Datenschutz im Gesundheitswesen - Datenschutz im Gesundheitswesen - Hifestellung und Lösungen

Datenschutz
im Gesundheitswesen
Title
Direkt zum Seiteninhalt
Datenschutz – was ist umzusetzen?
 
Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen. Dieser ist in der letzten Fassung der DSGVO entfallen – dennoch gibt es viele Regelungen, die auch und gerade für den Gesundheitsbereich relevant sind und beachtet werden müssen.
  
Beispiele hierfür sind

  • Einwilligung von Patienten/Bewohnern
  • Einwilligung von Kindern bei Behandlungen oder Terminvereinbarungen
  • Absicherung der EDV
  • Verhalten am Empfang/Tresen
  • Notwendiges IT Sicherheitskonzept
  • Behandlungsportale
  • Internetauftritt von Pflegedienste
  • Entsorgung von Datenträgern
 
Eine vollkommen falsche Aussage ist, dass kleine Unternehmen kein Datenschutz umsetzen müssen!
  
Vor  kurzem waren wir auf einer Veranstaltung. Die Referentin - eine externe  DSB (Rechtsanwältin) erzählte, dass sie eine Anfrage von einem Optiker bekommen hätte (ein 3-Personen-Unternehmen). Da dieses noch keine EDV  eingesetzten würde, so hätte Sie diesen empfohlen, dass der Datenschutz für das Kleinstunternehmen gar nicht relevant sei! Sie müssten nichts unternehmen!

Dies  ist natürlich eine vollkommene falsche Aussage, bzw. schon eine Falschberatung.  Nach der DSGVO in Verbindung mit dem BDSG-neu hat auch ein Unternehmen  in Deutschland mit weniger als neun Personen, welche sich mit der  Verarbeitung von personenbezogenen Daten beschäftigen - egal mit oder ohne EDV - natürlich die Anforderungen der DSGVO und BDSG-neu zu erfüllen. Dazu gehört die Anfertigung von Verarbeitungsverzeichnis oder die Absicherung der IT. Auch die Rechte der Betroffenen müssen natürlich gesichert sein.
  
Hierzu hat auch z.B. die Ärztekammer bereits Stellung bezogen.
 
Datenschutz müssen alle Ärzte umsetzen, ab 10 Mitarbeiter (mit der Verarbeitung personenbezogener Daten) muss auch ein Datenschutzbeauftragter bestellt werden.
Das gilt für alle Betriebe im Gesundheitswesen.
  

Intessant im Datenschutz ist auch, wie es denn dazu aktuell in den Unternehmen im Gesundheitswesen aussieht?

Die Stiftung Warentest hatte dazu einmal einen Test durchgeführt - hier bei Ärzten.

Hierfür hat die Stiftung Warentest auf ihrer Webseite mehrere Artikel und ein Interwiew öffentlich bereitgestellt.



Die brennendste Frage ist - was muss man erfüllen?
 
Fangen wir zuerst einmal mit den wichtigsten Sofortmaßnahmen an:

  • es muss eine Datenschutzerklärung auf Basis der DSGVO/BDSG-neu erstellt werden
  • da  Cookies auch personenbezogene Daten darstellen, muss auch hier eine  Richtlinie erstellt werden oder dies in die Datenschutzerklärung  aufgenommen werden
  • nach Art. 37 DSGVO hat eine Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde zu erfolgen
  • auf der Webseite muss die Nennung des DSB ebenfalls erfolgen
  
Die Erfüllung dieser Sofortmaßnahmen  ist sehr wichtig, weil hier das Risiko von Abmahnungen besteht. Außerdem sind das Verstöße gegen die DSGVO, was Bußgelder kosten kann.
 
Damit aber ist nur der erste Schritt getan - das Unternehmen (ob Kleinst- oder Großunternehmen) muss alle Anforderungen  der DSGVO erfüllen. Hierzu gehören u.a. (keine vollständige Aufzählung):

  • Analyse der Verfahren, welche personenbezogene Daten verarbeiten. Dies ist die Grundlage für die nachfolgenden Schritte:
  • Erstellung Verzeichnis der Verarbeitungstätigkeiten
  • Ggf. Durchführung von Datenschutz-Folgeabschätzungen
  • Erarbeitung von technischen und organisatorischen Maßnahmen (TOM)
  • Erstellung Datensicherheitskonzept, Löschkonzept usw.
  • Umsetzung der Betroffenenrechte
  • Umsetzung von Meldepflichten
  • Umsetzung der Einwilligungsregeln
  • Umsetzung von Wirksamkeitsprüfungen (dies ist implizit in der DSGVO verlangt)
  • Regelung der Auftragsverarbeitungen
  • Erstellung von Datenschutzrichtlinien
  • Durchführung von Schulungen und Awareness
  • Dokumentation des Datenschutzes/Rechenschaftspflichten Aufbau von DS Prozesse wie zum Beispiel Meldeprozess für Datenschutzvorfälle an Aufsichtsbehörden

Hierzu eine wichtige Anmerkung, alles dies gehört zu den Aufgaben des Verantwortlichen - ein DSB erledigt diese Aufgaben grundsätzlich nicht.
Deshalb ist man gut beraten in Bezug auf die Marktangebote genau zu erfragen, was man denn für eine Leistung von dem externen DSB erhält.

WICHTIG: Das muss alles nachweisbar gemacht und vorhanden sein, da der Verantwortliche im Rahmen der Rechenschaftspflicht dies nachzuweisen hat!
Hier fallen einem dann die oftmals im Internet angebotenen Fragebogenaktionen zum Datenschutz auf, welche sich nur auf die Aufnahme der Datenstrukturen beziehen. Diese umfassen aber keine jährliche Überprüfung (Audit) von der EDV, keine  Wirksamkeitsprüfungen etc.

Und auch die Rückmeldung über vorgeschlagene Maßnahmen durch solche Dienstleister helfen den  Unternehmen meist wenig, denn diese wissen oft nicht wie dies denn nun umgesetzt werden muss!
 
Dann kommen Anforderungen für die Dienstleister hinzu - wie die Umsetzung der Anforderungen für Auftragsverarbeiter - zum Beispiel dem Dienstleister für die EDV.
Auch hier lauern Tücken - manche EDV Dienstleister bieten sich jetzt auch als externer Datenschutzbeauftragter an? Hier ist aber die Unabhängigkeit des DSB zu wahren und dies ist oftmals in solchen Konstellationen nicht mehr gewährleistet. Denn der EDV-Dienstleister überprüft ja dann seine eigene Leistung.

Letztendlich  wird der (hoffentlich schon bestellte) DSB spätestens am 25. Mai  2018 auf den Verantwortlichen zukommen sein und diesem mittgeteilt haben, dass sein Unternehmen die DSGVO erfüllt oder eben nicht. Das muss er tun, denn  sonst befindet sich der DSB in der Haftungsfalle. Egal ob interner oder externer DSB!

Denn der DSB ist nicht verantwortlich für die Umsetzung der Anforderungen, sondern nur, dass er den Verantwortlichen über die Missstände  unterrichtet!

Im schlimmsten Fall, wenn gar nichts passiert und der Datenschutz eine große Gefahr  darstellt, müsste er die Aufsichtsbehörde davon unterrichten.
..
Diese Seite wird betrieben von CONSUVATION GmbH

Zurück zum Seiteninhalt