Datenschutz in Arztpraxen/MVZ

Transkript

1 Datenschutz in Arztpraxen/MVZ Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Berlin Die sieben Säulen des ULD Datenschutzrecht (BDSG, LDSG, SGB, StGB) Inhalt Rechtliche Grundlagen für die Erhebung, Speicherung und Nutzung personenbezogener Daten 28 Abs. 1 BDSG 28 Abs. 6 BDSG 203 StGB Probleme im Bereich der Datenverarbeitung bei Arztpraxen und MVZ s Datenschutz in der Arztpraxis und im MVZ ULD 2 Seite 1

2 Datenschutzrechtliche Aufsicht über Arztpraxen/MVZ Öffentlicher Bereich (Bsp. KVen): Landesbeauftragte für Datenschutz Koordinierung: Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSB-Konferenz) Arbeitskreis Gesundheit und Soziales Nicht-öffentlicher Bereich (Niedergelassene Ärzte und MVZ s): Landes- Datenschutzaufsichtsbehörden nach 38 BDSG Koordinierung: Düsseldorfer Kreis Jedes Bundesland hat eine Datenschutzaufsichtsbehörde Der Bundesbeauftragte ist nur für bereichsspezifisch aufgeführte Sachverhalte zuständig (Bsp. Krankenkassen, wenn diese in mehr als 2 Bundesländern tätig sind) Zuständig ist die Aufsichtsbehörde für den Datenschutz in deren Zuständigkeitsbereich die verantwortliche Stelle (MVZ/Arztpraxis) ihren Sitz hat Datenschutz in der Arztpraxis und im MVZ ULD 3 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Datenschutz in der Arztpraxis und im MVZ ULD 4 Seite 2

3 Datenschutzrecht Bundesdatenschutzgesetz (BDSG) Anwendungsbereich Nicht-öffentliche Stellen (Unternehmen) Öffentliche Stellen des Bundes Landesdatenschutzgesetz (LDSG) Anwendungsbereich Öffentliche Stellen des Landes StGB (spezielle Datenschutznorm Staatsanwaltschaft zuständig) 203 StGB Verletzung von Privatgeheimnissen Berufsordnung Datenschutz in der Arztpraxis und im MVZ ULD 5 Systematik des BDSG: Wem gehören die Daten? Grundsätzlich: Alles ist erlaubt, es sei denn es ist verboten! Datenschutzrecht? Verbot mit Erlaubnisvorbehalt ( 4 Absatz 1 BDSG) Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden wenn die Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsvorschrift die Datenverarbeitung erlaubt Die Datenverarbeitung muss gerechtfertigt sein. Datenschutz in der Arztpraxis und im MVZ ULD 6 Seite 3

4 Rechtsgrundlagen Rechtsgrundlagen für der Erhebung, Verarbeitung und Nutzung von Patientendaten Arztpraxen und MVZ sind in der Regel nichtöffentliche Stellen (Wirtschaftsunternehmen), daher richtet sich die rechtliche Beurteilung der Datenverarbeitung nach dem 2. Abschnitt des BDSG und 203 StGB Maßgeblich 28 Abs. 1 Nr. 1 bzw. Abs. 6 BDSG Datenschutz in der Arztpraxis und im MVZ ULD 7 Datenschutzrechtliche Themen in Arztpraxen Gesetzliche Krankenversicherung Abrechnung, Abrechnungskontrolle (auch Qualität, Wirtschaftlichkeit) Elektronische Gesundheitskarte und Telematik- Infrastruktur Abrechnung Praxisgebühr über Anwälte i.a. der KVen? Private Abrechnung Einwilligung in externe Abrechnung (Vorab-) Abtretung von Forderungen Datenverarbeitung in der Arztpraxis Organisation Technikeinsatz Materielle Zulässigkeit Datenschutz in der Arztpraxis und im MVZ ULD 8 Seite 4

5 Das Problem: Datenschutzrecht erlaubt die Datenverarbeitung durch Dritte im Wege der Auftragsdatenverarbeitung ( 11 BDSG) dann bedarf es keiner Einwilligungserklärung des Patienten, da der Arzt selbst verantwortlich für die Datenverarbeitung beim Dritten bleibt (Fernwartung der Systeme, Privatärztliche Abrechnung, usw.) 203 StGB Eine Offenbarung von Patientengeheimnissen an Unbefugte steht unter Strafe. Ein Outsourcing an Dritte ohne Schweigepflichtentbindungserklärung ist demnach nicht zulässig, auch wenn es nach Datenschutzrecht möglich wäre!!!! Datenschutz in der Arztpraxis und im MVZ ULD 9 Patientengeheimnis verpflichtet ÄrztInnen und deren GehilfInnen (angestellte Beschäftigte) Problemfälle: externes Labor, Systemadministrator, Abrechnung Lösung: Schriftliche Einwilligung/Schweigepflichtentbindung Gesetzliche Durchbrechung des Patientengeheimnisses: Sozialgesetzbücher (im Rahmen der Abrechnung) Strafprozessordnung Gesetzlicher Notstand/Nothilfe ( 34 StGB) Datenschutz in der Arztpraxis und im MVZ ULD 10 Seite 5

6 Sozialgeheimnis 35 SGB I gilt für Personen (auch Verstorbene) und Geschäftsdaten Gilt für KVen und Krankenkassen Kann Patientengeheimnis überwinden (SGB V, 76 SGB X) Erlaubt eine Verarbeitung und Nutzung nur auf Grundlage einer ausdrücklichen gesetzlichen Regelung (SGB V, 67 ff. SGB X) Datenschutz in der Arztpraxis und im MVZ ULD 11 Technisch-organisatorische Maßnahmen in der Arztpraxis Diskretionszonen einrichten (Empfangs-, Warte- Behandlungsbereich) Mithörmöglichkeit anderer Patienten verhindern (Behandlung, Telefon, Mehrstuhlpraxis in der Kieferorthopädie) Telefax und Bildschirme nicht einsichtsfähig stellen Sichere Aufbewahrung von Patientenakten (auch Archiv) Zuverlässige Aktenvernichtung Verschwiegenheitsverpflichtung der Bediensteten Bestellung eines betriebl. Datenschutzbeauftragten Vorabkontrolle der EDV Abschottung und Absicherung der Praxis-EDV Sicherstellung (verschwiegene) Systemadministration Datenschutz in der Arztpraxis und im MVZ ULD 12 Seite 6

7 Problemfall: Anbindung der MVZ an Krankenhausinformationssysteme Orientierungshilfe Krankenhausinformationssysteme (OH KIS) MVZ s dürfen KIS-Systeme nicht gemeinsam mit Krankenhaus nutzen möglich bei Mandantenfähigkeit der Systeme - Nutzung in unterschiedlichen Mandanten Sonst: Einwilligung nötig (informiert, freiwillig, bestimmt, schriftlich) Datenschutz in der Arztpraxis und im MVZ ULD 13 Problemfall: Behandlungsvertrag Behandlungsvertrag im MVZ wird mit diesem geschlossen nicht mit einem einzelnen Arzt Daher kann ein gemeinsames Arztinformationssystem in einem MVZ genutzt werden, aber Zugriffsberechtigungen müssen gesetzt sein Nicht jeder Arzt darf alle Daten der anderen Ärzte/Patienten sehen (Behandlungszusammenhang) Datenschutz in der Arztpraxis und im MVZ ULD 14 Seite 7

8 Problemfall: Externe Abrechnung Privilegierung der PVS ( 203 Abs. 1 Nr. 6 StGB) Aber: Einwilligung ist immer nötig (informiert, freiwillig, bestimmt, schriftlich) Praxisproblem: Einschaltung von Auskunfteien, Rechtsanwälten, Inkassofirmen, Vorab-Abtretung der Forderungen Datenschutz in der Arztpraxis und im MVZ ULD 15 Weitere aktuelle Praxisprobleme Anbindung des Praxisrechners ans Internet Hausarztzentrierte Versorgung Wahrnehmung der gesetzlich vorgeschriebenen Verantwortlichkeit durch den Arzt Arzt-Webseiten im Internet Ärztebewertung im Internet (Arztnavigator) Digitale Bilddatenerhebung (Behandlung, Identifizierung/Fotografieren, Praxiskontrolle) Datenschutz in der Arztpraxis und im MVZ ULD 16 Seite 8

9 Hilfen Aktion meiner Arztpraxis des ULD in Kooperation mit der Ärztekammer und der Zahnärztekammer Schleswig-Holstein Virtuelles Datenschutzbüro Datenschutz in der Arztpraxis und im MVZ ULD 17 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Unabhängiges Landeszentrum für Datenschutz Holstenstraße Kiel 0431/ Datenschutz in der Arztpraxis und im MVZ ULD 18 Seite 9

10 Exkurs Rechtliche Bewertung Erfüllung eigener Geschäftszwecke 28 Abs. 1 BDSG Erheben und Speichern personenbezogener Daten Für Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist Datenschutz in der Arztpraxis und im MVZ ULD 19 Exkurs Rechtliche Bewertung Erfüllung eigener Geschäftszwecke 28 Abs. 1 BDSG Beachte: 3 Abs. 9, 28 Abs. 6, 28 Abs. 7 BDSG Besondere Arten personenbezogener Daten 3 Abs. 9 BDSG Gesundheitsangaben 28 Abs. 6 BDSG Erhebung, Verarbeitung und Nutzung besondere Arten personenbezogener Daten nur mit Einwilligung Aber: 28 Abs. 7 BDSG Erhebung zulässig, wenn zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich und die Verarbeitung der Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen Datenschutz in der Arztpraxis und im MVZ ULD 20 Seite 10

11 Exkurs Rechtliche Bewertung Alle von 28 Abs. 7 BDSG erfassten personenbezogenen Daten dürfen zur Erfüllung eigener Geschäftszwecke erhoben werden Soweit Daten davon nicht umfasst sind, bedarf es einer Einwilligung nach 4a Abs. 3 BDSG Freiwillig Schriftlich Informiert Widerrufsmöglichkeit Bezogen ausdrücklich auch auf die besonderen personenbezogenen Daten Datenschutz in der Arztpraxis und im MVZ ULD 21 Exkurs Behandlungsrelevante Daten? Welche personenbezogenen Daten sind behandlungsrelevant? Erhebung und Speicherung personenbezogener Daten durch den Pflegedienst muss erforderlich sein, um eigene Aufgaben zu erfüllen Problem ihrer Anfrage: Welche Daten für die Aufgabenerfüllung erforderlich sind, ist keine datenschutzrechtliche Frage, sondern primär eine aus fachlicher Sicht zu beantwortenden Frage Datenschutz in der Arztpraxis und im MVZ ULD 22 Seite 11

12 Exkurs Konkrete Datenerhebung und -speicherung Maßgeblich ist die Erforderlichkeit der personenbezogenen Daten für die Aufgabenerfüllung Daher: Definition der Aufgabe Definition der Handlungsmöglichkeiten/des Handlungsbedarfs (für jeden einzelnen Betroffenen!!!) Auflistung der dafür erforderlichen personenbezogenen Daten Datenschutz in der Arztpraxis und im MVZ ULD 23 Seite 12