SlideShare ist ein Scribd-Unternehmen logo

Datenschutz nach DSGVO in der Arztpraxis

Als PPTX, PDF herunterladen
J
jandax

Datenschutzgrundverordnung (EU-DSGVO): Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun? Seit dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung. Arztpraxen stellt dies vor eine besondere Herausforderung, da Patientendaten als besonders schützenswerte Kategorie von sensible Daten definiert sind. Diese Checkliste basiert auf Empfehlungen der Bundesärztekammer und soll niedergelassenen Ärzten einen ersten Überblick über die Anforderungen geben, um die Anforderungen der Verordnung n der eigenen Praxis umzusetzen.

Gesundheit & Medizin
1 von 18
DSGVO in der Arztpraxis Was ist zu beachten? Eine Checkliste für die PRAXIS
Vorab Über diese Präsentation • Diese Präsentation wurde als Checkliste zum Thema EU-DSGVO für niedergelassene Ärzte entwickelt. Sie basiert inhaltlich auf dem vom Vorstand der Bundesärztekammer entwickelten „Datenschutz-Check 2018“* • Angereichert um praktische Tipps dient diese Checkliste der Überprüfung des in der ärztlichen Praxis vorhandenen Datenschutzmanagements im Hinblick auf die neuen rechtlichen Anforderungen. Über uns • Jandax – Datenschutz aus Leidenschaft – ist eine Beratungsboutique, die sich auf das Thema Datenschutz im Gesundheitswesen und insbesondere in niedergelassenen Praxen spezialisiert hat • Wir unterstützen Mandanten bei der Bestandsaufnahme ihres Datenschutzsystems und fungieren auf Wunsch als externer Datenschutzbeauftragter mit entsprechender Fachkunde • Sprechen Sie uns gerne an: jandax@gmx.net * Deutsches Ärzteblatt | Jg. 115 |Heft 10 | 9. März 2018 | S. 453-455
EU-DSGVO: Was ist in Arztpraxen zu beachten? Interne Organisation der Praxis Im Verhältnis zum Patienten Im Verhältnis zu den Behörden Im Verhältnis zu Dienstleistern 1 2 3 4
Überprüfung aller internen Verarbeitungsvorgänge • Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen. • Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung durchgeführt werden (Art. 35 EU-DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. • Praxistipp: Wir empfehlen, diese Bestandsaufnahme einmalig von einem Profi durchführen zu lassen, dies ist in Anbetracht der rechtlichen Risiken gut investiertes Geld! Gesundheitsdaten sind im Sinne der Verordnung besonders schutzbedürftige Daten. Insbesondere die Frage nach der Datenschutzfolgeabschätzung ist nicht leicht zu beantworten und an einen komplizierten Kriterienkatalog gebunden. 1 Interne Organisation in der Praxis Erledigt?
Erstellung eines Verzeichnisses für Verarbeitungsvorgänge • Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU- DSGVO), wobei für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen ist. • Praxistipp: Das Verfahrensverzeichnis ist ein zentraler Baustein des Datenschutzes und wird als erstes von den Aufsichtsbehörden bei einer Prüfung verlangt. Dokumentieren Sie sorgfältig alle elektronischen Verfahren, die Sie verwenden, in denen personenbezogen Daten verarbeitet werden. Muster im Internet abrufbar. Erledigt? 2 Interne Organisation in der Praxis
Benennung eines Datenschutzbeauftragten • Einige Arztpraxen werden einen Datenschutzbeauftragten (DSB) zu benennen haben (Art. 37 EU-DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. • Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). • Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für diese Aufgabe fachlich qualifiziert sein. Der DSB ist der zuständigen Aufsichtsbehörde zu melden. • Praxistipp: Natürlich gilt die DSGVO auch für kleinere Praxen, in denen kein DSB bestellt werden muss. Wenn Sie einen DSB bestellen, muss dieser unbedingt die erforderliche Fachkunde besitzen. Erledigt? 3 Interne Organisation in der Praxis
Erarbeitung einer internen Datenschutzrichtlinie • Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann die Erstellung einer internen Datenschutzrichtlinie sinnvoll sein, in der z. B. Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können. Bestimmt werden kann darin auch, wie und wo der Nachweis über die einschlägige Rechtgrundlage der Verarbeitung (z. B. eine gesetzliche Bestimmung oder eine Einwilligung) dokumentiert werden kann. • Praxistipp: Eine Datenschutzrichtlinie nützt nichts, wenn niemand sie kennt. Schulen Sie unbedingt Ihre Mitarbeiter über die Inhalte der Richtlinie und die wichtigsten Regeln zum Datenschutz! Dokumentieren Sie diese Schulungen sorgfältig! Erledigt? 4 Interne Organisation in der Praxis
Überprüfung vorhandener Verträge und Formulare • Sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, welche Datenverarbeitungsvorgänge betreffen, sind möglicherweise an das neue Datenschutzrecht anzupassen. • Einwilligungserklärungen müssen z. B. den Hinweis auf die Widerrufbarkeit enthalten. • Praxistipp: Wichtig sind vor allem Verträge und Formulare, in denen Patientendaten erfasst oder weitergegeben werden. Von zentraler Bedeutung ist dabei der Anamnesefragebogen, den Sie für neue Patienten verwenden und welcher neben der erforderlichen Einwilligung in die Speicherung und Weitergabe der Daten auch die Betroffenenrechte nach Artikel 13/14 EU-DSGVO enthalten sollte! Erledigt? 5 Interne Organisation in der Praxis
Sicherheit der Datenverarbeitung • Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis, insbesondere vor Angreifern von außen, zu gewährleisten. • Praxistipp: Stellen Sie sicher, dass Sie technisch auf dem neuesten Stand in Bezug auf Virenschutz und Hackerangriffe sind. Aber stellen Sie auch sicher (z.B. im Rahmen der Schulungen), dass die Mitarbeiter in der Praxis gegen Angriffe von Außen geschult sind. Dazu zählt die Informationsweitergabe am Telefon, die Identitätsprüfung ebenso wie die sichere Gestaltung der Räumlichkeiten (z.B. Diskretionszone am Empfang, physische Sicherheit der Patientenakten etc.). Erledigt? 6 Interne Organisation in der Praxis
Einholung von Einwilligungserklärungen • Im Rahmen der routinemäßigen Behandlung von Patienten beruht die Datenverarbeitung meist auf einer gesetzlichen Grundlage, so dass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge (z. B. Einbeziehung einer privaten Verrechnungsstelle) erforderlich sind und noch nicht eingeholt worden sind, ist dieses nachzuholen. • Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden • Praxistipp: Am leichtesten ist dies durch die entsprechende Gestaltung des Anamnesefragebogens umsetzbar. Für Bestandspatienten sollten Sie diese unbedingt nachholen. 1 Im Verhältnis zum Patienten Erledigt?
Informationspflichten • Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 EU- DSGVO) können entsprechende Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. • Praxistipp: Auch hier gilt, dass dies am leichtesten durch die entsprechenden Klauseln bei der Registrierung im Anamnesefragebogen umgesetzt werden kann. Erledigt? 2 Im Verhältnis zum Patienten
Auskunftsrecht des Patienten • Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag) existiert das datenschutzrechtliche Auskunftsrecht (Art. 15 EU-DSGVO), wonach Patienten vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. • Praxistipp: Patienten haben durch die DSGVO das Auskunftsrecht über alle (!) Daten, die über sie gespeichert sind. Sie müssen diese erstmalig auch kostenlos zur Verfügung stellen. Definieren Sie einmalig wie der Prozess hierfür aussehen soll und definieren Sie entsprechende Reports. Erledigt? 3 Im Verhältnis zum Patienten
Recht auf Löschung • Im Zusammenhang mit den Aufbewahrungsfristen sind Löschungsfristen (Art. 17 EU-DSGVO) zu berücksichtigen. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren festgelegt werden, z. B. wann und durch wen die Daten z. B. nach Ablauf von Aufbewahrungsfristen gelöscht werden sollen • Praxistipp: Ärztliche Aufzeichnungen sind für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht (vgl. § 10 Abs. 3 MBO-Ä, § 630f Abs. 3 BGB sowie für den vertragsärztlichen Bereich § 57 Abs. 2 BMV-Ä). Erledigt? 4 Im Verhältnis zum Patienten
Befugnisse der Aufsichtsbehörden • Es ist zu beachten, dass Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufsgeheimnisträgern haben, insbesondere erfolgt keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden. Für die Aufsichtsbehörden bestehen nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht ist abzuraten, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann (Art. 83 Abs. 5 lit. e EU- DSGVO). • Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel rechtlicher Beistand zu Rate gezogen werden. 1 Im Verhältnis zu Behörden Erledigt?
Keine Pflicht zur Selbstbelastung • Wie bisher kann die Auskunft auf Fragen verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung (z. B. wegen des Verstoßes gegen die ärztliche Schweigepflicht) nach sich ziehen würde. Es besteht grundsätzlich keine Pflicht, sich selbst zu belasten! • Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel rechtlicher Beistand zu Rate gezogen werden. 2 Im Verhältnis zu Behörden Erledigt?
Meldung von Datenpannen und -verstößen • Datenpannen (z. B. Hackerangriffe) und Datenschutzverstöße (z. B. durch Mitarbeiter) sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden. Dafür sollte in einer internen Datenschutzrichtlinie festgelegt werden, wer in der Praxis für die Meldung zuständig ist. Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. • Praxistipp: Sofern eine „Datenpanne“ vorliegt, muss auch der betroffene Patient unverzüglich darüber informiert werden. Dies gilt immer dann, wenn der Datenverlust für den Patienten erhebliche Risiken für seine persönlichen Rechte und Freiheiten haben könnte. 3 Im Verhältnis zu Behörden Erledigt?
Meldung von Datenpannen und -verstößen • Soweit Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft werden. • Praxistipp: Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten), sollten entsprechende Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 EU-DSGVO ergeben. Es existieren Muster im Internet. 1 Im Verhältnis zu Dienstleistern Erledigt?
Verpflichtung zur Geheimhaltung • In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen! • Praxistipp: Sie sollten unbedingt Vereinbarungen zur Auftragsdatenverarbeitung mit Dienstleistern abschließen, denen Sie Patientendaten übertragen. Dies sind insbesondere Labore, Abrechnungsstellen und EDV-Dienstleister. Erledigt? 2 Im Verhältnis zu Dienstleistern

Empfohlen

Atos administrativo sa
Atos administrativo saAtos administrativo sa
Atos administrativo saAna Cristina Freitas
 
Порядок надання відпусток
Порядок надання відпустокПорядок надання відпусток
Порядок надання відпусток
Kyiv National Economic University
 
тазові передлежання
тазові передлежаннятазові передлежання
тазові передлежання
Igor Lakhno
 
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Constantine Zerov
 
Legislação Trabalhista
Legislação TrabalhistaLegislação Trabalhista
Legislação Trabalhista
Jesus Martins Oliveira Junior
 
Contrato de trabalho
Contrato de trabalhoContrato de trabalho
Contrato de trabalhoAlberto Oliveira
 
The right of communication to the public у європейській та українській практи...
The right of communication to the public у європейській та українській практи...The right of communication to the public у європейській та українській практи...
The right of communication to the public у європейській та українській практи...
Constantine Zerov
 
Поняття і види робочого часу
Поняття і види робочого часуПоняття і види робочого часу
Поняття і види робочого часу
Kyiv National Economic University
 

Empfohlen

Atos administrativo sa
Atos administrativo saAtos administrativo sa
Atos administrativo saAna Cristina Freitas
 
Порядок надання відпусток
Порядок надання відпустокПорядок надання відпусток
Порядок надання відпусток
Kyiv National Economic University
 
тазові передлежання
тазові передлежаннятазові передлежання
тазові передлежання
Igor Lakhno
 
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Доменні імена в Інтернеті та альтернативне вирішення спорів. Кравчук А.Б.
Constantine Zerov
 
Legislação Trabalhista
Legislação TrabalhistaLegislação Trabalhista
Legislação Trabalhista
Jesus Martins Oliveira Junior
 
Contrato de trabalho
Contrato de trabalhoContrato de trabalho
Contrato de trabalhoAlberto Oliveira
 
The right of communication to the public у європейській та українській практи...
The right of communication to the public у європейській та українській практи...The right of communication to the public у європейській та українській практи...
The right of communication to the public у європейській та українській практи...
Constantine Zerov
 
Поняття і види робочого часу
Поняття і види робочого часуПоняття і види робочого часу
Поняття і види робочого часу
Kyiv National Economic University
 
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Improve Medical LLC
 
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...Alex Mendes
 
Захворювання очей
Захворювання очейЗахворювання очей
Захворювання очей
Оксана Томчишин
 
EULA та договір постачання програмної продукції
EULA та договір постачання програмної продукціїEULA та договір постачання програмної продукції
EULA та договір постачання програмної продукції
Constantine Zerov
 
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорівКостянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Constantine Zerov
 
Direito constitucional
Direito constitucionalDireito constitucional
Direito constitucional
andersonadv
 
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHOCLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
Leticia Costa
 
Contrato de trabalho
Contrato de trabalhoContrato de trabalho
Contrato de trabalho
rosanaserelo
 
Електронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівляхЕлектронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівлях
Система електронних державних закупівель Prozorro
 
Contratos Administrativos
Contratos AdministrativosContratos Administrativos
Contratos Administrativos
Junior Ozono
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Márcia Rodrigues
 
презентація
презентаціяпрезентація
презентація
Vitaly Timchenko
 
Клінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостазКлінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостаз
Eugene Shorikov
 
Atos administrativos
Atos administrativosAtos administrativos
Atos administrativos
Fabiana Adaice
 
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Національна комісія з цінних паперів та фондового ринку
 
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracySzkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
infakt
 
Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.
Constantine Zerov
 
мгсд тема 1 презентація
мгсд тема 1 презентаціямгсд тема 1 презентація
мгсд тема 1 презентація
cdecit
 
Apostila da Perícia Trabalhista
Apostila da Perícia TrabalhistaApostila da Perícia Trabalhista
Apostila da Perícia Trabalhista
Robson Peixoto
 
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Improve Medical LLC
 
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...Niederrheinischer Pflegekongress
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 

Weitere ähnliche Inhalte

Was ist angesagt?

Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Improve Medical LLC
 
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...Alex Mendes
 
Захворювання очей
Захворювання очейЗахворювання очей
Захворювання очей
Оксана Томчишин
 
EULA та договір постачання програмної продукції
EULA та договір постачання програмної продукціїEULA та договір постачання програмної продукції
EULA та договір постачання програмної продукції
Constantine Zerov
 
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорівКостянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Constantine Zerov
 
Direito constitucional
Direito constitucionalDireito constitucional
Direito constitucional
andersonadv
 
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHOCLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
Leticia Costa
 
Contrato de trabalho
Contrato de trabalhoContrato de trabalho
Contrato de trabalho
rosanaserelo
 
Електронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівляхЕлектронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівлях
Система електронних державних закупівель Prozorro
 
Contratos Administrativos
Contratos AdministrativosContratos Administrativos
Contratos Administrativos
Junior Ozono
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Márcia Rodrigues
 
презентація
презентаціяпрезентація
презентація
Vitaly Timchenko
 
Клінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостазКлінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостаз
Eugene Shorikov
 
Atos administrativos
Atos administrativosAtos administrativos
Atos administrativos
Fabiana Adaice
 
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Національна комісія з цінних паперів та фондового ринку
 
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracySzkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
infakt
 
Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.
Constantine Zerov
 
мгсд тема 1 презентація
мгсд тема 1 презентаціямгсд тема 1 презентація
мгсд тема 1 презентація
cdecit
 
Apostila da Perícia Trabalhista
Apostila da Perícia TrabalhistaApostila da Perícia Trabalhista
Apostila da Perícia Trabalhista
Robson Peixoto
 
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Improve Medical LLC
 

Was ist angesagt? (20)

Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
Презентація вебінару "На шляху до MDR. Лайфхаки при впровадженні", 30.06.22
 
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
Direito Constitucinal: Conceito, Classificação, Aplicação e Interpretação tóp...
 
Захворювання очей
Захворювання очейЗахворювання очей
Захворювання очей
 
EULA та договір постачання програмної продукції
EULA та договір постачання програмної продукціїEULA та договір постачання програмної продукції
EULA та договір постачання програмної продукції
 
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорівКостянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
Костянтин Зеров. Поняття домених імен. Практика вирішення доменних спорів
 
Direito constitucional
Direito constitucionalDireito constitucional
Direito constitucional
 
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHOCLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
CLT-CONSOLIDAÇÃO DAS LEIS DO TRABALHO
 
Contrato de trabalho
Contrato de trabalhoContrato de trabalho
Contrato de trabalho
 
Електронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівляхЕлектронні документи та електронний підпис в публічних закупівлях
Електронні документи та електронний підпис в публічних закупівлях
 
Contratos Administrativos
Contratos AdministrativosContratos Administrativos
Contratos Administrativos
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1
 
презентація
презентаціяпрезентація
презентація
 
Клінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостазКлінічна фармакологія засобів, які впливають на гемостаз
Клінічна фармакологія засобів, які впливають на гемостаз
 
Atos administrativos
Atos administrativosAtos administrativos
Atos administrativos
 
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
Презентація Олександра Панченка, Члена НКЦПФР, на науково-практичній конферен...
 
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracySzkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
Szkolenie z księgowości dla średniozaawansowanych (odc. 7) - Formy współpracy
 
Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.Авторське право. Носік Ю.В.
Авторське право. Носік Ю.В.
 
мгсд тема 1 презентація
мгсд тема 1 презентаціямгсд тема 1 презентація
мгсд тема 1 презентація
 
Apostila da Perícia Trabalhista
Apostila da Perícia TrabalhistaApostila da Perícia Trabalhista
Apostila da Perícia Trabalhista
 
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
Презентація вебінару "Організація та проведення внутрішніх аудитів у відповід...
 

Ähnlich wie Datenschutz nach DSGVO in der Arztpraxis

NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...Niederrheinischer Pflegekongress
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
ChristianGohlke1
 
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler ScannerDr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Ole Wintermann
 
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
AOK-Bundesverband
 
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
Swiss eHealth Forum
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
Peter Haase
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
Gigya
 
Sfofr module 5 powerpoint german
Sfofr module 5 powerpoint germanSfofr module 5 powerpoint german
Sfofr module 5 powerpoint german
streetfood
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Dr. Thierry Oscar Edoh
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
Lead Inspector
 
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des BerichtswesenSeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
Swiss eHealth Forum
 
Facebook Rechtsupdate 2015 #AFBMC
Facebook Rechtsupdate 2015 #AFBMCFacebook Rechtsupdate 2015 #AFBMC
Facebook Rechtsupdate 2015 #AFBMC
AllFacebook.de
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
drjochendeppemsc
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
Mailjet
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 

Ähnlich wie Datenschutz nach DSGVO in der Arztpraxis (20)

NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
NPK2012 - Gunther Schabio: Wundmanagement und Wundversorgung - ein rechtsfrei...
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
 
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler ScannerDr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
Dr. Jochen Deppe: Zum Datenmanagement intraoraler Scanner
 
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
Patientenrechte stärken - Zusammenfassung des Positionspapiers der AOK-Gemein...
 
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
SeHF 2015 | Mit einem Bein im Gefängnis? Gravierende Folgen bei Datenschutzve...
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
Sfofr module 5 powerpoint german
Sfofr module 5 powerpoint germanSfofr module 5 powerpoint german
Sfofr module 5 powerpoint german
 
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des BerichtswesenSeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
SeHF 2015 | Optimierungspotenziale mittels Standardisierung des Berichtswesen
 
Facebook Rechtsupdate 2015 #AFBMC
Facebook Rechtsupdate 2015 #AFBMCFacebook Rechtsupdate 2015 #AFBMC
Facebook Rechtsupdate 2015 #AFBMC
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 

Datenschutz nach DSGVO in der Arztpraxis

  • 1. DSGVO in der Arztpraxis Was ist zu beachten? Eine Checkliste für die PRAXIS
  • 2. Vorab Über diese Präsentation • Diese Präsentation wurde als Checkliste zum Thema EU-DSGVO für niedergelassene Ärzte entwickelt. Sie basiert inhaltlich auf dem vom Vorstand der Bundesärztekammer entwickelten „Datenschutz-Check 2018“* • Angereichert um praktische Tipps dient diese Checkliste der Überprüfung des in der ärztlichen Praxis vorhandenen Datenschutzmanagements im Hinblick auf die neuen rechtlichen Anforderungen. Über uns • Jandax – Datenschutz aus Leidenschaft – ist eine Beratungsboutique, die sich auf das Thema Datenschutz im Gesundheitswesen und insbesondere in niedergelassenen Praxen spezialisiert hat • Wir unterstützen Mandanten bei der Bestandsaufnahme ihres Datenschutzsystems und fungieren auf Wunsch als externer Datenschutzbeauftragter mit entsprechender Fachkunde • Sprechen Sie uns gerne an: jandax@gmx.net * Deutsches Ärzteblatt | Jg. 115 |Heft 10 | 9. März 2018 | S. 453-455
  • 3. EU-DSGVO: Was ist in Arztpraxen zu beachten? Interne Organisation der Praxis Im Verhältnis zum Patienten Im Verhältnis zu den Behörden Im Verhältnis zu Dienstleistern 1 2 3 4
  • 4. Überprüfung aller internen Verarbeitungsvorgänge • Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen. • Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung durchgeführt werden (Art. 35 EU-DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. • Praxistipp: Wir empfehlen, diese Bestandsaufnahme einmalig von einem Profi durchführen zu lassen, dies ist in Anbetracht der rechtlichen Risiken gut investiertes Geld! Gesundheitsdaten sind im Sinne der Verordnung besonders schutzbedürftige Daten. Insbesondere die Frage nach der Datenschutzfolgeabschätzung ist nicht leicht zu beantworten und an einen komplizierten Kriterienkatalog gebunden. 1 Interne Organisation in der Praxis Erledigt?
  • 5. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge • Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU- DSGVO), wobei für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen ist. • Praxistipp: Das Verfahrensverzeichnis ist ein zentraler Baustein des Datenschutzes und wird als erstes von den Aufsichtsbehörden bei einer Prüfung verlangt. Dokumentieren Sie sorgfältig alle elektronischen Verfahren, die Sie verwenden, in denen personenbezogen Daten verarbeitet werden. Muster im Internet abrufbar. Erledigt? 2 Interne Organisation in der Praxis
  • 6. Benennung eines Datenschutzbeauftragten • Einige Arztpraxen werden einen Datenschutzbeauftragten (DSB) zu benennen haben (Art. 37 EU-DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. • Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). • Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für diese Aufgabe fachlich qualifiziert sein. Der DSB ist der zuständigen Aufsichtsbehörde zu melden. • Praxistipp: Natürlich gilt die DSGVO auch für kleinere Praxen, in denen kein DSB bestellt werden muss. Wenn Sie einen DSB bestellen, muss dieser unbedingt die erforderliche Fachkunde besitzen. Erledigt? 3 Interne Organisation in der Praxis
  • 7. Erarbeitung einer internen Datenschutzrichtlinie • Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann die Erstellung einer internen Datenschutzrichtlinie sinnvoll sein, in der z. B. Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können. Bestimmt werden kann darin auch, wie und wo der Nachweis über die einschlägige Rechtgrundlage der Verarbeitung (z. B. eine gesetzliche Bestimmung oder eine Einwilligung) dokumentiert werden kann. • Praxistipp: Eine Datenschutzrichtlinie nützt nichts, wenn niemand sie kennt. Schulen Sie unbedingt Ihre Mitarbeiter über die Inhalte der Richtlinie und die wichtigsten Regeln zum Datenschutz! Dokumentieren Sie diese Schulungen sorgfältig! Erledigt? 4 Interne Organisation in der Praxis
  • 8. Überprüfung vorhandener Verträge und Formulare • Sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, welche Datenverarbeitungsvorgänge betreffen, sind möglicherweise an das neue Datenschutzrecht anzupassen. • Einwilligungserklärungen müssen z. B. den Hinweis auf die Widerrufbarkeit enthalten. • Praxistipp: Wichtig sind vor allem Verträge und Formulare, in denen Patientendaten erfasst oder weitergegeben werden. Von zentraler Bedeutung ist dabei der Anamnesefragebogen, den Sie für neue Patienten verwenden und welcher neben der erforderlichen Einwilligung in die Speicherung und Weitergabe der Daten auch die Betroffenenrechte nach Artikel 13/14 EU-DSGVO enthalten sollte! Erledigt? 5 Interne Organisation in der Praxis
  • 9. Sicherheit der Datenverarbeitung • Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis, insbesondere vor Angreifern von außen, zu gewährleisten. • Praxistipp: Stellen Sie sicher, dass Sie technisch auf dem neuesten Stand in Bezug auf Virenschutz und Hackerangriffe sind. Aber stellen Sie auch sicher (z.B. im Rahmen der Schulungen), dass die Mitarbeiter in der Praxis gegen Angriffe von Außen geschult sind. Dazu zählt die Informationsweitergabe am Telefon, die Identitätsprüfung ebenso wie die sichere Gestaltung der Räumlichkeiten (z.B. Diskretionszone am Empfang, physische Sicherheit der Patientenakten etc.). Erledigt? 6 Interne Organisation in der Praxis
  • 10. Einholung von Einwilligungserklärungen • Im Rahmen der routinemäßigen Behandlung von Patienten beruht die Datenverarbeitung meist auf einer gesetzlichen Grundlage, so dass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge (z. B. Einbeziehung einer privaten Verrechnungsstelle) erforderlich sind und noch nicht eingeholt worden sind, ist dieses nachzuholen. • Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden • Praxistipp: Am leichtesten ist dies durch die entsprechende Gestaltung des Anamnesefragebogens umsetzbar. Für Bestandspatienten sollten Sie diese unbedingt nachholen. 1 Im Verhältnis zum Patienten Erledigt?
  • 11. Informationspflichten • Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 EU- DSGVO) können entsprechende Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. • Praxistipp: Auch hier gilt, dass dies am leichtesten durch die entsprechenden Klauseln bei der Registrierung im Anamnesefragebogen umgesetzt werden kann. Erledigt? 2 Im Verhältnis zum Patienten
  • 12. Auskunftsrecht des Patienten • Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag) existiert das datenschutzrechtliche Auskunftsrecht (Art. 15 EU-DSGVO), wonach Patienten vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. • Praxistipp: Patienten haben durch die DSGVO das Auskunftsrecht über alle (!) Daten, die über sie gespeichert sind. Sie müssen diese erstmalig auch kostenlos zur Verfügung stellen. Definieren Sie einmalig wie der Prozess hierfür aussehen soll und definieren Sie entsprechende Reports. Erledigt? 3 Im Verhältnis zum Patienten
  • 13. Recht auf Löschung • Im Zusammenhang mit den Aufbewahrungsfristen sind Löschungsfristen (Art. 17 EU-DSGVO) zu berücksichtigen. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren festgelegt werden, z. B. wann und durch wen die Daten z. B. nach Ablauf von Aufbewahrungsfristen gelöscht werden sollen • Praxistipp: Ärztliche Aufzeichnungen sind für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht (vgl. § 10 Abs. 3 MBO-Ä, § 630f Abs. 3 BGB sowie für den vertragsärztlichen Bereich § 57 Abs. 2 BMV-Ä). Erledigt? 4 Im Verhältnis zum Patienten
  • 14. Befugnisse der Aufsichtsbehörden • Es ist zu beachten, dass Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufsgeheimnisträgern haben, insbesondere erfolgt keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden. Für die Aufsichtsbehörden bestehen nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht ist abzuraten, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann (Art. 83 Abs. 5 lit. e EU- DSGVO). • Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel rechtlicher Beistand zu Rate gezogen werden. 1 Im Verhältnis zu Behörden Erledigt?
  • 15. Keine Pflicht zur Selbstbelastung • Wie bisher kann die Auskunft auf Fragen verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung (z. B. wegen des Verstoßes gegen die ärztliche Schweigepflicht) nach sich ziehen würde. Es besteht grundsätzlich keine Pflicht, sich selbst zu belasten! • Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel rechtlicher Beistand zu Rate gezogen werden. 2 Im Verhältnis zu Behörden Erledigt?
  • 16. Meldung von Datenpannen und -verstößen • Datenpannen (z. B. Hackerangriffe) und Datenschutzverstöße (z. B. durch Mitarbeiter) sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden. Dafür sollte in einer internen Datenschutzrichtlinie festgelegt werden, wer in der Praxis für die Meldung zuständig ist. Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. • Praxistipp: Sofern eine „Datenpanne“ vorliegt, muss auch der betroffene Patient unverzüglich darüber informiert werden. Dies gilt immer dann, wenn der Datenverlust für den Patienten erhebliche Risiken für seine persönlichen Rechte und Freiheiten haben könnte. 3 Im Verhältnis zu Behörden Erledigt?
  • 17. Meldung von Datenpannen und -verstößen • Soweit Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft werden. • Praxistipp: Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten), sollten entsprechende Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 EU-DSGVO ergeben. Es existieren Muster im Internet. 1 Im Verhältnis zu Dienstleistern Erledigt?
  • 18. Verpflichtung zur Geheimhaltung • In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen! • Praxistipp: Sie sollten unbedingt Vereinbarungen zur Auftragsdatenverarbeitung mit Dienstleistern abschließen, denen Sie Patientendaten übertragen. Dies sind insbesondere Labore, Abrechnungsstellen und EDV-Dienstleister. Erledigt? 2 Im Verhältnis zu Dienstleistern