Datenschutz im Gesundheitswesen
Datenschutz im Gesundheitswesen – Daten richtig managen
Die neue EU-Datenschutz-Grundverordnung tritt bald in Kraft und macht auch vor der Gesundheitsbranche nicht Halt. PhysiotherapeutInnen, ErgotherapeutInnen oder MasseurInnen sind von den neuen Bestimmungen betroffen. Aber was bedeutet Datenschutz im Gesundheitswesen überhaupt? Da die Datenschutz-Grundverordnung fast alle Branchen und Lebensbereiche abdeckt ist es umso schwieriger, die richtigen Informationen zu filtern. Zudem ist der Gesetzestext lang und Auskünfte über die praktische Umsetzbarkeit sind rar gesät. Wie soll man da noch durchblicken? Der Artikel beschäftigt sich deshalb speziell mit Fragen und relevanten Begriffen, die für die tägliche Arbeit in der Physiotherapie, Ergotherapie oder Massage wichtig sind. Was sind zum Beispiel Betroffenenrechte? Darf ich einen Newsletter versenden? Was passiert bei einem Diebstahl meiner Daten?
Datenschutz im Gesundheitswesen: Einen Newsletter versenden
Besonders für Selbstständige mit eigener Praxis fehlt oft die Zeit und Kapazität, sich auch noch mit rechtlichen Belangen auseinanderzusetzen. Aus diesem Grund greifen wir hier wichtige Themen zur Datenschutz-Grundverordnung auf, die für deine Praxisführung bedeutend sind. Der erste Punkt ist beispielsweise das Versenden eines Newsletters. Viele TherapeutInnen wollen hier auf ihre Angebote aufmerksam machen und zeigen, was sich in ihrer Praxis denn so alles getan hat. Ist das überhaupt noch erlaubt? Ein Newsletter ist in der heutigen Zeit ein wichtiges Instrument, um Kunden oder eben Patienten zu erreichen und ist deshalb auch als Kommunikationsmittel nicht mehr wegzudenken. Das weiß auch die Datenschutz-Grundverordnung und verbietet natürlich auf gar keinen Fall das Versenden eines Newsletters. Wichtig ist aber, deine Klienten und Klientinnen darüber zu informieren, dass du ihnen deinen Newsletter zusenden möchtest. Die Betroffenen müssen dann selbst entscheiden, ob sie von dir einen Newsletter erhalten möchten oder eben nicht.
Datenschutz im Gesundheitswesen: Betroffenenrechte als A und O
Das Beispiel mit dem Newsletter zeigt schon, in welche Richtung die Datenschutz-Grundverordnung geht: Das oberste Ziel ist der Schutz der Betroffenen beziehungsweise die Stärkung der so genannten Betroffenenrechte. Das heißt für deine Praxis, dass du deine Klientel über Aktivitäten zur Datenverarbeitung informierst. Genau wie mit der Information, dass du gerne einen Newsletter versenden möchtest, funktioniert das auch mit deiner Datenverarbeitung. Wie lässt sich das jetzt praktisch umsetzen und in deinen Arbeitsalltag einfließen? Zuerst ist es ratsam, die Betroffenenrechte zu kennen. Wie der Name schon sagt, handelt es sich dabei um Rechte der von einer Datenanwendung betroffenen Person (z. B. Patient) gegenüber dem Verantwortlichen (z. B. Therapeut). Der Datenschutz im Gesundheitswesen sieht für Betroffene folgende Rechte vor:
• Auskunftsrecht (zum Beispiel über die geplante Speicherdauer von Daten)
• Recht auf Berichtigung
• Recht auf Löschung und auf „Vergessenwerden“
• Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
Über Betroffenenrechte informieren
Die neuen Betroffenenrechte geben deinen Klientinnen und Klienten mehr Kontrolle über ihre eigenen Daten. TherapeutInnen müssen nun sicherstellen, dass die Betroffenen diese Kontrolle auch wirklich haben. Dazu gibt es beim Datenschutz im Gesundheitswesen eine Informationspflicht bei der Erhebung von personenbezogenen Daten bei betroffenen Personen. Die Verantwortlichen treffen geeignete Maßnahmen, um Betroffene über die geplante Datenverarbeitung zu informieren. Dies erfolgt in transparenter, verständlicher und leicht zugänglicher Form und in einfacher Sprache. Dabei ist es egal, ob die Mitteilung mündlich oder schriftlich, in elektronischer Form oder auf Papier kommuniziert wird – wichtig ist die Aufklärung der Betroffenen über ihre Rechte. Aber worüber sollen TherapeutInnen überhaupt informieren? Ein Aufklärungs-Schreiben beinhaltet beispielsweise folgende Eckdaten:
• Name und Adresse der Verantwortlichen
• Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
• Ggf. Empfänger der Daten (Krankenkasse)
• Dauer der Datenspeicherung (in der Physiotherapie liegt die Aufbewahrungsdauer bei 10 Jahren)
Rechtslage klar offenlegen
Beim Verfassen des Auskunfts-Schreibens spielen transparente Information, direkte Kommunikation und deine speziellen Modalitäten eine Rolle. Kurzum ist zu erklären, wie lange du beispielsweise Daten speicherst. In der Physiotherapie ist vorgesehen, dass Unterlagen zehn Jahre aufzubewahren sind. Die Datenschutz-Grundverordnung sieht vor, Daten nur solange aufzubewahren, bis sie ihren Zweck nicht mehr erfüllen. Da Patientinnen und Patienten ein Recht auf Löschung haben, ist nach Wegfall des Zwecks eine Vernichtung der Datensätze vorgesehen. Das heißt, dass Physiotherapeuten und Physiotherapeutinnen in regelmäßigen Abständen prüfen müssen, welche Patientendaten zu löschen sind. Aber wie geht das genau? Funktioniert das auch, wenn eine Software zur Dokumentation benutzt wird? Erfahre im nächsten Blogartikel, was zur Datenschutz-Grundverordnung zu beachten ist, wenn du eine Software oder Papier benutzt und was im Falle eines Hacker-Angriffs oder Diebstahls für dich wichtig wird.
