Transcript
Verschiedenes
KV-Blatt 05.2015
Jeder hatte Einblick in Patientendaten verschiedener Ärzte
Datenschutz: In einer Praxisgemeinschaft muss der gemeinsame Datenzugriff streng geregelt werden Der gemeinsame Zugriff auf Patientendaten in Praxisverwaltungssystemen durch Ärzte und Personal in Praxisgemeinschaften ist nur mit Zustimmung der betroffenen Patienten gestattet. Darauf hat der Berliner Datenschutzbeauftragte in seinem neuesten Jahresbericht für das Jahr 2014 hingewiesen. Angezählt wurde eine Berliner Praxisgemeinschaft, deren Ärzte und Personal ein Praxisverwaltungssystem gemeinsam nutzen, ohne dass die Zugriffsrechte auf die Patientendaten im Detail definiert bzw. festgelegt wurden.
angegliederten Studienzentrum keine Trennung der Daten und des Datensystems vorhanden war. Auch hier gilt, dass Übermittlungen zwischen Praxisgemeinschaft und Studienzentrum nachvollziehbar sein müssen, insbesondere für die am Zentrum unbeteiligten Ärzte und deren Patienten. Die Prüfer entdeckten bei dieser Gelegenheit auch Patientenunterlagen, die im Studienzentrum nichts zu suchen hatten und unmittelbar in die Praxisgemeinschaft zurückgebracht werden mussten. Internetbasierte Nachsorge
Der Hintergrund: Auch in einer Praxisgemeinschaft übernimmt ein einzelner Arzt die Behandlung des Patienten. Zwischen dem Personal der einzelnen Praxen ist die Schweigepflicht zu wahren. Nur im Vertretungsfall dürfen die Daten von Patienten offenbart werden. Gemeinsames Personal, so der Datenschutzbericht, das für mehrere Praxen tätig wird, kann dann auch solche Daten einsehen. Allerdings untersteht es dabei dem Direktionsrecht der jeweils im Einzelfall behandelnden Ärzte. „Das“, so heißt es, „muss sich auch technisch im Praxisverwaltungssystem widerspiegeln, soweit dies gemeinsam genutzt wird.“ Dann müssen spezielle Zugriffsrechte eingerichtet werden, „welche die Schranken der Schweigepflicht abbilden“. Schließlich muss es dann möglich sein, erfolgte Zugriffe nachzuvollziehen, um Offenbarungen auf ihre Zulässigkeit hin überprüfen zu können. Das alles hat die vom Datenschutzbeauftragten geprüfte Praxisgemeinschaft nicht getan. Dort wurde die Zugriffstrennung auf die Patientendaten nicht vollzogen und Passwörter wurden gemeinsam genutzt. Damit war stets ein Zugriff auf die Daten aller Patienten möglich. Für alle Beschäftigten müssen nun individuelle Benutzerkonten mit eigenem Passwort und abgestimmten Nutzerrechten eingerichtet werden. Damit nicht genug, monierte der Datenschutzbeauftragte bei der Prüfung auch, dass in einem der Praxisgemeinschaft
Wer als Arzt das Internet rsp. den E-MailWeg nutzt, um Patienten beispielsweise an bestimmte Behandlungen zu erinnern oder sich nach dem Erfolg einer Behandlung zu erkundigen, muss ganz besonders auf den Schutz vertraulicher Daten achten. So gilt beispielsweise der E-MailVerkehr als nicht sicher, weil nicht auszuschließen ist, dass „Dritte“ mitlesen. Auch darauf weist der Datenschutzbeauftragte in seinem Bericht hin. Weil Ärzte dazu verpflichtet sind, über Erkenntnisse aus einer Patientenbehandlung zu schweigen, dürfen sie auch kein Medium zur Kommunikation verwenden, das nicht gegen die „Kenntnisnahme Dritter“ schützt. Dazu gehört dem Bericht zufolge auch die E-Mail. Bereits in der Absenderangabe können sensitive Informationen über einen Patienten stecken, z. B. bei einem auf bestimmte Erkrankungen, etwa auf Krebs, spezialisierten
KV-Service-Center und betriebswirtschaftliche Beratung
Tel. (030) 310 03-999 Mo, Di, Do
8.30–17 Uhr
Mi, Fr
8.30–15 Uhr
[email protected]
Arzt. „Womöglich“, so heißt es, „soll die Patientin gar noch an eine bestimmte Therapie erinnert werden und es wird in der E-Mail explizit darauf hingewiesen.“ Aus der Therapieform ließe sich dann auch die Erkrankung ableiten – eine Information, die die Betroffene gewiss nicht in die Welt hinausposaunen wolle. Die Schlussfolgerung: Unverschlüsselte E-Mails sind grundsätzlich nicht geeignet, die Vertraulichkeit einer Information zu garantieren. Eine alternative Möglichkeit wäre es, einen unabhängigen Dienstleister zu beauftragen, mit unverfänglichen Hinweisen auf ein bestimmtes Anliegen aufmerksam zu machen, etwa ein Merkblatt wieder einmal zur Hand zu nehmen oder eine vereinbarte Webadresse zu „besuchen“. Fazit: Gegen die Nutzung elektronischer Kommunikationswege ist dann nichts einzuwenden, wenn die Inhalte sorgfältig geschützt und Daten auf das nötige Minimum eingeschränkt werden. Charité und Vivantes: Zur Technik für das neue Gemeinschaftslabor gab es die Patientendaten obendrauf Gegenstand der Datenschutzprüfung war auch die vor einigen Jahren neu eingerichtete Labor GmbH, ein Unternehmen, das Laboruntersuchungen der Patienten der Charité und des landeseigenen Klinikkonzerns Vivantes durchführt. Die Labor GmbH entstand auf Beschluss des Berliner Abgeordnetenhauses im Jahr 2010 durch die Fusion der bis dahin selbstständigen Laborbereiche von Charité und Vivantes. Zur großen Überraschung der Prüfer erhielt das neue Riesenlabor nicht nur die Technik seiner Vorgängereinrichtungen, sondern auch gleich die Patientendaten. „Diese Datenübermittlung hinter dem Rücken der Patienten stellt einen Verstoß gegen die ärztliche Schweigepflicht und den Datenschutz dar“, heißt es unmissverständlich im Datenschutzbericht. Das Laborunternehmen wurde aufgefordert, die Patientendaten an Charité und Vivantes zurückzugeben. Letztere wurden zur „zügigen Rücknahme der Altdaten“ verpflichtet. litt
27
