Ein Datenmanagement, das den Vorgaben der Daten- schutzgrundverordnung (DSGVO) entspricht, hat für alle Seiten Vorteile. Das Patientenvertrauen kann gestärkt werden, neue Datenverarbeitungen können rascher inte- griert werden,
neue Judikatur kann rascher umgesetzt werden und im besten Fall wird ein
kostenintensiver Überraschungsmoment verhindert.
FotoS: FotoFaber Photography, istockphoto/ cybrain
Ein umfassendes Datenmanagement ist ein wichtiger Teil der wahrnehmbaren Unternehmensqualität. Die DSGVO kann als Leitfaden dazu gesehen werden. Im Folgenden finden Sie eine Übersicht über die wichtigsten Baustein des Da- tenmanagements der Ordination:
Datenschutzerklärung
Die Datenschutzerklärung kommuniziert dem Patienten die strukturierten Da- tenverarbeitungen und seine Rechte nach der DSGVO. Der Beginn jedes Ver-
handlungsverhältnisses ist auch der richtige Zeitpunkt, um allfällige Einwilligungserklärungen einzuholen, die zum Beispiel eine Belehrung über die jederzeitige Widerrufbarkeit enthalten müssen. Im Ärztegesetz ist eine Ausnahme von der Pflicht zur Datenschutzerklärung enthalten, es existiert allerdings noch keine Bestätigung der Judikatur zum Vorrang dieser Regelung vor der DSGVO.
Sicherungsmaßnahmen
Hier handelt es sich um Maßnahmen, die eine Verschwiegenheitspflicht des Arztes sicherstellen. Die Umsetzung erfolgt durch technisch-organisatorische Maßnahmen (TOM), die am Stand der Technik auszurichten sind, wie:
•versperrbare Schränke, dämpfende Türen
•Prozesse zur Identifikation von Kommunikationsteilnehmern, zum Beispiel das Vorzeigen eines Ausweises
•eine IT-Mappe mit der Beschreibung der Art 32 DSGVO Maßnahmen, wie zum Beispiel eine Anlagenbeschreibung, Sicher- heitsmaßnahmen, Datenverfügbarkeit, Prozessen oder Zeitplänen
•Datensicherungen (Backups) müssen nicht nur regelmäßig durchgeführt, sondern auch überprüft werden
•nachvollziehbare Update-Prozesse sollen nicht nur für Computer, sondern für alle technischen Geräte vorhanden sein, wie zum Beispiel Telefone
•Die DSGVO-Konformität von IT-Produkten bzw. IT-basierte Diensten – zum Beispiel Cloudlösungen – kann auch anhand von Zertifikaten geprüft werden. In Zukunft sollen solche Zertifikate auch gem. Art 42 DSGVO EU-akkreditiert werden.
Notfallplan für die „Data Breach Notfication“
Sollte durch einen Vorfall – zum Beispiel einen Einbruch in die Behand-lungsräume – das Risiko für Patienten entstanden sein, dass Daten entwendet wurden, so ist der Vorfall möglichst innerhalb von 72 Stunden der Datenschutzbehörde zu melden. An- zugeben sind unter anderem die Kategorien von betroffenen Daten und die Anzahl der betroffenen Datensätze. Bei einem ho- hen Risiko für Patienten sind auch diese unverzüglich zu informieren. Damit diese kurzen Fristen überhaupt eingehalten wer- den können, sollten Sie auf diesen Fall unbedingt vorbereitet sind. Dazu empfiehlt es sich, alle relevanten Datenverarbeitungs- vorgänge zu protokollieren, wie zum Beispiel sämtliche Zugriffe auf Computer und Dateien. Mitarbeiter, externe Dienstleister wie Techniker und Rechtsanwalt sind vorab instruiert und im Notfall erreichbar.
Anfragen der Datenschutzbehörde
Die Datenschutzbehörde kann eine „Einschau“ der Räumlichkeiten durchführen oder auch Anfragen stellen. Dann sind inner- halb meist sehr kurzer Fristen konkrete Antworten zu liefern. Folgenden Themen sind möglich, daher empfiehlt sich, auf diese Fragen gut vorbereitet zu sein:
•Gibt es Datenschutz-Folgenabschätzungen? Wenn nein, warum nicht?
•Welche Datensicherheitsmaßnahmen bestehen?
•Kann ein Verarbeitungsverzeichnisses vorgelegt werden?
•Wer ist der Datenschutzbeauftrage?
Die DSGVO-Umsetzung erfordert somit sowohl technische als auch juristische Einschätzungen und Ausarbeitungen. Antwor- ten auf Behördenanfragen sollten erst nach rechtlicher wie technischer Prüfung erstattet werden, um unnötigen Verfahren vorzubeugen.
Auskunftsbegehren –
Art 15 DSGVO
Wichtig ist rechtzeitig auf solche Begehren – innerhalb von einem Monat – zu antworten. Sicherzustellen ist auch, dass mit ei- ner Antwort keinesfalls Rechte Dritter beeinträchtigt werden. Daher ist auch eine Schwärzung von Passagen in Betracht zu zie- hen. Auch ärzterechtliche Fragen sind bei einer DSGVO-Auskunft zu beachten, zum Beispiel was Verschlussakten angeht. Kei- nesfalls können Anfragen mit pauschalen Begründungen beantwortet werden. Die Datenschutzbehörde judiziert schon seit Jahren, dass Auskunftsbegehren detailliert geprüft und beantwortet werden sollten. Automatisch erzeugte Aktenauszüge, soll- ten jedenfalls vor Versand geprüft und gegebenenfalls geschwärzt werden. Auch ist zu prüfen, ob der der Auskunftswerber eindeutig identifizierbar ist, da ansonsten ein „Data Breach“ droht.
Datenschutzbeauftragter und Datenschutzfolgenabschätzung
Die Verarbeitung von Gesundheitsdaten ist eine riskante Form der Datenverarbeitung. Besteht eine umfangreiche Datenverar- beitung oder werden bestimmte Verarbeitungsvorgänge durchgeführt, wie etwa eine Datenverknüpfungen im Zuge von Forschungsarbeiten, ist jedenfalls ein Datenschutzbeauftragter nötig. Oftmals sind dann auch vorab Datenschutzfolgeab- schätzungen zu erstellen. Diese Gutachten zu einer Datenverarbeitung stellen die einzelnen Risiken und Risikoeindämmungs- maßnahmen der Datenanwendung dar. Ein Datenschutzbeauftragter ist jedenfalls nötig, wenn umfangreiche Verarbeitungen vorliegen, was etwa – gemäß der Webseite der österreichischen Ärztekammer – jedenfalls ab 5.000 Patientenbetreuungen pro Jahr gegeben sein kann. Aber auch Faktoren wie die Mitarbeiteranzahl oder das Fachgebiet können eine Rolle spielen. In- dizien für die Notwendigkeit einer Datenschutzfolgeabschätzung sind etwa „umfassende Bewertungen von Aspekten natür- licher Personen“ oder Bildverarbeitungen, auf denen Personen erkennbar sind, wenn sie mit biometrischen Daten verknüpft werden. In jedem Fall sollten fundierte, schriftliche Einschätzungen zu beiden vorliegen. Die Behörde kann jederzeit eine Auskunft verlangen, aus welchem Grund etwa ein Datenschutzbeauftragter nicht bestellt wurde.
Bewertungsportale
Bewertungsportale verarbeiten personenbezogene Daten von Ärzten. Zu diesem Thema hat die Datenschutzbehörde 2019 in einer Entscheidung anhand einer Interessenabwägung entschieden, dass pauschal kein Löschungsanspruch des Arztes zu seinen Daten besteht. Ein Portal sollte allerdings Schutzmechanismen vorsehen, um der Abgabe unsachlicher Erfahrungs- berichte entgegenzuwirken. Auch fachlich unrichtige Kommentare sind angreifbar. Ärzte sollten Erfahrungsberichte kommen- tieren können und Benachrichtigungsmails bei Abgabe neuer Bewertungen
erhalten können.
/pagestrip-media.s3.amazonaws.com/article/ea/7b/84c019f911ea94ce0a7de430287c.jpg)
/pagestrip-media.s3.amazonaws.com/article/e9/9c/e94119f911ea94ce0a7de430287c.jpg)