Datenschutz und IT

Mit der europäischen Datenschutz-Grundverordnung (DSGVO wurden die datenschutzrechtlichen Regelungen in Europa vereinheitlicht. Weil insbesondere die Rechte der Patienten an ihren Daten gestärkt wurden, müssen Arztpraxen, Krankenhäuser, Pflegeeinrichtungen, Heilmittelerbringer und viele weitere Einrichtungen des Gesundheitswesens nun besonders aufpassen.

Mit DSGVO steigen Anforderungen an Datenschutz im Gesundheitswesen

Die Digitalisierung schreitet immer weiter fort und mit ihr steigen auch im Gesundheitswesen die Anforderungen an den Datenschutz. Nach dem IT-Sicherheitsgesetz (Inkrafttreten Juli 2015) und dem E-Health-Gesetz (Inkrafttreten Januar 2016) ist nun die DSGVO hinzugekommen, die insbesondere die Rechte der Patienten stärkt. 

Deshalb sind für das Gesundheitswesen die Regelungen zum Umgang mit Patientendaten/Medizindaten, die der Gesetzgeber als besonders schützenswert erachtet, entscheidend. Für Einrichtungen des Gesundheitswesens bedeutet das eine gesteigerte Sorgfaltspflicht bei der Verarbeitung von personenbezogenen Daten.

Jeder Mitarbeiter im Gesundheitswesen, der mit solchen Daten agiert, muss demnach zwingend die Neuerungen der DSGVO kennen und umsetzen können. Alle Anforderungen sind im „Mitarbeiter-Merkblatt Datenschutz und Schweigepflicht im Gesundheitswesen“ zu finden. Mit diesem Merkblatt, das direkt an die Mitarbeiter ausgehändigt werden kann, weiß das Personal genau, welche Informationen an Patienten und Versicherungsträger herausgegeben werden dürfen.

Wichtige Themen der DSGVO für das Gesundheitswesen

Im Umgang mit geheimen Patientendaten sollten insbesondere folgende Regelungen der DSGVO beachtet werden: 

  • Erlaubnisvorbehalt: Bevor Patientendaten verarbeitet werden können, muss der Patient in die Verarbeitung für einen oder mehrere Zwecke einwilligen. Ansonsten ist die Verarbeitung der Daten gemäß Art. 6 DSGVO rechtsunwirksam. Die Zustimmung sollten Einrichtungen des Gesundheitswesens beweispflichtig dokumentieren. Außerdem muss der Patient erfahren, auf welcher Rechtsgrundlage seine Daten verarbeitet werden und wie lange diese gespeichert werden. 
  • Datenübertragung: Die DSGVO, Art. 20, gibt dem Patienten das Recht, die Herausgabe der über ihn vorhandenen Daten in Form eines üblichen Datenformats zu verlangen. Spätestens beim Arztwechsel wird diese Regelung relevant. Zur Vereinfachung kann der Patient auch erwirken, dass seine Daten von einem Verantwortlichen zu einem anderen übermittelt werden. 
  • Auftragsverarbeitung: Einrichtungen des Gesundheitswesens sollten ihre Zusammenarbeit mit externen Partnern unter die Lupe nehmen und die vorhandenen Verträge mit den Partnern prüfen. Im selben Zuge sollten die Verfahrensverzeichnisse auf ihre Vollständigkeit überprüft werden (Art. 30 DSGVO). 
  • Meldung: Neu ist, dass sowohl der Patient als auch die Aufsichtsbehörde über schwere Datenschutzverstöße informiert werden müssen (Art. 33 und 34 DSGVO). Es sollte vorab festgelegt werden, was in diesem Fall konkret zu tun ist und wie ein gemeinschaftliches Kommunikationskonzept aussehen könnte. 
  • IT-Sicherheitskonzept: Um die Anforderungen an die Datensicherheit erfüllen zu können, müssen Einrichtungen des Gesundheitswesens ihre Prozesse überdenken und ein IT-Sicherheitskonzept erarbeiten. Außerdem soll künftig bei neuen Verfahren eine Risiko- und Folgeabschätzung von Datenschutzverletzungen durchgeführt werden. 

Neben dieser Auswahl müssen natürlich auch die restlichen Regelungen wie z. B. das Widerspruchsrecht oder das Recht auf Vergessenwerden berücksichtigt werden. Alle Vorschriften der DSGVO für das Gesundheitswesen sind außerdem auf der „PRAXIS-DVD Datenschutz und IT-Sicherheit im Gesundheitswesen“ enthalten. Mit dieser DVD werden Mitarbeiter ohne großen Vorbereitungsaufwand unterwiesen.  

Quelle: DSGVO

War der Artikel hilfreich?
finde ich gut 2