Effektive und effiziente Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) in medizinischen Einrichtungen
jetzt kontakt aufnehmen und
informationen zu der effektiven und effizenten umsetzung der
eu-datenschtzgrundverordnungen
erhalten
Die am 25.05.2018 in Kraft getretene neue EU-Datenschutzgrundverordnung (DSGVO), begleitet von dem zeitgleich in Kraft getretenen neuen Bundesdatenschutzgesetz (BDSG), stellen medizinische Einrichtungen vor neue Herausforderungen. Dies gilt umso mehr, da sie eine umfangreiche Verarbeitung von Gesundheitsdaten und damit besondere Kategorien von personenbezogenen Daten gem. Artikel 9 Abs. 1 DSGVO durchführen (vgl. hierzu auch Artikel 35 Abs. 3 Nr. b) DSGVO zur Datenschutz-Folgenabschätzung). Die medizinischen Einrichtungen benötigen daher ein Umsetzungskonzept, das nicht nur die Einführung zutreffender organisatorischer Regelungen, sondern auch eine kontinuierliche Verbesserung und Weiterentwicklung ihrer Informationssicherheits- und Datenschutzorganisation effektiv und effizient ermöglicht. Da die Informationssicherheit und der Datenschutz aber keine „Inseln“ in der Gesamtorganisation der medizinischen Einrichtung darstellen, sondern mit den anderen Teilsystemen der medizinischen Einrichtung (klinische Prozesse, Qualitätsmanagement, Arbeitssicherheits- und Medizin- produktemanagement, …) verknüpft sind, kommt es von Anfang darauf an, ein Konzept der Managementsystemintegration zu verfolgen.
Aus der Sicht der Heilwesen Netzwerk RM eG kommt dabei der/dem Datenschutzbeauftragten der medizinischen Einrichtung eine zentrale Rolle zu. Gem. Artikel 37 Abs. 1 Nr. c) DSGVO muss das Un-ternehmen eine(n) Datenschutzbeauftragten u. a. dann benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht. Da als die Kerntätigkeit der meisten medizinischen Einrichtungen wohl aber eher die Erbringung von medizinischen Leistungen und nicht die Verarbeitung personenbezogener Daten angesehen werden kann, scheint sich auf den ersten Blick allein hieraus noch keine Verpflichtung zur Bestellung einer/eines Datenschutzbeauftragten herleiten zu lassen. Der § 38 Abs. 1 Satz 1 BDSG geht nun aber über den Artikel 37 DSGVO hinaus und verpflichtet Unternehmen zur Bestellung einer/eines Datenschutzbeauftragten, die in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (und dazu gehören auch die Gesundheitsdaten) beschäftigen. Hierbei kommt es jetzt nicht auf die personenbezogenen Daten besonderer Kategorien (Artikel 9 DSGVO), sondern auf alle personenbezogenen Daten, die automatisiert verarbeitet werden, an.
Wie ist es jetzt aber mit medizinischen Einrichtungen, die aufgrund ihrer medizinischen Leistungserbringung zwar Gesundheitsdaten verarbeiten, diese Datenverarbeitung aber nicht Kernleistung ist und in der Regel weniger als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten besonderer Kategorien beschäftigen? Das können beispielsweise Arztpraxen sein. Da in § 38 Abs. 1 Satz 2 BDSG die Benennung einer/eines Datenschutzbeauftragten aber explizit auch von Unternehmen eingefordert wird, die Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, kann man davon ausgehen, dass grundsätzlich jede medizinische Einrichtung im Geltungsbereich des BDSG, auch jene, die weniger als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, eine/einen Datenschutzbeauftragten bestellen müssen. Schließlich fordert der Artikel 35 Abs. 3 Nr. b) DSGVO eine Datenschutz-Folgenabschätzung von jenen Unternehmen, die eine umfangreiche Verar-beitung besonderer Kategorien personenbezogener Daten gem. Artikel 9 Abs. 1 DSGVO durchführen. Die Einschränkung, dass es sich hierbei um die Kerntätigkeit handeln muss, fehlt hier. Bei der Bestellung einer/eines Datenschutzbeauftragten ist darüber hinaus noch zu berücksichtigen, dass, wenn die Bestellung der/des Datenschutzbeauftragten verpflichtend ist, der/dem internen Datenschutzbeauftragten grundsätzlich ein Kündigungsschutz gem. § 6 Abs. 4 BDSG zusteht.
Am Anfang des Umsetzungskonzepts der medizinischen Einrichtung steht also die Frage der Qualifi-zierung und Bestellung eines externen oder internen Datenschutzbeauftragten. Da gem. Artikel 37 Abs. 5 DSGVO die/der Datenschutzbeauftragte auf der Grundlage ihrer/seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das sie/er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer/seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben, bietet es sich grundsätzlich an, den Datenschutzbeauf-tragten entsprechende Fort- und Weiterbildungsmöglichkeiten anzubieten. So bietet die Heilwesen-Netzwerk RM eG gerade für medizinische Einrichtungen z. B. das Seminar „Beauftragter für Informationssicherheit und Datenschutz (HWNW)“ an, das mit einem entsprechenden Zertifikat der Heilwesen Netzwerk RM eG abschließt.
1. Analyse der Prozesse im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung
2. Organisation der Wahrnehmung der Informationspflichten der medizinischen Einrichtung und der Wahrnehmung der Rechte der „Betroffenen“
3. Dokumentation der Informationssicherheit und des Datenschutzes in der medizinischen Einrichtung (Datenschutzerklärung, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitung, Datenschutzunterweisungen
„Verantwortliche“ und Mitarbeiter(innen), Verpflichtungen auf das Datenge-heimnis, Drittbenutzeranalyse, Datenschutz-Folgenabschätzung, …)
4. Entwicklung und Umsetzung der technischen und organisatorische Maßnahmen (TOM) zur Gewährleistung der Sicherheit in der Datenverarbeitung
5. Implementierung eines Prozesses zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser technischen und organisatorischen Maßnahmen
6. Einführung eines Meldesystems für Informationssicherheitsereignisse und –vorfälle, sowohl interne, als auch bereits im Hinblick auf die Forderungen der Artikel 33 und 34 DSGVO
(1) Eine ständig aktualisierte Checkliste zu den Forderungen der Informationssicherheit und des Datenschutzes ermöglicht der medizinischen Einrichtung ein kontinuierliches Self-Assessment zum jeweils aktuellen Stand ihrer Informationssicherheits- und Datenschutzorganisation.
(2) Je Prüfpunkt können bereits vorhandene Unterlagen und Nachweise hochgeladen und verwaltet werden.
(3) Für aktuell noch nicht erfüllte oder verbesserungsfähige Prüfpunkte werden entsprechende Dokumentationsvorlagen und Werkzeuge zur Verfügung gestellt, die die medizinische Einrichtung, entsprechend ihren jeweiligen Vorgaben, individualisieren und unmittelbar zum Einsatz bringen kann.
(4) Per Mausklick kann jederzeit ein aktueller, mehrseitiger Assessment-Bericht ausgedruckt werden, der einen detaillierten Überblick über den Stand der Informationssicherheits- und Datenschutzorganisation gibt.
(5) Ein übergreifender, sowohl die sich wandelnden gesetzlichen und behördlichen Forderungen berücksichtigender als auch Benchmarkorientierter, kontinuierlicher Verbesserungsprozess wird zur Verfügung gestellt.
(6) Die Heilwesen-Netzwerk RM eG bietet die Zertifizierung des Informationssicherheits- und Datenschutzmanagementsystems auf der Grundlage des Standards „S/Wi/Z Informationssicherheit und Datenschutz“ an
(Zertifikat der Heilwesen-Netzwerk RM eG).