Verzeichnis für Verarbeitungsvorgänge

Alle Praxen müssen ab dem 25. Mai 2018 ein "Verzeichnis der Verarbeitungsvorgänge" (VVV) führen. Auf Anfrage ist es den Aufsichtsbehörden jederzeit zur Verfügung zu stellen. Verstöße gegen die Pflicht zur Führung eines VVV können mit einer Geldbuße von bis zu 2% des gesamten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden.

Das Verzeichnis dient nicht nur der Dokumentation sondern auch der eigenen Datenschutzorganisation in der Praxis sowie als Grundlage zur Erfüllung anderer Dokumentationspflichten. Wir erklären im Folgenden was eine VVV ist, was darin dokumentiert wird und stellen ein Musterexemplar vor.

Das VVV betrifft alle automatisierten Verarbeitungsvorgänge sowie die nichtautomatisierte Verarbeitung, wenn beabsichtigt ist, die Daten in einem Dateisystem zu speichern.

Zu jedem Vorgang muss u. a. dokumentiert werden welche Daten, zu welchem Zweck, für welchen Zugriff gespeichert werden und welche Technische Organisatorische Maßnahmen (TOM) zum Schutz der Daten ergriffen werden.

Wir stellen ein Muster der VVV für die Patientenstammdatenerfassung bereit. Weitere VVV werden wir vorbereiten. Gerne informieren wir Sie kostenlos und unverbindlich über neue oder aktualisierte VVV.

Andere Verarbeitungsverfahren sind beispielsweise

• Abrechnung
• Buchhaltungssoftware
• Lohnabrechnung
• Stammdaten der Ärzte
• Terminverwaltung
• elektronische Personalakten

Meldung von Datenpannen und -verstößen

Datenpannen (z. B. Hackerangriffe, Computerdiebstahl) und Datenschutzverstöße (z. B. durch Mitarbeiter) sind der zuständigen Aufsichtsbehörde vom Praxisinhaber innerhalb von 72 Stunden zu melden. Um einen potentiellen Schaden zu minimieren sind immer Zugriffsbeschränkungen (Passwort o.ä.) anzuwenden und Daten auf Betriebssystemebene zu verschlüsseln.

• Adressen der Aufsichtsbehörden für den Datenschutz