Kassenzahnärztliche Vereinigung Bayerns KZVB

Transkript

1 Kassenzahnärztliche Vereinigung Bayerns

2 Quellen des Datenschutzes Grundgesetz (GG) Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) Bundesdatenschutzgesetz (BDSG) für Ihre Praxis verbindlich Landesdatenschutzgesetze Sozialgesetzbuch Rechtsprechung

3 Ziele des Datenschutzes Schutz des allgemeinen Persönlichkeitsrechts Das allgemeine Persönlichkeitsrecht ist ein Grundrecht! ergibt sich aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG

4 Ziele des Datenschutzes Zielsetzung des BDSG Zweck ergibt sich aus 1 Abs. 1 BDSG Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

5 Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

6 Personenbezogene Daten

7 Personenbezogene Daten

8 Personenbezogene Daten

9 Personenbezogene Daten

10 Personenbezogene Daten Ihre Pflichten: Was müssen Sie beachten?

11 Personenbezogene Daten

12 Personenbezogene Daten

13 Personenbezogene Daten

14 Personenbezogene Daten

15 Personenbezogene Daten

16 Sieben Grundprinzipien im Datenschutz 1. Verbot mit Erlaubnisvorbehalt Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist verboten. - gesetzliche Regelung - freiwillig

17 Sieben Grundprinzipien im Datenschutz 2. Direkterhebung Eine Datenerhebung, also das Beschaffen von Daten, ist nur beim Betroffenen unmittelbar selbst zulässig.

18 Sieben Grundprinzipien im Datenschutz 3. Datensparsamkeit Daten sollen nicht für unbegrenzte Zeit aufbewahrt werden

19 Sieben Grundprinzipien im Datenschutz 4. Datenvermeidbarkeit Die Verarbeitung personenbezogener Daten ist stets an dem Ziel auszurichten, so wenige Daten wie möglich zu verarbeiten

20 Sieben Grundprinzipien im Datenschutz 5. Transparenz Welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund

21 Sieben Grundprinzipien im Datenschutz 6. Zweckbindung schon vor der Verarbeitung festlegen und am besten dokumentieren

22 Sieben Grundprinzipien im Datenschutz 7. Erforderlichkeit Die Datenverarbeitung muss erforderlich sein.

23 Sieben Grundprinzipien im Datenschutz 1. Verbot mit Erlaubnisvorbehalt 2. Direkterhebung 3. Datensparsamkeit 4. Datenvermeidbarkeit 5. Transparenz 6. Zweckbindung 7. Erforderlichkeit

24 Personenbezogene Daten Schutz der Daten: Wie können Sie ihn gewährleisten?

25 Datengeheimnis 5 BDSG legt fest: Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Zu verpflichten ist, wer in der Praxis mit personenbezogenen Daten arbeitet, z. B. Assistenten, Helferin, ZMF. Verpflichtung auf das Datengeheimnis muss bei Tätigkeitsaufnahme erfolgen, idealerweise schriftlich. Datengeheimnis gilt nicht nur während des Beschäftigungsverhältnisses, sondern auch danach!

26 Datengeheimnis

27 Technisch-organisatorische Schutzmaßnahmen Übersicht: Satz 2 der Anlage zu 9 Satz 1 BDSG 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Datentrennung

28 Technisch-organisatorische Schutzmaßnahmen Zutrittskontrolle Zielsetzung Unbefugte sollen Räume nicht betreten können, in denen sich Geräte befinden, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Beispiele für typische Maßnahmen: verschlossene Türen und Fenster Zutrittskontrollsystem Alarmanlage Besucherregelung

29 Technisch-organisatorische Schutzmaßnahmen Zugangskontrolle Zielsetzung Unbefugte sollen Datenverarbeitungssysteme nicht nutzen können. Beispiele für typische Maßnahmen: Passwortschutz Passwortregeln Einsatz von Verschlüsselung Clean Desk

30 Technisch-organisatorische Schutzmaßnahmen Zugriffskontrolle Zielsetzung Berechtigte sollen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und diese bei der Verarbeitung und Nutzung nicht unbefugt lesen, kopieren, verändern oder entfernen können. Beispiele für typische Maßnahmen: Verschlüsselung von Daten Passwortschutz Berechtigungskonzept und -vergabe

31 Technisch-organisatorische Schutzmaßnahmen Weitergabekontrolle Zielsetzung Personenbezogene Daten sollen bei elektronischer Übertragung, während des Transports oder bei Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können;

32 Technisch-organisatorische Schutzmaßnahmen Eingabekontrolle Zielsetzung Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

33 Technisch-organisatorische Schutzmaßnahmen Verfügbarkeitskontrolle Zielsetzung Personenbezogene Daten sollen gegen zufällige Zerstörung oder Verlust geschützt sein. Beispiele für typische Maßnahmen: Datensicherungen Notfallkonzepte unterbrechungsfreie Stromversorgung bei Servern

34 Technisch-organisatorische Schutzmaßnahmen Datentrennung Zielsetzung Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, sollen auch nur getrennt verarbeitet werden können. Beispiele für typische Maßnahmen: technische oder logische Trennung von Datenbeständen Trennung von Internet und Rechner mit praxiseigenen Datenbanken

35 Datenschutz im Praxisalltag 1. Einhaltung des Clean-Desk-Prinzips Reinen Tisch machen bedeutet: Aufräumen Wegschließen Abschließen Unterlagen, Dokumente, Akten, Datenträger mit personenbezogenen Daten oder sensiblen Informationen für Unberechtigte unzugänglich aufbewahren Schränke und Ablagen sowie Fenster und Türen bei längerer Abwesenheit bzw. bei Feierabend verschließen und abschließen

36 Datenschutz im Praxisalltag 2. Passwortsicherheit Sichere Passwörter wählen idealerweise mehr als 10 Stellen, Groß- u. Kleinbuchstaben, Sonderzeichen keine leicht zu erratenden Passwörter Eselsbrücken nutzen z.b. Anfangsbuchstaben eines Gedichts oder einer Liedzeile Mein Hut der hat 3 Ecken, 3 Ecken hat mein Hut = MHdh333E#drei>hmH@t Passwörter regelmäßig wechseln erhöht erheblich die Sicherheit

37 Datenschutz im Praxisalltag Passwörter nicht aufschreiben Auch hier gilt: Gelegenheit macht Diebe! Unterschiedliche Passwörter für unterschiedliche Systeme Passwörter nicht weitergeben Passwörter gehen niemanden etwas an, Missbrauch anderer fällt gegebenenfalls auf Sie zurück.

38 Datenschutz im Praxisalltag 3. Die Praxis vor Viren schützen Dateien, Dokumente, -Anhänge, Präsentationen aus unzuverlässigen Quellen nicht öffnen Dateien von CDs oder USB-Sticks im Zweifel mit dem Virenscanner auf Viren prüfen Virenscanner aktuell halten Virenscanner nicht umgehen oder deaktivieren nicht eigenmächtig Software installieren, insbesondere nicht solche aus unzuverlässigen Quellen; Rücksprache mit Ihrem Softwarehaus

39 Datenschutz im Praxisalltag 4. Computer bei Abwesenheit sperren Vorteil: Unbefugte können nicht unter Ihrer Identität am Computer arbeiten und gegebenenfalls Schaden anrichten oder Daten entwenden bzw. zerstören. Aktivierung durch Tastenkombination: Strg + Alt +Entf Computer sperren Tastenkombination: Windowstaste + L Automatische Computersperre einrichten z. B. nach 15 Minuten Nichtnutzung: Bildschirmschoner mit Passwortabfrage

40 Datenschutz im Praxisalltag 5. Auskünfte gegenüber Dritten Auskünfte gegenüber Dritten sollten nur gegeben werden, wenn feststeht, dass es sich um keine Unbefugten handelt.

41 Datenschutz im Praxisalltag 6. Entsorgung von Papier und Speichermedien Unterlagen und Papierdokumente mit personenbezogenen oder vertraulichen Informationen sicher entsorgen Aktenvernichter/Schredder Datenschutztonne Datenträger (Festplatten, USB-Sticks, CDs/DVDs) vor der Entsorgung datenschutzkonform löschen Überschreiben, Löschprogramm Tipp: physikalische Zerstörung

42 Datenschutzbeauftragter Wesentliche Aufgaben Hinwirken auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz Durchführung von so genannten Vorabkontrollen Kontrolle, dass Datenverarbeitungsprogramme ordnungsgemäß eingesetzt werden, mit denen personenbezogene Daten verarbeitet werden Beschäftigte für das Thema Datenschutz sensibilisieren und mit den Anforderungen vertraut machen (insbesondere die bei der Verarbeitung personenbezogener Daten tätigen Personen)

43 Datenschutzbeauftragter Erforderlichkeit eines Datenschutzbeauftragten (DSB) Sobald in einer Praxis mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss der Praxisinhaber einen DSB bestellen. Bei nichtautomatisierter Verarbeitung besteht die Pflicht ab 20 Personen. Bei weniger als neun Personen?

44 Für Rückfragen: Herbert Thiel Bereichsleiter Innere Verwaltung Datenschutzbeauftragter der KZVB Tel.: 089/ Fax: 089/ rvlsoft - Fotolia.com