02.03.2009 | Qualitätsmanagement
Datenschutz in der Arztpraxis
von Sebastian Schnabel, Medienbüro Medizin, Hamburg
„Guten Tag, ich brauche ein neues Rezept für meine Hämorrhoiden-Salbe.“ „Ich habe Depressionen.“ Die Anliegen von Patienten in Arztpraxen sind sehr persönlich und daher müssen sie auch vertraulich behandelt werden. Aber Pannen beim Datenschutz gibt es überall - Arztpraxen bilden da keine Ausnahme. In vielen Praxen sind sich Inhaber und Mitarbeiter nicht bewusst, wie weit die Vorschriften zum Datenschutz wirklich gehen. „Praxisteam professionell“ klärt auf.
Bundesdatenschutzgesetz gilt auch in Arztpraxen
Der vertrauliche Umgang mit Patienteninformationen hat verschiedene rechtliche Grundlagen. Ärzte und ihre Mitarbeiter unterliegen der Schweigepflicht nach § 203 des Strafgesetzbuches (StGB) - Verstöße dagegen sind strafbar (lesen Sie dazu ausführlich Ausgabe 3/2008 von „Praxisteam professionell“). Auch in der Berufsordnung der Ärzte (§ 9 der Musterberufsordnung) findet sich die Schweigepflicht wieder. Außerdem gelten für Arztpraxen genauso wie für alle anderen Unternehmen die Vorschriften des Bundesdatenschutzgesetzes (BDSG). Danach gehören Gesundheitsdaten zu den besonderen personenbezogenen Daten (§ 3 Abs. 9 BDSG), für deren Erhebung, Verarbeitung und Nutzung hohe Sicherheitsanforderungen gelten.
Datenschutz im Empfangs- und Wartebereich
Dass Behandlungszimmer und Wartebereich räumlich durch feste Türen und nicht nur durch Vorhänge voneinander getrennt sein müssen, ist selbstverständlich. Denn das Arzt-Patienten-Gespräch sollte nicht nur sprichwörtlich hinter verschlossenen Türen stattfinden.
Bei der ersten Kontaktaufnahme stellen sich Patienten in der Regel mit Namen vor und nennen ihre Beschwerden. Das ist nicht für die Ohren aller anderen Besucher bestimmt. Wenn es die Größe und die Raumaufteilung einer Praxis zulässt, sollten Warte- und Empfangsbereich unbedingt voneinander getrennt sein. Ist dies nicht der Fall, sollten Mitarbeiter darauf achten, die Gespräche mit Patienten möglichst leise zu führen. Und wenn mehrere Patienten am Empfangstresen Schlange stehen, ist es Ihre Aufgabe, die Wartenden auf einen respektvollen Abstand hinzuweisen. Patienten sollten außerdem die Möglichkeit haben, ihre persönlichen Angaben schriftlich zu machen. Halten Sie dafür ein Formblatt bereit. Sobald Sie die Daten in Ihr Dateisystem übernommen haben, sollte der Zettel vernichtet werden. Patientenakten sollten niemals unbeaufsichtigt auf dem Tresen oder in den Behandlungszimmern herumliegen.
Datenschutz am Telefon
Wenn Sie mit Patienten telefonieren, während andere Personen in Hörweite sind, sollten Sie diese nicht mit ihrem Namen ansprechen. Niemand anderes braucht zu erfahren, ob es Frau Meier oder Frau Schultze ist, die einen Termin zur Darmspiegelung vereinbaren möchte oder deren Bluttestergebnisse hohe Cholesterinwerte aufweisen. Längere Telefonate sollten Sie in einem separaten Raum führen.
Datenschutz bei Faxgeräten
Faxgeräte sind für die Kommunikation mit Patienten zu vermeiden. Denn beim Versenden muss sicher sein, dass auf der anderen Seite nur der Patient selbst oder ein anderer ermächtigter Empfänger die Daten erhält. Das macht im Einzelfall eine direkte vorherige Absprache notwendig. Und die Gefahr, dass das Fax durch einen Fehler beim Wählen an unbefugter Stelle landet, ist relativ groß.
Andersherum ist es natürlich möglich, dass Patienten oder andere Ärzte Ihrer Praxis Daten per Fax zukommen lassen wollen. Daher darf das Faxgerät nicht für Patienten zugänglich aufgestellt sein, beispielsweise vor dem Tresen oder in einem Behandlungszimmer, in dem mitunter Patienten alleine auf den Arzt warten.
Aktenschredder mit hoher Sicherheitsstufe verwenden
Wenn Unterlagen mit Patienteninformationen nicht mehr benötigt werden und Sie diese entsorgen wollen, gehören diese nicht ins Altpapier oder in den Hausmüll. In jeder Arztpraxis sollte es einen Schredder der Sicherheitsstufe fünf geben. Bei geringeren Sicherheitsstufen werden die Akten zwar in Streifen geschnitten, doch nicht miteinander verwirbelt. Dann sind sie auch ohne ein außergewöhnliches Talent zum Puzzeln recht einfach zusammenzufügen.
Unternehmen, die als Dienstleister gewerbsmäßig Krankenakten vernichten, sollten nach DIN 32757 vom TÜV oder der DEKRA zertifiziert sein. Schließen Sie bei der Übergabe der Akten außerdem eine Datenschutzerklärung mit dem Unternehmen ab.
Beachten Sie: Bevor Sie sich entschließen, Akten vernichten zu lassen, prüfen Sie bitte, ob die gesetzlich vorgeschriebene Aufbewahrungsfrist von zehn Jahren eingehalten wurde. Diese Frist gilt auch, wenn Sie die Patientenakten elektronisch führen.
Virenschutz für Internet-Computer täglich aktualisieren
Mittlerweile ist es - nach dem aktuellen Merkblatt der Kassenärztlichen Bundesvereinigung (KBV) und der Bundesärztekammer (BÄK) - erlaubt, Patientendaten auf Computern mit Internetzugang zu speichern. Allerdings müssen unbedingt ein aktuelles Virenschutzprogramm und eine Firewall installiert sein, die täglich aktualisiert werden müssen. Einhundertprozentige Sicherheit gewährleisten diese Programme jedoch nicht.
Auch ohne Internetzugang dürfen Patientendaten nur verschlüsselt auf Computern gespeichert werden. Falls der Computer gestohlen wird, werden so nicht auch noch die Patientendaten offenbart. Bei den Anbietern von Praxissoftware ist die verschlüsselte Speicherung heute Standard. Wichtig für Ihre Praxis ist, weitere interne Sicherheitsvorkehrungen zu treffen:
- Schützen Sie den Zugang zum PC durch ein Passwort.
- Teilen Sie das aktuelle Passwort allen befugten Mitarbeitern in einer Teamsitzung mit und weisen Sie darauf hin, dass es nicht weitergegeben werden darf. Selbstverständlich darf es auch nicht als Gedächtnisstütze auf einem Zettel unter der Tastatur oder am Monitor festgehalten werden.
- Das Passwort sollte mindestens acht Stellen lang sein und aus Buchstaben, Zahlen und Sonderzeichen bestehen.
- Es sollte regelmäßig nach einigen Monaten geändert werden.
- Möglichst jeden Tag, aber mindestens einmal pro Woche, muss eine Sicherungskopie der Patientendaten erstellt werden, die in einem verschlossenen Schrank aufbewahrt wird.
- Die Sicherheitssoftware auf Computern mit Internetzugang muss regelmäßig, möglichst täglich, aktualisiert werden. Ansonsten ist sie innerhalb kurzer Zeit veraltet.
Die Monitore sollten generell so stehen, dass Patienten diese nicht einsehen können. Falls das wegen der Raumaufteilung der Praxis nicht möglich ist, sollten die Monitore einen Bildschirmschoner haben, der nach kurzer Zeit aktiviert wird. In Arztpraxen ist es angebracht, den Bildschirmschoner durch ein Passwort zu schützen. Dieses wird jedes Mal neu eingegeben, nachdem der Bildschirmschoner aktiv war und man weiterarbeiten möchte.
Auch Computer-Techniker dürfen keinen Zugriff haben
Wenn ein Praxis-Computer defekt ist, wird ein Techniker gerufen. Dieser darf jedoch keinen Zugriff auf Ihre Patientendaten haben. Solange der Techniker in der Praxis am PC arbeitet, sollte ein Mitarbeiter ihn dabei „überwachen“. Wird der PC oder zumindest die Festplatte mit den Daten aus der Praxis entfernt, sollten Sie das beauftragte Unternehmen eine Datenschutzerklärung unterschreiben lassen.
Wollen Sie ältere Datenträger aus der Praxis ausmustern, müssen diese ebenfalls vernichtet oder die Daten fachgerecht unbrauchbar gemacht werden. Bei einer Festplatte reicht es nicht, die Daten zu löschen und den Windows-Papierkorb zu leeren. Für Profis ist es kein Problem, diese Daten wieder herzustellen. Im Fachhandel gibt es spezielle Software, um Daten unwiderruflich zu löschen.
Reiner Tisch zum Feierabend
Nicht nur beim Umgang mit Computern müssen Sie als Medizinische Fachangestellte (MFA) den Datenschutz beachten. So sollten nach Feierabend keine Dokumente offen auf dem Schreibtisch herumliegen. Es gilt das Prinzip des „clear-desk“ (freier Schreibtisch). Patienteninformationen gehören in verschlossene Schränke, auch wenn sie am nächsten Morgen direkt wieder benötigt werden. Zu den Praxisräumen haben neben den Mitarbeitern schließlich auch Putzkräfte und Hausmeister Zutritt.
Datenschutzbeauftragter nur bei größeren Praxen Pflicht
Wenn in Ihrer Arztpraxis mehr als fünf Personen regelmäßig mit Patienteninformationen arbeiten, muss nach § 4 des BDSG ein Datenschutzbeauftragter bestellt werden. Er ist der Praxisleitung direkt unterstellt und hat dafür zu sorgen, dass die Datenschutzrichtlinien eingehalten werden.
Wenn Mitarbeiter aus der Praxis ausscheiden
Beim Ausscheiden von Angestellten durch Kündigung oder Mutterschutz sind folgende Regeln zu beachten:
- Private E-Mails der Mitarbeiter stehen unter Datenschutz und dürfen von Kollegen oder Vorgesetzten nicht einfach gelesen werden. Lassen Sie ausscheidende Kollegen daher eine schriftliche Erklärung darüber ausfüllen, dass alle privaten Daten gelöscht sind und die verbliebenen Daten vom übrigen Personal eingesehen werden dürfen.
- Nach jedem Ausscheiden eines Kollegen sind alle Computer-Passwörter zu ändern.
- Dass alle Schlüssel für Türen und Schränke abgegeben werden, versteht sich von selbst.
Wenn der Patient Akteneinsicht möchte
Möchten Patienten ihre Akte einsehen, ist das selbstverständlich zu gewähren. Sie dürfen aber nicht zulassen, dass das Original einer Akte Ihre Räumlichkeiten verlässt, denn die Praxisinhaber haben eine Aufbewahrungspflicht. Lediglich Kopien der Akten können Sie den Patienten aushändigen und sich dafür die Kopierkosten erstatten lassen. Außerdem steht es dem Arzt frei, eigene Notizen zu Patienten aus der Akte zu entfernen, bevor die Patienten diese einsehen. Das gilt allerdings nur für Notizen, die nicht den Gesundheitszustand der Patienten betreffen. Dann sind die Notizen des Arztes nämlich keine Patienteninformationen, sondern vertrauliche Daten des Arztes. Und auch diese sind nach dem BDSG schützenswert. Der Arzt muss sie also nur dann vorzeigen, wenn er es möchte.
