Was bedeutet die DSGVO für die Praxiseinrichtung? Eins schon mal vorab: Bilder und Wandfarbe dürfen Sie für Ihre Praxis frei wählen. Ein paar Vorgaben macht die EU-Datenschutzgrundverordnung (DSGVO) dennoch. MEDI-Rechtsexpertin Angela Wank erklärt die wichtigsten Punkte.
Zutrittskontrolle
Eigentlich selbstverständlich: Unbefugte Personen dürfen nicht in die Praxis und in sensible Bereiche und Systeme gelangen. Deshalb müssen Praxen Maßnahmen zur Zutrittskontrolle ergreifen. Das können verschlossene Türen, Alarmanlagen, Videoüberwachung sowie Schlüssel- und Chipkartensysteme sein.
Diskretionszone im Empfangsbereich
Patientendaten dürfen nicht von Dritten gehört oder ausgelesen werden. Eine Diskretionszone im Empfangsbereich kann das verhindern.
Sind Datenverarbeitungssysteme, digitale Patientenakten, Karteikarten und Kalender geschützt?
Bildschirme, Faxgeräte und andere Endgeräte müssen so geschützt sein, dass Dritte keine Kenntnis von Patienten- oder anderen personenbezogenen Daten erlangen können. Zwingend notwendig ist deshalb, dass alle Datenverarbeitungssysteme, digitale Patientenakten, physische Karteikarten und Kalender im Empfangsbereich vor dem Zugang und Zugriff Unbefugter geschützt sind.
Beim Datenschutz unterscheidet der Gesetzgeber Zugangs- und Zugriffskontrollen. Eine Zugangskontrolle verwehrt den Zugang zu Datenverarbeitungsanlagen. Dazu zählen auch Maßnahmen, die Angriffe aus dem Internet abwehren. Bewährte Maßnahmen sind Arbeitsplätze und Accounts mit Passwortschutz. Sinnvoll ist es auch, eine Passwortrichtlinie vorzugeben – etwa: Jedes Passwort besteht aus mindestens acht Zeichen und enthält sowohl Groß- als auch Kleinbuchstaben, Zahlen und Sonderzeichen.
Magnet- und Chipkartensysteme, PIN-Verfahren sowie biometrische Verfahren und Systeme gewährleisten, dass nur befugte Personen auf die damit geschützten Bereiche zugreifen können. Spamfilter und Virenscanner wehren digitale Angriffe ab. Ganz wichtig: Alle Maßnahmen müssen fortwährend aktualisiert werden.
Eine Zugriffskontrolle stellt sicher, dass die Benutzer eines EDV-Systems ausschließlich Zugriff auf diejenigen Daten haben, für deren Bearbeitung sie zuständig sind. Hierbei haben sich Berechtigungskonzepte bewährt, die festlegen, welche Mitarbeiterinnen und Mitarbeiter welche Zugriffsrechte erhalten sollen. Weitere Maßnahmen der Zugriffskontrolle ergreift, wer sämtliche Datenträger verschlüsselt, Administratorenrechte einrichtet, die Benutzung des Internets reguliert, das WLAN verschlüsselt, Richtlinien für den Gebrauch mobiler Datenträger und Endgeräte aufstellt, wiederbeschreibbare Datenträger löscht, für datenschutzkonforme Vernichtung sorgt und getrennte PC-Systeme vorhält.
Anamnesebogen
Die medizinische Versorgung dient hochrangigen Schutzgütern wie dem Recht auf Leben sowie geistige und körperliche Unversehrtheit. Deshalb legitimiert der Gesetzgeber, dass personenbezogene Daten im Rahmen der Anamnese erhoben und verarbeitet werden. Voraussetzung ist jedoch, dass sie „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind. Im Rahmen einer Anamnese können Sie also alle Daten erheben, die Sie benötigen, um eine Diagnose zu stellen.
Weisen Sie Ihre Patienten darauf hin, dass Anamnesebögen nur auf freiwilliger Basis und individuell auszufüllen sind.
Warteräume
Es ist praktisch, wenn die MFA vom Empfangstresen aus den nächsten Patienten aufrufen kann – keine Frage. In vielen Praxen steht die Tür zwischen Warte- und Empfangsbereich deshalb immer offen. In manchen Praxen wurde sie sogar – ganz pragmatisch – ausgehängt. Allerdings müssen sowohl Warte- als auch Behandlungsräume so getrennt sein, dass Wartende keine personenbezogenen Daten anderer Patienten aus dem Empfangs- oder Behandlungsraum erfahren.
Behandlungsräume
Warten Patienten gelegentlich alleine im Behandlungsraum? Wenn ja, müssen Karteikarten, Patientenakten und -dokumente anderer Patienten sicher verstaut, Bildschirme gesperrt oder ausgeschaltet sein. Genauso müssen auch USB-, SD- und sonstige Anschlüsse gesperrt sein.
Carmen Krutsch
Weitere Artikel zum Thema:
EU-DSGVO: Muss ich in meiner Praxis eine/n Datenschutzbeauftragte/n benennen?
EU-DSGVO: Hier drohen saftige Geldstrafen!