Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...

Rechtsanwalt Peter Ihle

Hauptgeschäftsführer der ZÄK M-V

Datenschutz in der

Zahnarztpraxis

1. Rechtsvorschriften

2. Verarbeitungsgrundsätze

3. Begriffsbestimmungen

4. Maßnahmen

1. Rechtsvorschriften

Rechtsvorschriften

Die DSGVO ist am 25.05.2016 in Kraft getreten und

ab dem 25.05.2018 anwendbar

2. Verarbeitungsgrundsätze

Grundsätze der Datenverarbeitung nach DSGVO

Rechtmäßigkeit

Recht auf informationelle Selbstbestimmung:

Der Umgang mit personenbezogenen Daten ist

verboten, sofern keine Erlaubnis vorliegt.

Konkreter:

Die Verarbeitung von …..Gesundheitsdaten ist

grundsätzlich untersagt, Art. 9 Abs. 1 DSGVO.

Rechtmäßigkeit, z.B.

-Verarbeitung ist zur Erfüllung eines Vertrages

erforderlich

- Verarbeitung ist zur Erfüllung rechtlicher

Verpflichtungen erforderlich

-Einwilligung des Betroffenen

-Auch: Schutz lebenswichtiger Interessen und

berechtigtes Interesse des Verantwortlichen

(Interessenabwägung erforderlich)

Die Verarbeitung von Gesundheitsdaten ist u.a.

zulässig im Bereich der Prävention, der Diagnose,

der direkten (zahn-)ärztlichen Behandlung sowie in

der Nachversorgung, Art. 9 Abs. 2 h.) DSGVO

- Die zahnärztliche Behandlung erfolgt in der

Regel aufgrund gesetzlicher Verpflichtung

(Versorgungsauftrag) und vertraglicher

Vereinbarung (Behandlungsvertrag), sodass

regelmäßig keine gesonderte Einwilligung für die

Datenverarbeitung erforderlich ist.

-Ausnahmen z.B.:

Aufnahme Recall, Nutzung von

Verrechnungsstellen u.ä.

Einwilligung bei Minder-jährigen

-Kommentar zu Art. 7 DSGVO:

Die Wirksamkeit einer Einwilligung setzt eine

entsprechende Einsichtsfähigkeit der betroffenen

Person voraus, die im Einzelfall zu beurteilen ist.

Transparenz

Der Betroffene ist umfassend über die

Datenerhebung zu informieren.

Zweckbindung

Daten dürfen nur für die Zwecke verwendet

werden, für die sie erhoben wurden.

Datenminimierung

Es dürfen nur Daten erhoben werden, die zur

Erreichung des Zweckes erforderlich sind.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig

und erforderlichenfalls auf dem neuesten Stand

sein; es sind alle angemessenen Maßnahmen zu

treffen, damit personenbezogene Daten, die im

Hinblick auf die Zwecke ihrer Verarbeitung

unrichtig sind, unverzüglich gelöscht oder

berichtigt werden.

Speicherbegrenzung

Personenbezogene Daten müssen in einer Form

gespeichert werden, die die Identifizierung der

betroffenen Personen nur so lange ermöglicht, wie

es für die Zwecke, für die sie verarbeitet werden,

erforderlich ist.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise

verarbeitet werden, die eine angemessene

Sicherheit der personenbezogenen Daten

gewährleistet, einschließlich Schutz vor unbefugter

oder unrechtmäßiger Verarbeitung und vor

unbeabsichtigtem Verlust, unbeabsichtigter

Zerstörung oder unbeabsichtigter Schädigung

durch geeignete technische und organisatorische

Maßnahmen.

Rechenschaftspflicht (neu)

Beweislastumkehr:

Der Verantwortliche ist für die Einhaltung der

vorgenannten Verpflichtungen verantwortlich und

muss deren Einhaltung nachweisen können.

Bußgelder (neu)

Abhängig von der Art des Verstoßes

bis zu 20.000.000 Euro bzw. bis zu 4% des

Jahresumsatzes.

3. Begriffsbestimmungen

Adressat DSGVO

Jeder, der außerhalb des rein privaten Bereichs

mit personenbezogenen Daten umgeht, z.B.:

Unternehmen (Arzt- und Zahnarztpraxen)

Verbände (ZÄK)

Vereine

Adressat DSGVO

Gilt nicht bei Verarbeitung rein persönlicher,

familiärer Daten durch natürliche Personen

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte

oder identifzierbare natürliche Person beziehen,

z.B. Namen, Geburtsdaten, Adresse,

Familienstand, Gesundheitsdaten etc.

Verarbeitung

Jeder mit oder ohne Hilfe automatisierter Verfahren

ausgeführter Vorgang im Zusammenhang mit

personenbezogenen Daten wie das Erheben, das

Erfassen, die Organisation, das Ordnen, die

Speicherung, die Anpassung oder Veränderung,

das Auslesen, das Abfragen, die Verwendung, die

Offenlegung durch Übermittlung, Verbreitung oder

eine andere Form der Bereitstellung, den Abgleich

oder die Verknüpfung, die Einschränkung, das

Löschen oder die Vernichtung

Verantwortlicher

Die natürliche oder juristische Person, Behörde,

Einrichtung oder andere Stelle, die allein oder

gemeinsam mit anderen über die Zwecke und

Mittel der Verarbeitung von personenbezogenen

Daten entscheidet.

Auftragsverarbeitung

Verarbeitung personenbezogener Daten durch

eine natürliche oder juristische Person, Behörde,

Einrichtung oder andere Stelle im Auftrag des

Verantwortlichen, z.B.

-Zahntechniker (str.),

-Steuerberater,

-IT-Betreuer.

4. Maßnahmen (Was ist zu

www.zaekmv.de/zahnaerzte/praxisfuehrung/datenschutz/

- Meldung von Datenschutzverstößen innerhalb von

72 Stunden an Landesdatenschutzbeauftragten

- Aufstellung interner Datenschutzrichtlinien

Erstellung eines Verarbeitungsverzeichnisses

Für jedes Datenverarbeitungsverfahren ist ein

Verzeichnis von Verarbeitungstätigkeiten zu

erstellen, wenn

……

die Verarbeitung besondere Datenkategorien

gemäß Art. 9 Abs. 1 DSGVO einschließt

Verfahren sind z.B.:

Führung von Patientenakten

Terminverwaltung

Honorarabrechnung

Forderungsdurchsetzung

Patientenrecall

Buchhaltung

Lohnbuchhaltung

Führung der Personalakte etc.

Notwendiger Inhalt:

-Name und Kontaktdaten der Praxis

-Namen und Kontaktdaten eines DB

-Zweck der Datenverarbeitung

-Art der betroffenen Personen (Patient, Mitarbeiter,

Lieferant)

-Art der verarbeiteten Daten (Gesundheitsdaten,

Arbeitsvertragsdaten etc.)

-Mögliche Empfänger übermittelter Daten (KZV,

Verrechnungsstellen, Krankenkassen)

-Maßnahmen der Datensicherheit

GAP Analyse

Suche nach Datenschutzlücken

-Rechtmäßigkeit

-Datensparsamkeit

-Datenrichtigkeit

-Löschfristen

-Zugriffsrechte

-Zugangskontrolle

Datensicherheit

Technische und organisatorische Maßnahmen

-Verschlüsselung (Emails!!!)

-Pseudonymisierung (soweit möglich)

-Stabilität, d.h. Sicherstellung der Vertraulichkeit,

Verfügbarkeit etc.

-Wiederherstellbarkeit (Schutz vor Datenverlust)

-Regelmäßige Überpüfung

Auftragsvereinbarungen

Werden personenbezogene Daten von anderen

natürlichen oder juristischen Personen bearbeitet,

ist der Auftragsverarbeiter zur Einhaltung

datenschutzrechtlicher Bestimmungen zu

verpflichten.

Auftragsvereinbarungen

Datenschutzinformation

Betroffenenrechte:

- Informationspflicht bei Erhebung von Daten

- Informationspflicht, wenn Daten nicht bei

Betroffenen erhoben wurden

- Auskunftsrecht (Ob und Umfang der

Datenerhebung)

- Recht auf Berichtigung, Löschung, Widerspruch,

Einschränkung und Übertragbarkeit

Alle Informationen, die sich auf die Verarbeitung

beziehen, sind in präziser, transparenter,

verständlicher und leicht zugänglicher Form

in einer klaren und einfachen Sprache zu

übermitteln; dies gilt insbesondere für

Informationen, die sich speziell an Kinder

richten.

- Allgemeine Hinweise für jeden Patienten und

Mitarbeiter

- Allgemeine Hinweise auf Websites

Datenschutzinformation. Inhalt:

-Name und Kontaktdaten der Praxis

-Name und Kontaktdaten des DB

-Art der verarbeiteten Daten

-Zweck der Datenverarbeitung

-Art betroffener Personen

-Mögliche Datenempfänger

-Löschfristen

-Datenschutzrechtliche Ansprüche d. Betroffenen

-Widerrufsrecht

-Beschwerderecht

Datenschutzinformation.

Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung dient der Bewertung

von hohen Risiken im Zusammenhang mit

Datenverarbeitungsvorgängen. Bei der Verarbeitung von

Gesundheitsdaten geht der Gesetzgeber grundsätzlich von

einem abstrakten Risiko für die Rechte und Freiheiten der

Patienten aus, wenn sie umfangreich sind. In der Regel

wird in einer Zahnarztpraxis keine Datenschutzfolgen-

abschätzung erforderlich sein. Besondere Umstände

könnten diese allerdings erforderlich machen (Verwendung

einer Cloud oder von Gesundheitsapps, Teilnahme an

Netzwerken etc.)

Datenschutzfolgenabschätzung

„Eine besondere Form der Dokumentation verlangt in

bestimmten Fällen die Datenschutz-Folgenabschätzung. Eine

Datenschutz-Folgenabschätzung kann bei einer umfangreichen

Verarbeitung von Gesundheitsdaten erforderlich sein.

Verarbeiten in einer Praxis weniger als 10 Personen

personenbezogene Daten (Mitarbeiter und Ärzte), wird in

der Regel nicht von einer umfangreichen Verarbeitung von

Gesundheitsdaten auszugehen sein. Allerdings können auch

andere Risikofaktoren, wie beispielsweise die Speicherung von

Patientendaten in einer Cloud, die Einbindung von

Gesundheitsapps, die Übermittlung von Gesundheitsdaten in

Drittstaaten im Rahmen von Forschungsvorhaben oder die

Teilnahme an Gesundheitsnetzwerken eine Datenschutz-

Folgenabschätzung erforderlich machen. „

Bestellung eines Datenschutzbeauftragten?

Erforderlich, wenn mindestens 10 Personen in der

Praxis regelmäßig mit der automatisierten

Datenverarbeitung beschäftigt (d.h. befasst) sind.

Praxisinhaber sind zu berücksichtigen.

- Extern oder intern?

- Mitteilung an Landesdatenschutzbehörde

Aufgaben:

- Praxisleitung unterstellt, aber nicht

weisungsgebunden

- Überwachung der Datenverarbeitungsprozesse

- Beratung und Schulung

- Kontakt zur Datenschutzbehörde

Sonstige Maßnahmen

- Meldung von Datenschutzverstößen innerhalb von

72 Stunden an Landesdatenschutzbeauftragten

- Aufstellung interner Datenschutzrichtlinien

Selbstcheck

- https://www.datenschutzzentrum.de/uploads/medi

zin/arztpraxis/171101_Selbst_Check.pdf

Datenschutz in der Zahnarztpraxis · Hauptgeschäftsführer der ZÄK M-V...

Documents

Prävention psychischer Fehlbelastungen ein wichtiges Ziel der Gemeinsamen Deutschen Arbeitsschutzstrategie Dr. Walter Eichendorf stv. Hauptgeschäftsführer

ZAHNARZTPRAXIS Dr. Mohr & Kollegen - Neu-Isenburg / Frankfurt Main

Cecconi Dental - Zahnarzt / Zahnarztpraxis in Dietlikon

ERGONOMIE IN DER ZAHNARZTPRAXIS Gesünder sitzen, … · 2 AmericanDentalNews PRAXIS Oktober 2015 · Ausgabe IV FORTSETZUNG VON SEITE 1– ERGONOMIE IN DER ZAHNARZTPRAXIS ren Vergrößerung

78 79 Lebensart Zahnarztpraxis Dr. Köhler Anzeige SCHÖNE ... · 78 | 79 Lebensart Zahnarztpraxis Dr. Köhler SCHÖNE ZÄHNE, ENTSPANNTES LÄCHELN SÜDRING 104 · 33332 GÜTERSLOH

Praxisnews 2014-1 Zahnarztpraxis Dr. Liermann in Köln

VIA-Dent. Praxisbroschüre - Zahnarztpraxis aus Ötisheim Mühlacker & Pforzheim

Parodontitisbehandlung mit dem Laser - Zahnarztpraxis in Köln

Beschluss der FIBAA- Akkreditierungskommission für …static.fibaa.org/berichte/progakkred_k2h/B_Hamburg_KLU_2700_KB.pdfPersonalberatung Stanton Chase International IHK Hauptgeschäftsführer

ZAHNARZTPRAXIS Dr. Mohr & Kollegen in Neu-Isenburg bei Frankfurt am Main

Farben in der Zahnarztpraxis – ein Wohlfühlfaktordigital-dental-magazin.de/wp-content/uploads/Farben-in-der-Zahnarztpraxis...Reaktion gibt, kann die positive Wirkung einer psychologischen

DREI GENERATIONEN HAUPTGESCHÄFTSFÜHRER Wechsel an …

VIA-Dent Vorsorge - Zahnarztpraxis - Mühlacker - Pforzheim

Instrumenten-Aufbereitung in der Zahnarztpraxis

TQM in der Zahnarztpraxis - qmg.de · TQM in der Zahnarztpraxis Seite 2 /16 2000 Dr. Roger Harr, Hauptstrasse 49, CH-4435 Niederdorf, SWITZERLAND Tel. Praxis ++41 61 961 85 77, Fax

QM in der Zahnarztpraxis - wissenschaft-shop.de · QM in der Zahnarztpraxis Vertragszahnarzt ist verpﬂ ichtet, ein Risiko- und Fehlermanagement durchzuführen. Die Mindeststan-dards

Unternehmenspräsentation von Coco: Zahnarztpraxis Runge

Präsentiert Zahnarztpraxis Dr. Winter und Dr. Hillgärtner

Überweisung - Zahnarztpraxis Zürich

Praxisnews 2014-2 Zahnarzt in Köln - Zahnarztpraxis Dr. Liermann