Sobald persönliche Daten in einer Praxis, Praxisgemeinschaft oder MVZ verarbeitet werden, sollten diese Vorgänge in einem zentralen Verzeichnis erfasst sein. Eine solche Übersicht der Tätigkeiten hilft nämlich, den gesetzlichen Anforderungen an den Datenschutz gerecht zu werden und die Datensicherheit zu gewährleisten.
Konkrete Vorgaben für ein solches Verarbeitungsverzeichnis gibt es nicht. Festgehalten wird bei den Tätigkeiten zumeist der jeweilige Zweck der Datenverarbeitung, die involvierten Personen wie etwa Patientinnen und Patienten oder das Praxisteam und mögliche Empfänger der Daten u.a. Krankenkassen und Kassenärztliche Vereinigungen. Sie behalten damit den Überblick über wichtige Abläufe – von der Erhebung über Aufbewahrung bis zu Löschung der Daten in Ihrer Arztpraxis.
Hand in Hand mit dem zuvor genannten Verarbeitungsverzeichnis geht der Datenschutzplan. Dieser Plan legt die internen Vorkehrungen offen, um in der Arztpraxis bestmöglich personenbezogenen Daten vor Missbrauch zu schützen. Welche Maßnahmen das genau sein sollten, ist in der DSGVO nicht genauer festgelegt.
Unter anderem spielen aber mit dem Praxisteam festgelegte und vor allem gelebte Regeln z.B. rund um den verschlüsselten Versand von Daten sowie diskrete Auskünfte am Empfang oder via Telefon eine wichtige Rolle. Ziel ist es, dass alle Beschäftigten die Richtlinien Ihres Datenschutzplanes kennen, sich daran halten und externen Kontrollen standhalten.
Rund 60 Prozent der Praxen befürchten virtuelle Angriffe und schädliche Software.
Anwendungen der Telematikinfrastruktur, IGES Studie 2023
Wie erwähnt, soll ein Datenschutzplan zunächst die internen Vorkehrungen dokumentieren. Allerdings sehen Sie sich im Praxisalltag häufig auch mit einer ausgewählten Datenweitergabe nach außen konfrontiert:
Naheliegend ist die Übermittlung personenbezogener Daten an die Krankenkasse oder die Kassenärztlichen Vereinigung. Doch ergänzend können auch IT-bezogene Services bzw. Schnittstellen rund um Online-Terminportale sowie mögliche Updates der Praxissoftware darunterfallen.
Sobald externe Dienstleistende auf Daten Ihrer Patientinnen und Patienten oder Mitarbeitenden zugreifen können, wird ein Vertrag zur Auftragsverarbeitung erforderlich. Üblicherweise legen die externen Serviceunternehmen einen Entwurf vor, den Sie prüfen und ggf. noch anpassen. Vergewissern Sie sich, dass Ihr Auftragnehmer ein Datenschutzsiegel oder eine Zertifizierung nach ISO 27001 besitzt, wodurch eine erhöhte Informationssicherheit belegt wird.
Die Informationssicherheit gilt es bei externen Dienstleistern zu beachten, doch im gleichen Maße sollten Sie auch in Ihrer Praxis den Zugriff Unbefugter auf Daten verhindern. Aktuelle Firewalls, der sichere Umgang mit Passwörtern und regelmäßige Sicherungen über verschlüsselte Backups zählen zu den gängigsten Maßnahmen für die interne Datensicherheit.
Trotz aller Vorkehrungen kann ein Restrisiko von virtuellen Angriffen und möglichem Datenverlust dennoch bleiben. Daher sind spezielle Cyberversicherungen für Mediziner als eine ergänzende, finanzielle Absicherung durchaus eine Überlegung wert. Unsere Kooperationspartner perseus und auxmed bieten für Ihre Praxis professionelle IT-Sicherheitschecks bis hin zum Krisenmanagement im Notfall.
Für den Datenschutz in der Arztpraxis gelten hohe Ansprüche. Die von uns vorgestellten Maßnahmen stellen dabei erste Anhaltspunkte für einen sicheren, DSGVO-konformen Umgang mit Daten dar. Für eine weitere Vertiefung in die Thematik bietet sich die IT-Sicherheitslinie der Kassenärztlichen Bundesvereinigung an. Dort sind aktuell geltenden Anforderungen rund um die Datensicherheit verständlich aufbereitet.
Unsere renommierten Partner unterstützen Sie mit digitalen Tools und Serviceleistungen gern bei der Umsetzung einer erhöhten Datensicherheit in Ihrer Arztpraxis. Informieren Sie sich direkt online über die passenden Angebote oder lassen Sie sich von unseren db HealthCare Beraterinnen und Beratern zur Datensicherheit beraten.
