Privacy. Security. Experts United.
So selbstverständlich wie die ärztliche Schweigepflicht. Datenschutz einfach gemacht.
WIR UNTERSTÜTZEN IHRE ARZTPRAXIS BEI DER UMSETZUNG DES DATENSCHUTZES
Our external Data Protection Officer stehen Ihnen als regionaler Ansprechpartner zur Verfügung. Gemeinsam mit dem Datenschutzbeauftragten setzen Sie die Datenschutz-Dokumentation für Ihre Arztpraxis um.
Robin Data has a Data Protection Management Software speziell für Arztpraxen entwickelt. Profitieren Sie von einem bereits vorkonfigurieren Verzeichnis für Verarbeitungstätigkeiten. Passende Vorlagen, z.B. für Informationspflichten, erhalten Sie als Kunde kostenfrei auf Anfrage.
Also included in the data protection software:
Insbesondere bei der Verarbeitung sensibler Patientendaten in Arztpraxen, gibt es Verarbeitungstätigkeiten, wie den Patientenempfang oder den Aufenthalt von Patienten im Behandlungszimmer, die besondere Sicherheitsmaßnahmen erfordern.
In diesem Fall bedarf es besonderer technischer und organisatorischer Maßnahmen der Informationssicherheit. Wir analysieren und konzipieren in diesem Fall mit Ihnen zusammen ein Informationssicherheitsmanagementsystem (ISMS) auf Basis des Standards für Informationssicherheit ISO/IEC 27001.
In Beratungsgesprächen hören wir oft, dass Arztpraxen erste Datenschutz-Maßnahmen bereits umgesetzt haben, aber unsicher sind, ob diese korrekt sind. Mit internen Audits überprüfen Sie den Stand der Datenschutz-Umsetzung Ihrer Arztpraxis. Durchgeführt werden diese Audits von unseren Datenschutzbeauftragten, im Anschluss erhalten Sie Hinweise zur Verbesserung.
Die Sensibilisierung von Mitarbeitern ist essentiell für die Umsetzung eines nachhaltigen Datenschutzes in der Arztpraxis. Gern schulen unsere Datenschutzbeauftragten Ihre Mitarbeiter.
Implementation of the GDPR
We would be pleased to send you a non-binding offer for the deployment of an external Data Protection Officer in your medical practice.
TECHNICAL AND ORGANISATIONAL MEASURES
Der Zugriff auf personenbezogene Daten von Patienten, die auf einem Computer verarbeitet werden, muss geschützt werden. Das gilt für den Patientenempfang gleichermaßen, wie für das Behandlungszimmer.
Arztpraxen müssen Ihre Mitarbeiter dazu anweisen, sichere Passwörter zu verwenden. Dazu wird bestenfalls eine Passwortrichtlinie erstellt.
Patientenakten sind nach der Verwendung sofort in dafür vorgesehen Aktenschränke einzuschließen.
Halten sich Patienten im Behandlungszimmer oder Empfangsbereich auf, ist von der Arztpraxis zu gewährleisten, dass keine fremden Patientenakten liegen gelassen werden.
Bevor personenbezogene sensible Patientendaten am Telefon oder per E-Mail mitgeteilt werden, müssen Mitarbeiter von Arztpraxen sicherstellen, dass der Anfragende zum Erhalt der Daten berechtigt ist.
Die verschlüsselte Speicherung von Daten, regelmäßige Backups und eine sichere Firewall schützt die Daten Ihrer Patienten. Arztpraxen müssen ausreichende IT-Sicherheit bei der Verarbeitung von Patientendaten gewährleisten.
Erfüllt Ihre Praxis die Mindestanforderungen an den technischen Datenschutz bei der Anbindung von IT-Systemen? Testen Sie sich selbst und beantworten Sie die folgenden Fragen.
ÜBERLASSEN SIE DEN DATENSCHUTZ DEN PROFIS!
Our data protection officers are:
STEP 1 TO THE DATA PROTECTION COMPLIANT MEDICAL PRACTICE
Datenschutz-Konformität der Website
Obligation of data secrecy
Existing documents in the course of patient communication (consent, information, etc.)
Vorhandene gesetzlich vorgeschriebene Dokumente (TOMs, Löschkonzept uvm.)
ÜBERLASSEN SIE DEN DATENSCHUTZ DEN PROFIS
Robin Data setzt die Datenschutz-Maßnahmen für Ihre Arztpraxis um. In einem unverbindlichen Gespräch besprechen wir, mit welchen konkreten Maßnahmen wir Ihre Arztpraxis datenschutzkonform aufstellen.
STEP 2 TO THE DATA PROTECTION COMPLIANT MEDICAL PRACTICE
Patient registration process
Patient call process
Process of patient file flow
Process of telephony with patients
Administration and archiving of patient files
Administration of consent, information to patients
Umsetzung von Löschfristen
Umgang mit Auskunfts- und Löschersuchen von Patienten
Use of the management system in practice
Dealing with data breaches
STEP 2 TO DATA PROTECTION COMPLIANT MEDICAL PRACTICE: PRACTICAL TIPS
Die Behandlung von Patienten erfolgt bei Routinebehandlungen auf einer gesetzlichen Grundlage. Die Einholung einer Einwilligung in die Datenverarbeitung ist nicht erforderlich. Werden Gesundheitsdaten von Patienten allerdings durch Dritte weiterverarbeitet, kann eine Einwilligungserklärung notwendig werden.
Wir beraten Sie gern, in welchen Fällen Einwilligungserklärungen sinnvoll sind und stellen Ihnen entsprechende Vorlagen zur Verfügung.
Arztpraxen müssen ihre Patienten darüber informieren, dass deren Daten durch die Arztpraxis verarbeitet werden. Dazu können Vordrucke in der Arztpraxis ausgehängt werden. Die Informationspflichten der DSGVO sind in Art. 12-14 aufgeführt.
Wir stellen unseren Kunden Vordrucke zu Informationspflichten zur Verfügung.
Arztpraxen sind gegenüber Patienten verpflichtet Einsicht in Patientenakten bzw. Auskunft zu personenbezogenen Daten zu gewähren. Das Einsichtsrecht ist im § 630g BGB (Behandlungsvertrag), das Auskunftsrecht im Art. 15 GDPR is regulated.
Wir bieten unseren Kunden an, eine entsprechende Verarbeitungstätigkeit für die internen Datenschutzrichtlinie zu erstellen. Dadurch kommen Sie Auskunftsanfragen schnell und datenschutzkonform nach.
Das Recht auf Löschung ist in Art. 17 GDPR näher erläutert und besagt, dass der betroffene Patient das Recht hat, von der Arztpraxis zu verlangen, dass diese personenbezogene Daten unverzüglich löscht. Auch hier empfiehlt es sich eine entsprechende Verarbeitungstätigkeit vorzubereiten, um Anfragen schnell nachkommen zu kommen.
Gern erarbeiten wir mit Ihnen entsprechende Anweisungen und Verarbeitungstätigkeiten für die Mitarbeiter Ihrer Arztpraxis.
STEP 3 ON THE DATA PROTECTION COMPLIANT MEDICAL PRACTICE
Erfassen von Standorten (z. B. bei ÜBAGs)
Recording the relevant employees of the data protection organisation
Acquisition of external contacts
Prüfen vertraglicher Grundlagen bei Datensaustausch (z. B. Labore, Versicherungen)
Structure of the procedure directory
Aufbau des Löschkonzeptes
Durchführen von Datenschutz-Folgeabschätzung
Umsetzen erforderlicher technisch-organisatorischer Sicherheitsmaßnahmen
Umsetzen der Dokumente für Patienten und Mitarbeiter (Einwilligungen, Informationen)
Optimierung der Prozesse aus 2 hinsichtlich konformität auf den Datenschutz
PHYSICAL PRACTICES
Neben den Konsequenzen beim Verstoß gegen die geltende Datenschutz-Grundverordnung, müssen Arztpraxen auch die berufliche Schweigepflicht beachten. Verstoßen Arztpraxen gegen § 203 des Strafgesetzbuch ist mit einer Geld- oder einjährigen Freiheitsstrafe zu rechnen.
Brauchen Arztpraxen eine Einwilligungserklärung von Patienten vor der Behandlung?
Nein. Die ärztliche Behandlung wird auf Basis einer vertragliche Grundlage durchgeführt.
Diese Grundlage berechtigt die Arztpraxis zur Verarbeitung von Patientendaten gemäß Art. 9 paragraph 2(h) and paragraph 3 in conjunction with Article 6 (paragraph 1 sentence 1 letter b) of the GDPR.
Unter diese Rechtsgrundlage fallen alle Verarbeitungen, die für die Behandlung des Patienten notwendig sind.
Ausgenommen von dieser Rechtsgrundlage sind Verarbeitungen, die nicht notwendig für die Behandlung sind. Beispielsweise die Weitergabe von personenbezogenen Patientendaten durch private Abrechnungsstellen. Für diese Verarbeitung ist eine Einwilligung vom Patienten einzuholen.
Wann benötigen Arztpraxen einen Datenschutzbeauftragten?
Allgemein sieht die Datenschutz-Grundverordnung die Bestellung eines Datenschutzbeauftragten vor, wenn in eine Arztpraxis 20 Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.
Zu beachten ist aber, dass auch dann ein Datenschutzbeauftragter zu benennen ist, wenn sensible Gesundheitsdaten verarbeitet werden. Die Verarbeitung von Gesundheitsdaten bedeutet in der Regel ein hohes Risiko für Patienten und deren Rechte und Freiheiten. Datenschutzrechtlich muss bei der Verarbeitung von Gesundheitsdaten eine Datenschutzfolgenabschätzung durchgeführt werden.
Wir empfehlen die Benennung eines Datenschutzbeauftragten auch bei einer Praxisgröße unter 20 Mitarbeitern.
Wie müssen Patienten über die Datenverarbeitung in der Arztpraxis informiert werden?
Arztpraxen müssen Patienten darüber informieren, inwiefern deren personenbezogene Daten verarbeitet werden. Dazu reicht ein Aushang in der Praxis, eine unterschriftliche Kenntnisnahme ist nicht erforderlich. Wir empfehlen den Patienten die Informationspflichten auf Wunsch auch schriftlich zu Verfügung zu stellen.
Wann müssen Patientendaten gelöscht werden?
Personenbezogene Daten von Patienten sind dann zu löschen, wenn diese zur Erfüllung des Behandlungsvertrages nicht mehr benötigt werden und es keine gesetzliche Aufbewahrungsfrist gibt, die einer Löschung entgegensteht. Grundsätzlich müssen Patientenakten nach 10 Jahren gelöscht werden, auch wenn der Patient dies nicht ausdrücklich verlangt.
Patientenakten können länger aufbewahrt werden, insofern:
Is it advisable to assign the role of Data Protection Officer within the medical practice?
Nein. Zum einen empfehlen wir, dass der Datenschutzbeauftragte unabhängig vom Arzt bzw. der Arztpraxis sein sollte, um einen internen Interessenkonflikt zu vermeiden.
Die Vergabe der Rolle des Datenschutzbeauftragten an Mitarbeiter der Arztpraxis ist ebenfalls nicht empfehlenswert, da die Umsetzung aus zeitlichen Gründen nicht mit den eigentlichen Aufgaben zu vereinbaren ist.
Angebot Robin Data ComplianceOS® anfordern
Gern erstellen wir Ihnen ein Angebot passend für Ihre Bedürfnisse.
Das Team der Robin Data GmbH berät Sie unverbindlich und kostenfrei zu unseren Lösungen und beantwortet Ihre Fragen telefonisch oder per E-Mail.
Im einstündigen Termin stellen wir Ihnen eine Funktion unserer Software-Lösungen, wie bspw. das Löschkonzept oder die TOMs, im Detail vor.
Informationen Lösungen von Robin Data, zu Veranstaltungen und zu Entwicklungen im Bereich Compliance, Datenschutz und Informationssicherheit.
Find out more about the functions of our Robin Data software and legal texts in the area of data protection in our Help Centre.
