Im zweiten Teil unserer Informationen zur EU-Datenschutz-Grundverordnung (DSGVO) geht es um den grundlegenden Schutz bei den so genannten technischen und organisatorischen Maßnahmen – kurz TOM – der für jede zahnmedizinische Praxis gelten muss. Sie haben zum Ziel, dass sich nicht nur der Patient bezüglich seiner Daten, sondern auch der Zahnmediziner bei der Einhaltung der Vorschriften sicher sein kann.
Was ist die Datensicherheitsmaßnahme TOM genau?
Die technischen und organisatorischen Maßnahmen sind ein entscheidender Bestandteil der DSGVO, die korrekt umgesetzt werden sollten, um Bußgelder zu vermeiden. Wie der Name sagt, befassen sich die TOM mit Maßnahmen, die anhand entsprechender Technik umsetzbar sind, sowie mit der Organisation von Handlungen, Verfahren und Abläufen. Alles dient dazu, die Sicherheit der Erhebung und Archivierung von in der zahnmedizinischen Praxis verarbeiteten Personendaten zu gewährleisten und zu dokumentieren.
Die „Must Haves“ für Datenschutz und Datensicherheit in der Zahnarztpraxis?
Einige TOM-Bestandteile sind laut Merkblatt zum neuen Datenschutzrecht der Bundeszahnärztekammer über die DSGVO besonders wichtig:
- Verschlüsselung: Die personenbezogenen Daten sollen – soweit möglich – verschlüsselt werden; z. B. in E-Mails mit Verschlüsselungsprogrammen.
- Pseudonymisierung: Werden die Patientennamen nicht benötigt, sind diese unkenntlich zu machen und/oder sollen durch Pseudonyme ersetzt werden.
- Stabilität: Die verwendeten IT-Systeme müssen auf Dauer verfügbar, belastbar und vertraulich sein.
- Wiederherstellbarkeit: Durch eine fachgerechte Datensicherung sollen Datenverluste vermieden werden. Auch die so genannte Verfügbarkeitskontrolle – der Schutz vor Verlust und zufälliger Zerstörung – fällt darunter.
- Überprüfung: Die routinemäßige Prüfung der Einhaltung der oben genannten Prozesse ist vorgeschrieben.
Bei allen genannten Punkten ist für Zahnmediziner, in den meisten Fällen, die Unterstützung von IT-Fachleuten nötig.
Sinnvolles Datenschutzrecht für Zahnärzte
Weitere wichtige Punkte der Checkliste für TOM, die auch für Zahnmediziner bei der Verarbeitung der Patientendaten gelten, sind die Zutrittskontrolle (etwa zum Serverraum), die Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle (z. B. durch die oben erwähnten Passwörter und verschlossene Behälter) sowie die Eingabekontrolle. Die Zugangskontrolle umfasst beispielsweise auch, dass Patienten zu keiner Zeit die Möglichkeit zur Einsicht in die Akten anderer Patienten haben. Wird der Patient z.B. kurz vor Beginn der Behandlung bereits in den Behandlungsraum gesetzt, ohne dass ein Mitarbeiter der Praxis anwesend ist, so ist zwingend darauf zu achten, dass keine anderen Patientenakten herumliegen. Das Gleiche gilt auch für den PC. Dieser sollte bei Verlassen das Behandlungszimmers immer manuell gesperrt werden, damit Patienten keine Möglichkeit der Einsicht in die Daten anderer Patienten haben. Hierbei wird festgehalten, wer die Daten wann ein- und weitergegeben hat. Zudem spielt auch die Auftragskontrolle eine Rolle, wenn Daten im Auftrag verarbeitet werden. Die so genannten Trennungsgebot-Datenschutzrichtlinien bestimmen zudem, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.
Dokumentation derDatenschutzrichtlinien
Das neue Datenschutzrecht verlangt ein „angemessenes Schutzniveau“, wohl wissend, dass es auch bei Datenschutzmaßnahmen keine 100-prozentige Sicherheit gibt. Kann man nachweisen, dass man anhand der bestehenden Risiken auf dem – zur Praxis passenden –Stand der Technik sorgfältig arbeitet, ist viel gewonnen. Dies in Planung und Durchführung zu dokumentieren, muss deshalb Teil der TOM-Datensicherheit sein. Diese Dokumentation dient als rechtliche Absicherung für die Praxis.
Strafe bei Nichteinhaltung der Datenschutzrichtlinien
Grundsätzlich sind bei Verstößen gegen die DSGVO sehr hohe Bußgelder möglich. Die Beschwerden können von Patienten aber auch von Mitarbeitern kommen. Ist die zuständige Datenschutzbehörde über einen Vorgang informiert worden, ist sie verpflichtet, der Beschwerde nachzugehen. Wenn es tatsächlich zu einem Datenleck oder zu einer Beschwerde kommt, ist die genaue Aufzeichnung der TOM wichtig, um zu zeigen, dass das Schutzniveau angemessen war.
Datenschutz und TOM in der Zahnarztpraxis
Technische und organisatorische Maßnahmen (TOM) sind ein wichtiger Teil des Datenschutzes in der zahnmedizinischen Praxis. Die Experten der ABZ eG informieren Sie in Seminaren und als Berater über alle Bereiche der DSGVO, die für Zahnmediziner von Belang sind und wie sie umgesetzt werden können.