Daten­schutz in der Arzt­pra­xis — ein Blick in die Pra­xis

Gera­de in der Arzt­pra­xis ist jedem schnell klar, dass hier mit hoch­sen­si­blen Daten gear­bei­tet wird. Dabei han­delt es sich fast immer um per­so­nen­be­zo­ge­ne Daten. Doch lei­der fehlt es in den Arzt­pra­xen häu­fig an der Umset­zung der DSGVO. Gera­de in den Berei­chen IT-Sicher­heit, sowie dem damit ver­bun­de­nen Bereich der tech­nisch- und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs), sind hier Lücken kei­ne Sel­ten­heit. Daher möch­ten wir den Arzt­pra­xen mit die­sem Bei­trag den Ein­stieg in den erfolg­rei­chen Daten­schutz etwas leich­ter machen.

Datenschutz in der Arztpraxis

Daten­schutz am Bei­spiel einer All­ge­mein­arzt­pra­xis

Exem­pla­risch möch­ten wir hier anhand einer klei­ne­ren Arzt­pra­xis die ers­ten Fra­gen zum Daten­schutz beant­wor­ten. Exem­pla­ri­sche ori­en­tie­ren wir uns hier­bei an einer Arzt­pra­xis für All­ge­mein­me­di­zin. Die Pra­xis wird von einem Arzt betrie­ben. Ins­ge­samt hat der Arzt vier MFAs ein­ge­stellt, um ihn in sei­nen Pra­xis­räu­men in Dort­mund zu unter­stüt­zen. Neben den MFAs beschäf­tigt er noch eine Rei­ni­gungs­kraft. Des Wei­te­ren ist die Schwes­ter des Arz­tes für die Buch­hal­tung / Abrech­nung in der Pra­xis als 400€ Kraft in Teil­zeit tätig.

Da es sich bei der Pra­xis um eine modern aus­ge­rich­tet Pra­xis han­delt, liegt der Fokus des Arz­tes auf der papier­lo­sen Doku­men­ta­ti­on der Behand­lung sowie einem papier­lo­sen Büro. Das ein­ge­setz­te Arzt-Infor­ma­ti­ons-Sys­tem (AIS) bie­tet dazu die Mög­lich­keit der Ein­ga­be von Behand­lungs­da­ten mit­tels eines Tablets. Die Abrech­nung von pri­vat­ärzt­li­chen Leis­tun­gen erfolgt über eine pri­va­te Abrech­nungs­stel­le. Die­se über­nimmt auch das Mahn­we­sen für den Arzt. Natür­lich ist die Pra­xis auch im Inter­net ver­tre­ten mit einer eige­nen Home­page. Die­se wur­de durch eine Agen­tur erstellt und wird von die­ser auch ange­passt und gewar­tet. Die Agen­tur ist auch für den Betrieb der Web­sei­te zustän­dig.

Die EDV der Arzt­pra­xis wird durch ein befreun­de­tes Sys­tem­haus betreut. Die für die Ver­ar­bei­tung not­wen­di­gen Ser­ver und Arbeits­plät­ze befin­den sich in den Pra­xis­räu­men.

Zum Ein­stieg eini­ge Ant­wor­ten auf typi­sche Fra­gen

Im Fol­gen­den möch­ten wir eini­ge Ant­wor­ten auf ganz typi­sche Fra­gen geben, die uns immer wie­der errei­chen. Wie sieht es hier in Ihrer Pra­xis aus? Sind Sie bezüg­lich der DSGVO schon gut auf­ge­stellt?

Ist für die Pra­xis ein Daten­schutz­be­auf­trag­ter zu benen­nen?

Nein, in der dar­ge­stell­ten Kon­stel­la­ti­on muss zunächst kein Daten­schutz­be­auf­trag­ter benannt wer­den, da weni­ger als 10 Per­so­nen regel­mä­ßig Umgang mit den per­so­nen­be­zo­ge­nen Daten haben. Mehr dazu haben wir schon in einem ande­ren Blog-Arti­kel dar­ge­legt.

Muss ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten geführt wer­den?

Ja, denn es wer­den regel­mä­ßig per­so­nen­be­zo­ge­ne und beson­de­re Arten von per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet. Um die Rechen­schafts­pflich­ten und Doku­men­ta­ti­ons­pflich­ten zu erfül­len ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten die Grund­la­ge.

Müs­sen die Mit­ar­bei­ter über den Daten­schutz belehrt wer­den?

Ja, wie in jedem ande­ren Betrieb ist es not­wen­dig die Mit­ar­bei­ter auf den Daten­schutz zu ver­pflich­ten. Dies bie­tet sich zusam­men mit einer Daten­schutz­schu­lung an, bei der die not­wen­di­ge Fach­kennt­nis ver­mit­telt wird.

Muss ich die Pati­en­ten über die Daten­ver­ar­bei­tun­gen infor­mie­ren?

Ja, Sie haben Infor­ma­ti­ons- und Aus­kunfts­pflich­ten gegen­über Ihren Pati­en­ten! In der Arzt­pra­xis selbst kön­nen Sie die­sen z.B. in einer Pra­xis­map­pe oder durch Aus­hän­gen nach­kom­men. Für die Home­page der Pra­xis muss natür­lich eine pas­sen­de Daten­schutz­er­klä­rung erstellt wer­den.

Wie sieht es mit der Sicher­heit der Daten­ver­ar­bei­tung aus?

Gera­de in der Arzt­pra­xis ist es wich­tig, ein geeig­ne­tes Schutz­ni­veau für die Daten­ver­ar­bei­tung sicher­zu­stel­len. Dies ist nicht immer ein­fach, da gera­de älte­re Pra­xis­räu­me oft­mals nicht über die not­wen­di­gen Räu­me für den siche­ren Betrieb von Ser­vern ver­fü­gen. Ein sehr häu­fig auf­tre­ten­des Pro­blem in Arzt­pra­xen ist die Bedro­hung durch soge­nann­te Ver­schlüs­se­lungs­tro­ja­ner. Bei die­ser Schad­soft­ware wird ein oder meh­re­re Rech­ner der Arzt­pra­xis infi­ziert und alle auf dem Rech­ner vor­han­de­nen Daten wer­den ver­schlüs­selt. Nach der Ver­schlüs­se­lung wird der Benut­zer auf­ge­for­dert eine Art Löse­geld zu bezah­len, um die Daten wie­der ent­schlüs­seln zu kön­nen.

Gegen die­se und vie­le ande­re Arten von Schäd­lin­gen müs­sen Sie in der Arzt­pra­xis gewapp­net sein. Ein aktu­el­ler und umfas­sen­der Anti­vi­rus ist hier ein abso­lu­tes Mini­mum. Eine geeig­ne­te Netz­werk-Ein­tei­lung und Sepa­ra­ti­on soll­te genau­so vor­han­den sein wie ein geeig­ne­tes Benut­zer-Rech­te­sys­tem.

All die­se Infor­ma­tio­nen soll­ten in Ihrer Daten­schutz­do­ku­men­ta­ti­on hin­ter­legt sein, damit Sie ein geeig­ne­tes Schutz­ni­veau für die Daten nach­wei­sen kön­nen.

Wie lan­ge dür­fen die Daten auf­be­wahrt wer­den?

Sie dür­fen die Daten auf­be­wah­ren, bis der Zweck der Daten­ver­ar­bei­tung ent­fällt. Die tat­säch­li­che Dau­er muss für die ein­zel­nen Daten­ar­ten bestimmt wer­den. Üblich sind hier Zeit­räu­me von 10 Jah­ren bzw. 30 Jah­ren (z.B. für Rönt­gen­bil­der). Nach die­ser Auf­be­wah­rungs­frist müs­sen Sie mit einem geeig­ne­ten Pro­zess dafür sor­gen, dass die Daten gelöscht wer­den!

Beim Löschen müs­sen Sie auf die geeig­ne­te Löschung ach­ten. Gera­de bei Papier­do­ku­men­ta­ti­on fin­det hier die DIN-66399 Anwen­dung. Mehr dazu kön­nen Sie in unse­rem Arti­kel „Auf­räum­ar­bei­ten zum Jah­res­en­de?“ nach­le­sen.

Wie ist das mit der Auf­trags­ver­ar­bei­tung?

Das The­ma Auf­trags­ver­ar­bei­tung in der Arzt­pra­xis stellt eines der Feh­ler­an­fäl­ligs­ten The­men da. In der beschrie­be­nen Arzt­pra­xis in unse­rem Bei­spiel soll­te min­des­tens mit dem betreu­en­den Sys­tem­haus und der Inter­net­agen­tur ein Ver­trag zur Auf­trags­ver­ar­bei­tung geschlos­sen wer­den!

Auch die Dienst­leis­tung der Abrech­nungs­stel­le muss genau­er betrach­tet wer­den, da hier per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den.

Der Anfang muss gemacht wer­den

Soll­ten Sie in Ihrer Arzt­pra­xis noch nicht mit den Umset­zungs­maß­nah­men der DSGVO ange­fan­gen haben, wird es höchs­te Zeit. Gera­de die Arzt­pra­xen sind ein bekann­ter Punkt für Daten­schutz­vor­fäl­le. Ver­schie­de­ne Auf­sichts­be­hör­den haben Arzt­pra­xen schon in den Fokus genom­men, da hier ein sehr hohes Poten­ti­al für Daten­schutz­ver­stö­ße vor­liegt.

Wie kann Ihnen die MAMEDO IT-Con­sul­ting GmbH hel­fen?

Wir bie­ten Ihnen Hil­fe bei der voll­stän­di­gen und pro­fes­sio­nel­len Umset­zung der DSGVO an. Mit Rat und Tat ste­hen Ihnen unse­re TÜV zer­ti­fi­zier­ten exter­nen Daten­schutz­be­auf­trag­ten dabei zur Sei­te. Egal ob Sie zur Benen­nung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind oder Sie zunächst Hil­fe bei der initia­len Bewäl­ti­gung der Anfor­de­run­gen aus der DSGVO benö­ti­gen. Die MAMEDO IT-Con­sul­ting GmbH steht Ihnen bei die­ser Auf­ga­be stets zur Sei­te. Durch unse­re inter­dis­zi­pli­nä­re Auf­stel­lung kön­nen unse­re Exper­ten über den Tel­ler­rand hin­aus­schau­en und somit für Ihre Arzt­pra­xis ein gesamt­heit­li­ches, opti­mal auf Sie abge­stimm­tes und effek­ti­ves Gesamt­pa­ket schnü­ren. Somit erhal­ten Sie die not­wen­di­gen Bau­stei­ne Daten­schutz und IT-Sicher­heit aus einer Hand!

Neh­men Sie für ein kos­ten­lo­ses und unver­bind­li­ches Erst­ge­spräch ger­ne mit uns Kon­takt auf oder buchen direkt online einen für Sie pas­sen­den Ter­min. Wir freu­en uns dar­auf Sie mit Rat und Tat unter­stüt­zen zu dür­fen!

Die­sen Bei­trag tei­len