Aktuelle Gesetzeslage: Datenschutz in Kliniken
Professionelle Services rund um DSGVO und BDSG-neu
Die Datenschutz-Grund-Verordnung (DSGVO) gilt für alle Krankenhäuser und Kliniken seit dem 25.05.2018, ebenso das neue Bundesdatenschutzgesetz (BDSG-neu). Doch in Deutschland gibt es gesetzliche Bestimmungen zum Datenschutz schon seit 40 Jahren. Neue Gesetze bleiben nicht aus – so tritt das Patientendatenschutzgesetz am dem 01.01.2021 in Kraft!
Das Patientendatenschutzgesetz
Mit dem Patientendatenschutzgesetz werden digitale Angebote wie das E-Rezept oder die elektronische Patientenakte nutzbar – und sensible Gesundheitsdaten gleichzeitig bestmöglich geschützt. Mit einer neuen App können Versicherte E-Rezepte künftig in einer Apotheke ihrer Wahl einlösen. Facharzt-Überweisungen lassen sich digital übermitteln. Und Patienten bekommen ein Recht darauf, dass der Arzt ihre elektronische Patientenakte (ePA) befüllt. Darin lassen sich ab 2022 auch der Impfausweis, der Mutterpass, das gelbe U-Heft für Kinder und das Zahn-Bonusheft speichern.
Datenschutz in Kliniken: Was ist zu tun?
Alle Unternehmen, die mehr als 19 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, haben zwingend einen Datenschutzbeauftragten zu bestellen (§ 38 BDSG).
Für Krankenhäuser und Kliniken gilt dies unabhängig von der Zahl der Mitarbeiter generell gem. § 51 Landeskrankenhausgesetz (LKHG).
Welche wichtigen Punkte sind nach der DSGVO umzusetzen?
- Aufbau einer Datenschutzstruktur und Datenschutzstrategie
- Bestellung eines internen/externen Datenschutzbeauftragten
- Prüfen, welche Gesetze gelten (BDSG, LDSG, LKHG), gibt es MVZ's?
- Erstellen einer Datenschutzordnung/Datenschutzrichtlinie: die Bedeutung des Datenschutzes seitens der Leitungsebene muß klar nachweisbar formuliert sein
- Aufbau Dokumentation und Datenschutzmanagement
- Aufbau eines Verarbeitungsverzeichnisses: alle Verarbeitungen in der Klinik/im Krankenhaus müssen gelistet sein
- Risiko- und Schutzbedarfsermittlung Datenschutzfolgenabschätzung: besonders wichtig, weil in Kliniken und Krankenhäusern besonders viele besondere Arten von personenbezogenen Daten verarbeite werden
- Datenschutz durch Technikgestaltung (Privacy by Design)
- Datenschutz durch Voreinstellung einrichten (Privacy by Default) (Datenschutz durch datenschutzfreundliche Voreinstellungen
- Technisch-Organisatorische Maßnahmen: erstellen und jährlich überprüfen, z. B. Protokollierung beim Krankenhausinformationssystem (KIS), Berechtigungskonzept Krankenstationen, Archivsystem (z. B. Hydmedia), E-Rezepte, elektronische Patientenakte
- Gestaltung der Verträge mit den Auftragsverarbeitern, z. B. Entsorger von Patientenakten
- Schulungen Datenschutz und Datensicherheit für Ärzte und klinisches Personal, über Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO und Rechtsgrundlagen gem. Art. 6 DSGVO vermitteln; spezielle Schulungen für Betriebsräte, Personal, Marketing
- IT-Sicherheitskonzept sowie Richtlinien und Anweisungen und Informationssicherheitsprozesse aufbauen, z. B. Fax zur Übermittlung sensibler Patientendaten, Einsatz von Exchange Server
- Dokumentation und Meldung von Datenschutzvorfällen
- Internetauftritt prüfen: Impressum, Datenschutzerklärung
- Automatisierte Einzelentscheidungen und Profiling prüfen, soweit vorhanden
- Betriebsanweisungen/Betriebsvereinbarungen prüfen, anpassen, erarbeiten
- Mitarbeiterverpflichtungen prüfen, anpassen, erstellen und dokumentieren
- Sicherstellung der Betroffenenrechte
- Maßnahmen zur Handhabung von Datenschutzverletzungen einführen
- Videoüberwachung prüfen
- Informations- und Auskunftsprozeß einrichten
- Datentransfer in andere Länder prüfen
- Einwilligungen prüfen, z. B. beim Thema Arztbriefschreibung und Behandlungsvertrag
Verstoß gegen Datenschutzvorschriften: Was droht bei Nicht-Umsetzung?
Der Bußgeldrahmen hat sich mit der DSGVO massiv verändert: es drohen bei Nichteinhaltung der Vorschriften Bußgelder bis zu 20 Mio. Euro, oder bis maximal 4 % des weltweit erzielten Umsatz eines Unternehmens, falls dies einen höheren Betrag ergibt!