Auch vor der Neuerung der DSGVO waren Patienteninformationen bereits Pflicht in der zahnmedizinischen Praxis. Allerdings müssen die bestehenden Verträge mit den Patienten an das neue Datenschutzrecht angepasst werden. Da immer mehr Zahnärzte externe Dienstleister hinzuziehen – auch für Verarbeitungstätigkeiten im Rahmen der neuen DSGVO – gibt es bei beidem einiges zu beachten.
Die Patienteninformationen der aktuellen DSGVO
Nach neuem Recht sind die Patienteninformationen wesentlich umfangreicher als zuvor. Dafür mussten nicht nur die Datenschutzbestimmungen auf der Praxis-Website überarbeitet werden, sondern auch die Hinweise zur Datenverarbeitung, die sich jeder Zahnmediziner von jedem Patienten unterschreiben lassen sollte. Ein gutes Praxismanagement sorgt dafür, dass dies auch Patienten erreicht, die selten kommen und die bisher noch kein neues Formular unterzeichnet haben.
Die Neuerungen bei den Patienteninformationen
Die aktuellen Informationspflichten beinhalten neben dem Namen und den Kontaktdaten der Praxis, auch die Kontaktdaten des betrieblichen Datenschutzbeauftragten. Zudem sind Informationen über die Art der verarbeiteten Daten enthalten, die Zwecke der Datenverarbeitung und die möglichen Empfänger der Daten (z. B. Krankenkasse). Zudem wird dort über die Löschfristen und die datenschutzrechtlichen Ansprüche des Patienten aufgeklärt.
Verarbeitungstätigkeiten im Rahmen des Datenschutzes
Für jedes Datenverarbeitungsverfahren schreibt die DSGVO ein Verzeichnis von Verarbeitungstätigkeiten vor. Darunter fallen elektronische Patientenakten ebenso wie Adressdatenbanken, die Buchhaltungssoftware und die Software zur Versendung und Verwaltung von E-Mails sowie zur Terminplanung. Die DSGVO schreibt allerdings für diese Verzeichnisse keine bestimmte Form vor. Lediglich die Inhalte sind – egal ob in Excel oder Word – festgelegt:
- Namen und Kontaktdaten der Praxis sowie des betrieblichen Datenschutzbeauftragten
- Zwecke der Datenverarbeitung
- Angabe, wessen Daten verarbeitet werden (Patient, Angestellter, Zulieferer)
- Art der verarbeiteten Daten
- mögliche Empfänger der Daten
- Maßnahmen zur Datensicherheit
Datenverarbeitung im Auftrag
Bei der Erstellung der Verzeichnisse muss darauf geachtet werden, den Überblick zu behalten, welche Datenverarbeitungsprozesse in der Praxis existieren. Denn auch angestellte Zahnärzte und andere Mitarbeiter können Tablets, Laptops und Smartphones beruflich nutzen. Damit unterliegen sie der Pflicht ein entsprechendes Verzeichnis zu führen. Um die Effizienz und Nachvollziehbarkeit der Datenverwaltung zu sichern, beauftragen viele Praxen externe Dienstleister. Doch auch andere datenschutzrechtlich relevante Aufgaben werden ausgelagert.
Die DSGVO & externe Dienstleister
Worauf ist beim Einsatz externer Dienstleister zu achten?
Das Outsourcing wird häufig für bestimmte Aufgaben wie Rechnungsstellung, Labordienste, IT-Wartung oder Archivierung genutzt. In der Regel ist damit immer die Verarbeitung von Patientendaten verbunden. Deshalb müssen auch beim Outsourcing die DSGVO und zahnärztlichen Schweigepflichten eingehalten werden. Neben der Codierung (Pseudonymisierung) der Daten empfiehlt es sich, entsprechende Verschwiegenheitsklauseln zu fixieren.
Was gibt es sonst noch zu beachten?
In unseren ersten beiden Artikeln über die DSGVO und wie Zahnärzte und Kieferorthopäden damit umgehen sollten, können Sie noch weitere wichtige Information zu diesem Thema nachlesen. Teil 1 befasst sich vor allem mit dem Datenschutzbeauftragten. In Teil 2 geht es in erster Linie um den grundlegenden Schutz bei den so genannten technischen und organisatorischen Maßnahmen – kurz TOM.
Seminare zum Datenschutz in der Zahnarztpraxis
Informationen zur EU-Datenschutz-Grundverordnung (DSGVO) brauchen nicht nur Praxisneugründungen. Auch neue Mitarbeiter, die als Datenschutzbeauftragte arbeiten sollen, müssen entsprechend geschult werden. Mit den Seminaren der ABZ eG erhalten Sie einen Überblick über die Herausforderungen der DSGVO.