Richtiger Umgang mit sensiblen Daten im Therapeuten-Alltag
Machst du dir manchmal Gedanken darüber, ob du in deiner Praxis auch alle Datenschutz Anforderungen erfüllst? Bewahrst du fleißig Aktenordner auf oder bist du bereits auf die elektronische Datenaufbewahrung umgestiegen? Bist du bereits ein Profi in der Behandlung von PatientInnen UND der Verwendung sensibler Patientendaten, oder bist du dir noch unsicher was Datenschutz überhaupt bedeutet? Die gesetzliche Grundlage für den Datenschutz bildet die DSGVO. Diese Verordnung beschäftigt uns alle seit Ihrer Einführung im Mai 2018. Worum es sich dabei genau handelt wird in diesem Beitrag nicht genauer erläutert. Wenn du mehr detaillierte Infos zum Datenschutz für TherapeutInnen und zur DSGVO suchst, findest du am Blog bereits einige Artikel zu diesen Themen.
Datenschutz schnell erklärt
DSGVO für Therapeuten – Teil 1
DSGVO für Therapeuten – Teil 2
Datensicherheit bei synaptos
Heute möchten wir bekannte Irrtümer aufklären, die es im Rahmen der Einhaltung der DSGVO immer wieder gibt.
Datensammlung während einer Behandlung
Neben den personenbezogenen Daten wie Name, Sozialversicherungsnummer, Alter etc. werden auch sensible Daten im Rahmen der Behandlung an dich als TherapeutIn, egal ob als PhysiotherapeutIn oder PsychotherapeutIn, weitergegeben. Dazu zählen alle Daten, die den Gesundheitszustand einer Person betreffen. Da diese höchstpersönlich sind, und auf keinen Fall öffentlich gemacht werden dürfen, hat der Schutz der sensiblen Gesundheitsdaten höchste Priorität.
Du fragst dich wann du mit personenbezogenen Daten arbeitest?
Während der gesamten Behandlung deiner PatientInnen.
Beginnend bei der Terminvereinbarung bis zur Abrechnung. Du musst daher während der gesamten Behandlung nicht nur das gesundheitliche Wohlbefinden deiner PatientInnen im Blick behalten, sondern auch den Schutz der höchstpersönlichen Daten sicherstellen. Obwohl das Thema Datenschutz ständig präsent ist, gibt es immer wieder falsche Annahmen zur Einhaltung der Datenschutzbestimmungen.
Hier räumen wir mit häufigen Irrtümern zum Thema Datenschutz in der Therapie gemäß der DSGVO auf.
Irrtum 1: Wenn ich mich an die Schweigepflicht halte, reicht das vollkommen aus
Natürlich bist du auch im Rahmen der DSGVO weiter an die Schweigepflicht gebunden. Aber darüber hinaus musst du auch genau dokumentieren, wie du die „Schweigepflicht“ technisch und rechtlich in deiner Praxis sicherstellst.
Du denkst das ist unnötig?
Nein. Die verarbeiteten Daten stehen im Sinne der „Schweigepflicht“ der Datenschutzbehörde nicht zur Überprüfung. Daher muss die Aufsichtsbehörde anhand deiner Dokumentation über die Vorgehenswiese bei der Einhaltung der DSGVO sicherstellen, dass die Patientendaten geschützt sind.
Wie dokumentiere ich die Einhaltung richtig?
In einem Verarbeitungsverzeichnis zeigst du sämtliche technischen und organisatorischen Maßnahmen zur Datenverarbeitung auf. Dort ist ersichtlich welche Daten, zu welchem Zweck, wann und wie verarbeitet werden. Die Erstellung eines Verarbeitungsverzeichnis gemäß DSGVO ist also Pflicht für alle TherapeutInnen.Die Schweigepflicht von TherapeutInnen im üblichen Sinne bleibt davon unberührt.
Irrtum 2: Ich brauche immer die Einwillung der Patient:innen, um Daten zu verarbeiten
Nein. Jede Datenverarbeitung muss rechtlich begründet sein. Die Zustimmung der PatientIn ist aber nur ein möglicher Rechtsgrund dafür. Meist geht die rechtliche Grundlage jedoch aus einem Vertragsverhältnis mit den PatientInnen hervor. TherapeutInnen sind im Rahmen ihrer beruflichen Tätigkeit zur Datenverwendung verpflichtet um ihrer berufsrechtlichen Aufgaben zu erfüllen.
Die Erhebung von personenbezogenen Daten ist dabei ein wesentlicher Teil der Dienstleistung. Die ausdrückliche Einwilligung der PatientInnen dafür ist aber nicht notwendig. Es ist aber empfehlenswert in deinen AGB auf die Datenverarbeitung hinzuweisen. Wenn du die Datenverarbeitung umfangreicher erläutern möchtest, kannst du in einer schriftlichen Datenschutzerklärung genauer zu beschreiben, wie und wofür die Daten erhoben und verarbeitet werden. Dies ist aber nicht zwingend erforderlich.
Ein Zusatz in den Allgemeinen Geschäftsbedingungen (AGB) reicht meist schon aus, beugt Unklarheiten und Missverständnissen vor und schafft Vertrauen.
Irrtum 3: Daten, die mir zur Verfügung stehen, darf ich frei verwenden
Nein. Personenbezogene Daten die mir zur Verfügung stehen, darf ich nicht einfach für eigene Zwecke verarbeiten. Die E-Mailadresse eines Patienten, die ich zur Terminkoordination nutze, darf ich nicht ohne die ausdrückliche Zustimmung für meine Marketingzwecke nutzen. Wenn ich denjenigen also über mein regelmäßiges Kursangebot etwa in einem Newsletter informieren möchte, muss ich davor ausdrücklich seine Zustimmung einholen. Eine eindeutige Klärung zu welchem Zweck Daten erhoben und verarbeitet werden ist absolut notwendig.
Irrtum 4: Eine Datenschutzerklärung berechtigt automatisch zur Datenverarbeitung
Die Datenschutzerklärung an sich bildet keine rechtliche Grundlage für die Datenverarbeitung. Die Datenschutzerklärung dient als Information,wie und wofür Daten erhoben und verarbeitet werden. Wenn eine schriftliche Einwilligung zur Datenverarbeitung vorliegt, dient die Datenschutzerklärung dazu, die notwendigen Informationen zu liefern.
synaptos ist DSGVO-konform
Als Softwareanbieter für TherapeutInnen spielte das Thema Datenschutz für synaptos von Beginn an eine wesentliche Rolle. Schließlich arbeiten unsere KundInnen mit hochsensiblen Gesundheitsdaten. Die Sicherstellung des Datenschutzes ist daher ein absolut relevantes Thema, welches uns und unsere Kunden laufend betrifft. Du möchtest in deiner Praxis auf der sicheren Seite sein? Mit synaptos hast du ein gesetzeskonformes und DSGVO – kompatibles Tool an deiner Seite, welches dir die Sicherheit der Daten deiner PatientInnen gewährleistet und dich im Praxisalltag optimal unterstützt.
