Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...
Transcript of Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutz in der
Zahnarztpraxis
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
1. Rechtsvorschriften
2. Verarbeitungsgrundsätze
3. Begriffsbestimmungen
4. Maßnahmen
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
1. Rechtsvorschriften
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechtsvorschriften
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Die DSGVO ist am 25.05.2016 in Kraft getreten und
ab dem 25.05.2018 anwendbar
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
2. Verarbeitungsgrundsätze
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Grundsätze der Datenverarbeitung nach DSGVO
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechtmäßigkeit
Recht auf informationelle Selbstbestimmung:
Der Umgang mit personenbezogenen Daten ist
verboten, sofern keine Erlaubnis vorliegt.
Konkreter:
Die Verarbeitung von …..Gesundheitsdaten ist
grundsätzlich untersagt, Art. 9 Abs. 1 DSGVO.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechtmäßigkeit, z.B.
-Verarbeitung ist zur Erfüllung eines Vertrages
erforderlich
- Verarbeitung ist zur Erfüllung rechtlicher
Verpflichtungen erforderlich
-Einwilligung des Betroffenen
-Auch: Schutz lebenswichtiger Interessen und
berechtigtes Interesse des Verantwortlichen
(Interessenabwägung erforderlich)
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechtmäßigkeit, z.B.
Die Verarbeitung von Gesundheitsdaten ist u.a.
zulässig im Bereich der Prävention, der Diagnose,
der direkten (zahn-)ärztlichen Behandlung sowie in
der Nachversorgung, Art. 9 Abs. 2 h.) DSGVO
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechtmäßigkeit, z.B.
- Die zahnärztliche Behandlung erfolgt in der
Regel aufgrund gesetzlicher Verpflichtung
(Versorgungsauftrag) und vertraglicher
Vereinbarung (Behandlungsvertrag), sodass
regelmäßig keine gesonderte Einwilligung für die
Datenverarbeitung erforderlich ist.
-Ausnahmen z.B.:
Aufnahme Recall, Nutzung von
Verrechnungsstellen u.ä.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Einwilligung bei Minder-jährigen
-Kommentar zu Art. 7 DSGVO:
Die Wirksamkeit einer Einwilligung setzt eine
entsprechende Einsichtsfähigkeit der betroffenen
Person voraus, die im Einzelfall zu beurteilen ist.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Transparenz
Der Betroffene ist umfassend über die
Datenerhebung zu informieren.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Zweckbindung
Daten dürfen nur für die Zwecke verwendet
werden, für die sie erhoben wurden.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenminimierung
Es dürfen nur Daten erhoben werden, die zur
Erreichung des Zweckes erforderlich sind.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Richtigkeit
Personenbezogene Daten müssen sachlich richtig
und erforderlichenfalls auf dem neuesten Stand
sein; es sind alle angemessenen Maßnahmen zu
treffen, damit personenbezogene Daten, die im
Hinblick auf die Zwecke ihrer Verarbeitung
unrichtig sind, unverzüglich gelöscht oder
berichtigt werden.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Speicherbegrenzung
Personenbezogene Daten müssen in einer Form
gespeichert werden, die die Identifizierung der
betroffenen Personen nur so lange ermöglicht, wie
es für die Zwecke, für die sie verarbeitet werden,
erforderlich ist.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise
verarbeitet werden, die eine angemessene
Sicherheit der personenbezogenen Daten
gewährleistet, einschließlich Schutz vor unbefugter
oder unrechtmäßiger Verarbeitung und vor
unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung
durch geeignete technische und organisatorische
Maßnahmen.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Rechenschaftspflicht (neu)
Beweislastumkehr:
Der Verantwortliche ist für die Einhaltung der
vorgenannten Verpflichtungen verantwortlich und
muss deren Einhaltung nachweisen können.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Bußgelder (neu)
Abhängig von der Art des Verstoßes
bis zu 20.000.000 Euro bzw. bis zu 4% des
Jahresumsatzes.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
3. Begriffsbestimmungen
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Adressat DSGVO
Jeder, der außerhalb des rein privaten Bereichs
mit personenbezogenen Daten umgeht, z.B.:
Unternehmen (Arzt- und Zahnarztpraxen)
Verbände (ZÄK)
Vereine
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Adressat DSGVO
Gilt nicht bei Verarbeitung rein persönlicher,
familiärer Daten durch natürliche Personen
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte
oder identifzierbare natürliche Person beziehen,
z.B. Namen, Geburtsdaten, Adresse,
Familienstand, Gesundheitsdaten etc.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Verarbeitung
Jeder mit oder ohne Hilfe automatisierter Verfahren
ausgeführter Vorgang im Zusammenhang mit
personenbezogenen Daten wie das Erheben, das
Erfassen, die Organisation, das Ordnen, die
Speicherung, die Anpassung oder Veränderung,
das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder
eine andere Form der Bereitstellung, den Abgleich
oder die Verknüpfung, die Einschränkung, das
Löschen oder die Vernichtung
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Verantwortlicher
Die natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die allein oder
gemeinsam mit anderen über die Zwecke und
Mittel der Verarbeitung von personenbezogenen
Daten entscheidet.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Auftragsverarbeitung
Verarbeitung personenbezogener Daten durch
eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle im Auftrag des
Verantwortlichen, z.B.
-Zahntechniker (str.),
-Steuerberater,
-IT-Betreuer.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
4. Maßnahmen (Was ist zu
tun?)
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
www.zaekmv.de/zahnaerzte/praxisfuehrung/datenschutz/
- Meldung von Datenschutzverstößen innerhalb von
72 Stunden an Landesdatenschutzbeauftragten
- Aufstellung interner Datenschutzrichtlinien
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Erstellung eines Verarbeitungsverzeichnisses
Für jedes Datenverarbeitungsverfahren ist ein
Verzeichnis von Verarbeitungstätigkeiten zu
erstellen, wenn
……
die Verarbeitung besondere Datenkategorien
gemäß Art. 9 Abs. 1 DSGVO einschließt
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Erstellung eines Verarbeitungsverzeichnisses
Verfahren sind z.B.:
Führung von Patientenakten
Terminverwaltung
Honorarabrechnung
Forderungsdurchsetzung
Patientenrecall
Buchhaltung
Lohnbuchhaltung
Führung der Personalakte etc.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Erstellung eines Verarbeitungsverzeichnisses
Notwendiger Inhalt:
-Name und Kontaktdaten der Praxis
-Namen und Kontaktdaten eines DB
-Zweck der Datenverarbeitung
-Art der betroffenen Personen (Patient, Mitarbeiter,
Lieferant)
-Art der verarbeiteten Daten (Gesundheitsdaten,
Arbeitsvertragsdaten etc.)
-Mögliche Empfänger übermittelter Daten (KZV,
Verrechnungsstellen, Krankenkassen)
-Maßnahmen der Datensicherheit
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Erstellung eines Verarbeitungsverzeichnisses
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
GAP Analyse
Suche nach Datenschutzlücken
-Rechtmäßigkeit
-Datensparsamkeit
-Datenrichtigkeit
-Löschfristen
-Zugriffsrechte
-Zugangskontrolle
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datensicherheit
Technische und organisatorische Maßnahmen
-Verschlüsselung (Emails!!!)
-Pseudonymisierung (soweit möglich)
-Stabilität, d.h. Sicherstellung der Vertraulichkeit,
Verfügbarkeit etc.
-Wiederherstellbarkeit (Schutz vor Datenverlust)
-Regelmäßige Überpüfung
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Auftragsvereinbarungen
Werden personenbezogene Daten von anderen
natürlichen oder juristischen Personen bearbeitet,
ist der Auftragsverarbeiter zur Einhaltung
datenschutzrechtlicher Bestimmungen zu
verpflichten.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Auftragsvereinbarungen
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzinformation
Betroffenenrechte:
- Informationspflicht bei Erhebung von Daten
- Informationspflicht, wenn Daten nicht bei
Betroffenen erhoben wurden
- Auskunftsrecht (Ob und Umfang der
Datenerhebung)
- Recht auf Berichtigung, Löschung, Widerspruch,
Einschränkung und Übertragbarkeit
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzinformation
Alle Informationen, die sich auf die Verarbeitung
beziehen, sind in präziser, transparenter,
verständlicher und leicht zugänglicher Form
in einer klaren und einfachen Sprache zu
übermitteln; dies gilt insbesondere für
Informationen, die sich speziell an Kinder
richten.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzinformation
- Allgemeine Hinweise für jeden Patienten und
Mitarbeiter
- Allgemeine Hinweise auf Websites
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzinformation. Inhalt:
-Name und Kontaktdaten der Praxis
-Name und Kontaktdaten des DB
-Art der verarbeiteten Daten
-Zweck der Datenverarbeitung
-Art betroffener Personen
-Mögliche Datenempfänger
-Löschfristen
-Datenschutzrechtliche Ansprüche d. Betroffenen
-Widerrufsrecht
-Beschwerderecht
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzinformation.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzfolgenabschätzung
Die Datenschutzfolgenabschätzung dient der Bewertung
von hohen Risiken im Zusammenhang mit
Datenverarbeitungsvorgängen. Bei der Verarbeitung von
Gesundheitsdaten geht der Gesetzgeber grundsätzlich von
einem abstrakten Risiko für die Rechte und Freiheiten der
Patienten aus, wenn sie umfangreich sind. In der Regel
wird in einer Zahnarztpraxis keine Datenschutzfolgen-
abschätzung erforderlich sein. Besondere Umstände
könnten diese allerdings erforderlich machen (Verwendung
einer Cloud oder von Gesundheitsapps, Teilnahme an
Netzwerken etc.)
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Datenschutzfolgenabschätzung
„Eine besondere Form der Dokumentation verlangt in
bestimmten Fällen die Datenschutz-Folgenabschätzung. Eine
Datenschutz-Folgenabschätzung kann bei einer umfangreichen
Verarbeitung von Gesundheitsdaten erforderlich sein.
Verarbeiten in einer Praxis weniger als 10 Personen
personenbezogene Daten (Mitarbeiter und Ärzte), wird in
der Regel nicht von einer umfangreichen Verarbeitung von
Gesundheitsdaten auszugehen sein. Allerdings können auch
andere Risikofaktoren, wie beispielsweise die Speicherung von
Patientendaten in einer Cloud, die Einbindung von
Gesundheitsapps, die Übermittlung von Gesundheitsdaten in
Drittstaaten im Rahmen von Forschungsvorhaben oder die
Teilnahme an Gesundheitsnetzwerken eine Datenschutz-
Folgenabschätzung erforderlich machen. „
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Bestellung eines Datenschutzbeauftragten?
Erforderlich, wenn mindestens 10 Personen in der
Praxis regelmäßig mit der automatisierten
Datenverarbeitung beschäftigt (d.h. befasst) sind.
Praxisinhaber sind zu berücksichtigen.
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Bestellung eines Datenschutzbeauftragten?
- Extern oder intern?
- Mitteilung an Landesdatenschutzbehörde
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Bestellung eines Datenschutzbeauftragten?
Aufgaben:
- Praxisleitung unterstellt, aber nicht
weisungsgebunden
- Überwachung der Datenverarbeitungsprozesse
- Beratung und Schulung
- Kontakt zur Datenschutzbehörde
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Bestellung eines Datenschutzbeauftragten?
Rechtsanwalt Peter Ihle
Hauptgeschäftsführer der ZÄK M-V
Sonstige Maßnahmen
- Meldung von Datenschutzverstößen innerhalb von
72 Stunden an Landesdatenschutzbeauftragten
- Aufstellung interner Datenschutzrichtlinien
Selbstcheck
- https://www.datenschutzzentrum.de/uploads/medi
zin/arztpraxis/171101_Selbst_Check.pdf