-Kliniken, Ärzte und Pflegedienste müssen sich auf ein neues Patientenrecht vorbereiten-
Actus-IT. Die neue europ. Datenschutzgrundverordnung (EU-DSGVO) bringt in Art. 20 (Datenportabilität) für die Betroffenen ein "Recht auf Herausgabe und Übertragung ihrer personenbezogenen Daten". Betroffene können nunmehr verlangen, dass ihre Daten an eine neue Bank, einen Arbeitgeber, Arzt oder Pflegedienst übertragen werden. Was als Stärkung der Betroffenenrechte von Kunden, Arbeitnehmern oder eben auch Patienten gedacht ist, bedeutet für Krankenhäuser, Ärzte oder Pflegedienste eine große technische und organisatorische Herausforderung. Die Übertragung muss dabei ohne Behinderung erfolgen, das heißt, die Datenübertragung ist nicht an Bedingungen zu knüpfen; insbesondere hat die Übermittlung der Daten entsprechen Art. 12 Abs. 5 EU-DSGVO in der Regel unentgeltlich zu erfolgen hat. Besonders für das Gesundheitswesen ist die Frage nach dem Umfang der zu übermittelnden Daten entscheidend, denn es fallen eben nicht nur Daten während der eigentlichen Patientenbehandlung , sondern auch Daten zu statistischen Auswertungen oder allgemeine Daten für die Patientenakte an. So erfolgt die Verarbeitung von Gesundheitsdaten häufig zum Zwecke der privatrechtlichen Abrechnung, der Erhebung des aktuellen Gesundheitsstatus'' eines Patienten oder der Übermittlung an externe Stellen, z. B. zu Forschungszwecken. Grundsätzlich ist davon auszugehen, dass ALLE Daten, also sowohl die personenbezogenen Daten, welche bei der Patientenversorgung anfallen, als auch die Sekundärdaten, dem Recht auf Datenübertragung unterliegen. Dabei soll die technische Datenübertragung der personenbezogenen Daten z. B. von einem Pflegedienst zu einem anderen durch ein "strukturiertes, gängiges, maschinenlesbares und interoperables Format" erfolgen. Im Klartext müssen folgende Fragen beantwortet werden: Haben die eingesetzten Patienten- bzw. Praxisverwaltungssysteme (PVS) oder die Krankenausinformationssysteme (KIS) eine entsprechende Schnittstelle, um den Datenaustausch (Ex- und Import der personenbezogenen Daten) zu gewährleisten? Bestehen in der Gesundheitseinrichtung entsprechende Verfahren dazu, wenn eine betroffene Person ihre Daten übermitteln lassen möchte? Bestehen demgegenüber hinreichende Verfahren, wie eine betroffene Person informiert werden kann, sofern die Daten nicht übermittelt werden können?
Die meisten Verantwortlichen im Gesundheitswesen haben keine Möglichkeit, selbst die entsprechenden elektronischen Schnittstellen zu implementieren und sind so auf die Hersteller der IT Systeme angewiesen. Diese sollten schnellstens kontaktiert werden. Auch sollten die Verantwortlichen möglichst zeitnah die entsprechenden Prozesse für eine evtl. Übertragungsanforderung ihrer Patienten einrichten.
Denn die EU-DSGVO (Datenschutzgrundverordnung) sieht die Verweigerung der Datenübermittlung zu einer anderen Gesundheitseinrichtung (Arzt, Klinik, Pflegedienst) nicht als "Kavaliersdelikt" an. Die Ablehnung der Datenübertragung von Patientendaten fällt unter den Tatbestand des Art. 83 Abs. 5 EU-DSGVO. Dieser sieht als Sanktionsmöglichkeit ein Bußgeld in Höhe von 20 Millionen Euro bzw. bis zu 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres vor. Die Regelungen der EU-DSGVO (Datenschutzgrundverordnung) treten ab dem 25. Mai 2018 in Kraft.
Die Datenschutzagentur actus-IT empfiehlt Unternehmen der Gesundheitswirtschaft, sich zunächst über die für sie wichtigen Änderungen zum Datenschutz zu informieren bzw. schulen zu lassen. Weiterhin müssen entsprechende organisatorische Arbeitsprozesse (wie z. B. Verfahren zur Datenübertragung) nach den Anforderungen der EU-DSGVO (Datenschutzgrundverordnung) in den täglichen Arbeitsablauf implementiert werden. Und nicht abschließend ist mit den Softwareherstellern in Kontakt zu treten, um mit diesen schnellstmöglich nach Lösungen für die Implementierung einer allgemeingültigen Schnittstelle für den Datenaustausch in der genutzten Verwaltungssoftware zu suchen.
Möchten Sie mehr über den Schutz von persönlichen Daten im Gesundheitswesen wissen oder interessieren Sie sich für unsere Schulungen zum Schutz von personenbezogenen Daten, so wenden Sie sich bitte unter info@actus-it.de an uns oder besuchen Sie uns im Internet unter www.actus-it.de. Gerne bietet Ihnen actus-IT auch einen unverbindlichen und kostenlosen Datenschutz-Basis-Check für Ihre Einrichtung an, um das vorhandene Datenschutzniveau zu analysieren und ggf. Vorschläge für eine datenschutzkonforme Anpassung zur EU-DSGVO (Datenschutzgrundverordnung) zu erarbeiten.