Technische und organisatorische Maßnahmen in Arztpraxen

Technische und organisatorische Maßnahmen in Arztpraxen

In jeder Arztpraxis werden besonders sensible Gesundheitsdaten von Patienten, sogenannte Daten besonderer Kategorien nach Art. 9 DSGVO, verarbeitet. Dies bedeutet, technische und organisatorische Maßnahmen in Arztpraxen, die nach Art. 32 DSGVO generell verpflichtend von jedem, der geschäftlich Daten verarbeitet, zu etablieren sind, sind von besonderer Bedeutung! Daher fordert der Gesetzgeber für den Schutz von Gesundheitsdaten spezifische Datenschutzmaßnahmen (§ 22 Abs. 2 BDSG). Wir beleuchten dies näher in diesem Beitrag zur Reihe „Datenschutz in der Arztpraxis“,

Daten besonderer Kategorien

Unter Daten besonderer Kategorien versteht die DSGVO z. B. Daten zur rassischen und ethnischen Herkunft, Gewerkschaftszugehörigkeit oder biometrische Daten. Dazu gehören aber auch Daten zur Gesundheit und zum Sexualleben und sexuellen Orientierung einer Person sowie genetische Daten. Natürlich sollte man immer einen den Möglichkeiten entsprechend hohen Schutz der Daten garantieren, wenn solche Informationen verarbeitet werden. Handelt es sich bei der Verarbeitung aber um Daten besonderer Kategorien, kommt der Sicherheit dieser eine besondere Bedeutung zu.

Datenschutzmaßnahmen bei der Anmeldung in der Arztpraxis

Jeder kennt den generellen Ablauf beim Besuch einer Arztpraxis: Man kommt herein, meldet sich an und erklärt ggf. – wenn auch nur in Form eines Stichworts – sein Leiden. Hier besteht die Notwendigkeit, den Schutz der Patientendaten zu gewähren: Man sollte den Patienten die Möglichkeit geben, die Informationen so preisgeben zu können, dass nicht zwangsläufig alle andere wartenden Patienten mithören können. Manchen Patienten ist der Grund ihres Besuchs peinlich oder sie möchten einfach nicht, dass jeder weiß, weshalb sie einen Arzt aufsuchen. Falls möglich, sollte man hier für die Anmeldung einen separaten, durch eine Tür abgetrennten Raum einrichten.

Maßnahmen im Warteraum

Sobald der Patient angemeldet ist, begibt er sich in den Warteraum. Hier sehen sich alle Patienten. Man weiß also, dass jede dieser Personen ein gesundheitliches Problem hat. Ob dies tatsächlich die Patienten stört, weiß man nun nicht. Hier gäbe es die – wenn auch ggf. schwierig umsetzbare – Möglichkeit, einzelne Kleinsträume zu schaffen bzw. die Sitzplätze durch Trennwände oder Vorhänge abzutrennen, sodass die Patienten dort warten können.

Maßnahmen beim Aufrufen

Ruft der Arzt einen Patient auf, geschieht dies meist über eine Art Sprechanlage. Dabei hören alle andere Personen, um wen es sich handelt. Ein Lösungsansatz wäre, dabei nach einem Nummernsystem vorzugehen.

Maßnahmen im Sprechzimmer

Was im Sprechzimmer passiert, sollte auch unter den Personen, die sich in diesem Zimmer befinden, bleiben. Dieser Tatsache wurde auch schon vor Einführung der DSGVO Aufmerksamkeit geschenkt. Nun haben Sprechzimmer meist auch mindestens ein Fenster. Nicht immer aber wird die Privatsphäre eines Patienten durch Sichtschutz gewahrt. Auch sollte man bei der Ausstattung der Praxis darauf achten, dass Türen eingebaut werden, welche das Mithören anderer Personen außerhalb des Sprechzimmers verhindern.

Maßnahmen beim Verlassen der Arztpraxis

Manchmal werden beim Verlassen noch einmal Daten wie Telefonnummer und Adresse abgefragt bzw. abgeglichen, sofern dies nicht schon bei der Anmeldung erledigt worden ist. Mit hoher Wahrscheinlichkeit wird ein Rezept oder eine Überweisung ausgedruckt, wenn es nicht persönlich durch den Arzt übergeben worden ist. Auch hier sollte man sicherstellen, dass unbefugte Dritte hiervon keine Kenntnis erlangen.

Generelle Maßnahmen

Inzwischen weiß sicherlich Jeder, dass zu gewährleisten ist, dass keine Unbefugten Einsicht in Patientenakten oder -daten erlangen dürfen. Das heißt, die Rezeption sollte nicht unbeaufsichtigt sein, sofern solche Daten dort aufgefunden werden könnten. Der Zugriff zu technischen Geräten sollte durch ein Passwort, eine PIN o. Ä. gesichert sein (weitere Information mit einer Checkliste und Best-Practice-Prüfkriterien zu technischen und organisatorischen Maßnahmen in medizinischen Einrichtungen finden Sie vom Bayerischen Landesamt für Datenschutzaufsicht hier). Patientenakten sind sicher zu verwahren, d. h. wegzuschließen. Bei Telefonaten ist sicherzustellen, dass niemand mithören bzw. einen Personenbezug herstellen kann. Je nachdem, welche Technik genutzt wird, sind eventuell Auftragsverarbeitungsverträge abzuschließen.

Weitere Beispiele für zu empfehlende Maßnahmen zum Datenschutz

Die oben genannten Begriffe sind natürlich nicht die einzigen Optionen. Des Weiteren sollte ein Verantwortlicher folgende und auch weitere, zusätzliche Maßnahmen in Betracht ziehen:

  • Sicherung des Computers vor Zugriff Fremder (Passwortschutz)
  • Keine Fortsetzung von Patientengesprächen im Flur, sondern ggf. Zurückverlegung ins Sprechzimmer
  • Regelmäßige Software-Updates
  • Einrichtung eines wirksamen Anti-Malware- und Ransomware-Schutzes
  • Zwei-Faktor-Authentifizierung
  • Maßnahmen zur E-Mail-Sicherheit
  • Regelmäßige Sicherung wichtiger Datenbestände
  • Organisation des Datenschutzes im Homeoffice
  • Begrenzung von Fernwartungszugängen
  • Begrenzung von Administratorenkonten
  • Strikte Trennung von Netzwerkkomponenten (IT-Netze zu bestimmten Unternehmensbereichen)
  • Notfallkonzept für bspw. Ausfall elektronischer Geräte

Schlusswort

Wir wissen, dass so einige der in diesem Artikel genannten Maßnahmen schwer umsetzbar sind, sogar utopisch klingen. Auch gibt es je nach Situation vor Ort weitaus mehr umzusetzende Maßnahmen als die, die wir in diesem Beitrag genannt haben. Generell sagt die DSGVO in Art. 32, dass Maßnahmen zur Sicherheit personenbezogener Daten „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen […]“ einzuführen sind. Somit liegt die Entscheidung, welche technischen und organisatorischen Maßnahmen umgesetzt werden, beim Verantwortlichen selbst. Bei Eintritt eines Datenschutzvorfalls wird im Rahmen einer etwaigen Bußgeldbemessung berücksichtigt, ob sich jemand im Vorfeld gut mit diesem das Thema auseinandergesetzt und sein Mögliches unternommen oder das Thema schleifen lassen hat. Weiterführende Informationen finden Sie auch im Blog von RA David Seiler.

Sie haben weitere Fragen zu diesem Thema? Wir beraten gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.