Datenschutz-Kontrollfragen für Arztpraxen



Ähnliche Dokumente
Selbst-Check für Heilpraktikerpraxen

Vertrauen ist gut, Kontrolle ist besser. Datenschutz in der Arztpraxis

Datenschutz und Verschwiegenheit. Qualitätsmanagement in der ärztlichen Praxis DrOP 2015 Folie Nr.: 1

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Selbst-Check für Arzt-/Zahnarztpraxen

Datenschutz in Arztpraxen/MVZ

Nutzung dieser Internetseite

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Diese Broschüre fasst die wichtigsten Informationen zusammen, damit Sie einen Entscheid treffen können.

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Anmeldung für ein Ehrenamt in der Flüchtlingsbetreuung

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Teilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:

Allgemeine Informationen zum Thema Patientenkartei bei Praxisbeendigung und Praxisübergabe

Bestandskauf und Datenschutz?

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutz und Schule

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

IHR PATIENTENDOSSIER IHRE RECHTE

Die beiden Seiten der Medaille beim -Marketing

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Einwilligungserklärung

Der Schutz von Patientendaten

Gewinnspiel-Bedingungen

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Informationen zum Begleiteten Fahren ab 17

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Anleitung zum neuen Überaumbuchungssystem der Hochschule für Musik und Tanz Köln

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Promotionsprotokoll. Name, Vorname. Betreuer. Thema der Promotion. Beginn der Promotion. Voraussichtliches Ende der Promotion

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Hinweise zum Datenschutz, Einwilligungs-Erklärung

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Meine Daten. Mein Recht

Quick Guide Trainer. Fairgate Vereinssoftware. Zürich Oberland Pumas Postfach Pfäffikon ZH

Mit Sicherheit gut behandelt.

Internationales Altkatholisches Laienforum

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Bedienungsleitfaden ERINNERUNGSDIENST. Ein Service für gesündere Zähne und gesundes Zahnfleisch unterstützt von

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Mindestlohn was geht uns das an?

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Anleitung für die Hausverwaltung

Punkte Flensburg System: Punktesystem - Warum gibt es das Punktesystem?

Kirchlicher Datenschutz

Befragung zum Migrationshintergrund

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

Datenschutzhinweise. Allgemeiner Teil

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Schriftliche Opfererklärung und Rederecht

Wie erleben Verbraucher IGeL? Ergebnisse einer Umfrage der Verbraucherzentralen

Leichte-Sprache-Bilder

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Personal- und Patientendaten Datenschutz in Krankenhäusern

Facebook und Datenschutz Geht das überhaupt?

Anlage zur Auftragsdatenverarbeitung

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Informationen zur (SIGNAL IDUNA AB-RKV 2014)

Mail-Signierung und Verschlüsselung

IT-Trend-Befragung Xing Community IT Connection

Verpflichtung auf das Datengeheimnis

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Stand: Adressnummern ändern Modulbeschreibung

BEWERBUNG DER FAMILIE

Pflichtangaben einer ordnungsgemäßen Rechnung

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

PROFIS Software Lösungen

Aus der Praxis für die Praxis Arbeitshilfe Foto- und Bildrechte, Urheberrechte von Menschen im Verein

Schul-IT und Datenschutz

Datenschutzbeauftragte

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Datenschutz ist Persönlichkeitsschutz

Liste der Änderungen der UPS Grundsätze zum Datenschutz mit Wirkung vom 28. April 2005

Zwischenablage (Bilder, Texte,...)

Vernichtung von Datenträgern mit personenbezogenen Daten

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

RHENUS OFFICE SYSTEMS. Partner im Gesundheitswesen

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Statuten in leichter Sprache

I Serverkalender in Thunderbird einrichten

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Vereinbarung Auftrag gemäß 11 BDSG

Transkript:

Datenschutz-Kontrollfragen für Arztpraxen Unbefugte Augen, Ohren und Hände dürfen keinen Zugang zu Patientendaten haben! Bei der Verarbeitung von Patientendaten in einer Arzt-/Zahnarztpraxis sind nicht nur die allgemeinen datenschutzrechtlichen Vorschriften des Bundesdatenschutzgesetzes (BDSG), sondern zudem die besonderen Anforderungen der ärztlichen Schweigepflicht zu beachten. Die Anforderungen an den Schutz des Patientengeheimnisses sind hoch. Es gilt viele Fehlerquellen zu bedenken. Nicht nur Ärzte/Zahnärzte, sondern auch die Mitarbeiterinnen und Mitarbeiter der Praxis tragen die Verantwortung. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist Aufsichtsbehörde und überwacht in Schleswig-Holstein die Einhaltung der datenschutzrechtlichen Vorschriften. Selbstverständlich steht das ULD Ärzten und Patienten aber auch jederzeit für Fragen gern zur Verfügung. Diese Datenschutz-Kontrollfragen sollen Arztpraxen helfen, ihrer Verantwortung gerecht zu werden, und wenn auch nicht alle, doch zumindest viele Fragestellungen aufzeigen. Wird eine Frage mit NEIN beantwortet, besteht u. U. Handlungsbedarf! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße 98 24103 Kiel Telefon: +49 (0) 431 988-1200 Telefax: +49 (0) 431 988-1223 E-Mail: mail@datenschutzzentrum.de www.datenschutzzentrum.de Seite 1 von 6

Empfang/Anmeldung ja nein Ist sichergestellt, dass Besucher die Praxis nicht unbemerkt betreten können? Ist der Empfang der Praxis stets besetzt? Können Patienten ihre Anliegen schildern, ohne dass neugierige Ohren mithören (Diskretionszone, Einzelabfertigung, )? Hat das Praxispersonal Vorgaben, welche Fragen am Empfang zu stellen sind und welche nicht? Werden Daten für die Anmeldung ggf. schriftlich erhoben (Anmeldebögen)? Wird von einem Patienten nur dann ein Foto gemacht, wenn dieser zuvor schriftlich eingewilligt hat? Wird dem Patienten erklärt, wofür eine Telefonnummer oder der E-Mail- Adresse benötigt wird, und dass diese Angaben grundsätzlich freiwillig sind? Kann das Personal Telefongespräche führen, ohne dass Unbefugte mithören? Sind Patientenunterlagen wie Karteikarten oder Terminkalender vor dem Zugriff und der Einsicht durch Unbefugte geschützt? Sind Telefaxgeräte und Bildschirme so aufgestellt, dass diese nicht von Unbefugten eingesehen werden können? Ist der Empfang deutlich vom Wartebereich getrennt ( Keine Wartestühle für Patienten am Empfang! )? Eine Videoüberwachung am Empfang ist grundsätzlich unzulässig. Wird eine Online-Anmeldung bzw. eine Online-Termin-Vergabe angeboten, sind besondere Anforderungen an die Datensicherheit zu beachten. Behandlungsbereich ja nein Sind Behandlungsräume so gestaltet, dass neugierige Augen und Ohren ausgeschlossen werden? Erfolgen insbesondere vertrauliche Arzt-Patienten-Gespräche in geschlossenen Räumen (Tür zu!)? Sind die Behandlungsräume ausreichend schallisoliert, oder kann man vor der Tür mithören? Wird sichergestellt, dass Behandlungen/Gespräche nicht in Bereichen erfolgen, die nur durch einen Vorhang geschützt sind? Ist sichergestellt, dass sich Patienten nicht unbeaufsichtigt in Behandlungsräumen aufhalten ( Gehen Sie schon mal in den Raum 3 ) Sind Patientenunterlagen in den Behandlungsräumen gegen unbefugte Kenntnis- bzw. Einsichtnahme geschützt? Ist ausgeschlossen, dass Patienten in den Behandlungsräumen unbeaufsichtigt Zugang zu den Computern haben? Grundsätzlich haben Patienten Anspruch darauf, nicht im Beisein anderer Patienten behandelt zu werden. Auch wenn das Praxispersonal Behandlungsräume betritt oder verlässt müssen neugierige Ohren und Augen ausgesperrt bleiben. Eine Videoüberwachung in den Behandlungsbereichen ist grundsätzlich unzulässig. Seite 2 von 6

Wartebereich ja nein Ist der Wartebereich vom Empfang und dem Behandlungsbereich so getrennt, dass wartende Patienten nicht unbefugt Kenntnis von Patientendaten erhalten? Ist der Wartebereich derart gestaltet, dass wartende Patienten nicht hören kann, was am Empfang besprochen wird? Ist z. B. die Tür zum Wartezimmer grundsätzlich geschlossen? Eine Videoüberwachung im Wartebereich ist grundsätzlich unzulässig. Keine Wartestühle direkt vor den Behandlungsräumen! Hinweis! Patienten dürfen mit ihrem Namen aufgerufen werden. E D V Teil I ja nein Wird sichergestellt, dass für die Verarbeitung von Patientendaten ausschließlich autorisierte Hardware, also keine privaten Laptops oder Smartphones verwendet wird? Werden in der Praxis ausschließlich autorisierte Verfahren eingesetzt, die in einem Verfahrensverzeichnis ( 4e BDSG) erfasst sind? Sind Computer mit Patientendaten, die mit dem Internet verbunden sind, tatsächlich ausreichend geschützt ( firewall )? Sind auf den Computern Virenschutzprogramme installiert und werden diese täglich aktualisiert? Existiert ein Notfall-Handlungskonzept für den Fall eines Sicherheitsvorfalles (z. B. Virenbefall)? Sind ausreichende Sicherheitsvorkehrungen getroffen worden, wenn WLAN verwendet wird (Verschlüsselung, starkes Passwort für den WLAN-Router, Übertragung des Funknetznamens (SSID) im Router deaktiviert, )? Wird eine Praxis-Software verwendet, die Patientendaten grundsätzlich verschlüsselt speichert? Werden für die Speicherung von Patientendaten Verfahren genutzt, die die Möglichkeit einer Löschung dieser Daten vorsehen? Wird regelmäßig eine verschlüsselte Sicherungskopie der Daten gefertigt (möglichst jeden Tag, mindestens einmal die Woche)? Werden diese Sicherungskopien ausreichend gegen Diebstahl, Brand etc. geschützt? Wird insbesondere in großen Praxen durch ein Berechtigungskonzept sichergestellt, dass Ärzte und Praxismitarbeiter nur auf die für ihre Aufgabe erforderlichen Daten zugreifen können (eingeschränktes Benutzerprofil)? Werden lesende und ändernde Zugriffe auf Patientendaten protokolliert? Sind Drucker und Faxgeräte vor unbefugtem Zugriff geschützt? Seite 3 von 6

E D V Teil II ja nein Ist der Zugang zu den eingesetzten Computern durch ein Passwort geschützt? Hat jeder Mitarbeiter der Praxis ein eigenes, geheimes Passwort? Entspricht das Passwort dem aktuellen Sicherheitsstandard (mindestens 8 Stellen, bestehend aus Buchstaben, Zahlen und Sonderzeichen)? Ist es technisch vorgesehen, dass das Passwort nach einer gewissen Zeit geändert werden muss? Sind auf den Bildschirmen (insbesondere in den Behandlungsräumen) passwortgeschützte Bildschirmschoner aktiviert? Sind die Bildschirme so aufgestellt, dass diese nicht durch Unbefugte eingesehen werden können? Bei einer Administration der EDV durch ein externes Unternehmen kann ein Zugriff auf Patientendaten nicht ausgeschlossen werden. Rechte und Pflichten des externen Dienstleister müssen in einem schriftlichen Vertrag definiert werden ( 11 BDSG). Eine Fernwartung der EDV durch ein externes Unternehmen darf nur erfolgen, wenn die Freigabe durch die Praxis erfolgt, die Fernwartung protokolliert und von einem Praxismitarbeiter kontrolliert wird. Wenn eine Praxis eine eigene Website oder eine Fanpage betreibt, stellen sich weitere datenschutzrechtliche Fragen! Patientenrechte ja nein Ist das Praxispersonal ausreichend über die Rechte von Patienten (Auskunft, Akteneinsicht, Aushändigung von Kopien, Korrektur unrichtiger Daten, Löschung von Daten etc.) informiert? Ist das Praxispersonal darauf vorbereitet, was zu veranlassen ist, wenn ein Patient z. B. Akteneinsicht beantragt und/oder Kopien aus der Patientenakte verlangt? Werden Patienten darüber unterrichtet, welche Daten zu welchem Zweck erhoben und gespeichert werden? Wird Patienten darüber Auskunft gegeben, an welche Stellen welche Patientendaten zu welchem Zweck übermittelt wurden? Ist bekannt, dass die Berufsordnungen der Ärzte-/Zahnärztekammern vorsehen, dass Patientendaten nach Abschluss der Behandlung noch 10 Jahre aufzubewahren, dann jedoch grundsätzlich zu löschen sind? Solange die Aufbewahrungsfrist nicht abgelaufen ist, haben Patienten keinen Anspruch darauf, dass die Original-Unterlagen vernichtet oder an den Patienten ausgehändigt werden. Achtung bei einer Datenpanne! Erhalten Unbefugte Kenntnis von Patientendaten, müssen die Betroffenen Patienten von den Arztpraxen hierüber grundsätzlich unterrichtet werden ( 42a BDSG). Seite 4 von 6

Datenübermittlung ja nein Ist sichergestellt, dass bei Zweifeln bzgl. der Zulässigkeit einer Übermittlung von Patientendaten vorab eine rechtliche Klärung erfolgt (z. B. über die Zahnärzte-/Ärztekammer oder das ULD)? Werden (geprüfte) Mustererklärungen zur Entbindung von der ärztlichen Schweigepflicht verwendet, in denen Patienten ausreichend erklärt wird, welche Daten für welche Zwecke an welche Empfänger weitergegeben werden (siehe Muster des ULD)? Wird bei jeder Übermittlung von Patientendaten in der Patientendokumentation dokumentiert, welcher Empfänger welche Daten erhalten hat? Wird darauf geachtet, dass bei der Übermittlung von Patientendaten die Empfänger nicht mehr Informationen erhalten, als diese zur Erfüllung ihrer spezifischen Aufgaben benötigen? Wird sichergestellt, dass bei Anfragen von Dritten, z.b. privaten Versicherungen, geprüft wird, ob die geforderten Auskünfte, Berichte oder Bescheinigungen dem Patienten zur Weiterleitung ausgehändigt werden könnten? Wird sichergestellt, dass Patienten keine Einwände gegen die Einbeziehung und Unterrichtung von mit- und nachbehandelnden Ärzten (auch Laborärzten) haben? Wird vor der Beauftragung einer privatärztlichen Verrechnungsstelle die schriftliche Einwilligung des Patienten eingeholt? Erhalten Angehörige von Patienten grundsätzlich nur dann Auskunft, wenn der Patient sich hiermit (möglichst schriftlich) einverstanden erklärt hat? Werden für die Übermittlung von Patientendaten sichere Übermittlungswege genutzt? Unverschlüsselte E-Mails sind grundsätzlich unzulässig. Ein Fax sollte eine Ausnahme sein. Eine Übermittlung von Patientendaten ist nur zulässig, wenn eine gesetzliche Befugnis oder die Einwilligung (Schweigepflichtentbindungserklärung) vorliegt. Die Verantwortung für die Zulässigkeit einer Übermittlung von Patientendaten trägt nicht die anfragende Stelle, sondern grundsätzlich die Arztpraxis. Outsourcing / Beauftragung von Dienstleistern ja nein Werden mit den Auftragnehmern schriftliche Verträge geschlossen? Enthalten diese Verträge die gesetzlichen Vorgaben des 11 BDSG? Werden die Patienten über die Beauftragung externer Dienstleister unterrichtet und wird deren schriftliche Einwilligung (Schweigepflichtentbindungserklärung) eingeholt? Bei der Beauftragung eines externen Dienstleisters, z.b. mit der Administration der EDV oder der Aktenvernichtung kann oftmals ein Zugriff auf Patientendaten nicht grundsätzlich ausgeschlossen werden. Der Arzt benötigt eine ausreichende Befugnis, um sich nicht strafbar zu machen. Seite 5 von 6

Praxisverwaltung ja nein Sind Mitarbeiterinnen und Mitarbeiter über ihre Befugnisse und gesetzlichen Pflichten bei der Wahrung der Schweigepflicht ausreichend informiert und wurden diese schriftlich auf das Datengeheimnis verpflichtet ( 5 BDSG)? Wurde ein betrieblicher Datenschutzbeauftragter bestellt ( 4f BDSG)? Verfügt die Praxis über ein Datenschutzkonzept? Sind schriftliche Patientenunterlagen, wie z. B. Karteikarten und Patientenakten vor dem Zugriff und der Einsicht durch Unbefugte geschützt? Sind abschließbare Aktenschränke vorhanden? Werden diese nach Dienstschluss verschlossen? Ist die Aufbewahrung von alten Akten sicher organisiert (kein offener Keller )? Sind die Praxisräume, in denen sich Patientendaten/Abrechnungsdaten befinden, ausreichend gegen Einbruch geschützt? Ist sichergestellt, dass das Reinigungspersonal keinen Zugang zu Patientendaten hat? Werden in der Praxis ausschließlich Shredder für die Aktenvernichtung verwendet, die eine ausreichende Sicherheitsstufe haben? Ein N E I N bedeutet Handlungsbedarf Folgen einer Verletzung des Patientengeheimnisses Wer als Arzt, Zahnarzt oder Mitarbeiter einer Arzt-/Zahnarztpraxis unbefugt Patientendaten offenbart, dem droht eine Geldstrafe oder eine Freiheitsstrafe bis zu zwei Jahren ( 203 Strafgesetzbuch - StGB). Ein datenschutzrechtlicher Verstoß kann als Ordnungswidrigkeit mit einer Geldbuße bis zu 300.000 Euro geahndet werden ( 43 BDSG). Bei einer Datenpanne muss die Praxis die Aufsichtsbehörde und jeden betroffenen Patienten unterrichten ( 42a BDSG). Wird entgegen der gesetzlichen Pflicht kein Datenschutzbeauftragter bestellt, droht eine Geldbuße in Höhe von bis zu 50.000 Euro ( 43 BDSG). Weitere Informationen / Ansprechpartner finden Sie hier Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Empfehlungen der Bundesärztekammer zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis Ärztekammer Schleswig-Holstein Zahnärztekammer Schleswig-Holstein Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback