Zusammenfassung: Was haben wir gelernt?
Dies ist der Abschluss unserer Blogreihe „Datenschutz im Gesundheitswesen“. In den vorangehenden Blogbeiträgen haben wir uns damit befasst, wie Sie dazu beitragen können, Ihre Praxis datenschutzsicherer zu gestalten. Dabei haben wir festgestellt, dass das Thema zwar auf den ersten Blick relativ simpel erscheint, die Komplexität aber bei näherer Betrachtung immer mehr in den Vordergrund rückt. Ganz so einfach ist es leider nicht, alle Regeln der DSGVO zu beachten.
Doch keine Sorge: Sie müssen nicht in jedem Fall alle Maßnahmen komplett umsetzen. Je nach Praxis und Gegebenheiten entscheiden verschiedene Faktoren über den Umfang der Maßnahmen:
- Einzelfallbetrachtung
- Größenordnung
- Art der Tätigkeit im Gesundheitswesen
Es muss aber festgehalten werden, dass jeder Praxisbetreiber eine Vielzahl an Grundlagen einhalten muss. Hierfür gibt der Gesetzgeber eine klare Linie vor, der Sie als Beschäftigter im Gesundheitswesen Folge leisten sollten.
Als Praxisinhaber sollten Sie stets daran denken, dass Sie sich zunächst intensiv mit dem Thema Datenschutz auseinandersetzen sollten, bevor Sie sich an die Umsetzung der Regeln wagen. Hierbei ist es in den meisten Fällen unwichtig, ob Sie eine kleine oder große Praxis betreiben.
Sehen Sie die Datenschutz-Umsetzung als Prozess oder kleines Projekt, dass einmalig ordentlich und sauber umgesetzt werden sollte. Hier finden Sie noch einmal die wichtigsten Punkte in einer Übersicht:
- Verzeichnis für Verarbeitungstätigkeiten (VVT)
- Technische und organisatorische Maßnahmen (TOM)
- Auftragsverarbeitung (AV) oder Funktionsübertragung
- Datenschutzfolgeabschätzung (DSFA)
- Prüfung der Praxisumgebung und Organisation zum Thema Vertraulichkeit
Jedes dieser Themen haben wir in einem separaten Blogartikel besprochen. Falls Sie also einen unserer Artikel verpasst haben, lesen Sie sich am besten den kompletten Artikel durch, bevor Sie in die Umsetzung gehen. Natürlich konnten wir im Rahmen einer Blogreihe nicht alle Themen abschließend behandeln, sondern lediglich an der Oberfläche dieses komplexen Themas kratzen. Alle diese Themen haben noch weiter verzweigte Unterthemen, die für Ihr Unternehmen ebenfalls eine wichtige Rolle spielen könnten.
Eine Übersicht aller Blogartikel dieser Blogreihe „Datenschutz im Gesundheitswesen“ finden Sie hier:
- Rechtsgrundlagen und Datenkategorien im Datenschutz
- Auftragsverarbeitung gemäß der DSGVO
- Fristen bei der Löschung von Daten: Wie lange dürfen Sie in Ihrer Praxis personenbezogene Daten speichern?
- Das Verarbeitungsverzeichnis – VVT
- Technische und organisatorische Maßnahmen im Sinne der DSGVO
- Ein Must-have: Die Datenschutzfolgeabschätzung (DSFA)
- Datenschutzgerechte Praxisorganisation – wie gestalten sie ihre Praxis richtig?
Mein Prozess zur datenschutzkonformen Praxis:
Ergänzend zur Prozessübersicht sollten noch folgenden Themen berücksichtigt werden:
Für den Fall, dass einige der Dokumente bereits vorliegen, können Sie an diesem Standpunkt anknüpfen und gehen direkt in die Analyse. Um hier einen bestmöglichen Output zu haben, sind folgende Dokumente besonders hilfreich:
- Das Organigramm
- Netzpläne, Berechtigungskonzept, IT-Sicherheitskonzept
- Standardarbeitsvertrag
- AV-Verträge
- Verzeichnis von Verarbeitungstätigkeiten
- QM-Handbuch
- Plan für Zutrittsberechtigungen
- Verpflichtung auf Vertraulichkeit
- Jegliche Regelungen, Richtlinien, Betriebsvereinbarungen, Dienstvereinbarung, Dienstanweisungen den Datenschutz betreffend
- Sonstige hilfreiche Dokumente
Natürlich müssen Sie diese Arbeit nicht komplett alleine erledigen. Viele Unternehmer beauftragen einen Datenschutzbeauftragten, um Analyse und Dokumentation zu strukturieren. Doch bitte beachten Sie: Ein Datenschutzbeauftragter ist in der Regel beratend tätig, er unterstützt Sie natürlich in den einzelnen Prozessen, aber für die Umsetzung ist immer der Verantwortliche verantwortlich – in diesem Falle Sie als Praxisinhaber.
