Checkliste: Datenschutz und Patientenrechte in der Zahnarztpraxis
Marzena SickingIn einer Zahnarztpraxis ist der Datenschutz ein sensibles Thema, da täglich mit vertraulichen Patientendaten gearbeitet wird. Datenschutzvorgaben wie die Datenschutz-Grundverordnung (DSGVO) und branchenspezifische Regelungen verpflichten Praxisinhaber zu strengen Sicherheitsmaßnahmen im Umgang mit personenbezogenen Daten. Diese Checkliste soll Ihnen helfen, die wichtigsten Datenschutzrichtlinien und Patientenschutzmaßnahmen effektiv und rechtssicher umzusetzen.
Datenschutzbeauftragte
Bestimmung eines Datenschutzbeauftragten bei mehr als 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten.
Ein externer Datenschutzbeauftragter ist ebenfalls zulässig und kann für größere Praxen sinnvoll sein.
Dokumentation der Ernennung und Schulung des Datenschutzbeauftragten.
Datenspeicherung und -verarbeitung
Elektronische Patientenakten und Datenbanken durch Passwörter und verschlüsselte Zugänge absichern.
Zugriffsrechte streng nach Funktion und Notwendigkeit vergeben (z.B. Behandler, Empfang).
Aufbewahrung sensibler Patientenakten in verschlossenen Schränken, falls diese in Papierform vorliegen.
Zustimmung und Aufklärung der Patienten
Vor der Datenerhebung die ausdrückliche
Transparente Aufklärung über Verwendungszweck und Dauer der Datenspeicherung.
Bereitstellung einer Datenschutzbelehrung in verständlicher Sprache, die auch über die Möglichkeit des Widerrufs informiert.
Rechte der Patienten (Auskunft, Berichtigung, Löschung)
Patienten haben jederzeit das Recht auf Auskunft über ihre gespeicherten Daten.
Etablierung eines internen Prozesses zur Berichtigung und Löschung von Daten bei Bedarf.
Dokumentation und Nachweis aller Anfragen und Maßnahmen im Zusammenhang mit Datenkorrekturen und -löschungen.
Technische und organisatorische Maßnahmen (TOMs)
Einsatz von Firewalls und Virenschutz zur Absicherung der IT-Infrastruktur.
Regelmäßige Backups aller relevanten Daten, die sicher und separat gespeichert werden.
Verschlüsselung von E-Mails, die sensible Informationen enthalten.
Vertraulichkeit und Zugangskontrolle
Zugriffsrechte im digitalen Patientensystem strikt beschränken, nur für autorisierte Mitarbeiter.
Arbeitsplätze so gestalten, dass unbefugte Dritte keine Einsicht in Patientenakten nehmen können.
Mitarbeiter verpflichten, die Praxisrichtlinien zur Vertraulichkeit und zum Datenschutz einzuhalten.
Mitarbeiterschulung und Sensibilisierung
Regelmäßige Schulungen zu Datenschutzthemen und zur DSGVO, mindestens einmal jährlich.
Sensibilisierung für die Bedeutung des Datenschutzes und die Rechte der Patienten.
Dokumentation aller Schulungsmaßnahmen zur Einhaltung der Rechenschaftspflicht.
Datenverarbeitung durch Dritte (Auftragsverarbeitung)
Abschluss von Auftragsverarbeitungsverträgen (AV-Verträge) mit allen externen Dienstleistern, die Zugang zu Patientendaten haben (z.B. Abrechnungszentren, IT-Dienstleister).
Überprüfung, dass die Dienstleister selbst DSGVO-konform arbeiten und angemessene Sicherheitsvorkehrungen getroffen haben.
Regelmäßige Kontrolle der Verträge und Sicherheitsmaßnahmen externer Dienstleister.
Meldepflicht bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren.
Dokumentation der Datenschutzverletzung und Maßnahmen zur Minimierung des Schadens.
Patienten rechtzeitig informieren, wenn ihre persönlichen Daten betroffen sind.
Dokumentation und Nachweisführung
Führung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
Regelmäßige Überprüfung und Aktualisierung des Datenschutzkonzepts.
Dokumentation aller datenschutzrelevanten Maßnahmen, Anfragen und Vorfälle.
Bundeszahnärztekammer (BZÄK), Datenschutzkonferenz (DSK), Europäische Kommission