Was bedeutet die DSVGO für die Medizinische Einrichtung?
Seit dem 25. Mai 2018 ist die DSGVO (Datenschutzgrundverordnung) in Kraft. Es ist eine Verordnung der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Artikel 1) durch Organisationen.
Diese europaweit gültige Verordnung ist für alle Unternehmen verbindlich, einschließlich Medizinischer Einrichtungen, die in Europa ansässig sind und Daten von Personen verarbeiten. Nach der geltenden Gesetzeslage werden Medizinische Einrichtungen nach der Anzahl der Mitarbeiter unterschieden: mindestens 20 Personen oder mehr als 20.
Die DSVGO koppelt die Verarbeitung personenbezogener Daten an die Rechte natürlicher Personen (= Besitzer der personenbezogenen Daten) also auch von Patienten, und schützt sie gegenüber Nutzern von Daten von Organisationen, wie z. B. Kliniken, Praxen, Kassen, etc.
Eine Nicht-Beachtung dieser gültigen Verordnung kann mit einem Bußgeld geahndet werden. Je nach Jahresumsatz bis 20 MIO € Strafe.
Warum wird ein externer Datenschützer benötigt?
Während bei Einrichtungen mit mindestens 20 Personen gemäß §38 des BDSG
(Nach §38 des BDSG (Bundesdatenschutzgesetzes) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen)
ein externer Datenschützer gesetzlich vorgeschrieben ist, besteht in kleineren Einrichtungen keine zwingende Notwendigkeit. Zur Einhaltung des regelkonformen Umgangs mit den Vorgaben der DSVGO kann der externe Datenschützer eine wertvolle Unterstützung sein.
Welche Aufgaben übernimmt der externe Datenschützer?
Gemäß der DSVGO stellt der externe Datenschützer die technischen und organisatorischen Maßnahmen zusammen, die die Medizinische Einrichtung zum Schutz personenbezogener Daten ergreift. Dazu gehören u.a. die Anfertigung eines Verzeichnisses von Verarbeitungstätigkeiten, die in der Medizinischen Einrichtung anfallen sowie die Bereitstellung einer Patienten-/Kundeninformation zum Datenschutz, z. B. als Aushang. Darüber hinaus hält der externe Datenschützer Kontakt zu den entsprechenden Meldebehörden.
Ein externer Datenschützer sichert nicht nur den Schutz personenbezogener Daten vor Missbrauch, sondern führt auch die jährlich vorgeschriebenen Nachweise durch und schützt die Medizinische Einrichtung vor Sanktionen bei Nicht-Beachtung geltender rechtlicher Vorschriften.
Bei kleineren Einrichtungen kann ein gut aufgebautes und gepflegtes Qualitätsmanagement-system von Nutzen sein bei dem Thema Schutz personenbezogener Daten.
Eine Vielzahl von medizinischen Einrichtungen übt das Qualitätsmanagement nach ISO 9001 aus. Unter Punkt 8.5.3. „Eigentum der Kunden oder der externen Anbieter“ geht es um „ personenbezogene Daten “ und damit um den Datenschutz. Der Grundstein für den richtigen Umgang mit den Daten wird dort bereits gelegt.
Ein QM-System will aufgebaut und gepflegt werden. Die Einbindung neuer Richtlinien, Regelungen oder Verordnungen sowie die Umsetzung zur Erfüllung dieser Anforderungen kostet Zeit und bedarf der Fachkompetenz.
Aus dem Verständnis heraus, dass die Prozesse von DSVGO mit den Normelementen der ISO 9001 ineinander greifen, kann ein externer Datenschützer hier sinnvoll eingebunden werden.
Er kann den vorhandenen Stand der Datensicherung in der Medizinischen Einrichtung prüfen, Empfehlungen geben und gemeinsam mit der Einrichtung die aktuellen DSVGO Anforderungen umsetzen.
Bei Bedarf kann der externe Datenschützer, die in der DSVGO vorgesehenen organisatorischen und technischen Maßnahmen in die Prozesse zum Umgang mit personenbezogenen Daten in das vorhandene QM-System einbinden.