, da weniger als 20 Personen regelmäßig Umgang mit den personenbezogenen Daten haben. Mehr dazu haben wir schon in einem anderen Blog-Artikel dargelegt.
Muss ein Verzeichnis der Verarbeitungstätigkeiten geführt werden?
Ja, denn es werden regelmäßig personenbezogene und besondere Arten von personenbezogenen Daten verarbeitet. Um die Rechenschaftspflichten und Dokumentationspflichten zu erfüllen ist das Verzeichnis der Verarbeitungstätigkeiten die Grundlage.
Müssen die Mitarbeiter über den Datenschutz belehrt werden?
Ja, wie in jedem anderen Betrieb ist es notwendig die Mitarbeiter auf den Datenschutz zu verpflichten. Dies bietet sich zusammen mit einer Datenschutzschulung an, bei der die notwendige Fachkenntnis vermittelt wird.
Muss ich die Patienten über die Datenverarbeitungen informieren?
Ja, Sie haben Informations- und Auskunftspflichten gegenüber Ihren Patienten! In der Arztpraxis selbst können Sie diesen z.B. in einer Praxismappe oder durch Aushängen nachkommen. Für die Homepage der Praxis muss natürlich eine passende Datenschutzerklärung erstellt werden.
Wie sieht es mit der Sicherheit der Datenverarbeitung aus?
Gerade in der Arztpraxis ist es wichtig, ein geeignetes Schutzniveau für die Datenverarbeitung sicherzustellen. Dies ist nicht immer einfach, da gerade ältere Praxisräume oftmals nicht über die notwendigen Räume für den sicheren Betrieb von Servern verfügen. Ein sehr häufig auftretendes Problem in Arztpraxen ist die Bedrohung durch sogenannte Verschlüsselungstrojaner. Bei dieser Schadsoftware wird ein oder mehrere Rechner der Arztpraxis infiziert und alle auf dem Rechner vorhandenen Daten werden verschlüsselt. Nach der Verschlüsselung wird der Benutzer aufgefordert eine Art Lösegeld zu bezahlen, um die Daten wieder entschlüsseln zu können.
Gegen diese und viele andere Arten von Schädlingen müssen Sie in der Arztpraxis gewappnet sein. Ein aktueller und umfassender Antivirus ist hier ein absolutes Minimum. Eine geeignete Netzwerk-Einteilung und Separation sollte genauso vorhanden sein wie ein geeignetes Benutzer-Rechtesystem.
All diese Informationen sollten in Ihrer Datenschutzdokumentation hinterlegt sein, damit Sie ein geeignetes Schutzniveau für die Daten nachweisen können.
Wie lange dürfen die Daten aufbewahrt werden?
Sie dürfen die Daten aufbewahren, bis der Zweck der Datenverarbeitung entfällt. Die tatsächliche Dauer muss für die einzelnen Datenarten bestimmt werden. Üblich sind hier Zeiträume von 10 Jahren bzw. 30 Jahren (z.B. für Röntgenbilder). Nach dieser Aufbewahrungsfrist müssen Sie mit einem geeigneten Prozess dafür sorgen, dass die Daten gelöscht werden!
Beim Löschen müssen Sie auf die geeignete Löschung achten. Gerade bei Papierdokumentation findet hier die DIN-66399 Anwendung. Mehr dazu können Sie in unserem Artikel „Aufräumarbeiten zum Jahresende?“ nachlesen.
Wie ist das mit der Auftragsverarbeitung?
Das Thema Auftragsverarbeitung in der Arztpraxis stellt eines der Fehleranfälligsten Themen da. In der beschriebenen Arztpraxis in unserem Beispiel sollte mindestens mit dem betreuenden Systemhaus und der Internetagentur ein Vertrag zur Auftragsverarbeitung geschlossen werden!
Auch die Dienstleistung der Abrechnungsstelle muss genauer betrachtet werden, da hier personenbezogene Daten verarbeitet werden.
Der Anfang muss gemacht werden
Sollten Sie in Ihrer Arztpraxis noch nicht mit den Umsetzungsmaßnahmen der DSGVO angefangen haben, wird es höchste Zeit. Gerade die Arztpraxen sind ein bekannter Punkt für Datenschutzvorfälle. Verschiedene Aufsichtsbehörden haben Arztpraxen schon in den Fokus genommen, da hier ein sehr hohes Potential für Datenschutzverstöße vorliegt.
Wie kann Ihnen die MAMEDO IT-Consulting GmbH helfen?
Wir bieten Ihnen Hilfe bei der vollständigen und professionellen Umsetzung der DSGVO an. Mit Rat und Tat stehen Ihnen unsere TÜV zertifizierten externen Datenschutzbeauftragten dabei zur Seite. Egal ob Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind oder Sie zunächst Hilfe bei der initialen Bewältigung der Anforderungen aus der DSGVO benötigen. Die MAMEDO IT-Consulting GmbH steht Ihnen bei dieser Aufgabe stets zur Seite. Durch unsere interdisziplinäre Aufstellung können unsere Experten über den Tellerrand hinausschauen und somit für Ihre Arztpraxis ein gesamtheitliches, optimal auf Sie abgestimmtes und effektives Gesamtpaket schnüren. Somit erhalten Sie die notwendigen Bausteine Datenschutz und IT-Sicherheit aus einer Hand!
Nehmen Sie für ein kostenloses und unverbindliches Erstgespräch gerne mit uns Kontakt auf oder buchen direkt online einen für Sie passenden Termin. Wir freuen uns darauf Sie mit Rat und Tat unterstützen zu dürfen!