In der Datenschutzgrundverordnung (DSGVO) werden die Rechte und die Pflichten rund um das Thema Datenschutz festgeschrieben.
Die Daten deiner Patientys gehören zu den laut dem Bundesdatenschutzgesetz (BDSG) besonders zu schützenden Personendaten.
lemniscus ist dieser Verantwortung gewachsen und stellt dir eine ausgeklügelte EDV-Infrastruktur zur Verfügung, die dir die Aufgabe erleichern soll, die Grundregeln des Datenschutzen zu erfüllen.
Denn als Therapeuty wird die Datenverarbeitung besonderer Personendaten automatisch zur Kerntätigkeit, da Therapeutys verpflichtet sind, eine Dokumentation über Patienty und Behandlung anzulegen.
Aktuell werden die Begriffe “Verarbeitung” und “Kerntätigkeit” auf der einen oder anderen Weise ausgelegt, sehr oft wird aber übersehen, dass für diese Begriffe Defintionen im DSGVO-Kontext gegeben sind.
Quelle: Art. 4 DSGVO Begriffsbestimmungen:
Im Sinne der DSGVO bezeichnet der Ausdruck Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
(...)
Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
Quelle: Richtlinien der Art. 29 WP der EU, Kerntätigkeit:
Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.
Gleichwohl sollte der Begriff „Kerntätigkeit“ nicht dahingehend interpretiert werden, dass sich dieser nicht auch auf Tätigkeiten erstreckte, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So besteht beispielsweise die Kerntätigkeit eines Krankenhauses darin, medizinische Versorgung zu leisten. Ohne dabei gesundheitsbezogenen Daten wie etwa Krankenakten von Patientys zu verarbeiten, wäre ein Krankenhaus nicht in der Lage, dies in sicherer und wirksamer Form zu tun. Daher ist die Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb selbige zur Benennung eines DSB verpflichtet sind.
Praxisinhabys sind für die Installation des Datenschutzes verantwortlich. Damit ist gemeint, dass sie kontinuierlich dafür Sorge zu tragen haben, dass die besonderen Daten der Patientys geschützt sind und es auch bleiben.
Technische und organisatorische Maßnahmen
Werden personenbezogene Daten in der Praxis verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Es sind, neben der in der DSGVO vorgeschriebenen Dokumentationspflichten, auch technisch organisatorische Maßnahmen (TOMs) zu erfüllen. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, darunter zum Beispiel:
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Mit lemniscus bekommst du den “Datenschutz aus der Cloud”: Wir bei lemniscus sind für die Umsetzung der vorgeschriebenen TOMs für die Daten verantwortlich, die bei uns abgelegt werden. lemniscus ist DSGVO-zertifiziert.
Um die Nutzung von lemniscus rechtssicher und datenschutzkonform zu gestalten, bist du gemäß DSGVO verpflichtet, eine sogenannte Auftragsdatenverarbeitungsvereinbarung (kurz ADV) mit lemniscus abzuschließen.
Du musst dich nicht um die Erstellung einer ADV kümmern, das haben wir für dich gemacht.
Eine ADV ermöglicht es dir, die administrativen Angelegenheiten, wie insbesondere deinen Kalender und Akten, über lemniscus auszulagern und dabei weiterhin die rechtliche Kontrolle über deine Daten zu behalten, so wie dies von § 11 BDSG vorgesehen ist.
Zu den Dokumentationspflichten des Therapeutys gehört die Führung eines Verzeichnisses der Verarbeitungstätigkeiten. In diesem Verzeichnis ist lemniscus eine Verarbeitungstätgkeit. Findet eine Verarbeitung der Daten “im Auftrag” statt - wie bei lemniscus - dann muss ein Auftragsverarbeitungsvertrag (AVV) zwischen Therapeuty und Dienstleisty abgeschlossen werden.
lemniscus Kundys bekommen von uns ein Auftragsverarbeitungsvertrag (AVV) geschickt, das nach der elektronischen Unterschrift ausgedruckt und zu den DSGVO Unterlagen gelegt werden sollte.
In der AVV wird der Gegenstand der AVV, Geltungsbereich, die Datenverarbeitung, die Rechte und Pflichten, Technische und Organisatorische Maßnahmen u.v.m. dokumentiert.
In dem Video wird der rechtliche Hintergrund zum Thema Auftragsdatenverarbeitung und Auftragsverarbeitungsvertrag erläutert
Nutze lemniscus 30 Tage, völlig unverbindlich und kostenlos. Überzeuge dich selbst von den vielen Vorteilen für deine Praxis. Die Testphase endet automatisch. Keine Sorge, deine Daten gehen nicht verloren, wenn du danach auf eine bezahlte Variante wechselst.