Datenschutz in Arztpraxen: Ein Quick-Check

Ein Artikel von Datenschutzexperte.de
Zurück
24.03.2020

Datenschutz in Arztpraxen: Ein Quick-Check

 

 

Der Datenschutz ist in Arztpraxen besonders wichtig, da hier mit Gesundheitsdaten eine besonders sensible Kategorie personenbezogener Daten verarbeitet wird. Zugleich trägt ein guter Datenschutz dazu bei, die ärztliche Schweigepflicht einzuhalten. Wir geben einen Überblick darüber, worauf hier in Puncto Datenschutz zu achten ist.

 

Was sind personenbezogene Daten? Gemäß Art. 4 Nr. 1 DSGVO fallen unter den Begriff personenbezogene Daten alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als natürliche Personen werden alle Menschen Zeit ihres Lebens angesehen. Führen Daten zur theoretischen Identifizierung einer Person, dann handelt es sich bereits um personenbezogene Daten. Dabei ist es ausreichend, wenn die Daten (wie IP-Adresse oder Versichertennummer) die Identifizierung der betroffenen Person theoretisch ermöglichen und nicht, ob die Person tatsächlich identifiziert wird. 

Zu besonderen Kategorien personenbezogener Daten gehören nach Art. 9 Abs. 1 DSGVO Angaben zur Gesundheit. Patient*innendaten und die dort eingeschlossenen Gesundheitsdaten sind damit besonders schutzbedürftig – der Datenschutz in Arztpraxen muss daher besonders hoch sein. Zumal einige Verletzungen datenschutzrechtlicher Vorgaben oftmals ebenfalls eine Verletzung der ärztlichen Schweigepflicht bedeuten. 

Somit ist es unabdingbar, dass Arztpraxen datenschutztechnisch sicher aufgestellt sind. Vor allem in folgenden Bereichen fallen sensible Daten an:

  • Rezeption und Eingangsbereich
  • Wartezimmer
  • Behandlungsbereich
  • Verwaltung

 

Mit der folgenden Quick-Check-Liste können Sie sich einen Überblick verschaffen und ausloten, wie hoch der Datenschutz in Ihrer Arztpraxis ist und wo Nachbesserungsbedarf besteht.

  • Ist der Empfang / die Rezeption stets besetzt (auch während Raucher- oder Toilettenpausen) oder können Patient*innen die Praxis ungesehen betreten?
  • Gibt es Zugangskontrollen und Zugriffskontrollen (z.B. abgeschlossene Aktenschränke und ein Berechtigungssystem für die digitalen Akten)?
  • Können Patient*innen in die Bildschirme sehen oder sind diese blickgeschützt?
  • Haben Sie einen Diskretionsbereich oder stehen Wartende dicht beieinander?
  • Werden neue Patient*innen schriftlich über die Datenverarbeitung nach DSGVO aufgeklärt?
  • Werden Patient*innen im Eingangsbereich schriftlich über Ihre Betroffenenrechte aufgeklärt?
  • Können vertrauliche Gespräche von Wartezimmern oder von Behandlungsräumen aus mit angehört werden?
  • Bleiben vertrauliche Gespräche in den Behandlungsräumen oder können die Türen und Fenster nicht schalldicht verschlossen werden?
  • Sind sensible Daten (analog oder am Rechner) vor Zugriffen geschützt, wenn Patient*innen allein im Behandlungszimmer sind?
  • Werden Patient*innen niemals im Beisein anderer Patient*innen behandelt?

 

Natürlich ist auch in der Verwaltung und nach Praxisschluss der Datenschutz weiter zu beachten:

  • Werden nach Praxisschluss alle Computer gesperrt und Akten weggeschlossen?
  • Ist sichergestellt, dass das Reinigungspersonal keinen Zugang zu sensiblen Daten hat?
  • Sind alle Mitarbeiter*innen im Datenschutz und ihrer Schweigepflicht unterrichtet und werden regelmäßig geschult?
  • Sind Drucker, Faxgeräte, Postablagen und Aktenvernichter auf dem neusten technischen Stand und vor unbefugtem Zugriff sicher?

 

Ein in sich sehr weites Feld ist die IT. Hier gelten nicht nur im Zuge der technischen und organisatorischen Maßnahmen (TOMs) viele Dinge, die nicht nur im Datenschutz, sondern sehr grundsätzlich im Umgang mit Informationstechnik zu empfehlen sind:

  • Wird für sensible Patient*innendaten nur geschäftliche, keine private Hardware verwendet?
  • Werden Zugangskontrollen mittels personalisierter Zugänge und stets aktueller Passwörter durchgeführt und Änderungen in Akten protokolliert?
  • Werden regelmäßig Sicherheitskopien gemacht (Hinweis: eine Sicherheitskopie liegt erst dann vor, wenn die Kopie technisch und physisch vom Ursprungssystem getrennt ist)?
  • Sind die Computer, die benutzte Software, die Firewalls und Virenscanner auf dem neusten Stand?
  • Werden Daten, wo möglich, verschlüsselt?
  • Ist das verwendete WLAN ausreichend gesichert?
  • Gibt es eine Löschpolitik in der Praxis?
  • Gibt es für den Fall einer Datenschutzverletzung einen Notfallplan?

 

Überdies ist es im Umgang mit Patient*innen wichtig, dass diese darüber informiert werden, dass sie jederzeit die Löschung ihrer Daten verlangen können, soweit dem keine gesetzliche Aufbewahrungspflicht entgegen steht. Hierfür braucht es in der Praxis eine stringente Löschpolitik. Diese greift auch, wenn die Aufbewahrungsfristen für Daten verstrichen sind. Zu beachten ist hierbei zudem, dass physische Datenträger ordnungsgemäß entsorgt werden.

 

 

Sie möchten mehr über das Thema Datenschutz erfahren?

Besuchen Sie doch die Seite unseres Partners und holen sich weitere Informationen, klicken Sie hierfür einfach auf das Logo der Datenschutzexperten.