Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Neue Verordnung tritt Ende Mai in Kraft: Datenschutz in der Praxis prüfen

14.03.2018 KVNO aktuell, Praxisinfos

Am 25. Mai tritt die EU-Datenschutz-Grundverordnung in Kraft. Praxen sollten die wichtigsten Anforderungen vorher noch prüfen. Dabei hilft eine Checkliste, die die Kassenärztliche Bundesvereinigung erstellt hat.
Wie genau einzelne Regelungen anzuwenden sind, darüber streiten die Experten noch. Sicher ist: Niedergelassene Ärzte und Psychotherapeuten sollten sich mit den wichtigsten Punkten rund um den Datenschutz noch einmal beschäftigen, zumal nun bei Verstößen hohe Strafzahlungen drohen. Besonders der Umgang mit Patientendaten sollte den neuen Regelungen entsprechen.

Dies scheint nicht immer der Fall zu sein: „Datenübermittlungen an einweisende und koope­rierende Ärzte sind kein Tabu, ob mit oder ohne Einwilligung des Patien­ten, teils versandt mit unverschlüsselter E-Mail“, schreibt Dr. jur. Andreas Staufer in Ausgabe 4/2018 im Deutschen Ärzteblatt. Dies indes war und ist nicht zulässig.

Patientendaten schützen

Die neue Verordnung stärkt die Rechte von Privatpersonen, also Patientinnen und Patienten. Hier sind folgende Punkte wichtig:

  • Gesetzlich versicherte Patienten müssen in eine Datenverarbeitung einwilligen, die über die Verwendung der Daten zu Behandlungs- und Abrechnungszwecken hinaus geht. Die Einwilligung sollten Praxen sich schriftlich geben lassen. Wer Patienten zum Beispiel via E-Mail oder SMS an Termine erinnert, sollte hierfür zur Sicherheit eine separate Einwilligung unterzeichnen lassen.
  • Wer Daten im Rahmen einer Kooperation oder eines Netzes weitergibt, sollte die Patienten zustimmen lassen. Und wenn die Praxis etwa bei Privatversicherten die Abrechnung über einen externen Dienstleister laufen lässt, sollte sie auch hierfür beim Patienten eine eigene Einwilligungserklärung einholen.
  • Wer Daten zum Beispiel in einer Cloud ablegt, sollte prüfen, ob er diese Daten löschen kann, wenn Patienten dies wünschen. Denn dieses Recht räumt die neue Verordnung ihnen ein. Das gilt nicht für die Daten, die Praxen im Rahmen von Abrechnungs- und Dokumentationspflichten oder aus Haftpflichtgründen aufbewahren müssen.
  • Patienten haben nach Paragraf 20 der Verordnung das Recht, die sie betreffenden Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten ohne Medienbrüche an Dritte zu übermitteln. Wie das genau passieren soll? Das klärt die Verordnung nicht. Aber hier könnte künftig die Telematik-Infrastruktur eine Rolle spielen, die der Gesetzgeber mit dem E-Health-Gesetz gefordert hat und die derzeit aufgebaut wird (siehe den Beitrag auf Seite 2–5). Die Voraussetzungen für die ePatientenakte sollen nach dem Willen des Gesetzgebers bis Ende 2018 geschaffen werden.

Datenschutzbeauftragte für die Praxis

Unverändert gelten die Regelungen in Sachen Datenschutzbeauftragte. Doch wann muss überhaupt ein Datenschutzbeauftragter in der Arztpraxis bestellt werden? Auf diese Frage gibt es unterschiedliche Antworten. Die gängige Meinung besagt, dass dies erst notwendig wird, wenn in der Praxis mehr als neun Personen ständig personenbezogene Daten erheben, verarbeiten und nutzen.

Das Foto zeigt einen Finger, der auf eine Taste drückt, auf der Datenschutz steht.

Die Kassenärztliche Bundesvereinigung und die Bundesärztekammer haben vor dem Hintergrund der Vorgaben der EU-Datenschutzgrundverordnung die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ aktualisiert. Sie sind ebenso wie ein „Datenschutz-Check 2018“ im Internet abrufbar, darin sind auch verschiedene Mustertexte enthalten.

Da alle Gesundheitsdaten als besonders schützenswert einzustufen sind, sollten Ärzte abgesehen vom „Muss“ überlegen, ob nicht unabhängig von der Zahl der Beschäftigten grundsätzlich eine Person damit beauftragt wird, sich um den Datenschutz zu kümmern. Der Datenschutzbeauftragte kann ein Praxismitarbeiter, eine externe Person oder Stelle sein; er muss über die notwendige Fachkunde und Zuverlässigkeit verfügen.

Der Schutz der Patientendaten, besonders vor Verlust und Zerstörung, wird im Zuge der neuen Verordnung noch wichtiger. Virenscanner auf allen Rechnern sind ein absolutes Muss. Praxisrechner, die mit dem Internet verbunden sind, müssen über eine Firewall geschützt sein, die stets auf dem aktuellen Stand der Technik sein sollte. Das Praxispersonal sollte achtsam beim Umgang mit Internet und E-Mail sein, da die Zahl der Cyberattacken auf Praxen zunimmt. Ein elektronischer Austausch von Patientendaten mit anderen Praxen sollte nur über eine geschützte Verbindung stattfinden, beispielsweise KV-Connect.

Datensicherung prüfen

Sollte es trotz aller Maßnahmen zum Datenverlust beispielsweise aufgrund eines Cyberangriffs kommen, ist es wichtig, dass Praxen auf gesicherte Daten zurückgreifen können. Regelmäßige und zuverlässige Datensicherungen auf externen Medien sind die Voraussetzung dafür. Praxen sind künftig verpflichtet, Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an den Bundesdatenschutzbeauftragten zu melden.

Frank Naundorf

Update des KVNO-Portals: Checken Sie Ihre Webbrowser

Aus Sicherheitsgründen ist ab dem 1. August 2018 die Nutzung des KVNO-Portals und der Online-Abrechnung mit einigen älteren Webbrowsern und Betriebssystemen nicht mehr möglich. Bitte prüfen Sie daher, ob Sie für den Zugriff auf diese Dienste einen der folgenden Browser und eines der Betriebssysteme benutzen:

  • Browser: Internet Explorer (älter als Version 11), Firefox (älter als 27), Chrome (älter als 30) und Safari (älter als 7)
  • Betriebssysteme: Windows XP, Windows Vista und alle Versionen älter als Windows 7

Die genannten Browser und Betriebssysteme sollten Sie ersetzen. Am besten installieren Sie direkt einen neueren Browser, zum Beispiel Microsoft Internet Explorer 11 oder Edge oder die aktuellste Version von Firefox, Chrome oder Safari (unter dem Betriebssystem OS-X).

Im 3. Quartal 2018 passt die KV Nordrhein das KVNO-Portal an aktuelle Sicherheitsstandards an. Da die älteren Webbrowser aktuelle Verschlüsselungsprotokolle im Internet nicht mehr unterstützen, empfehlen wir, spätestens ab diesem Zeitpunkt Ihren Webbrowser und/oder Ihr Betriebssystem zu aktualisieren.

Bei Fragen wenden Sie sich bitte an unsere IT-Hotline:
Telefon 0211 5970 8500
E-Mail

 

Drucken
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Mehr Infos zum Datenschutz