Transcription of INFORMATIONEN FÜR DIE PRAXIS - kbv.de
1 INFORMATIONEN F R DIE PRAXIS Datenschutz-Grundverordnung M rz 2018 Ab 25. Mai gelten neue Vorschriften beim Datenschutz: Was Praxen jetzt tun m ssen Mit Stichtag 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europ ischen Union. Ihre inhaltlichen Anforderungen hneln vielfach dem derzeit geltenden Recht. Gleichwohl bringt sie zus tzliche Pflichten auch f r Praxen mit sich. Zudem drohen bei Verst en gegen die Vorgaben des Da-tenschutzes deutlich h rtere Sanktionen. Was niedergelassene rzte und Psychotherapeuten jetzt tun m ssen, stellt diese Praxisinformation vor. Datenschutz wird noch wichtiger Schon jetzt m ssen rzte und Psychotherapeuten den Datenschutz wahren: gesetzliche Grundlagen sind insbesondere das SGB V und das Bundesda-tenschutzgesetz.
2 Nach der Datenschutz-Grundverordnung (DSGVO) sind sie k nftig auch verpflichtet nachzuweisen, dass sie die datenschutzrechtlichen Grunds tze einhalten, zum Beispiel gegen ber den Aufsichtsbeh rden. Au- erdem kommen neue Informationspflichten gegen ber den Patienten hinzu. Die DSGVO gilt f r den gesamten ffentlichen Bereich, also f r private Un-ternehmen, ffentliche Stellen, freiberuflich T tige oder Vereine. Sie verein-heitlicht die Regeln zur Verarbeitung personenbezogener Daten. Um diese Daten und ihren Schutz geht es Unter dem Begriff Verarbeiten werden alle T tigkeiten zusammengefasst wie Erheben und Abfragen, Ordnen, Speichern, Anpassen und ndern, Aus-lesen und Weiterleiten, L schen und Vernichten der Daten. In den Praxen beginnt dieser Prozess quasi bei der Terminvereinbarung am Telefon oder dem Einlesen der elektronischen Gesundheitskarte (eGK).
3 F r Praxen geht es insbesondere um den Schutz der: Patientendaten (Gesundheitsdaten), die sie f r die Behandlung der Patienten ob gesetzlich oder privat versichert ben tigen, zum Beispiel Name und Versicherungsnummer, Befunde, Blutwerte, R ntgenaufnahmen Personaldaten, die sie als Arbeitgeber von ihren Mitarbeitern ben ti-gen zum Beispiel Name, Adresse, Sozialversicherungsnummer Rein private Daten des Praxisinhabers, zum Beispiel die auf seinem Rechner gespeicherten Kontaktdaten von Familie und Freunden, unterliegen nicht der Datenschutz-Grundverordnung. Einhaltung des Datenschutzes muss nachgewiesen werden DSGVO gilt nicht nur f r Praxen Was die Verarbeitung von Daten alles umfasst Es geht um personenbezogene Daten INFORMATIONEN F R DIE PRAXIS - 2 - Thema: Datenschutz-Grundverordnung AUF EINEN BLICK: DAS IST IN PUNCTO DATENSCHUTZ JETZT ZU TUN Viele Praxen haben l ngst Vorkehrungen getroffen und die Einhaltung des Datenschutzes zur Chefsache erkl rt.
4 Jetzt geht es vor allem darum, die getroffenen Ma nahmen zu berpr fen und daf r zu sorgen, dass das Geta-ne in puncto Datenschutz ab 25. Mai auch belegt werden kann. So k nnen sie drohende Sanktionen vermeiden. Die folgende bersicht soll dabei helfen. Sie f hrt auf, was Praxen und Me-dizinische Versorgungszentren (MVZ) vorhalten m ssen, um der Informa-tions- und Nachweispflicht nach der DSGVO gerecht zu werden. Auf den nachfolgenden Seiten werden die Punkte n her erl utert. Nicht alles ist neu, sodass vorhandene Dokumente teilweise nur angepasst werden m ssen. Was Praxen und MVZ ab 25. Mai ben tigen Alle: Verzeichnis von Verarbeitungst tigkeiten, das die PRAXIS auf Verlan-gen der Aufsichtsbeh rde vorlegen kann Aufstellung der technischen und organisatorischen Ma nahmen, die die PRAXIS zum Schutz von personenbezogenen Daten ergreift Patienteninformation zum Datenschutz in der PRAXIS Vereinbarung zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern, wenn diese auf Patienten- oder Mitarbeiterda-ten zugreifen k nnen Gro e Praxen und gro e MVZ: Einen internen oder externen Datenschutzbeauftragten, wenn in der PRAXIS mindestens zehn Personen regelm ig personenbezogene Daten automatisiert verarbeiten, zum Beispiel am Empfang Dar ber hinaus kann dies erforderlich sein.
5 In seltenen F llen kann eine Datenschutz-Folgenabsch tzung n tig sein, zum Beispiel wenn gro e Mengen an personenbezogenen Da-ten verarbeitet oder die Praxisr ume systematisch video berwacht werden. Diese Praxen ben tigen unabh ngig von der Anzahl der Mit-arbeiter ebenfalls einen Datenschutzbeauftragten. Praxen, die mit Einwilligungserkl rungen des Patienten arbeiten, zum Beispiel bei der Weitergabe von Daten an eine privat rztliche Ver-rechnungsstelle, m ssen die Erkl rung um einen Hinweis auf Wider-rufbarkeit erg nzen. Praxen, die eine Internet- oder Facebook-Seite anbieten, sollten die Datenschutzerkl rung pr fen und gegebenenfalls anpassen; dies gilt ebenso, wenn personenbezogene Daten zum Beispiel ber Kontakt-formulare oder f r einen PRAXIS -Newsletter erfasst und gespeichert werden.
6 TIPP: Nutzen Sie die Checkliste Das ist in puncto Datenschutz zu tun : Nicht alle Praxen ben tigen alles bersicht Checkliste im Internet - 3 - Thema: Datenschutz-Grundverordnung HINWEISE UND EMPFEHLUNGEN ZUR UMSETZUNG Was Praxen und MVZ ab 25. Mai ben tigen auf den folgenden Seiten wer-den die einzelnen Punkte n her erl utert. Zudem gibt es Hinweise auf Mus-ter und weiterf hrende INFORMATIONEN , die die KBV im Internet bereitstellt. Verzeichnis von Verarbeitungst tigkeiten Praxen ben tigen ein Verzeichnis von Verarbeitungst tigkeiten. Darin wer-den T tigkeiten beziehungsweise Vorg nge erfasst, bei denen in der PRAXIS personenbezogene Daten verarbeitet werden. Die Aufstellung und Beschrei-bung der T tigkeiten ist auf Verlangen der Aufsichtsbeh rde bereitzustellen.
7 Liegt kein Verzeichnis vor, drohen Geldstrafen. Das ist zu tun Die KBV stellt f r das Verzeichnis ein Muster bereit, das Sie nutzen k nnen. Dazu gibt es ein Ausf llbeispiel mit zwei Verarbeitungst tigkeiten. So k nnen Sie vorgehen: Schritt 1: F r das Erstellen des Verzeichnisses sollten Sie zun chst berle-gen, wo berall in der PRAXIS personenbezogene Daten verarbeitet, also zum Beispiel erhoben, gespeichert, bearbeitet oder weitergeleitet, werden. Dabei bietet es sich an, T tigkeiten, die demselben Zweck dienen, zusammenzu-fassen. Eine T tigkeit, die in allen Praxen anfallen d rfte, ist die Nutzung des PRAXIS -verwaltungssystems zum Zwecke der rztlichen / psychotherapeutischen Dokumentation in der Patientenakte, der Qualit tssicherung, der Terminpla-nung und der Abrechnung.
8 Eine weitere T tigkeit ist beispielsweise das F h-ren von Personalakten, um Mitarbeiter besch ftigen zu k nnen. Schritt 2: Im n chsten Schritt f gen Sie zu jeder T tigkeit die in der DSGVO geforderten Angaben hinzu. Das sind: Zweck der Verarbeitung ( rztliche Dokumentation) betroffene Personengruppen ( Patienten, Besch ftigte) Datenkategorien ( Gesundheitsdaten, Personaldaten) Empf ngergruppen, gegen ber denen die personenbezogenen Da-ten offengelegt werden ( Krankenkassen, Kassen rztliche Verei-nigungen) Fristen f r die L schung ( zehn Jahre) Schritt 3: Geben Sie jetzt noch den Namen und die Kontaktdaten Ihrer PRAXIS und gegebenenfalls des Datenschutzbeauftragten an. Dazu f llen Sie die Felder auf der ersten Seite der Dokumentenvorlage aus. Pr fen Sie bei der Erstellung des Verzeichnisses auch, ob bestimmte Daten-verarbeitungsvorg nge ein besonders hohes Risiko bergen.
9 Dann k nnte unter Umst nden eine Datenschutz-Folgenabsch tzung n tig sein (s. S. 7). TIPP: Das Muster f r ein Verarbeitungsverzeichnis und das Ausf llbeispiel finden Sie hier: Die Details Verzeichnis muss Aufsichtsbeh rde auf Verlangen vorgelegt werden Muster mit Beispielen T tigkeiten, bei denen Daten verarbeitet werden, zusammenstellen Angaben zu den T tigkeiten Angaben zur PRAXIS - 4 - Thema: Datenschutz-Grundverordnung Aufstellung der Ma nahmen zum Datenschutz Praxen sind f r den Schutz personenbezogener Daten verantwortlich. Sie m ssen dazu geeignete technische und organisatorische Ma nahmen er-greifen und diese dokumentieren. So kennen alle Teammitglieder die Re-geln, und bei externen Kontrollen oder Anfragen kann der interne Daten-schutzplan vorgelegt werden.
10 Diese Ma nahmen zum Datenschutz geh ren dazu Die DSGVO macht keine konkreten Vorgaben, welche Ma nahmen im Ein-zelnen dokumentiert werden soll. Doch letztlich geht es darum, zu erfassen, welche Vorkehrungen die PRAXIS getroffen hat, um einen Missbrauch von personenbezogenen Daten zu verhindern. Auf diese Punkte kommt es ins-besondere an: Patientendaten werden niemals unverschl sselt ber das Internet versendet, beispielsweise per E-Mail. Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der PRAXIS auf Dateien und Ordner zugreifen kann. In den Praxisr umlichkeiten wird auf Diskretion geachtet: Die Anmel-dung sollte getrennt zum Wartebereich angeordnet sein. M glich ist auch, Patienten beispielsweise mit einem Schild darauf hinzuweisen, dass sie am Tresen Abstand halten sollen, wenn mehrere Personen dort warten.
