Noch wenige Wochen:
Ab dem 25. Mai 2018 erlangt die Datenschutz-Grundverordnung in allen EU-Staaten Geltung und bringt weitreichende Änderungen auch für BAG und MVZ.
Verstöße können mit Geldbußen im Millionenbereich geahndet werden.
Selbst wenn man davon ausgeht, dass die Aufsichtsbehörden eine „Gnadenfrist“ zur Umsetzung gewähren – Abmahnanwälte werden dies nicht tun, mit ebenfalls teuren und in jedem Fall vermeidbaren Folgen.
Hohe Priorität sollte deshalb auch die Befassung mit den neuen Vorschriften zum Datenschutz in der Außenkommunikation mit (potentiellen) Patienten haben.
Siehe auch …
Für Praxen, BAG & MVZ: Links, Lesetipps & Arbeitshilfen
BMVZ-Sprachrohr vom 13. März 2018: ‚Sonderausgabe EU-DSGVO‘
Antworten auf praktische Fragen aus dem MVZ-Alltag …
-> „Pflichtangaben bei unselbständigen MVZ-Homepages“
-> „Angabe der Datenschutzstelle gemäß EU-DSGVO“
zur Rubrik: ‚Praxisfragen‘
Ein Fachbeitrag inkl. der Download-Option von Arbeitshilfen, bzw.
Formulierungsmustern aus der Mitgliederwerkstatt von …
► Dr. Thomas Willaschek
Rechtsanwalt / Fachanwalt für Medizinrecht
D+B Rechtsanwälte Partnerschaft mbB,
Berlin und Düsseldorf
► Dr. Sabrina Neuendorf
Rechtsanwältin
D+B Rechtsanwälte Partnerschaft mbB,
Berlin und Düsseldorf
Schon beim Aufruf simpelster Homepages wird regelmäßig und automatisch die IP-Adresse des Nutzers erhoben. Bereits dieses „personenbezogene Datum“ löst Informationspflichten aus.
-
Passen Sie die Pflichtinformationen auf der MVZ-Homepage an und ergänzen Sie die nach der DSGVO nötigen Angaben. -
Vergeben Sie einen gesonderten Button oder Menu-Punkt „Datenschutzerklärung“, damit die Besucher diese Pflichtinformation schnell finden können. -
Die Datenschutzerklärung muss leicht zu finden sein. Wie auch beim Impressum empfiehlt es sich, sie auf jeder (Unter-)Seite zu führen.
zur individuellen Anpassung und Verwendung nach Besprechung mit Ihrem Rechtsberater oder Datenschutzbeauftragtem Der Link führt zur Homepage der D+B Rechtsanwälte Partnerschaft mbB. Dort können Sie die Datei downloaden und für Ihre Homepage anpassen. Das notwendige Passwort erhalten Mitglieder unkompliziert über die Verbandsgeschäftsstelle.
Datenschutzerklärung (Basis) für die Homepage
(Weitere Hinweise, bzw. Ergänzungen werden notwendig, wenn Ihre Homepage z.B. Analyse-Tools und Cookies einsetzt, Social Media-Anbindungen, einen Newsletter oder sogar ein Terminsystem beinhaltet.)
Sehr wichtig ist zudem die Information jedes Patienten darüber, was mit seinen persönlichen Daten im Rahmen der Behandlung geschieht und welche Rechte sie haben.
In fast jedem MVZ gibt es – neben der klassischen Datenerfassung in der Patientenakte weitere Datenverarbeitungsprozesse und an der Datenverarbeitung beteiligte Dritte, über die aufzuklären ist.
z.B. Kooperationspartner, Auftragsverarbeiter, Teilnahme an besonderen Versorgungsprogrammen oder Einsatz von Recall-Systemen
Letztlich ist entscheidend, dass bei der Aufklärung keine Datenverarbeitungsvorgänge vergessen werden.
-
Die Patienteninformation sollten Sie dem Patienten aushändigen, sich die Kenntnisnahme schriftlich bestätigen lassen und die Bestätigung archivieren. -
Die Information muss dem Patienten grundsätzlich bereits bei Erhebung der Daten / zu Beginn der Datenverarbeitung vorliegen. -
Beginn der Datenverarbeitung ist bereits die Eingabe des Patientennamens ins System bei der Terminvergabe.
Praktisch kaum umsetzbar ist es, einem (Neu-)Patienten, der telefonisch einen Termin vereinbart, die Datenschutzinformation DSGVO-konform vorab zu übermitteln.
Ihre Möglichkeiten:
Versenden Sie eine umgehende E-Mail zur Terminbestätigung mit der angehängten Information oder einem Link zur Homepage, wo Sie die Information – neben der obigen Pflichtinformation zur Webseite – unter einem gesonderten Button hinterlegen.
Zusätzlich sollte das MVZ-Personal jeden Patienten bei der erstmaligen Terminvergabe am Telefon auf die Information auf der Homepage hinweisen.
Noch näher an der Regelung in der DS-GVO wäre eine vorgeschaltete Menüfunktion mit Sprachwiedergabe, die kurz auf die Datenverarbeitung hinweist und über Rechte belehrt.
Was den Behörden und Gerichten ausreicht und was nicht, ist mindestens derzeit nicht sicher einzuschätzen.
zur individuellen Anpassung und Verwendung nach Besprechung mit Ihrem Rechtsberater oder Datenschutzbeauftragtem Der Link führt zur Homepage der D+B Rechtsanwälte Partnerschaft mbB. Dort können Sie die Datei downloaden und für Ihr MVZ anpassen. Das notwendige Passwort erhalten Mitglieder unkompliziert über die Verbandsgeschäftsstelle.
Datenschutzerklärung für Patienten
Neben den Themen mit Außenwirkung ist eine zentrale Neuerung die sogenannte Datenschutz-Folgenabschätzung, die so gut wie jedes MVZ treffen dürfte. Ausnahme: HINWEIS: Die Umsetzung dieser und anderer Vorgaben – etwa das Anlegen eines Verzeichnisses über die Datenverarbeitung, Prüfung der Verträge mit externen IT-Dienstleistern, Ergänzung der Einwilligungsformulare – ist aufwändig. Wer nichts riskieren will, darf dennoch keine Zeit mehr
Hat Ihr MVZ insgesamt nur einen Versorgungsauftrag, kann sich eine individuelle Prüfung lohnen, ob sie den Aufwand tatsächlich betreiben müssen.
Wer zur Datenschutz-Folgenabschätzung verpflichtet ist, muss regelmäßig auch einen Datenschutzbeauftragten bestellen und diesen der Aufsichtsbehörde anzeigen. Wird kein externer Datenschützer beauftragt, sollte der entsprechend qualifizierte Mitarbeiter sorgfältig ausgewählt werden. Denn er genießt besonderen Kündigungsschutz.
verlieren und sollte gegebenenfalls professionelle
Unterstützung zu Rate ziehen.