Datenschutz in der Praxis: Was Sie wissen sollten

Praxischefinnen und -chefs müssen die Informations- und Nachweispflicht der Datenschutz-Grundverordnung (DSGVO) beachten. Dafür müssen sie insbesondere vier Punkte im Blick behalten: Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten erstellen, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann. Zudem müssen sie eine Patienteninformation auslegen, die über den Datenschutz in der Praxis informiert. Mit den externen Dienstleistern müssen sie eine Vereinbarung zur Auftragsverarbeitung abschließen, wenn diese auf Patienten- oder Mitarbeiterdaten zugreifen können. Und sie müssen alle technischen und organisatorischen Maßnahmen erfassen, die die Praxis zum Schutz von personenbezogenen Daten ergreift. Dazu gehört zum Beispiel:

Lesen Sie mehr zu diesem Thema:

Ärztliche Datenschutzverstöße: Faxen mit fatalen Folgen

Was als harmloser Rezeptversand per Fax gedacht war, endete als peinliche Datenschutzpanne. Denn mehrere saarländische Praxen faxten sensible Patientendaten ausgerechnet an die Aufsichtsbehörde. Damit Ihnen so was nicht passiert, sollten Sie die wichtigsten Datenschutzmaßnahmen für Arztpraxen  kennen.

Jetzt lesen

• Diskretion im Empfangsbereich
  Für die Patientinnen und Patienten ist Diskretion gewährleistet. Ideal ist: Die Anmeldung ist räumlich getrennt vom Wartebereich. Wenn das nicht möglich ist, weist ein gut sichtbares Schild auf den nötigen Abstand zum Empfangstresen hin.

• Identitätsprüfung am Telefon
  Bei Auskünften am Telefon sichern Sie die Identität des Anrufers. Zum Beispiel durch gezielte Zusatzfragen – oder indem Sie zurückrufen.

• Vertrauliche Gespräche
  Vertrauliche Patientengespräche führen Ärztinnen und Ärzte nur in geschlossenen Räumen.

• Sichere Akten und IT
  Patientenakten sind sicher verwahrt. Computer sind passwortgeschützt. Die automatische Bildschirmsperre ist aktiviert. Unterlagen liegen so, dass andere Patienten sie nicht einsehen können – oder werden weggeräumt, wenn Patienten allein im Raum sind.

• Keine unverschlüsselten E-Mails
  Patientendaten werden nie unverschlüsselt per E-Mail über das Internet versendet.

• Gesteuerte Zugriffsrechte und Löschkonzept
  Es ist festgelegt, wer in der Praxis Zugriffsberechtigungen für Dateien hat. Ebenso ist geregelt, wann und durch wen personenbezogene Daten gelöscht werden.

• Vernichtung nach DIN-Normen
  Patientenakten werden nach DIN-Normen vernichtet.

• Meldeprozesse bei Datenschutzverstößen
  Es ist abgestimmt, was bei Datenschutzverstößen zu tun ist – und wer die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden übernimmt.

• Sensibilisierung des Teams
  Alle Praxismitarbeiterinnen und -mitarbeiter wurden über die Einhaltung der Schweigepflicht und den Datenschutz informiert.

Fassen wir zusammen: Mit einem vollständigen Verzeichnis der Verarbeitungstätigkeiten, einer klaren Patienteninformation, rechtssicheren Verträgen zur Auftragsverarbeitung und dokumentierten technischen sowie organisatorischen Maßnahmen erfüllen Sie die DSGVO-Pflichten – und stärken das Vertrauen Ihrer Patientinnen und Patienten.