DSGVO - Was muss ich wirklich, wirklich tun?

am 09.02.2018 in News gepostet.

“Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach ‘akzeptieren’ klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individuellen Entscheidungen vertraut.” - Zeynep Tufekci

Zum 25. Mai 2018 ändert sich das Datenschutzrecht. Ab diesem Zeitpunkt gibt es in ganz Europa einen einheitlichen Rechtsstand.

In der Datenschutzgrundverordnung (DSGVO) werden die Rechte und die Pflichten rund um das Thema Datenschutz festgeschrieben.

  • Aus Sicht der Betroffenen (in unserem Fall der Patienten) ist die DSGVO ein willkommener Schritt in Richtung Datenschutz.

  • Aus Sicht der Betreiber, (hier der Therapeuten), ist die DSGVO ein weiterer Schritt aus der Komfortzone: wir dürfen uns mehr als nur Gedanken über den Umgang mit den Daten machen und Verantwortung für den Schutz der Patientendaten übernehmen.

Und das ist gut so.

Was bedeutet das für Praxisinhaber in Deutschland?

Sicherlich hat jeder schon hier und dort ein wenig aufgeschnappt: teilweise apokalyptische Beiträge in den Medien sorgen dafür, dasss die DSGVO in aller Munde ist. Besonders medienwirksam ist es, dass sich das Strafmaß für Datenschutzverletzungen drastisch erhöht hat.

Die Klagemöglichkeit von Betroffenen (Mitarbeiter, Patienten) wird sich stark vereinfachen, und die Landesaufsichtsbehörde kann unvermutet oder durch Angabe betroffener Mitarbeiter und Patienten den Therapeuten direkt prüfen.

Der Praxisinhaber verarbeitet berufsbedingt besonders zu schützende Personendaten. Aus der analogen Welt ist der korrekte Umgang mit der Papierakte verstanden und zumindest theoretisch verinnerlicht: Akten gehören in verschließbare Schränke, dürfen nicht rumliegen, müssen mit Bedacht geführt und schliesslich auch mit Schredder entsorgt werden.

Muss ich eine Akte transportieren oder vorübergehend auf einem Schreibtisch parken, dann immer so, dass der Inhalt nicht sofort sichtbar, erkennbar ist. Dafür gibt es dann Umschläge, Mappen.

Und jetzt übertragen wir einfach das Gleiche auf die digitale Welt: Wir bekommen Regeln vorgeschrieben, an die wir uns halten müssen. Tun wir es nicht, handeln wir vorsätzlich - und das kann unangenehme Folgen haben.

Was muss ich wirklich, wirklich tun, damit ich nicht vorsätzlich handle?

Jeder Therapeut in Deutschland wird sich mit dem Thema Datenschutz auseinandersetzen müssen.

1) Die Rechte der Mitarbeiter und besonders der Patienten sichern

Neue Rechte und Pflichten: Auskunftspflicht, Löschung, Berichtigung, Widerspruch… die Rechte der Betroffenen werden gestärkt - und das ist gut.

Damit der Praxisinhaber das zeitgerecht erfüllen kann, hat er im Vorfeld diese Rechte, besonders auf Seiten seiner IT, einzurichten. Er muss eine Dokumentation vorzeigen können, in der aufgestellt ist, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Wo kommen die Daten her und wo gehen die Daten hin? Solch ein “Verzeichnis der Verarbeitungstätigkeit” hat ein jeder zu führen und aktuell zu halten.

Hier müssen wir noch in Betracht ziehen, dass der Therapeut eine Dokumentationspflicht hat, sodass das die Pflicht, Daten zu löschen in Bezug auf die behandlungs- und abrechnungsrelevanten Informationen für die Dauer der Aufbewahrungspflichten nicht erfüllt werden kann.

2) Auftragsdatenverarbeitungs-Vetrag (ADV-Vertrag)

Mit jedem Auftragnehmer, der Daten im Auftrag verarbeitet, muss ein schriftlicher Auftragsdatenverarbeitungs-Vertrag (ADV) abschlossen werden. Lemniscus Anwender kennen das schon - jeder Anwender bekommt von uns eine ADV zugeschickt. Das ist eine besondere Serviceleistung von Lemniscus, dass wir diese ADV vorbereitet haben. Denn in Punkt Datenschutz haben wir eine verdrehte Vertragssituation: es sind wir, die beim Therapeuten unter Vertrag genommen werden. Eigentlich muss also die ADV vom Lemniscus-User erstellt werden und an uns - Lemniscus - geschickt werden. Natürlich nicht nur bei Lemniscus! Ein solcher Vertrag muss mit jedem anderen Softwarebetreiber ebenfalls abgeschlossen werden.

Genau wie mit anderen Dienstleistern, zum Beispiel

  • Druckereien
  • sonstige IT-Dienstleister
  • Call-Center / Erreichbarkeitsservice
  • Abrechnungsstelle

In der ADV sind unter anderem auch die technischen und organisatorischen Maßnahmen aufzulisten, die umgesetzt werden, damit der Datenschutz eingehalten wird.

3) Datenschutzerklärung auf der Homepage

Die Datenschutzerklärung innerhalb des Internetauftritts muss eindeutig darlegen, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Die DSGVO geht auch so weit vorzuschreiben, dass Personendaten nur noch verschlüsselt übertragen werden dürfen. In der analogen Welt ist es jedem sofort klar, dass sensible Daten in Umschlägen oder Mappen sichtgeschützt transportiert werden. In der digitalen Welt nennt man das Verschlüsselung.

4) Datenpannen

Der Praxisinhaber hat bei allen Neuerungen zu ermitteln, welche Folgen entstehen können, wenn eine Datenpanne passieren würde. Entsprechend dieser Einschätzung sind Maßnahmen einzuführen, damit so eine Panne gar nicht erst passiert.

Und falls doch was passiert, dann hat der Praxisinhaber innerhalb von 72 Stunden die zuständige Aufsichtsbehörde für den Datenschutz und bei Vorliegen eines hohen Risikos zusätzlich den Betroffenen zu unterrichten.

Ein Beispiel aus der Praxis: ein Therapeut speichert eine Kopie seiner Daten auf einen USB Stick, den er bei sich trägt. Natürlich will ein Therapeut diesen Stick nicht verlieren, will er aber nicht fahrlässig handeln, so muss er Maßnahmen ergreifen und dokumentieren, die ein Abhandenkommen des USB-Sticks verhindern sollen. Geht ein Stick trotzdem verloren, dann hat der Therapeut 72 Stunden (ab Verlust des Sticks) Zeit, um die Aufsichtsbehörde zu informieren. Waren die Daten nicht verschlüsselt, dann sollten aufgrund des hohen Risikos, dass die Daten problemlos ausgelesen werden können, auch die betroffenen Patienten informiert werden. Das hat zur Folge, dass ein Therapeut eine Liste aller möglichen Betroffen stets zu führen hat. Sind auf dem Stick 8000 Patientenakten gespeichert, dann müssen 8000 Patienten benachrichtigt werden.

5) Sensibilisierung und Weiterbildung

Sensibilisierung der Mitarbeiter: Die beste Technik und das ausgeklügelste Verfahren greifen nicht, wenn die Mitarbeiter kein Gefühl für Datenschutz haben, bzw. den nicht beachten.

Die Verantwortung für den Datenschutz trägt der Praxisinhaber. Diese Pflicht kann er nicht delegieren!

Wichtig: geschulte Mitarbeiter schützen den Verantwortlichen vor privatrechtlicher Haftung.

6) Datenschutzbeauftragter

Überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Viele verstehen diesen Punkt so, dass nur die, die einen Datenschutzbeauftragten bestellen müssen, sich auch um Datenschutz kümmern müssen. Das ist falsch, und eigentlich genau anders zu verstehen.

Muss kein Datenschutzbeauftragter bestellt werden, dann hat der Therapeut nicht weniger Datenschutz zu betreiben - ganz im Gegenteil! Ohne Datenschutzbeauftragten bleibt die Umsetzung des kompletten Datenschutzes beim Therapeuten hängen,sprich: jeder Therapeut hat, egal, ob er Solist ist oder Teil eines Orchesters: er muss aktiv werden.

Eine Kausalkette in der DSGVO führt dazu, dass jeder, der besondere Daten umfangreich verarbeitet, letztendlich einen Datenschutzbeauftragten zu stellen hat, unabhängig davon, wie viele Mitarbeiter beschäftigt werden.

Interessanterweise werden Einperson-Praxen explizit von der Pflicht, einen Datenschutzbeauftragten zu bestellen, entbunden.

Ob eine Praxis mit 2 bis 9 Mitarbeitern einen Datenschutzbeaftragten bestellen muss, ist noch nicht sicher - in der DSGVO ist “umfangreiche Datenverabeitung” nicht näher definiert. Allerdings wird ein Datenschutzbeauftragter bereits ab 10 Mitarbeiter verlangt, also ist zu vermuten, dass weniger die Betriebsgröße und mehr die Qualität der Daten ausschlaggebend ist. Hier sollte unbedingt die für einen zuständige, beaufsichtigende Behörde um eine Stellungnahme gebeten werden - am besten schriftlich.

Wenn die Praxis mehr als 9 Mitarbeiter beschäftigt, die die Möglichkeit haben, auf Daten zuzugreifen, ist ein Datenschutzbeauftragter definitiv zu bestellen.

Wie kann mir Lemniscus helfen?

Für Lemniscus-Anwender ist tatsächlich an verschiedenen Stellen einfacher, die DSGVO umzusetzen:

  • Die Daten sind nicht auf der eigenen EDV Infrastruktur gespeichert, so dass weniger Massnahmen umgesetzt und Dokumentiert werden müssen
  • Einige geforderte Unterlagen können bereits vorausgefüllt werden

Diese Vereinfachung ist leider nur auf Lemnsicus-Anwender im ursprünglichen Sinn anwendbar, und greift bei den folgenden Vorraussetzungen:

  • es handelt sich um eine Einperson-Praxis, also keine Mitarbeiter (bis auf Rezeptionskraft)
  • Patienten und Abrechnungsdaten sind in Lemniscus abgelegt

Partnerschaft mit der Interev GmbH

Wir bei Lemmniscus können nicht die notwendige Beratungsleistung in dem notwendigen Umfang und Qualität liefern. Aus diesem Grund haben wir einen kompetenten Parner gesucht und mit Interev gefunden.

Die Interev GmbH berät und betreut Organisationen aus dem Gesundheitswesen im Bereich Datenschutz und Sozialdatenschutz.

Interev hat zu diesem Thema auch das folgende Video vorbereitet und online gestellt.

DSGVO Grundversorgung

Aus der Partnerschaft mit der Interev GmbH konnten wir speziell für unsere Kunden eine DSGVO Grundversorgung ausarbeiten.

DSGVO ist Datenschutz, ist Vertrauen, ist Verständnis, ist Verantwortung. Aus diesem Grund ist es mit einem Satz ausgefüllter Formulare nicht getan.

Deswegen besteht die DSGVO Grundversorgung aus zwei Komponenten: Papierkram (auch Survival Pack genannt) und Theorie (Webinare).

  • DSGVO Survival Pack: die notwendigen Unterlagen, für Lemniscus Kunden soweit möglich vorausgefüllt

  • Webinare DSGVO: Aufklärung und Fortbildung zum Thema DSGVO, Umgang mit dem Survival Pack

DSGVO Survival Pack

Unser DSGVO Survival Pack ist ein Spezialpaket für die Einzeltherapeuten, die Lemniscus einsetzen.

Preis: einmalig 97€, Bestellung unter 0511-89798410 oder info@interev.de

Inhalte

  • Checkliste DSGVO-Umsetzung für Einzelpraxen
  • Vorlage Verzeichnis der Verfahrenstätigkeit
  • Verschwiegenheitserklärung Mitarbeiter
  • Verschwiegenheitserklärung Externe
  • Muster Auftragsdatenverarbeitung mit Anlage der technischen und organisatorischen Maßnahmen
  • Muster Datenschutzfolgeabschätzung
  • Vorlage Meldepflicht
  • Vorlage Einschätzung Meldepflicht Betroffener
  • Vorlage Meldepflicht Betroffener
  • Einmaliger Vouchercode zum Check der Datenschutzerklärung Ihres Internetauftritts

Weiterbildung DSGVO

Wir werden ab Kalenderwoche 15/ 2018, also im April, einen DSGVO-Grundkurs speziell für Praxisinhaber anbieten.

In dem Kurs werden wir nicht nur einen Grundverständnis für Datenschutz vermitteln, sondern auch auf die Unterlagen eingehen, die gefordert werden.

Für Lemniscus-Anwender, die das “DSGVO survival pack” erworben haben, wird dieses Webinar das notwendige Verständnis zu den Vorlagen aus dem Paket vermitteln.

Für alle anderen ist der Kurs eine gute Gelegenheit, sich mit dem Thema DSGVO zu beschäftigen und einen Einblick in Inhalte und Formalien zu bekommen.

Positive Nebeneffekte

Datenschutz ist gut und wichtig - letztendlich wird man sich in der modernen multimedialen Welt sicherer in Bezug auf Daten und Datenschutz fühlen.

Datenschutz ist wichtig für die eigene Praxis und wird auch von den Patienten erwartet, schliesslich vertrauen die Patienten ihre sensible persönliche Daten dem Therapeuten an.

Die Umsetzung der Anforderungen der DSGVO führen dazu, dass die Datenströme und Prozesse in der Praxis von den Therapeuten unter die Lupe genommen werden. Das ist vielleicht der richtige Moment sich nochmal über den Praxisablauf Gedanken zu machen und eventuell Prozesse zu optimieren.

Wir finden, dass eine professionelle, sichere, und datenschutzbewusste Praxisverwaltung kein Luxus größerer Praxen sein muss.

Wir sind der Meinung, das alltägliche Verwaltungsaufgaben rund um Terminvergabe und Rechnungsstellung nicht nervenaufreibend sein müssen.

Deshalb haben wir LEMNISCUS aus der Praxis und für die Praxis entwickelt.

Mit LEMNISCUS sind Sie gut in der Zeit.

Papick G. Taboada, Geschäftsführer

Perfektion ist nicht dann erreicht,
wenn man nichts mehr hinzufügen,
sondern nichts mehr weglassen kann

— Antoine de Saint-Exupéry

Neugierig? Sofort Ausprobieren  

Innovationspreis-IT 2017 - Best of
Innovationspreis-IT 2018 - Qualifikation
pgt technology scouting GmbH