Die Dokumentationslast steigt ab dem 25. Mai!

Datenschutz ist nichts Neues für ein Krankenhaus. Aber seit heute muss überprüft werden, ob Verarbeitungsprozesse der Gesundheitsdaten den neuen Anforderungen entsprechen. Angela Kirschen, HIMSS Europe, beleuchtet die aus ihrer Sicht zentralen Anforderungen an ein Krankenhaus.

Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) vereinheitlicht die Regeln zur Verarbeitung von personenbezogenen Daten. Innerhalb der EU wird damit ein freier Datenverkehr im Binnenmarkt gewährleistet. Gleichzeitig werden Verbraucher geschützt. Für Unternehmen und öffentliche Einrichtungen gibt es eine Rechenschaftspflicht. Das Erheben und Verarbeiten der Informationen muss zudem sparsam, transparent und zweckgebunden erfolgen.

Sämtliche Unternehmen mit einem Geschäftssitz oder einer Niederlassung in der EU sowie mit Angeboten oder Dienstleistungen für EU-Bürger unterliegen den Regelungen der DSGVO (Marktortprinzip). Sie gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, unabhängig von der Branche oder Unternehmensgröße. Die neuen Vorgaben sind nicht nur in Bezug auf Patientendaten verbindlich, sondern betreffen auch den Beschäftigtendatenschutz

42 News sprach mit Angela Kirschen, Business Development Manager, HIMSS Europe GmbH, darüber, wie sich die DSGVO auf Krankenhäuser auswirkt. Die gelernte Juristin erläutert einige der aus ihrer Sicht zentralen Anforderungen, die sich für ein Krankenhaus aus der am 25. Mai in Kraft tretenden DSGVO ergeben.

Wie wirkt sich die DSGVO auf Krankenhäuser aus?

Mit der EU-DSGVO, die am 25. Mai 2018 in Kraft tritt, wird die Basis für ein einheitliches Datenschutzniveau in Europa geschaffen. Der Datenschutz wird nun prozessbezogen betrachtet und seine Bedeutung aufgewertet. Dies drückt sich in deutlich höheren Sanktionen beziehungsweise Geldbußen bei Nichteinhaltung der Vorschriften aus.

Auch an Krankenhäuser stellt die DSGVO neue Anforderungen bezüglich der IT-Sicherheit und des Schutzes personenbezogener Daten. So verschärfen sich durch die DSGVO die Anforderungen an die Organisation eines Krankenhauses: Um Verstöße und damit entsprechende Sanktionen/Bußgelder zu vermeiden, muss die Erfüllung der gesetzlichen Vorgaben umfangreicher als bisher belegt werden.

Welche Prozesse muss ein Krankenhaus angesichts der DSGVO überprüfen?

Kaum ein Krankenhaus wird bis zum 25. Mai die geforderten Maßnahmen komplett umgesetzt haben. Daher ist es wichtig, Schwerpunkte zu setzen, wobei insbesondere die drei folgenden Aspekte berücksichtigt werden sollten:

Erstens müssen organisatorische Regelungen für die internen Krankenhausprozesse getroffen werden. Dazu müssen Datenschutzerklärungen und -informationen für Patienten und Beschäftigte erstellt bzw. überarbeitet werden. Es muss geklärt sein, wie im Falle eines Datenschutzverstoßes damit umgegangen wird, wer dafür verantwortlich ist, Aufsichtsbehörden den Verstoß mitzuteilen sowie das Ganze zu dokumentieren. Ferner sollten die IT-Systeme im Hinblick auf Datensicherheit bzw. entsprechende Risiken hierfür überprüft werden. Dieser Prozess sollte ebenfalls dokumentiert werden. Zudem gewährt die DSGVO dem von der Verarbeitung seiner personenbezogenen Daten Betroffenen umfangreiche Auskunftsrechte. Auch hierzu sollten entsprechende Prozesse etabliert, dokumentiert und schließlich in den Krankenhausalltag integriert werden.

Der zweite Aspekt betrifft die Einbindung weisungsgebundener Dienstleister. Externe Dienstleister, die häufig gerade im IT-Bereich oder zu Zwecken der Abrechnung eingesetzt werden und die weisungsgebunden mitarbeiten, müssen hier zuverlässig sein. Diese Zuverlässigkeit sollten sie durch entsprechende Zertifizierungen beziehungsweise Audits nachweisen können.

Der dritte Punkt bezieht sich auf die Tatsache, dass der Behandlungsprozess untrennbar mit der Verarbeitung personenbezogener Daten verbunden ist. Somit wird auch die Datenverarbeitung als Kerntätigkeit eines Krankenhauses angesehen und es ist ein Datenschutzbeauftragter zu bestellen (Art. 37(1) lit. c DSGVO).

Welche neuen Pflichten bringt die DSVGO für die Verantwortlichen eines Krankenhauses?

Sie bringt für die Verantwortlichen ein hohes Maß an Eigenverantwortung. Das ist neu. So muss ein Verantwortlicher künftig nicht nur selbst einschätzen, ob die Datenverarbeitung rechtskonform ist, sondern es treffen ihn auch umfangreiche Informations- und Dokumentationspflichten, die er sozusagen in eigener Regie zu erfüllen hat. Außerdem bringt die DSGVO mehr Transparenz: Das Transparenzgebot erfordert vom Verantwortlichen, dass er den Betroffenen schon bei der Erhebung der Daten umfänglich über die Datenverarbeitung informiert; also auch deren Zweck und Rechtsgrundlage nennt, sowie die betroffene Person über ihre Rechte informiert. Zudem muss der Verantwortliche der in Artt. 5, 32 DSGVO definierten Nachweispflicht für die Umsetzung dieser Maßnahmen nachkommen.

Welche Ratschläge möchten Sie den Verantwortlichen eines Krankenhauses hinsichtlich der DSGVO mitgeben?

Mit Hinblick auf die in dieser Woche in Kraft tretende Verordnung, hier die aus meiner Sicht wichtigsten Punkte: Datenschutz ist nicht neu, aber es muss jetzt überprüft werden, ob die entsprechenden Verarbeitungsprozesse der Gesundheitsdaten die neuen Anforderungen erfüllen.

Dabei hat das Erstellen eines Verfahrensverzeichnisses meines Erachtens hohe Priorität, da zumindest Teile der geforderten Rechenschaftspflichten hierüber umgesetzt werden können. Zudem ergibt sich auf diese Weise die Chance, einen Überblick über alle Informationsströme beziehungsweise Prozesse, bei denen personenbezogene Daten verarbeitet werden, zu gewinnen und gleichzeitig Lücken in Bezug auf den Datenschutz zu identifizieren. Außerdem sollte eine Bewusstseinsschärfung aller Mitarbeiter mit Hinblick darauf, wie die DSGVO umzusetzen ist, erfolgen.

Für die Behandlung personenbezogener Daten spielt die IT eine zentrale Rolle, da fast alle klinischen (und administrativen) Prozesse in Datensystemen abgebildet werden. Hier sollte beispielsweise überprüft werden, ob die Eingabemasken nur die Felder anzeigen, die auch tatsächlich benötigt werden. Im Falle eines Datenschutzverstoßes würde so nur ein Minimum an schützenswerten Informationen erfasst beziehungs-weise preisgegeben werden.

Um die Vorgaben zu den Betroffenenrechten (Artt. 15, 17 DSGVO) rechtskonform umzusetzen, sollten Informationen für die Patienten erstellt werden, die darüber Auskunft geben, ob andere Personen(-gruppen) oder Einrichtungen personenbezogene Daten erhalten, wie lange diese gespeichert und wann sie gelöscht werden, gegebenenfalls müssen Löschkonzepte erstellt werden. Schließlich sind die Behandlungsverträge auf ihre Vereinbarkeit mit der DSGVO zu überprüfen.

Deutschland fällt zurück

Im Vergleich zum europäischen Ausland ist der Ausbau der elektronischen Patientenakte in Deutschland seit 2016 zurückgefallen.

Ärzte sollten sich mal freimachen

Blog von Felix Cornelius

In den Startlöchern

Ist alles bereit für das schweizer E-Patientendossier?