Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...

Rechtsanwalt Peter Ihle

Hauptgeschäftsführer der ZÄK M-V

Datenschutz in der

Zahnarztpraxis



1. Rechtsvorschriften

2. Verarbeitungsgrundsätze

3. Begriffsbestimmungen

4. Maßnahmen



1. Rechtsvorschriften



Rechtsvorschriften



Die DSGVO ist am 25.05.2016 in Kraft getreten und

ab dem 25.05.2018 anwendbar



2. Verarbeitungsgrundsätze



Grundsätze der Datenverarbeitung nach DSGVO



Rechtmäßigkeit

Recht auf informationelle Selbstbestimmung:

Der Umgang mit personenbezogenen Daten ist

verboten, sofern keine Erlaubnis vorliegt.

Konkreter:

Die Verarbeitung von …..Gesundheitsdaten ist

grundsätzlich untersagt, Art. 9 Abs. 1 DSGVO.



Rechtmäßigkeit, z.B.

-Verarbeitung ist zur Erfüllung eines Vertrages

erforderlich

- Verarbeitung ist zur Erfüllung rechtlicher

Verpflichtungen erforderlich

-Einwilligung des Betroffenen

-Auch: Schutz lebenswichtiger Interessen und

berechtigtes Interesse des Verantwortlichen

(Interessenabwägung erforderlich)




Die Verarbeitung von Gesundheitsdaten ist u.a.

zulässig im Bereich der Prävention, der Diagnose,

der direkten (zahn-)ärztlichen Behandlung sowie in

der Nachversorgung, Art. 9 Abs. 2 h.) DSGVO




- Die zahnärztliche Behandlung erfolgt in der

Regel aufgrund gesetzlicher Verpflichtung

(Versorgungsauftrag) und vertraglicher

Vereinbarung (Behandlungsvertrag), sodass

regelmäßig keine gesonderte Einwilligung für die

Datenverarbeitung erforderlich ist.

-Ausnahmen z.B.:

Aufnahme Recall, Nutzung von

Verrechnungsstellen u.ä.



Einwilligung bei Minder-jährigen

-Kommentar zu Art. 7 DSGVO:

Die Wirksamkeit einer Einwilligung setzt eine

entsprechende Einsichtsfähigkeit der betroffenen

Person voraus, die im Einzelfall zu beurteilen ist.



Transparenz

Der Betroffene ist umfassend über die

Datenerhebung zu informieren.



Zweckbindung

Daten dürfen nur für die Zwecke verwendet

werden, für die sie erhoben wurden.



Datenminimierung

Es dürfen nur Daten erhoben werden, die zur

Erreichung des Zweckes erforderlich sind.



Richtigkeit

Personenbezogene Daten müssen sachlich richtig

und erforderlichenfalls auf dem neuesten Stand

sein; es sind alle angemessenen Maßnahmen zu

treffen, damit personenbezogene Daten, die im

Hinblick auf die Zwecke ihrer Verarbeitung

unrichtig sind, unverzüglich gelöscht oder

berichtigt werden.



Speicherbegrenzung

Personenbezogene Daten müssen in einer Form

gespeichert werden, die die Identifizierung der

betroffenen Personen nur so lange ermöglicht, wie

es für die Zwecke, für die sie verarbeitet werden,

erforderlich ist.



Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise

verarbeitet werden, die eine angemessene

Sicherheit der personenbezogenen Daten

gewährleistet, einschließlich Schutz vor unbefugter

oder unrechtmäßiger Verarbeitung und vor

unbeabsichtigtem Verlust, unbeabsichtigter

Zerstörung oder unbeabsichtigter Schädigung

durch geeignete technische und organisatorische

Maßnahmen.



Rechenschaftspflicht (neu)

Beweislastumkehr:

Der Verantwortliche ist für die Einhaltung der

vorgenannten Verpflichtungen verantwortlich und

muss deren Einhaltung nachweisen können.



Bußgelder (neu)

Abhängig von der Art des Verstoßes

bis zu 20.000.000 Euro bzw. bis zu 4% des

Jahresumsatzes.



3. Begriffsbestimmungen



Adressat DSGVO

Jeder, der außerhalb des rein privaten Bereichs

mit personenbezogenen Daten umgeht, z.B.:

Unternehmen (Arzt- und Zahnarztpraxen)

Verbände (ZÄK)

Vereine



Adressat DSGVO

Gilt nicht bei Verarbeitung rein persönlicher,

familiärer Daten durch natürliche Personen



Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte

oder identifzierbare natürliche Person beziehen,

z.B. Namen, Geburtsdaten, Adresse,

Familienstand, Gesundheitsdaten etc.



Verarbeitung

Jeder mit oder ohne Hilfe automatisierter Verfahren

ausgeführter Vorgang im Zusammenhang mit

personenbezogenen Daten wie das Erheben, das

Erfassen, die Organisation, das Ordnen, die

Speicherung, die Anpassung oder Veränderung,

das Auslesen, das Abfragen, die Verwendung, die

Offenlegung durch Übermittlung, Verbreitung oder

eine andere Form der Bereitstellung, den Abgleich

oder die Verknüpfung, die Einschränkung, das

Löschen oder die Vernichtung



Verantwortlicher

Die natürliche oder juristische Person, Behörde,

Einrichtung oder andere Stelle, die allein oder

gemeinsam mit anderen über die Zwecke und

Mittel der Verarbeitung von personenbezogenen

Daten entscheidet.



Auftragsverarbeitung

Verarbeitung personenbezogener Daten durch

eine natürliche oder juristische Person, Behörde,

Einrichtung oder andere Stelle im Auftrag des

Verantwortlichen, z.B.

-Zahntechniker (str.),

-Steuerberater,

-IT-Betreuer.



4. Maßnahmen (Was ist zu

tun?)



www.zaekmv.de/zahnaerzte/praxisfuehrung/datenschutz/

- Meldung von Datenschutzverstößen innerhalb von

72 Stunden an Landesdatenschutzbeauftragten

- Aufstellung interner Datenschutzrichtlinien



Erstellung eines Verarbeitungsverzeichnisses

Für jedes Datenverarbeitungsverfahren ist ein

Verzeichnis von Verarbeitungstätigkeiten zu

erstellen, wenn

……

die Verarbeitung besondere Datenkategorien

gemäß Art. 9 Abs. 1 DSGVO einschließt




Verfahren sind z.B.:

Führung von Patientenakten

Terminverwaltung

Honorarabrechnung

Forderungsdurchsetzung

Patientenrecall

Buchhaltung

Lohnbuchhaltung

Führung der Personalakte etc.




Notwendiger Inhalt:

-Name und Kontaktdaten der Praxis

-Namen und Kontaktdaten eines DB

-Zweck der Datenverarbeitung

-Art der betroffenen Personen (Patient, Mitarbeiter,

Lieferant)

-Art der verarbeiteten Daten (Gesundheitsdaten,

Arbeitsvertragsdaten etc.)

-Mögliche Empfänger übermittelter Daten (KZV,

Verrechnungsstellen, Krankenkassen)

-Maßnahmen der Datensicherheit



GAP Analyse

Suche nach Datenschutzlücken

-Rechtmäßigkeit

-Datensparsamkeit

-Datenrichtigkeit

-Löschfristen

-Zugriffsrechte

-Zugangskontrolle



Datensicherheit

Technische und organisatorische Maßnahmen

-Verschlüsselung (Emails!!!)

-Pseudonymisierung (soweit möglich)

-Stabilität, d.h. Sicherstellung der Vertraulichkeit,

Verfügbarkeit etc.

-Wiederherstellbarkeit (Schutz vor Datenverlust)

-Regelmäßige Überpüfung



Auftragsvereinbarungen

Werden personenbezogene Daten von anderen

natürlichen oder juristischen Personen bearbeitet,

ist der Auftragsverarbeiter zur Einhaltung

datenschutzrechtlicher Bestimmungen zu

verpflichten.



Auftragsvereinbarungen



Datenschutzinformation

Betroffenenrechte:

- Informationspflicht bei Erhebung von Daten

- Informationspflicht, wenn Daten nicht bei

Betroffenen erhoben wurden

- Auskunftsrecht (Ob und Umfang der

Datenerhebung)

- Recht auf Berichtigung, Löschung, Widerspruch,

Einschränkung und Übertragbarkeit




Alle Informationen, die sich auf die Verarbeitung

beziehen, sind in präziser, transparenter,

verständlicher und leicht zugänglicher Form

in einer klaren und einfachen Sprache zu

übermitteln; dies gilt insbesondere für

Informationen, die sich speziell an Kinder

richten.




- Allgemeine Hinweise für jeden Patienten und

Mitarbeiter

- Allgemeine Hinweise auf Websites



Datenschutzinformation. Inhalt:

-Name und Kontaktdaten der Praxis

-Name und Kontaktdaten des DB

-Art der verarbeiteten Daten

-Zweck der Datenverarbeitung

-Art betroffener Personen

-Mögliche Datenempfänger

-Löschfristen

-Datenschutzrechtliche Ansprüche d. Betroffenen

-Widerrufsrecht

-Beschwerderecht



Datenschutzinformation.



Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung dient der Bewertung

von hohen Risiken im Zusammenhang mit

Datenverarbeitungsvorgängen. Bei der Verarbeitung von

Gesundheitsdaten geht der Gesetzgeber grundsätzlich von

einem abstrakten Risiko für die Rechte und Freiheiten der

Patienten aus, wenn sie umfangreich sind. In der Regel

wird in einer Zahnarztpraxis keine Datenschutzfolgen-

abschätzung erforderlich sein. Besondere Umstände

könnten diese allerdings erforderlich machen (Verwendung

einer Cloud oder von Gesundheitsapps, Teilnahme an

Netzwerken etc.)



Datenschutzfolgenabschätzung

„Eine besondere Form der Dokumentation verlangt in

bestimmten Fällen die Datenschutz-Folgenabschätzung. Eine

Datenschutz-Folgenabschätzung kann bei einer umfangreichen

Verarbeitung von Gesundheitsdaten erforderlich sein.

Verarbeiten in einer Praxis weniger als 10 Personen

personenbezogene Daten (Mitarbeiter und Ärzte), wird in

der Regel nicht von einer umfangreichen Verarbeitung von

Gesundheitsdaten auszugehen sein. Allerdings können auch

andere Risikofaktoren, wie beispielsweise die Speicherung von

Patientendaten in einer Cloud, die Einbindung von

Gesundheitsapps, die Übermittlung von Gesundheitsdaten in

Drittstaaten im Rahmen von Forschungsvorhaben oder die

Teilnahme an Gesundheitsnetzwerken eine Datenschutz-

Folgenabschätzung erforderlich machen. „



Bestellung eines Datenschutzbeauftragten?

Erforderlich, wenn mindestens 10 Personen in der

Praxis regelmäßig mit der automatisierten

Datenverarbeitung beschäftigt (d.h. befasst) sind.

Praxisinhaber sind zu berücksichtigen.




- Extern oder intern?

- Mitteilung an Landesdatenschutzbehörde




Aufgaben:

- Praxisleitung unterstellt, aber nicht

weisungsgebunden

- Überwachung der Datenverarbeitungsprozesse

- Beratung und Schulung

- Kontakt zur Datenschutzbehörde



Sonstige Maßnahmen

- Meldung von Datenschutzverstößen innerhalb von

72 Stunden an Landesdatenschutzbeauftragten

- Aufstellung interner Datenschutzrichtlinien

Selbstcheck

- https://www.datenschutzzentrum.de/uploads/medi

zin/arztpraxis/171101_Selbst_Check.pdf

Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...

Documents

Transcript of Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...