Physina

Betrifft die neue GDPR auch die Physiotherapeuten/Osteopathen/Ernährungsberater/Heilpraktiker/Masseure?

Die Antwort lautet Ja: Praxen haben personenbezogene Daten über Patienten, Informationen, die den Gesundheitszustand der betroffenen Person erfassen und daher gemäß der Verordnung zu verarbeiten und aufzubewahren sind.

Die zweite Frage ist: Müssen wir uns Sorgen machen?

Die Antwort ist Nein.

Wir müssen aber informiert sein und eine Reihe von Maßnahmen zum Schutz der personenbezogenen Daten, ihrer Verarbeitung und Speicherung ergreifen. Ziel der neuen Verordnung ist es, zu überprüfen, ob die Verarbeitung der Daten einen rechtmäßigen Zweck hat, ob sie sicher erfolgt und ob die betroffene Person angemessen aufgeklärt worden ist.

Um dies zu gewährleisten, hat der Gesetzgeber neue Rechte für den Betroffenen (den Patienten) eingeführt. Das Recht, vergessen zu werden: Um auf aktuelle Ereignisse und Nachrichten zu reagieren, kann der Patient verlangen, dass Daten über ihn gelöscht oder verdeckt werden. Wir erinnern Sie daran, dass es im Gesundheitsbereich notwendig ist, einige Daten für eine bestimmte Anzahl von Jahren für medizinisch-rechtliche Fragen aufzubewahren. In diesem Fall ist es daher besser, die Daten zu verdecken, als sie zu löschen.

Recht auf Datenübertragbarkeit: Der Patient kann eine Kopie seiner Daten in einem austauschbaren elektronischen Format, wie dem XML-Format, anfordern.

Recht zu wissen, wo Ihre Daten verarbeitet werden: Wenn Sie eine Lösung verwenden, die z.B. Daten in Deutschland speichert, haben Sie die Pflicht, Ihre Patienten darüber zu informieren, da nicht jeder dafür sein kann, dass ihre Daten in einer Cloud liegen und/oder außerhalb Italiens gesendet werden im Allgemeinen müssen daher Maßnahmen ergriffen werden, um die neuen Rechte der Patienten zu respektieren.

Um die Sicherheit der Datenverarbeitung und -speicherung zu gewährleisten, weist der Gesetzgeber auf weitere Aspekte hin. Das Datenschutzgesetz sieht seit langem vor, dass die Daten vor unbefugtem Zugriff geschützt sein müssen und dass alle notwendigen Maßnahmen zur Gewährleistung der Sicherheit und Integrität ergriffen werden, wie z.B. die Verpflichtung, regelmäßige Sicherungskopien davon anzufertigen.

Die neue GDPR klärt diese Aspekte weiter und verschärft die Konsequenzen bei Nichteinhaltung.

Sie führt das Konzept des "Privacy By Design" ein, ein neues Schlüsselelement in der Gesetzgebung zum Schutz personenbezogener Daten, das vorsieht, dass die für die Datenverarbeitung verwendeten Computerlösungen mit dem eigentlichen Ziel des Schutzes der Privatsphäre der betroffenen Personen konzipiert und umgesetzt werden.

Wir wollen uns hier nicht mit den eher technischen Aspekten befassen, aber wir müssen unbedingt einige grundlegende Anforderungen nennen.

• Der Zugriff auf die Software, die die Daten verarbeitet, muss durch ein Berechtigungssystem geregelt werden. Jeder Betreiber benötigt eine eigene, eindeutige ID und ein Passwort, um zu bestimmen, auf welche Daten er aufgrund seiner Rolle zugreifen kann.
• Sie müssen nachweisen, dass Sie über eine aktive Datensicherung verfügen, um versehentlichen Datenverlust zu vermeiden. Um die Wirksamkeit des Backup-Systems zu überprüfen, müssen Sie nachweisen, dass Sie Datenrettungstests durchgeführt haben.
• Die Software muss Datenschutz-Tools zur Verfügung stellen, um betrügerischen Zugriff und Datenschutzverletzungen vorzubeugen: Beispielsweise ermöglicht die Verschlüsselung die Umwandlung von Daten mit einem bestimmten Algorithmus, der sie nur durch ein bestimmtes Entschlüsselungsverfahren lesbar macht.

Werden Patientendaten an Dritte weitergegeben, können zwei Wege beschritten werden, um der neuen Gesetzgebung zu entsprechen:

• Die Pseudonymisierung der Daten, d.h. die Verwendung eines Zufallscodes anstelle von Daten, die zur Identifizierung des Patienten führen können.
• Oder indem dem Labor die Aufgabe übertragen wird, sich auch an die Richtlinien des GDPR zu halten.

Das Ergebnis aller oben aufgeführten Auflagen und Prüfungen muss daher in ein "Register der Verarbeitungsvorgänge" eingetragen werden. Aber wer ist für all diese Dinge verantwortlich? Die Antwort ist "der Inhaber der Datenverarbeitung", der in der Regel der berufsmäßige oder gesetzliche Vertreter des Unternehmens ist.

Diese Informationen müssen bei der Einwilligung in die Verarbeitung von Daten, die der Patient vor Beginn einer Behandlung unterschreiben muss, mitgeteilt werden. Der Inhaber der Datenverarbeitung ist immer der erste Verantwortliche gegenüber Dritten; es ist daher nicht vorgesehen, dass er sich durch externe "Beauftragungen" entlasten kann.

Dieser letzte Aspekt verdient beim Einsatz eines Systems in der Cloud besondere Aufmerksamkeit, da immer der Dateneigentümer die Hauptverantwortung trägt. Das Auslagern von Daten ist nicht immer einfach und schnell möglich.

Sobald die geeigneten Sicherheitsmaßnahmen festgelegt sind, fordert das GDPR auch eine vorherige Bewertung der Risiken für die Privatsphäre der Menschen und der Maßnahmen zu ihrer Bewältigung; die so genannte "Folgenabschätzung".

Alle diese Funktionen sind bereits in Physina vorhanden, werden aber in den kommenden Monaten im Lichte der vom GDPR festgelegten Maßnahmen zur Anpassung der italienischen Vorschriften weiter umgesetzt und harmonisiert. Diese Maßnahmen sind jedoch von den zuständigen Stellen noch nicht genehmigt worden.

Vorerst können wir Ihnen versichern, dass auch die CompuNet & Partner - wie immer - dem Datenschutz besondere Aufmerksamkeit widmet, und ab dem Inkrafttreten des GDPR werden unsere Produkte und Dienstleistungen Ihnen weiterhin die Instrumente zur Verfügung stellen, die Sie bei der Einhaltung der neuen Gesetzgebung unterstützen. Wir stellen Ihnen auch die Dokumentation zur Verfügung, die für die Erfüllung der Anforderungen an die Managementsoftware erforderlich ist.