Datenschutz in der Zahnarztpraxis! Einbindung externer Software auf der Praxiswebsite
Durch die fortschreitende Digitalisierung gibt es immer mehr Software-Anbieter, die den Arbeitsalltag einer Praxis erleichtern können, die zum Beispiel das Anfragemanagement und die Patientenkommunikation übernehmen, wie die Online-Rezeption by Docmedico. Wenn Sie solche Helfer auf Ihrer Praxiswebsite integrieren, ist beim Datenschutz allerdings Vorsicht geboten, denn diese externen Anbieter verarbeiten personenbezogene Daten von Patienten.
Damit Sie diese Dienste datenschutzkonform für sich und Ihre Patienten nutzen können, sind einige Dinge zu beachten. Wir bieten einen kurzen Überblick, welche Punkte Sie bei der Wahl eines Anbieters genauer unter die Lupe nehmen sollten.
Anforderungen an den Dienstleister:
Datenschutzmaßnahmen des Dienstleisters prüfen: Achten Sie bei der Auswahl des Anbieters darauf, dass er ausreichende technische und organisatorische Maßnahmen getroffen hat, um Nutzerdaten zu schützen.
Achten Sie auf Schnittstellen: Besonders bei Schnittstellen ist darauf zu achten, dass die Daten sicher sind. Hier ist auf eine ausreichende Verschlüsselung der Daten und einen sicheren Zugang (über Authentifikation) zu achten. Schnittstellen gibt es zum Beispiel zwischen Ihrer Praxissoftware und der Software des Anbieters oder wenn der Anbieter eine App verwendet.
Einhaltung der Schweigepflicht: Die Schweigepflicht, der Sie als Zahnarzt unterliegen, muss auf alle Mitarbeiter des Software-Anbieters ausgeweitet werden, so dass sie im selben Umfang daran gebunden sind. Dies ist bei Anbietern mit in Deutschland tätigem Personal gesetzlich geregelt, während es bei Personal außerhalb von Deutschland Nachweise über die Einhaltung erfordert.
Datenverarbeitung in Deutschland: Es ergeben sich Probleme in Bezug auf den Datenschutz, wenn die persönlichen Daten nicht ausschließlich in Deutschland verbleiben, denn dann muss sichergestellt werden, dass ausländische Behörden keinen Zugriff auf diese Daten erhalten können (insbesondere bei Nicht-EU Ländern). Hierfür reicht es nicht, wenn der Software-Anbieter seinen Sitz in Deutschland hat, sondern alle involvierten Dienste (Clouds, Apps, Server, Support- oder Wartungsdienste und andere) müssen ebenfalls geprüft werden.
Vertragsschluss: Sie müssen mit dem Dienstleister einen Vertrag nach den gesetzlichen Anforderungen in Art. 28 Abs. 3 DSGVO schließen. In dem Vertrag sollten wichtige Punkte zum Datenschutz festgelegt werden. Ihre Weisungsbefugnis gegenüber dem Anbieter darf vertraglich nicht eingeschränkt werden.
Achtung: Im Vertrag können Sie auch festlegen, dass der Software-Anbieter die Daten nicht für eigene Zwecke verwenden darf.
Personenbezogene Daten sollten selbst erhoben werden: Sie dürfen dem externen Dienstleister nur Daten übermitteln, die für den erforderlichen Zweck notwendig sind. Besser ist es noch, wenn der Dienstleister die Daten selbst erhebt, so ist eine klare Trennung möglich.
Verpflichtungen gegenüber den Patienten:
Information zu externen Dienstleistern in Datenschutzinformation: Ihre Praxiswebsite benötigt eine Datenschutzinformation. In dieser muss auch auf externe Anbieter hingewiesen werden, damit für Patienten nachvollziehbar ist, wer ihre Daten verarbeitet.
Löschung der Daten: Die Patientendaten dürfen bei dem externen Dienstleister nur so lange gespeichert werden, wie dies für den Zweck notwendig ist. Bei einer Terminvereinbarung zum Beispiel nur bis zum Termin (ob er stattgefunden hat oder nicht). Nach einer kurzen Frist sollten die Daten dann gelöscht werden. Dies muss vertraglich mit dem Anbieter festgelegt werden.
Achtung: Natürlich gilt dies nicht für die Daten im Praxisverwaltungssystem, wenn der Termin stattgefunden hat. Diese Patientendaten werden bis zehn Jahre nach Abschluss der Behandlung aufbewahrt.
Klare Trennung auf der Website: Binden Sie einen externen Dienstleister auf Ihrer Website ein, muss für Patienten stets erkennbar sein, wer für die Datenverarbeitung verantwortlich ist. Dies kann durch Gestaltungselemente erreicht werden: Logo, Farbgebung, Impressum.
Einwilligung der Patienten bei Erinnerungsservice: Bietet der von Ihnen gewählte Software-Anbieter einen Erinnerungsservice per SMS oder E-Mail an und versendet diese an Patienten, muss dies vorher nachweislich vom Patienten genehmigt worden sein.
Der Datenschutz in Zahnarztpraxen ist komplex, doch eine sorgfältige Auseinandersetzung damit ist unerlässlich. Die Digitalisierung bietet viele Chancen, birgt aber auch Risiken. Mit einem umfassenden Sicherheitskonzept können Zahnarztpraxen ihre Daten schützen und gleichzeitig die Vorteile der Digitalisierung voll ausschöpfen. Achten Sie bei der Auswahl externer Tools und Systeme immer darauf, dass diese die Datenschutzstandards erfüllen – so, wie die Online-Rezeption by Docmedico.
Disclaimer: Die in diesem Text bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können.
Quelle:Docmedico
Benedikt Schleif
80469 München