Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Fachbeitrag · Datenschutz

    Leserforum: Welche Folgen hat die DSGVO für die Aktenvernichtung in der Physio-Praxis?

    beantwortet von RAin Heike Mareck, externe Datenschutzbeauftragte, Dortmund, www.kanzlei-mareck.de

    | FRAGE: Mit großem Interesse verfolge ich seit Jahresbeginn die PP-Berichterstattung zur Datenschutzgrundverordnung (DSGVO). Bislang habe ich dort noch nichts zur Vernichtung von Patientenakten gefunden. Welche Vorgaben macht die DSGVO denn hierzu? |

     

    Antwort: Zunächst einmal kommt es darauf an, ob Sie die Patientenakten nach Ende der Aufbewahrungsfrist ( PP 03/2018, Seite 16 ) selbst vernichten oder einen externen Dienstleister damit beauftragen.

     

    Wenn Sie die Akten selbst vernichten, halten Sie sich an die DIN 66399, die seit Inkrafttreten der DSGVO weiterhin gilt. Diese Norm teilt Datenträger je nach Schutzbedürftigkeit in drei Schutzklassen und sieben Sicherheitsstufen ein: Patientenakten gehören zur Sicherheitsstufe vier, Bewerbungen und Personalunterlagen zur Sicherheitsstufe drei (Übersicht online unter www.iww.de/s1871). Achten Sie vor allem darauf, dass Sie den richtigen Aktenvernichter verwenden. Nur Aktenvernichter mit Partikelschnitt und der Sicherheitsstufe 4 oder höher erfüllen die Kriterien der DSGVO zur Vernichtung personenbezogener Daten. Viele Geräte sind auf die geringeren Stufen eins und zwei ausgelegt (Streifen und große Partikel). Diese genügen für die Vernichtung von Patientenakten nicht.

     

    Vernichtet ein Dienstleister die Patientenakten, handelt es sich hierbei um eine Auftragsverarbeitung (AV). Dies gilt unabhängig davon, ob der Dienstleister die Unterlagen in Ihrer Praxis vernichtet oder sie zur Entsorgung abholt und an einem anderen Ort endgültig entsorgt. Daher müssen Sie als Auftraggeber (Verantwortlicher) nach Art. 28 Abs. 3 DSGVO mit dem Auftragnehmer (Auftragsverarbeiter) einen Vertrag schließen (Mustervertrag online unter pp.iww.de, Abruf-Nr. 45088562). Ein solcher Vertrag entbindet Sie jedoch nicht von Ihren Pflichten als Verantwortlicher (PP 02/2018, Seite 18). Wählen Sie den Dienstleister sorgfältig aus. Ein wichtiges Qualitätskriterium ist z. B. eine Zertifizierung (z. B. durch den TÜV oder die Gesellschaft für Datenschutz und Datensicherheit e. V. [GDD]).

     

    PRAXISTIPP | Gleich, wer Ihre Patientenakten vernichtet, bestimmen Sie in Ihrem Praxisteam feste Regeln für den Umgang mit der Datenvernichtung:

    • Legen Sie fest, wer für das Management von Papierdokumenten und digitalen Daten verantwortlich ist. Übertragen Sie die Verantwortung mindestens auf zwei Personen (zur Vertretung bei Urlaub, Krankheit, Ausscheiden aus der Praxis).
    • Planen Sie, wann die Akten in der Praxis durchgesehen und geordnet werden (nach Verbleib in der Praxis, Vernichtung und Auslagerung in ein sicheres externes Archiv). Dies sollte mindestens einmal im Jahr passieren (siehe dazu auch PP 07/2009, Seite 15).
    • Schulen Sie Ihre Mitarbeiter regelmäßig.
     
    Quelle: Ausgabe 01 / 2019 | Seite 17 | ID 45409353