Wir suchen Dich, und brauchen
keinen langen Lebenslauf – ruf
einfach an unter 0221. 16845425 und
frag nach Jan oder Alex und wir
sprechen verabreden uns. Uns
interessiert Deine Jobvorstellung.
Schau Dir einfach unsere Praxis und
unser Team an und wenn Du genauso
begeistert von uns bist, wie wir
selbst, kannst Du Deine Arbeitszeit
in unserer Praxis im Herzen von
Köln flexibel gestalten. Für die
entspannte Mittagspause bieten wir
Dir eine Sonnenterrasse. Für Deine
Wunschbenefits sind wir offe...
keinen langen Lebenslauf – ruf
einfach an unter 0221. 16845425 und
frag nach Jan oder Alex und wir
sprechen verabreden uns. Uns
interessiert Deine Jobvorstellung.
Schau Dir einfach unsere Praxis und
unser Team an und wenn Du genauso
begeistert von uns bist, wie wir
selbst, kannst Du Deine Arbeitszeit
in unserer Praxis im Herzen von
Köln flexibel gestalten. Für die
entspannte Mittagspause bieten wir
Dir eine Sonnenterrasse. Für Deine
Wunschbenefits sind wir offe...
neulich hat mich ein Kollege, der als Osteopath arbeitet darauf aufmerksam gemacht, dass jede Praxis, die Patientendaten elektronisch verarbeitet einen Datenschutzbeauftragten braucht.
Viele würden zwar denken, dies gelte erst ab 9 Angestellten, dies wäre aber ein Irrglaube, da bei Gesundheitsdaten diese Pflicht unabhängig von der Mitarbeiteranzahl sei.
Mir stellen sich nun mehrere Fragen:
- Was heißt elektronisch verarbeitet. Greift dies schon, wenn ich die Daten in einer Datei im PC gespeichert hab. Oder ist damit gemeint, wenn ich die Daten elektronisch an ein Abrechnungszentrum z.B. weiterleite. Also wenn die Daten via Internet verschickt werden.
Mein PC mit den Patientendaten ist z.B. gar nicht ans Internet angeschlossen.
- Die Datenschutzbestimmungen besagen ja: Stillschweigen und kein Weiterleiten der Daten der Patienten. Was ist aber wenn ich die Rezepte an das Abrechnungszentrum schicke, oder per Fax angeforderte Arztberichte an die Ärzte sende.
- Mein Steuerberater meinte, wenn ich jeden Patienten eine Datenschutzeinwilligung, in der alles erläutert ist unterschreiben lasse und dies abhefte, bräuchte ich keinen Datenschutzbeauftragten.
Wie soll denn das gehen? Das ist ja ein wahnsinniger Aufwand und viele verstehen ja gar nicht, was damit gemeint ist. Wir haben doch in Gesundheitsberufen eh Stillschweigen.
Vielleicht könnt ihr mir ja weiterhelfen, oder habt Erfahrung mit dem Vorgehen und Tipps dazu. Vielen Dank schon vorab für euer hilfreichen Kommentare zu dem Thema.
Kollegiale Grüße
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Kädder schrieb:
Liebe Kollegen,
neulich hat mich ein Kollege, der als Osteopath arbeitet darauf aufmerksam gemacht, dass jede Praxis, die Patientendaten elektronisch verarbeitet einen Datenschutzbeauftragten braucht.
Viele würden zwar denken, dies gelte erst ab 9 Angestellten, dies wäre aber ein Irrglaube, da bei Gesundheitsdaten diese Pflicht unabhängig von der Mitarbeiteranzahl sei.
Mir stellen sich nun mehrere Fragen:
- Was heißt elektronisch verarbeitet. Greift dies schon, wenn ich die Daten in einer Datei im PC gespeichert hab. Oder ist damit gemeint, wenn ich die Daten elektronisch an ein Abrechnungszentrum z.B. weiterleite. Also wenn die Daten via Internet verschickt werden.
Mein PC mit den Patientendaten ist z.B. gar nicht ans Internet angeschlossen.
- Die Datenschutzbestimmungen besagen ja: Stillschweigen und kein Weiterleiten der Daten der Patienten. Was ist aber wenn ich die Rezepte an das Abrechnungszentrum schicke, oder per Fax angeforderte Arztberichte an die Ärzte sende.
- Mein Steuerberater meinte, wenn ich jeden Patienten eine Datenschutzeinwilligung, in der alles erläutert ist unterschreiben lasse und dies abhefte, bräuchte ich keinen Datenschutzbeauftragten.
Wie soll denn das gehen? Das ist ja ein wahnsinniger Aufwand und viele verstehen ja gar nicht, was damit gemeint ist. Wir haben doch in Gesundheitsberufen eh Stillschweigen.
Vielleicht könnt ihr mir ja weiterhelfen, oder habt Erfahrung mit dem Vorgehen und Tipps dazu. Vielen Dank schon vorab für euer hilfreichen Kommentare zu dem Thema.
Kollegiale Grüße
Grundlage ist das Bundesdatenschutzgesetz, §4f Abs. 1 Satz 5 [1]:
[...] Soweit nicht-öffentliche Stellen [...] personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung [...] automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
...Knackpunkt ist die automatisierte Verarbeitung: Machst du die Doku auf Papier und steckst du alle VOs in einen Umschlag und schickst sie an ein Abrechungszentrum musst du nur sicherstellen das dort ein Datenschutzbeauftragter benannt ist. Arbeitest du mit einem Programm das leistungsfähiger ist als eine von einer technischen Niete (nicht bös' gemeint ;)) zusammengeschusterte Exceltabelle brauchst du einen benannten Datenschutzbeauftragten. Im Zweifel bist du selbst als Geschäftsführer Datenschutzbeauftragter und hast die großartige Wochenendbeschäftigung gewonnen, dich in's BDSG einzulesen -- gratuliere :)
[1] § 4f BDSG - Einzelnorm
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre."
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Gefällt mir
Es gibt ja auch Kurse die man vorher belegen kann, die dauern auch nur 3 bis 5 Tage wie ich im Internet gelesen habe und dann kannst das ganze auch selber machen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kukdiehe schrieb:
Wusste ich zwar nicht, dass du einen Datenschutzbeauftragten brauchst, aber wenn es egal ist, welche Person das macht und du das auch selber Datenschutzbeauftragter sein kannst, dann würde ich selber Datenschutzbeauftragter sein. Welche Praxis hat da schon extra jemanden angestellt, der nur für die Datensicherheit bei z.B Sachen hin zu Faxen oder Elektronischen Kalender und Doku hat. Das machen doch viele Praxen. Dann ist PI persönlich Datenschutzbeauftragter.
Es gibt ja auch Kurse die man vorher belegen kann, die dauern auch nur 3 bis 5 Tage wie ich im Internet gelesen habe und dann kannst das ganze auch selber machen.
Aber vielen Dank für eure Kommentare, vor allem Papa Alpaka, der war sehr hilfreich.
Frohes Arbeiten euch allen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kädder schrieb:
Das mit den neun Mitarbeitern ist nicht korrekt, wenn du Gesundheitsdaten verarbeitest dann ist es unabhängig der Mitarbeiterzahl. Also dann musst du immer einen Datenschutzbeauftragten haben. Leider.
Aber vielen Dank für eure Kommentare, vor allem Papa Alpaka, der war sehr hilfreich.
Frohes Arbeiten euch allen.
Wusste ich zwar nicht, dass du einen Datenschutzbeauftragten brauchst, aber wenn es egal ist, welche Person das macht und du das auch selber Datenschutzbeauftragter sein kannst, dann würde ich selber Datenschutzbeauftragter sein. Welche Praxis hat da schon extra jemanden angestellt, der nur für die Datensicherheit bei z.B Sachen hin zu Faxen oder Elektronischen Kalender und Doku hat. Das machen doch viele Praxen. Dann ist PI persönlich Datenschutzbeauftragter.
Es gibt ja auch Kurse die man vorher belegen kann, die dauern auch nur 3 bis 5 Tage wie ich im Internet gelesen habe und dann kannst das ganze auch selber machen.
CAVE: Wenn du bisher nicht wusstest das du einen Datenschutzbeauftragten brauchst weißt du vermutlich auch nicht das du ihn schriftlich benennen musst, was dessen Aufgaben sind und welche Konsequenzen dich bei Verstößen gegen Datenschutzauflagen erwarten. Mitte 2018 werden die Konsequenzen übrigens verschärft ;)
"einfach nur faxen von Verordnungen zum ändern" ist schon fahrlässiger Umgang mit besonderen personenbezogenen Daten; wenn du mir jetzt nicht zustimmst erfüllst du die Anforderungen an den Datenschutzbeauftragten nicht ("Benannt werden darf nur jemand der aufgrund seiner Fähigkeiten geeignet ist")...
(Nochmal: Macht wie ihr's für richtig haltet, wo kein Hahn kräht kommt selten der Richter. )
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Kukdiehe schrieb am 24.8.17 22:16:
Wusste ich zwar nicht, dass du einen Datenschutzbeauftragten brauchst, aber wenn es egal ist, welche Person das macht und du das auch selber Datenschutzbeauftragter sein kannst, dann würde ich selber Datenschutzbeauftragter sein. Welche Praxis hat da schon extra jemanden angestellt, der nur für die Datensicherheit bei z.B Sachen hin zu Faxen oder Elektronischen Kalender und Doku hat. Das machen doch viele Praxen. Dann ist PI persönlich Datenschutzbeauftragter.
Es gibt ja auch Kurse die man vorher belegen kann, die dauern auch nur 3 bis 5 Tage wie ich im Internet gelesen habe und dann kannst das ganze auch selber machen.
CAVE: Wenn du bisher nicht wusstest das du einen Datenschutzbeauftragten brauchst weißt du vermutlich auch nicht das du ihn schriftlich benennen musst, was dessen Aufgaben sind und welche Konsequenzen dich bei Verstößen gegen Datenschutzauflagen erwarten. Mitte 2018 werden die Konsequenzen übrigens verschärft ;)
"einfach nur faxen von Verordnungen zum ändern" ist schon fahrlässiger Umgang mit besonderen personenbezogenen Daten; wenn du mir jetzt nicht zustimmst erfüllst du die Anforderungen an den Datenschutzbeauftragten nicht ("Benannt werden darf nur jemand der aufgrund seiner Fähigkeiten geeignet ist")...
(Nochmal: Macht wie ihr's für richtig haltet, wo kein Hahn kräht kommt selten der Richter. )
Das mit den neun Mitarbeitern ist nicht korrekt, wenn du Gesundheitsdaten verarbeitest dann ist es unabhängig der Mitarbeiterzahl. Also dann musst du immer einen Datenschutzbeauftragten haben. Leider.
Aber vielen Dank für eure Kommentare, vor allem Papa Alpaka, der war sehr hilfreich.
Frohes Arbeiten euch allen.
Das mit den 9 MA kommt direkt vom Anwalt, hast du eine andere Quelle?
Kann es vom Bundesland abhängig sein?
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Tempelritter schrieb:
Kädder schrieb am 25.8.17 08:03:
Das mit den neun Mitarbeitern ist nicht korrekt, wenn du Gesundheitsdaten verarbeitest dann ist es unabhängig der Mitarbeiterzahl. Also dann musst du immer einen Datenschutzbeauftragten haben. Leider.
Aber vielen Dank für eure Kommentare, vor allem Papa Alpaka, der war sehr hilfreich.
Frohes Arbeiten euch allen.
Das mit den 9 MA kommt direkt vom Anwalt, hast du eine andere Quelle?
Kann es vom Bundesland abhängig sein?
[...]
Das mit den 9 MA kommt direkt vom Anwalt, hast du eine andere Quelle?
Kann es vom Bundesland abhängig sein?
[...] Soweit nicht-öffentliche Stellen [...] personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung [...] automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Das Bundesdatenschutzgesetz ist länderübergreifend gültig; Bundesrecht bricht Landesrecht.
Jede halbwegs organisierte Praxis (nicht-öffentliche Stelle) verarbeitet besondere personenbezogene Daten (Gesundheitsinformationen: Diagnosen, Behandlungsverläufe, ...) zum Zweck der Übermittlung (Abrechnung) weitgehend automatisiert ("ein Klick in der Praxissoftware"). Damit ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu bestellen.
Gern geschehen ;)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Tempelritter schrieb am 25.8.17 08:17:
Papa Alpaka schrieb am 24.8.17 22:02:
BDSG §4f Abs. 1 Satz 5
[...]
Das mit den 9 MA kommt direkt vom Anwalt, hast du eine andere Quelle?
Kann es vom Bundesland abhängig sein?
[...] Soweit nicht-öffentliche Stellen [...] personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung [...] automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Das Bundesdatenschutzgesetz ist länderübergreifend gültig; Bundesrecht bricht Landesrecht.
Jede halbwegs organisierte Praxis (nicht-öffentliche Stelle) verarbeitet besondere personenbezogene Daten (Gesundheitsinformationen: Diagnosen, Behandlungsverläufe, ...) zum Zweck der Übermittlung (Abrechnung) weitgehend automatisiert ("ein Klick in der Praxissoftware"). Damit ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu bestellen.
Gern geschehen ;)
Wie gesagt ich habe die Daten in keiner Software, sondern nur in einer Tabelle auf einem PC der keinen Internetanschluss hat.
Allerdings faxe ich Rezepte zur Korrektur und Arztberichte an die jeweiligen Arztpraxen. Fällt das nun schon unter die Pflicht einen Datenschutzbeauftragten zu haben oder nicht? Weil eigentlich ist dies ja dann nicht "automatisiert verarbeitet" (so würde ich mir das zumindest herleiten), außerdem geht es ja nur an den Aussteller des Rezeptes der ebenfalls einem medizinischen Beruf angehört zurück.
Sehr kompliziert und undurchsichtig das ganze.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kädder schrieb:
Wisst ihr an wen man sich da konkret wenden kann? Habt ihr Adressen von jeweiligen Firmen oder Anbietern oder muss ich da direkt zum Anwalt um konkrete Auskünfte zu bekommen zu diesem Thema, wann ich einen brauche und wann nicht.
Wie gesagt ich habe die Daten in keiner Software, sondern nur in einer Tabelle auf einem PC der keinen Internetanschluss hat.
Allerdings faxe ich Rezepte zur Korrektur und Arztberichte an die jeweiligen Arztpraxen. Fällt das nun schon unter die Pflicht einen Datenschutzbeauftragten zu haben oder nicht? Weil eigentlich ist dies ja dann nicht "automatisiert verarbeitet" (so würde ich mir das zumindest herleiten), außerdem geht es ja nur an den Aussteller des Rezeptes der ebenfalls einem medizinischen Beruf angehört zurück.
Sehr kompliziert und undurchsichtig das ganze.
[...]
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.
[...]
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
[...]
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
[...]
wie gesagt: Gratuliere, du hast eine Wochenendlektüre gewonnen :)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
von Hand in's Fax legen ist keine automatisierte Verarbeitung ;)
BDSG §3 -- Weitere Begriffsbestimmungen
[...]
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.
[...]
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
[...]
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
[...]
wie gesagt: Gratuliere, du hast eine Wochenendlektüre gewonnen :)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
oh, und ja: wie für Sicherheitsbegehungen und Betriebsarzt gibt's auch Datenschutz-Dienstleister. Google hilft weiter ;)
Wo kein Hahn, da kein Richter (oder so).
[1]
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung v
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Ja eigentlich wäre die mit dem ganzen Datenschutzbeauftragten dann auch die einzige Lösung die auch so für mich sehe. Das ich meinen Patienten irgend so einen Wisch unterschreiben lasse. Wobei das mir auch jeder Patient ohne weiteres unterschreiben würde. Dann wärst du mit so etwas wieder fein raus.
Wenn dies nicht mehr auslangen würde, dann würde ich nur noch Privatpatienten machen, da bin ich ganz ehrlich, da ich dann komplett auf Elektronische Datenverarbeitung verzichten könnte.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kukdiehe schrieb:
Papa Alpaka schrieb am 24.8.17 22:02:
Wo kein Hahn, da kein Richter (oder so).
[1]
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung v
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Ja eigentlich wäre die mit dem ganzen Datenschutzbeauftragten dann auch die einzige Lösung die auch so für mich sehe. Das ich meinen Patienten irgend so einen Wisch unterschreiben lasse. Wobei das mir auch jeder Patient ohne weiteres unterschreiben würde. Dann wärst du mit so etwas wieder fein raus.
Wenn dies nicht mehr auslangen würde, dann würde ich nur noch Privatpatienten machen, da bin ich ganz ehrlich, da ich dann komplett auf Elektronische Datenverarbeitung verzichten könnte.
Wo kein Hahn, da kein Richter (oder so).
[1]
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung v
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Ja eigentlich wäre die mit dem ganzen Datenschutzbeauftragten dann auch die einzige Lösung die auch so für mich sehe. Das ich meinen Patienten irgend so einen Wisch unterschreiben lasse. Wobei das mir auch jeder Patient ohne weiteres unterschreiben würde. Dann wärst du mit so etwas wieder fein raus.
Wenn dies nicht mehr auslangen würde, dann würde ich nur noch Privatpatienten machen, da bin ich ganz ehrlich, da ich dann komplett auf Elektronische Datenverarbeitung verzichten könnte.
Was hat Datenschutz mit Privatpatienten zu tun, bzw. warum sollten diese ausgeschlossen sein?
Wer keine EDV hat muss trotzdem dem Datenschutz genüge tun, in dem Falle dann wesentlich umständlicher, aber das weißt du ja sicher.
Und....in ein Patientenrechteformular darf eine Datenfreigabe eines Patienten auch nicht enthalten sein, aber auch das weißt du sicher schon...
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
stefan 302 schrieb:
Kukdiehe schrieb am 17.9.17 23:29:
Papa Alpaka schrieb am 24.8.17 22:02:
Wo kein Hahn, da kein Richter (oder so).
[1]
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung v
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Ja eigentlich wäre die mit dem ganzen Datenschutzbeauftragten dann auch die einzige Lösung die auch so für mich sehe. Das ich meinen Patienten irgend so einen Wisch unterschreiben lasse. Wobei das mir auch jeder Patient ohne weiteres unterschreiben würde. Dann wärst du mit so etwas wieder fein raus.
Wenn dies nicht mehr auslangen würde, dann würde ich nur noch Privatpatienten machen, da bin ich ganz ehrlich, da ich dann komplett auf Elektronische Datenverarbeitung verzichten könnte.
Was hat Datenschutz mit Privatpatienten zu tun, bzw. warum sollten diese ausgeschlossen sein?
Wer keine EDV hat muss trotzdem dem Datenschutz genüge tun, in dem Falle dann wesentlich umständlicher, aber das weißt du ja sicher.
Und....in ein Patientenrechteformular darf eine Datenfreigabe eines Patienten auch nicht enthalten sein, aber auch das weißt du sicher schon...
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Papa Alpaka schrieb:
Wo kein Hahn, da kein Richter (oder so).
BDSG §4f Abs. 1 Satz 5
Grundlage ist das Bundesdatenschutzgesetz, §4f Abs. 1 Satz 5 [1]:
[...] Soweit nicht-öffentliche Stellen [...] personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung [...] automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
...Knackpunkt ist die automatisierte Verarbeitung: Machst du die Doku auf Papier und steckst du alle VOs in einen Umschlag und schickst sie an ein Abrechungszentrum musst du nur sicherstellen das dort ein Datenschutzbeauftragter benannt ist. Arbeitest du mit einem Programm das leistungsfähiger ist als eine von einer technischen Niete (nicht bös' gemeint ;)) zusammengeschusterte Exceltabelle brauchst du einen benannten Datenschutzbeauftragten. Im Zweifel bist du selbst als Geschäftsführer Datenschutzbeauftragter und hast die großartige Wochenendbeschäftigung gewonnen, dich in's BDSG einzulesen -- gratuliere :)
[1] § 4f BDSG - Einzelnorm
Nachtrag: Bevor sich jemand in Sicherheit wiegt: BDSG §3 besagt: "(9) Besondere Arten personenbezogener Daten sind Angaben über [...] Gesundheit oder Sexualleben."
BDSG §28 Abs. 7 rettet uns einigermaßen (ich geb den Mal in voller Länge wieder, der ist grandios als Beispiel für 'wie man es nicht schreiben sollte'): "Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre."
Dazu habe ich einen Einzeiler in meinem Behandlungsvertrag, das "besondere Arten personenbezogener Daten zur Abrechnung mit dem jeweils zuständigen Kostenträger erhoben und verarbeitet werden"; ein Widerspruch dagegen hat automatisch die Behandlung als Privatpatient zur Folge. Müsste ich nicht da BDSG §33 Abs. 2 Nummer 2 und 4 so ausgelegt werden können das keine Benachrichtigung notwendig ist -- aber da ich noch Platz im Behandlungsvertragsformular hatte hab ich's aufgenommen; im Zweifelsfall erspar ich mir damit eine Ordnungswidrigkeit ;)
Gefällt mir
Eigentlich sollte bevor du irgendetwas zur Praxis hin faxt es ausreichen, wenn du vorher dort anrufst und sagst, dass du gerade was hin faxt. Evt würde ich noch mal fragen, wie den die Faxnummer lautet, wenn ich die nicht weis oder mir nicht sicher bin, ob ich die richtige Faxnummer habe. Und dann sollte es noch so sein, dass du bevor du auf senden drückst, dass du noch mal überprüfst, ob du die richtige Nummer eingegeben hast. Und dann würde ich die eh mit dem dazugehörigen Namen einspeichern, damit du nicht jedes mal die Nummer eingeben musst. Und dann noch mal überprüfen, wenn es ein Drucker mit Multifunktion ist, dass da kein Dokument aus versehn mit gefaxt wird und dass du ja das richtige Schreiben oder Rezept zum ändern in das Faxgerät eingelegt hast. Das ganze mach ich auch so und sollte auch ausreichend sein.
Und Mail geht ja erst recht nicht, weil dies ja noch unsicherer sei als das Fax.
Wenn man jetzt ein mords Aufwand für eine Rezeptänderung betreiben muss, dann lohnt sich für mich keine Kassenzulassung mehr. Dann können die Kassenpatienten schauen wo sie bleiben. Mach so wie so mein Heilpraktiker und behandle nur noch Privatpatienten. Dann hast du keinen Ärger, weil du dich nicht um Rezeptänderungen kümmern musst. Oder ich nehme nur noch Kassenpatienten die von bestimmten Arztpraxen kommen, da ich da weis, dass ich so gut wie immer ein richtig ausgestelltes Rezept bekomme.
Weil das Einzige wo ich wirklich das Fax benutze, ist für irgendwelche Rezeptänderungen und evt mal für Arztberichte. Wenn ich nur noch Privatpatienten hätte, dann bräuchte ich kein Fax. Bei den Privatpatienten brauchen die Ärzte zumindest in unsere Ortschaft auch keinen Bericht. Den wollen die nur ab und an mal bei den Kassenpatienten haben.
Wobei bis jetzt hat auch noch keiner überprüft, ob du einen hast. Es wäre jetzt eh die Frage ob die eine Ein Frau Praxis überprüfen oder ob die sich eh nicht um so kleine Praxen kümmern.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kukdiehe schrieb:
Man kann ja auch wirklich alles übertreiben. Wenn ich schon nur weil ich ein Rezept ändern möchte einen Datenschutzbeauftragten brauche und der dann auch noch schriftlich benannt werden muss. Das finde ich etwas übertrieben. Das man vorher bei der Praxis vorher anruft sobald man was rüber Faxt ist ja noch gut und schön, das du dann sicher gehen kannst, dass nur diese Person das Fax bekommt und kein anderer bzw auch noch dich erkundigst wie den die Faxnummer lautet. Ja aber irgendwo muss das ganze auch seine Grenzen haben. Selbst Telefonate könnten mitgehört werden. Das Fax ist genau so sicher wie das Telefon. Das Telefon könntest du auch einfach abhören.
Eigentlich sollte bevor du irgendetwas zur Praxis hin faxt es ausreichen, wenn du vorher dort anrufst und sagst, dass du gerade was hin faxt. Evt würde ich noch mal fragen, wie den die Faxnummer lautet, wenn ich die nicht weis oder mir nicht sicher bin, ob ich die richtige Faxnummer habe. Und dann sollte es noch so sein, dass du bevor du auf senden drückst, dass du noch mal überprüfst, ob du die richtige Nummer eingegeben hast. Und dann würde ich die eh mit dem dazugehörigen Namen einspeichern, damit du nicht jedes mal die Nummer eingeben musst. Und dann noch mal überprüfen, wenn es ein Drucker mit Multifunktion ist, dass da kein Dokument aus versehn mit gefaxt wird und dass du ja das richtige Schreiben oder Rezept zum ändern in das Faxgerät eingelegt hast. Das ganze mach ich auch so und sollte auch ausreichend sein.
Und Mail geht ja erst recht nicht, weil dies ja noch unsicherer sei als das Fax.
Wenn man jetzt ein mords Aufwand für eine Rezeptänderung betreiben muss, dann lohnt sich für mich keine Kassenzulassung mehr. Dann können die Kassenpatienten schauen wo sie bleiben. Mach so wie so mein Heilpraktiker und behandle nur noch Privatpatienten. Dann hast du keinen Ärger, weil du dich nicht um Rezeptänderungen kümmern musst. Oder ich nehme nur noch Kassenpatienten die von bestimmten Arztpraxen kommen, da ich da weis, dass ich so gut wie immer ein richtig ausgestelltes Rezept bekomme.
Weil das Einzige wo ich wirklich das Fax benutze, ist für irgendwelche Rezeptänderungen und evt mal für Arztberichte. Wenn ich nur noch Privatpatienten hätte, dann bräuchte ich kein Fax. Bei den Privatpatienten brauchen die Ärzte zumindest in unsere Ortschaft auch keinen Bericht. Den wollen die nur ab und an mal bei den Kassenpatienten haben.
Wobei bis jetzt hat auch noch keiner überprüft, ob du einen hast. Es wäre jetzt eh die Frage ob die eine Ein Frau Praxis überprüfen oder ob die sich eh nicht um so kleine Praxen kümmern.
Solange kein gelangweilter Mensch vorbeikommt und deinen Datenschutz moniert ist auch alles in Ordnung -- bis dann mal jemand nachfragt und du ganz, ganz schnell ein undatiertes Datenschutzkonzept schreiben musst um größeren Ärger zu vermeiden.
Bedenke: Wenn die Verwaltung expandiert um den Anforderungen einer gewachsenen Verwaltung gerecht zu werden ist es nicht der kleine Praxenbetreiber, nicht der Metzger um die Ecke, nicht der Laden mit einer Verkaufsfläche von 20qm dem es besser geht...
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Ich habe nie gesagt das ich die Regeln gut finde, aber sofern du kein Schlupfloch findest gelten für dich wie für noch die demokratisch abgestimmten Regeln. Darüber hinwegsetzen oder in vorauseilenden Gehorsam gehen kann ein jeder tun und lassen wie er möchte.
Solange kein gelangweilter Mensch vorbeikommt und deinen Datenschutz moniert ist auch alles in Ordnung -- bis dann mal jemand nachfragt und du ganz, ganz schnell ein undatiertes Datenschutzkonzept schreiben musst um größeren Ärger zu vermeiden.
Bedenke: Wenn die Verwaltung expandiert um den Anforderungen einer gewachsenen Verwaltung gerecht zu werden ist es nicht der kleine Praxenbetreiber, nicht der Metzger um die Ecke, nicht der Laden mit einer Verkaufsfläche von 20qm dem es besser geht...
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Tempelritter schrieb:
Praxen mit mehr als 9 Mitarbeitern benötigen Datenschutzbeauftragten. Wie das dann für die PT-Praxis aussehen muss wird sich noch zeigen. Es soll in diesem Bereich schon Kontrollen der Datenschutzbeauftragten der Länder geben.
Habe gehört, das erst Bund und Ländersachen kontrolliert werden soll, dann größere Kliniken usw. erst
aber ab Mitte nächstes Jahr.
Aussage meines Datenschutzbeauftragten (Tochter arbeitet im Datenschutz einer großen Firma) :kissing_closed_eyes:
Grüße KaBa
Gefällt mir
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Tempelritter schrieb:
Vereinzelt sollen dieses Jahr schon Arztpraxen überprüft worden sein.
Ich hab da auch so nen Satz im Behandlungsvertrag.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
RoFo schrieb:
Bei uns gibt es bereits Arztpraxen, die aufgrund dessen keine Faxänderungen mehr machen.
Ich hab da auch so nen Satz im Behandlungsvertrag.
Irgendwelche Fortbildungen?
Ich glaube auch nicht das man drum rum kommt. Auch wenn es sich einige wünschen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
Wenn irgendwer schon einen internen datenschutzbeauftragten hat, wie habt ihr den qualifiziert? Oder "nur" bestellt. ?
Irgendwelche Fortbildungen?
Ich glaube auch nicht das man drum rum kommt. Auch wenn es sich einige wünschen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kukdiehe schrieb:
Es gibt Firmen die so einen Servis anbieten bezüglich Datenschutzbeauftragter. Die sind dann für deine Praxis als Datenschutzbeauftragter zuständig. Wobei jetzt auf deren Homepage wiederum steht, dass man einen erst ab 9 Mitarbeitern braucht. Mann kann so einen Check machen, ob man einen schon braucht. Hier habe ich mal eine Seite gefunden Ihr individueller Datenschutz-Check | Datenschutzexperte Da kannst du verschiedene Pakete buchen. Von Basis bis hin zu Premium. Wobei ich denke mal das der Basistarif ausreichen sollte, um die EU Kriterien zu erfüllen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Haken: Der verlinkte Schnellcheck fragt nicht ab, ob besondere personenbezogene Daten (Gesundheitsdaten!) verarbeitet werden. Die Verarbeitung dieser Kategorie von Daten macht ab dem ersten eingesetzten Mitarbeiter in der Datenverarbeitung einen Datenschutzbeauftragten kraft Gesetzes zwingend nötig. Diese Anforderung kann nicht über die Ausrede "Wir beauftragen einen Dienstleister mit der Datenverarbeitung" ausgehebelt werden ;)
Wenn irgendwer schon einen internen datenschutzbeauftragten hat, wie habt ihr den qualifiziert? Oder "nur" bestellt. ?
Irgendwelche Fortbildungen?
Ich glaube auch nicht das man drum rum kommt. Auch wenn es sich einige wünschen.
Wir haben diese Firma, bestens zufrieden und schon fit für die neuen EU Regeln arpcon - arpcon unternehmensberatung
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
stefan 302 schrieb:
a schubart schrieb am 18.9.17 19:40:
Wenn irgendwer schon einen internen datenschutzbeauftragten hat, wie habt ihr den qualifiziert? Oder "nur" bestellt. ?
Irgendwelche Fortbildungen?
Ich glaube auch nicht das man drum rum kommt. Auch wenn es sich einige wünschen.
Wir haben diese Firma, bestens zufrieden und schon fit für die neuen EU Regeln arpcon - arpcon unternehmensberatung
wieviele Mitarbeiter hast du und in welcher Höhe befinden sich deine Kosten für diese Beratung.
Vielen Dank im voraus für deinen Auskünfte. Das Thema wird in Kürze immer wichtiger werden, vermute ich.
Gruß Susi
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Pat2 schrieb:
Hallo Stefan 302,
wieviele Mitarbeiter hast du und in welcher Höhe befinden sich deine Kosten für diese Beratung.
Vielen Dank im voraus für deinen Auskünfte. Das Thema wird in Kürze immer wichtiger werden, vermute ich.
Gruß Susi
Der Datenschutz beauftragte muss im übrigen unabhängig von der Geschäfts Leitung agieren. Weitere Neuigkeiten zu Auslegung der aktuellen Lage hat er für November angekündigt. LG
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
Also ich habe mal an den niedersächsischen Landes Datenschutz beauftragten gemailt und er hat geantwortet das grundsätzlich jeder der gesundheitsdaten verarbeitet (egal wie) einen Datenschutz beauftragten braucht.
Der Datenschutz beauftragte muss im übrigen unabhängig von der Geschäfts Leitung agieren. Weitere Neuigkeiten zu Auslegung der aktuellen Lage hat er für November angekündigt. LG
Also ich habe mal an den niedersächsischen Landes Datenschutz beauftragten gemailt und er hat geantwortet das grundsätzlich jeder der gesundheitsdaten verarbeitet (egal wie) einen Datenschutz beauftragten braucht.
(...)
Einen Datenschutzbeauftragten muss bestellen wer mindestens eine Person mit der Verarbeitung besonderer persönlicher Daten beschäftigt. Zu den besonderen persönlichen Daten gehören Gesundheitsdaten.
Schwer zu verstehen? ;)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
a schubart schrieb am 24.9.17 09:58:
Also ich habe mal an den niedersächsischen Landes Datenschutz beauftragten gemailt und er hat geantwortet das grundsätzlich jeder der gesundheitsdaten verarbeitet (egal wie) einen Datenschutz beauftragten braucht.
(...)
Einen Datenschutzbeauftragten muss bestellen wer mindestens eine Person mit der Verarbeitung besonderer persönlicher Daten beschäftigt. Zu den besonderen persönlichen Daten gehören Gesundheitsdaten.
Schwer zu verstehen? ;)
Deswegen habe ich es noch mal abgeklärt. Spricht doch nix dagegen oder?
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
Ich habe das verstanden. Aber einige im forum zweifelten es an... Und meinen sie brauchen es nur wenn sie elektronische Daten verarbeiten...
Deswegen habe ich es noch mal abgeklärt. Spricht doch nix dagegen oder?
Es gibt Firmen die so einen Servis anbieten bezüglich Datenschutzbeauftragter. Die sind dann für deine Praxis als Datenschutzbeauftragter zuständig. Wobei jetzt auf deren Homepage wiederum steht, dass man einen erst ab 9 Mitarbeitern braucht. Mann kann so einen Check machen, ob man einen schon braucht. Hier habe ich mal eine Seite gefunden Ihr individueller Datenschutz-Check | Datenschutzexperte Da kannst du verschiedene Pakete buchen. Von Basis bis hin zu Premium. Wobei ich denke mal das der Basistarif ausreichen sollte, um die EU Kriterien zu erfüllen.
Habe auf der Seite gerade den Test gemacht: brauche keinen Datenschutzbeauftragten, wie schon die Dame vom LDA.Bayern mir gesagt hat
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
@ Kukdiehe
Es gibt Firmen die so einen Servis anbieten bezüglich Datenschutzbeauftragter. Die sind dann für deine Praxis als Datenschutzbeauftragter zuständig. Wobei jetzt auf deren Homepage wiederum steht, dass man einen erst ab 9 Mitarbeitern braucht. Mann kann so einen Check machen, ob man einen schon braucht. Hier habe ich mal eine Seite gefunden Ihr individueller Datenschutz-Check | Datenschutzexperte Da kannst du verschiedene Pakete buchen. Von Basis bis hin zu Premium. Wobei ich denke mal das der Basistarif ausreichen sollte, um die EU Kriterien zu erfüllen.
Habe auf der Seite gerade den Test gemacht: brauche keinen Datenschutzbeauftragten, wie schon die Dame vom LDA.Bayern mir gesagt hat
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
Sorry idefix. das mit den 9. Mitarbeitern gilt nur für Firmen die nicht wie wir mit Gesundheitsdaten zu tun haben. Die kurz tests Fragen das leider nicht ab.
Es ist wurscht ob du die Doku per Hand machst oder elektronisch und wie du den Artzbrief schreibst. Ich mach bei mir alles elektronisch mittlerweile.
Du brauchst immer einen Datenschutsbeauftragten.
Das Gesetz muss man nicht verstehen. Aber haupsache man ist mal wieder mit irgendwelchen Dingen unnötig beschäftigt. :confused:
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Kukdiehe schrieb:
Ich habe mich da auch noch mal durchgewurschtelt und man braucht auf jeden Fall einen Datenschutsbeauftragten selbst bei einer Ein-Frau Praxis. Du musst zum jeden Paragraphen was schreiben, wie du die Datensicherheit einhellst. Und ich bin gerade dabei bzw mein Datenschutbeauftragter ist gerade dabei mit mir sich den ganzen Misst durchzulesen und es ist wirklich sehr viel Arbeit. Für uns gilt die 9 Mitarbeiterregel leider nicht. Und dann musst du noch ein Formular erstellen, dass eben deine Patienten in Kenntnis setzt, dass du deren Daten verarbeitest und wie diese verarbeitet werden mit dem Hinweis, dass der Patient dies jeder Zeit widerrufen kannst.
Es ist wurscht ob du die Doku per Hand machst oder elektronisch und wie du den Artzbrief schreibst. Ich mach bei mir alles elektronisch mittlerweile.
Du brauchst immer einen Datenschutsbeauftragten.
Das Gesetz muss man nicht verstehen. Aber haupsache man ist mal wieder mit irgendwelchen Dingen unnötig beschäftigt. :confused:
Wichtig: beachtet die Paragraphen an denen Ausnahmen von der Einwilligung erklärt werden...
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Danke für deine Unterstützung, a Schubart ;)
Wichtig: beachtet die Paragraphen an denen Ausnahmen von der Einwilligung erklärt werden...
Wenn man sich einen Datenschutzbeauftragten sucht, wie geht das am besten, wer hat da Erfahrung und kann diese teilen, was kostet der Spaß und was macht dieser für einen?
Vielen Dank für Eure Hilfe, bin gerade ziemlich angefressen von den Beamten
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
Da muss ich mich aber fragen, warum man dann bei dem Landesamt für Datenschutz Bayern und die falsche Auskunft bekommt. :scream: :angry:
Wenn man sich einen Datenschutzbeauftragten sucht, wie geht das am besten, wer hat da Erfahrung und kann diese teilen, was kostet der Spaß und was macht dieser für einen?
Vielen Dank für Eure Hilfe, bin gerade ziemlich angefressen von den Beamten
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
@ a schubart: Danke
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Idefix: Mach das Beste daraus und stell die Frage nochmal schriftlich. Das Amt darf dir keine Falschauskunft geben, tut es das doch bist du fein raus: Solange du den Schrieb hast und keine gegenteilige Anforderung bekommst hältst du dich an amtliche Auskünfte und handelt erstmal nur irrtümlich rechtswidrig (du darfst annehmen das dir offizielle Stellen korrekte Auskünfte geben).
Danke Allen für die Hilfe hier.
Schöne Woche noch
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
Habe jetzt mal eine Adresse in München angeschrieben von nem Anwalt und Datenschutzbeauftragten, um Auskunft über die Kosten zu erhalten und wie das dann ablaufen würde.
Danke Allen für die Hilfe hier.
Schöne Woche noch
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
KaBa schrieb:
Hallo;
Habe gehört, das erst Bund und Ländersachen kontrolliert werden soll, dann größere Kliniken usw. erst
aber ab Mitte nächstes Jahr.
Aussage meines Datenschutzbeauftragten (Tochter arbeitet im Datenschutz einer großen Firma) :kissing_closed_eyes:
Grüße KaBa
Datenschutz-Grundverordnung: Datenschutzkonferenz veröffentlicht Kurzpapiere zum neuen Datenschutzrecht
Bonn/Berlin, 04.09.2017
Datum 04.09.2017
Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die Aufsichtsbehörden befassen sich zurzeit intensiv mit den neuen Rechtsgrundlagen und deren Anforderungen und stimmen eine einheitliche Sichtweise ab. Erste Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur DS-GVO, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ab sofort veröffentlicht.
Diese Kurzpapiere dienen als erste Orientierung, wie nach Auffassung der Datenschutzkonferenz die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Diese Kurzpapiere stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.
Folgende Kurzpapiere sind von der Datenschutzkonferenz bislang beschlossen worden:
Verzeichnis von Verarbeitungstätigkeiten:
Internetauftritt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit - Homepage - Datenschutz-Grundverordn
Gefällt mir
Da ist schon vieles fix!
Drastisch erhöhte Bußgelder: bis zu vier Prozent des globalen Umsatzes
• Deutlich erweiterte zivilrechtliche Haftung: Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
• Stellung des Datenschutzbeauftragten: Zusätzliche Verantwortung und Haftung für DSBs
• Stark erweiterte Dokumentations- und Nachweispflichten
• Datenschutz-Folgenabschätzung statt Vorabkontrolle: Weitergehende Prüf- und Abstimmungspflichten
• Risikobasierter Datenschutz
• Globale bzw. extraterritoriale Anwendung der DSGVO möglich
• Anwendungsvorrang der DSGVO: Vorrang statt Auffangregelung
• Massiv erweiterte Transparenzanforderungen
• Datensicherheit
• Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
• Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
• Striktere Löschpflichten und Recht auf Vergessen werden
• Neue Vorgaben für Zweckänderungen
• Erleichterter Datenaustausch im Konzern
• Koppelungsverbot bei Einwilligungen
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
stefan 302 schrieb:
@Udo
Da ist schon vieles fix!
Drastisch erhöhte Bußgelder: bis zu vier Prozent des globalen Umsatzes
• Deutlich erweiterte zivilrechtliche Haftung: Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
• Stellung des Datenschutzbeauftragten: Zusätzliche Verantwortung und Haftung für DSBs
• Stark erweiterte Dokumentations- und Nachweispflichten
• Datenschutz-Folgenabschätzung statt Vorabkontrolle: Weitergehende Prüf- und Abstimmungspflichten
• Risikobasierter Datenschutz
• Globale bzw. extraterritoriale Anwendung der DSGVO möglich
• Anwendungsvorrang der DSGVO: Vorrang statt Auffangregelung
• Massiv erweiterte Transparenzanforderungen
• Datensicherheit
• Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
• Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
• Striktere Löschpflichten und Recht auf Vergessen werden
• Neue Vorgaben für Zweckänderungen
• Erleichterter Datenaustausch im Konzern
• Koppelungsverbot bei Einwilligungen
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Udo schrieb:
So wie ich das verstanden habe ist hier noch nichts fix.
Datenschutz-Grundverordnung: Datenschutzkonferenz veröffentlicht Kurzpapiere zum neuen Datenschutzrecht
Bonn/Berlin, 04.09.2017
Datum 04.09.2017
Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Die Aufsichtsbehörden befassen sich zurzeit intensiv mit den neuen Rechtsgrundlagen und deren Anforderungen und stimmen eine einheitliche Sichtweise ab. Erste Ergebnisse dieses Prozesses sind gemeinsame Kurzpapiere zur DS-GVO, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ab sofort veröffentlicht.
Diese Kurzpapiere dienen als erste Orientierung, wie nach Auffassung der Datenschutzkonferenz die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Diese Kurzpapiere stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.
Folgende Kurzpapiere sind von der Datenschutzkonferenz bislang beschlossen worden:
Verzeichnis von Verarbeitungstätigkeiten:
Internetauftritt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit - Homepage - Datenschutz-Grundverordn
Da du nirgend wo was elektronisch vermitteln musst, brauchst du auch keinen Datenschutbeauftragten, da dies so wie ich es verstanden habe nur in elektronischer Form gilt.
Wenn ich nur Privatpatienten hätte, dann brächte ich über haupt keine elektronischen Geräte wie PC oder Fax. Die beiden Geräte könnte ich sogar komplett abschaffen. Das einzige Grät worauf ich nicht verzichten könnte wäre das Telefon.
Bei einer Ein Frau Praxis wird das schwierig. Da gibt es nur zwei Möglichkeiten entweder ich bin selber der Datenschutbeauftragter oder mach das über eine Firma wo ich 130,00€ oder im Monat zahle. Das Faxen von medizinischen Daten ist ja weiterhin noch erlaubt, wenn man par Verhaltensregeln einhält. Dies ganzen Regeln halte ich auch ein. Wenn du einen schriftlichen Nachweis brauchst, wie du dafür sorgst, dass beim Faxsenden nur befugte Personen auch dieses Fax bekommen, dass du dir diese Verhaltensregeln schriftlich erstellst. ( Auch wenn das völliger Quatsch ist. Weil es meiner Meinung nach nur Sinn macht, so etwas schriftlich aufzusetzen, wenn du wirklich einen Mitarbeiter hast) oder muss ich einen extra einstellen, der mich überprüft, ob ich den Datenschutz ja einhalte. Ich schicke ja nicht einfach so ein Fax los ohne mich zu vergewissern, ob ich die Nummer auch richtig eingegeben habe und vor allem wenn du bei den Praxen nicht vorher anrufst, dann heißt es, bei uns ist nix angekommen.
Es gibt ja auch Cheklisten wie diese hier. Reit das aus, wenn man so eine hat, als Nachweis bei einer Überprüfung Link Müsste man halt für seine Praxis umschreiben. Bei einer Ein Mann Praxis geht nur ich selber oder einen Externen Datenschutbeauftragten zu bestellen.
Gefällt mir
mit dieser deiner Antwort stehst du ziemlich alleine, auch fachlich, da.
Zudem, wer eine Praxis ohne EDV betreibt, schreibt mit Schreibmaschine oder von Hand, das war mal, ich glaube so um die 1950 rum. Rechnungen schreibst du sicher auch noch von Hand oder mit der Schreibmaschine...
Wer keine MRT/CT/Rö.-bilder anschauen kann, der kann das sicher so machen. Zeigt leider dann auch keine gute fachliche Kompetenz.
75% unserer Arztberichte kommen per Mail, ich würde gespannt sein was unsere Ärzte sagen, wenn wir sie wieder zum Briefversand überreden müssten, was dann widerum auch Datenschutz bedeuten würde....
Aber jeder wie er möchte
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
stefan 302 schrieb:
@kukdiehe
mit dieser deiner Antwort stehst du ziemlich alleine, auch fachlich, da.
Zudem, wer eine Praxis ohne EDV betreibt, schreibt mit Schreibmaschine oder von Hand, das war mal, ich glaube so um die 1950 rum. Rechnungen schreibst du sicher auch noch von Hand oder mit der Schreibmaschine...
Wer keine MRT/CT/Rö.-bilder anschauen kann, der kann das sicher so machen. Zeigt leider dann auch keine gute fachliche Kompetenz.
75% unserer Arztberichte kommen per Mail, ich würde gespannt sein was unsere Ärzte sagen, wenn wir sie wieder zum Briefversand überreden müssten, was dann widerum auch Datenschutz bedeuten würde....
Aber jeder wie er möchte
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Kukdiehe schrieb:
Ganz einfach. Bei Privatpatienten brauche ich kein Fax, da ich keine Rezptänderungen vornehmen muss. Therapieberichte müssen auch meistens nicht angefertigt werden, daher hast du das Problem auch nicht. Und die Doku könnte man auch auf Papier machen. Und um Termine per Telefon aus zu machen brauch ich bestimmt noch keinen Datenschutzbeauftragten. Den Brauchst du doch nur in Elektronischer Form. Das heißt ich könnte dadurch komplett auf dem PC verzichten. Dann besteht überhaupt gar keine Gefahr mehr, dass irgend ein Unbefugter an die Daten deiner Patienten kommt. Es sei den einer bricht wirklich noch in deiner Praxis ein. Wobei die Doku und die Rezepte in einem Schrank sich mit Zahlenschloss befinden. Also das sollte wirklich genügen. Da ich keine Mitarbeiter habe, kann auch nix nach außen dringen.
Da du nirgend wo was elektronisch vermitteln musst, brauchst du auch keinen Datenschutbeauftragten, da dies so wie ich es verstanden habe nur in elektronischer Form gilt.
Wenn ich nur Privatpatienten hätte, dann brächte ich über haupt keine elektronischen Geräte wie PC oder Fax. Die beiden Geräte könnte ich sogar komplett abschaffen. Das einzige Grät worauf ich nicht verzichten könnte wäre das Telefon.
Bei einer Ein Frau Praxis wird das schwierig. Da gibt es nur zwei Möglichkeiten entweder ich bin selber der Datenschutbeauftragter oder mach das über eine Firma wo ich 130,00€ oder im Monat zahle. Das Faxen von medizinischen Daten ist ja weiterhin noch erlaubt, wenn man par Verhaltensregeln einhält. Dies ganzen Regeln halte ich auch ein. Wenn du einen schriftlichen Nachweis brauchst, wie du dafür sorgst, dass beim Faxsenden nur befugte Personen auch dieses Fax bekommen, dass du dir diese Verhaltensregeln schriftlich erstellst. ( Auch wenn das völliger Quatsch ist. Weil es meiner Meinung nach nur Sinn macht, so etwas schriftlich aufzusetzen, wenn du wirklich einen Mitarbeiter hast) oder muss ich einen extra einstellen, der mich überprüft, ob ich den Datenschutz ja einhalte. Ich schicke ja nicht einfach so ein Fax los ohne mich zu vergewissern, ob ich die Nummer auch richtig eingegeben habe und vor allem wenn du bei den Praxen nicht vorher anrufst, dann heißt es, bei uns ist nix angekommen.
Es gibt ja auch Cheklisten wie diese hier. Reit das aus, wenn man so eine hat, als Nachweis bei einer Überprüfung Link Müsste man halt für seine Praxis umschreiben. Bei einer Ein Mann Praxis geht nur ich selber oder einen Externen Datenschutbeauftragten zu bestellen.
Man müsste dies ja nur noch für seine eigene Praxis anpassen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Kukdiehe schrieb:
Ich habe jetzt auch das hier gefunden. Bezüglich Datenschutzerklärungen. @ Papa Alpaka hast du so einen ähnlichen Text auf deinem Behandlungsvertrag mit aufgenommen. Der stimmt jetzt eher für Arztpraxen. Den müsste man für Physiopraxen oder für mich für Ergopraxen umschreiben. Gratis-Download des Monats: Datenschutzerklärung - Medizinische Fachangestellte
Man müsste dies ja nur noch für seine eigene Praxis anpassen.
Rezepte können weiterhin an den Arzt gefaxt werden.
Datenschutzbeauftragten braucht man erst ab 10 Personen, wir sind zu viert, da ist es nicht notwendig.
Sollte auf die Homepage des LDA gehen . Link.
Hier auf Aktuelles gehen dann EU-Datenschutz-Grundverordnung anklicken unter
DSK-Kurzpapiere zur DS-GVO: Punkt 8 und 10 anschauen
sowie unter
BayLDA-Kurzpapiere zur DS-GVO: Punkt 5 anschauen.
das wären für mich die Punkte die ich beachten sollte. Wichtig ist es den Patienten aufzuklären (das is ja mal wieder nichts Neues :smile:)
Hoffe konnte estwas helfen
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
idefix- schrieb:
Habe mit dem Landesamt für Datenschutz in Bayern telefoniert.
Rezepte können weiterhin an den Arzt gefaxt werden.
Datenschutzbeauftragten braucht man erst ab 10 Personen, wir sind zu viert, da ist es nicht notwendig.
Sollte auf die Homepage des LDA gehen . Link.
Hier auf Aktuelles gehen dann EU-Datenschutz-Grundverordnung anklicken unter
DSK-Kurzpapiere zur DS-GVO: Punkt 8 und 10 anschauen
sowie unter
BayLDA-Kurzpapiere zur DS-GVO: Punkt 5 anschauen.
das wären für mich die Punkte die ich beachten sollte. Wichtig ist es den Patienten aufzuklären (das is ja mal wieder nichts Neues :smile:)
Hoffe konnte estwas helfen
Lang lebe die Bürokratie
Gefällt mir
Bin mal gespannt was der Beauftragte mir zurückschreibt, was der Spaß kosten soll.
Schönen Abend
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
Bist du Inhaber? Habe gelesen, dass man als "Chef" nihct der Datenschutzbeauftragtesein darf, wegen Interessenskonflikten, wenn dann höchstens ein Mitarbeiter?
Bin mal gespannt was der Beauftragte mir zurückschreibt, was der Spaß kosten soll.
Schönen Abend
Bin auch mal gespannt vielleicht magst du uns dran teilhaben.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
Nö bin arbeitnehmer. Inhaber geht nicht. Hast du recht.
Bin auch mal gespannt vielleicht magst du uns dran teilhaben.
Preise im Internet nachgeschaut für einen Beauftragten - liegen zw. 150 und 500 im Monat, will ich eigentlich nicht bezahlen.
Eine Fortbildung zum Datenschutzbeauftragten habe ich auch gefunden - 3 Tageskurs 1500 Euro. Is mir auch zu teuer. Mal schauen wie es weitergeht. Halte Euch auf dem Laufenden.
Schönen Abend
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
@ a schubart: habe heute nachmittag nochmal an die LDA. Bayern geschrieben und um Auskunft gebeten., mal schauen was die antworten
Preise im Internet nachgeschaut für einen Beauftragten - liegen zw. 150 und 500 im Monat, will ich eigentlich nicht bezahlen.
Eine Fortbildung zum Datenschutzbeauftragten habe ich auch gefunden - 3 Tageskurs 1500 Euro. Is mir auch zu teuer. Mal schauen wie es weitergeht. Halte Euch auf dem Laufenden.
Schönen Abend
Und wenn du nicht weiter kommst schick mir ne PN. Es gibt auch günstige Alternativen wenn man a)zeit investiert und b.) jemanden im Team hat Der das machen kann (vorsichtig einen Datenschutz beauftragten wird man nicht so leicht wieder los) es gibt auch kleine fobis. Die großen braucht man nur wenn man es als Leistung verkaufen will. Dann würde ich aber gleich datenschutz im gesundheitswesen machen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
a schubart schrieb:
@idefix
Und wenn du nicht weiter kommst schick mir ne PN. Es gibt auch günstige Alternativen wenn man a)zeit investiert und b.) jemanden im Team hat Der das machen kann (vorsichtig einen Datenschutz beauftragten wird man nicht so leicht wieder los) es gibt auch kleine fobis. Die großen braucht man nur wenn man es als Leistung verkaufen will. Dann würde ich aber gleich datenschutz im gesundheitswesen machen.
hier die Antwort des Landesamtes für Datenschutz Bayern von heute Morgen
wir haben Ihre Email vom 27.09.2017 erhalten. Wir bitten Sie, bei weiteren Fragen zu diesem Sachverhalt das oben aufgeführte Aktenzeichen mit anzugeben.
Soweit Sie nach der Zulässigkeit eines Faxversandes an Ärzte fragen, ist dies eigentlich nicht der nach dem Stand der Technik geeignete Weg, Gesundheitsdaten auszutauschen, da die Leitungen nicht verschlüsselt sind. Dennoch wird der Faxversand gerade im Gesundheitswesen schon jahrelang toleriert, da die Anbieter dem Telekommunikationsgeheimnis unterliegen und sich strafbar machen, wenn sie die Inhalte auswerten. An dieser Praxis wird sich auch mit der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) nichts ändern. Dennoch sollten beim Faxversand weitere Fehlerquellen möglichst ausgeschlossen werden, wir weisen in diesem Zusammenhang auf Ziff. 16.6 unseres Tätigkeitsberichts 2015/16 (abrufbar unter Link) hin. Sollten Sie eine sicherere digitale Alternative ins Auge fassen wollen, wäre es denkbar über entsprechend verschlüsselte Emails oder Emailanhänge zu kommunizieren, vgl. dazu Ziff. 16.4 unseres Tätigkeitsberichts 2015/16.
Sie müssen nach unserer Einschätzung keinen Datenschutzbeauftragten bestellen. Die DS-GVO sieht zwar bei einer regelmäßigen umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (dazu zählen auch die von Ihnen verarbeiteten Gesundheitsdaten) eine Bestellpflicht vor, wir sehen bei einer Physiotherapiepraxis nach der DS-GVO in der Regel dennoch keine Bestellpflicht für einen Datenschutzbeauftragten allein wegen umfangreicher Verarbeitung sensibler personenbezogener Daten. Es war von der DS-GVO wohl nicht gewollt, dass jede kleine Physiotherapiepraxis oder jede kleine Apotheke einen Datenschutzbeauftragten braucht (siehe auch die vergleichbare Bewertung zur Datenschutz-Folgenabschätzung in ErwGr. 91 Satz 4 zu Art. 35 Abs. 3 lit. b DS-GVO sowie Nr. 2.1.3 des WP 243 der Art. 29-Gruppe unter Link bzw. Link).
Das Bundesdatenschutzgesetz-neu wird wie bisher eine Bestellpflicht ab zehn Personen die regelmäßig mit der Datenverarbeitung zu tun haben vorsehen. Weil wir bisher bei der 10-Beschäftigten-Grenze auch den Arzt, Apotheker, Steuerberater, Rechtsanwalt usw. als Chef der Praxis/Kanzlei mitgezählt haben (nach der BDSG-Änderung zur DSB-Bestellpflicht im Jahre 2006 mit Ersetzung der Begrifflichkeit "beschäftige Arbeitnehmer" durch "beschäftigte Personen", wie auch manche andere Aufsichtsbehörden), würde aber nach BDSG-aktuell sowie BDSG-neu ein DSB ab 9 Mitarbeitern nötig sein. Auch daraus ergibt sich für Ihre Praxis also keine Bestellpflicht.
In Ihrer Anfrage ist uns noch aufgefallen, dass Sie die Abrechnungsdaten per verschlüsselter Email versenden. Dazu erlauben Sie uns noch den Hinweis auf Ziff. 16.4 unseres Tätigkeitsberichts 2015/16. Wir empfehlen Ihnen dringend zu überprüfen, ob die Verschlüsselung die dort geschilderten Voraussetzungen erfüllt.
Mit freundlichen Grüßen
Elisabeth Kraml
Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 (Schloss), 91522 Ansbach
Was meint ihr jetzt dazu?
Ich werde mir wohl keinen Datenschutzbeauftragten zulegen :)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
Liebe Kollegen,
hier die Antwort des Landesamtes für Datenschutz Bayern von heute Morgen
wir haben Ihre Email vom 27.09.2017 erhalten. Wir bitten Sie, bei weiteren Fragen zu diesem Sachverhalt das oben aufgeführte Aktenzeichen mit anzugeben.
Soweit Sie nach der Zulässigkeit eines Faxversandes an Ärzte fragen, ist dies eigentlich nicht der nach dem Stand der Technik geeignete Weg, Gesundheitsdaten auszutauschen, da die Leitungen nicht verschlüsselt sind. Dennoch wird der Faxversand gerade im Gesundheitswesen schon jahrelang toleriert, da die Anbieter dem Telekommunikationsgeheimnis unterliegen und sich strafbar machen, wenn sie die Inhalte auswerten. An dieser Praxis wird sich auch mit der ab Mai 2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) nichts ändern. Dennoch sollten beim Faxversand weitere Fehlerquellen möglichst ausgeschlossen werden, wir weisen in diesem Zusammenhang auf Ziff. 16.6 unseres Tätigkeitsberichts 2015/16 (abrufbar unter Link) hin. Sollten Sie eine sicherere digitale Alternative ins Auge fassen wollen, wäre es denkbar über entsprechend verschlüsselte Emails oder Emailanhänge zu kommunizieren, vgl. dazu Ziff. 16.4 unseres Tätigkeitsberichts 2015/16.
Sie müssen nach unserer Einschätzung keinen Datenschutzbeauftragten bestellen. Die DS-GVO sieht zwar bei einer regelmäßigen umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (dazu zählen auch die von Ihnen verarbeiteten Gesundheitsdaten) eine Bestellpflicht vor, wir sehen bei einer Physiotherapiepraxis nach der DS-GVO in der Regel dennoch keine Bestellpflicht für einen Datenschutzbeauftragten allein wegen umfangreicher Verarbeitung sensibler personenbezogener Daten. Es war von der DS-GVO wohl nicht gewollt, dass jede kleine Physiotherapiepraxis oder jede kleine Apotheke einen Datenschutzbeauftragten braucht (siehe auch die vergleichbare Bewertung zur Datenschutz-Folgenabschätzung in ErwGr. 91 Satz 4 zu Art. 35 Abs. 3 lit. b DS-GVO sowie Nr. 2.1.3 des WP 243 der Art. 29-Gruppe unter Link bzw. Link).
Das Bundesdatenschutzgesetz-neu wird wie bisher eine Bestellpflicht ab zehn Personen die regelmäßig mit der Datenverarbeitung zu tun haben vorsehen. Weil wir bisher bei der 10-Beschäftigten-Grenze auch den Arzt, Apotheker, Steuerberater, Rechtsanwalt usw. als Chef der Praxis/Kanzlei mitgezählt haben (nach der BDSG-Änderung zur DSB-Bestellpflicht im Jahre 2006 mit Ersetzung der Begrifflichkeit "beschäftige Arbeitnehmer" durch "beschäftigte Personen", wie auch manche andere Aufsichtsbehörden), würde aber nach BDSG-aktuell sowie BDSG-neu ein DSB ab 9 Mitarbeitern nötig sein. Auch daraus ergibt sich für Ihre Praxis also keine Bestellpflicht.
In Ihrer Anfrage ist uns noch aufgefallen, dass Sie die Abrechnungsdaten per verschlüsselter Email versenden. Dazu erlauben Sie uns noch den Hinweis auf Ziff. 16.4 unseres Tätigkeitsberichts 2015/16. Wir empfehlen Ihnen dringend zu überprüfen, ob die Verschlüsselung die dort geschilderten Voraussetzungen erfüllt.
Mit freundlichen Grüßen
Elisabeth Kraml
Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 (Schloss), 91522 Ansbach
Was meint ihr jetzt dazu?
Ich werde mir wohl keinen Datenschutzbeauftragten zulegen :)
Was ich dazu meine? Frau Kraml führt aus das die Bestellung eines Datenschutzbeauftragten für jede kleine Praxis wohl nicht gewollt war, eben aber Kraft Gesetzes nötig wäre. Da Frau Kraml aber für die zuständige Aufsichtsbehörde tätig ist und dich ausdrücklich von der Pflicht, einen Datenschutzbeauftragten zu bestellen ausnimmt bist du solange auf der sicheren Seite bis dir Gegenteiliges mitgeteilt wird.
(auf die Einschätzung können sich übrigens alle Kollegen aus Bayern berufen. Wer nicht in Bayern ist kopiere zur Sicherheit die Ausführungen von Frau Kraml und frage bei seiner zuständigen Datenschutzbehörde nach, ob diese Einschätzung geteilt wird :))
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Danke dir, Idefix.
Was ich dazu meine? Frau Kraml führt aus das die Bestellung eines Datenschutzbeauftragten für jede kleine Praxis wohl nicht gewollt war, eben aber Kraft Gesetzes nötig wäre. Da Frau Kraml aber für die zuständige Aufsichtsbehörde tätig ist und dich ausdrücklich von der Pflicht, einen Datenschutzbeauftragten zu bestellen ausnimmt bist du solange auf der sicheren Seite bis dir Gegenteiliges mitgeteilt wird.
(auf die Einschätzung können sich übrigens alle Kollegen aus Bayern berufen. Wer nicht in Bayern ist kopiere zur Sicherheit die Ausführungen von Frau Kraml und frage bei seiner zuständigen Datenschutzbehörde nach, ob diese Einschätzung geteilt wird :))
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
a schubart schrieb:
Gerne. Mein Bruder IT Spezialist hat mit einer befreundeten Juristin für Datenschutz gesprochen. Die Regelungen gibt es seit vielen Jahren. Jetzt ändert sich zum Mai 2018 nur das die Kontrolle viel schärfer wird und die Bußgelder deutlich höher. Wir machen es bei uns mit nen internen datenschutzbeauftragten (das werde ich). weil wir langfristig keine Lust haben hunderte Euro an andere zu zahlen.. So jemand nimmt ca. 100 bis 150 Euro die Stunde Tendenz steigend :wink:. Ich habe ja wie schon weiter oben genannte ja der niedersächsischen Datenschutz Behörde gemailt. Die Mail sagt nur das was wir wissen. Alle müssen was machen. Wie muss jeder selber wissen. Ich Acker mich gerade durch ein Buch. Sag bald Bescheid ob es taugt... LG
Lang lebe die Bürokratie
Eine verarmte Geschäftsführerin installierte in ihrem BMW X1 eine nach vorn und eine nach hinten gerichtete Kamera um die Kennzeichen von in der Nähe parkenden und ggf. Schäden verursachenden PKW zu dokumentieren. Es kam wie es kommen musste: Beim ausparken streifte jemand ihren PKW und sie ging mit den Videoaufzeichnungen zur Polizei um den Halter des anderen PKW ermitteln zu lassen. Sie bekam statt dessen einen Bußgeldbescheid wegen vorsätzlichem Eingriff in die informationelle Selbstbestimmung Dritter und legte Widerspruch ein, welcher schlussendlich vor Gericht landete.
„Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen. [Bitte Was?!? ...] Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten. [Hat das mal jemand den etlichen Tankstellenbetreibern mitgeteilt die zehn Kameras betreiben um einen Quadratmeter Tankstellenfläche zu überwachen? ...] Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würden..."
-> Das Auto im Fokus - Bayerisches Staatsministerium der Justiz
Alles klar soweit? Ich weiß aus regelmäßiger Lektüre dieses Forums das einige Kollegen Kameras nutzen um ihre Praxen zu überwachen. Ich hoffe sie setzen sich auch mit aktueller Rechtsprechung zu "Datenschutz und Videoüberwachung" auseinander :)
(update) Detail am Rande: Die als "Geschäftsführerin" bezeichnete Person verdient €1.500 netto/Monat. Aber das ist Stoff für einen anderen Thread ;)
Gefällt mir
Wir überwachen unsere Praxen tatsächlich (nach dem dritten Einbruch), allerdings nach (Rücksprache Datenschutz) geltenden Richtlinien und nicht während der Öffnungszeiten (was datenschutzrechtlich nahezu nicht umsetzbar ist).
Ein Aufkleber hier und dort, eine "Warnanzeige" gleich auf der Tür mussten trotzdem sein.....weiß Gott warum, aber...
> Vielleicht soll der Einbrecher auch informeirt sein, dass bei Schließung der Praxis er -im Falle eines Einbruches :blush:- tatsächlich auch gefilmt werden würde. :stuck_out_tongue_winking_eye:
Und dann fragt man sich in Deutschland, warum Einbrüche zunehmen, nahezu nicht aufgeklärt werden und sich "Erstopfer" nicht mehr sicher fühlen.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
stefan 302 schrieb:
Hm, "Effugere non potes necessitates, potes vincere!"
Wir überwachen unsere Praxen tatsächlich (nach dem dritten Einbruch), allerdings nach (Rücksprache Datenschutz) geltenden Richtlinien und nicht während der Öffnungszeiten (was datenschutzrechtlich nahezu nicht umsetzbar ist).
Ein Aufkleber hier und dort, eine "Warnanzeige" gleich auf der Tür mussten trotzdem sein.....weiß Gott warum, aber...
> Vielleicht soll der Einbrecher auch informeirt sein, dass bei Schließung der Praxis er -im Falle eines Einbruches :blush:- tatsächlich auch gefilmt werden würde. :stuck_out_tongue_winking_eye:
Und dann fragt man sich in Deutschland, warum Einbrüche zunehmen, nahezu nicht aufgeklärt werden und sich "Erstopfer" nicht mehr sicher fühlen.
Mein Haus und meine Praxis (Rezeption) werden per Strahler mit Bewegungsmelder und Video überwacht, rund um die Uhr. Gekennzeichnet durch Aufkleber außen und innen.
Ein Patient hat sich darüber mal aufgeregt, hab ich rausgeschmissen. Wem meine Praxis nicht passt, darf gerne anderswo sein Glück versuchen.
Sarkassmus ein: Werde mal im nächsten Urlaub aufpassen wem ich in die Fotolinse laufe und dann wegen Persöhnlichkeitsverletzung anzeigen. Sarkassmus aus.
Langsam wir es mit dem Datenschutz echt zu viel.
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
idefix- schrieb:
Ah Datenschutz..... Was ist dann mit den Hunderttausenden Handybenutzer die alles filmen was vor die Linse kommt? Autounfälle mit Behinderung des Rettungspersonals, denen passiert nichts, die Verletzten die gefilmt werden, was ist mit derer ihrer Persöhnlichkeitsverletzung? darauf schei...t der Staat ja auch.
Mein Haus und meine Praxis (Rezeption) werden per Strahler mit Bewegungsmelder und Video überwacht, rund um die Uhr. Gekennzeichnet durch Aufkleber außen und innen.
Ein Patient hat sich darüber mal aufgeregt, hab ich rausgeschmissen. Wem meine Praxis nicht passt, darf gerne anderswo sein Glück versuchen.
Sarkassmus ein: Werde mal im nächsten Urlaub aufpassen wem ich in die Fotolinse laufe und dann wegen Persöhnlichkeitsverletzung anzeigen. Sarkassmus aus.
Langsam wir es mit dem Datenschutz echt zu viel.
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Papa Alpaka schrieb:
Die grandiosen Auslegungen schreiben sich von ganz alleine:
Eine verarmte Geschäftsführerin installierte in ihrem BMW X1 eine nach vorn und eine nach hinten gerichtete Kamera um die Kennzeichen von in der Nähe parkenden und ggf. Schäden verursachenden PKW zu dokumentieren. Es kam wie es kommen musste: Beim ausparken streifte jemand ihren PKW und sie ging mit den Videoaufzeichnungen zur Polizei um den Halter des anderen PKW ermitteln zu lassen. Sie bekam statt dessen einen Bußgeldbescheid wegen vorsätzlichem Eingriff in die informationelle Selbstbestimmung Dritter und legte Widerspruch ein, welcher schlussendlich vor Gericht landete.
„Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen. [Bitte Was?!? ...] Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten. [Hat das mal jemand den etlichen Tankstellenbetreibern mitgeteilt die zehn Kameras betreiben um einen Quadratmeter Tankstellenfläche zu überwachen? ...] Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würden..."
-> Das Auto im Fokus - Bayerisches Staatsministerium der Justiz
Alles klar soweit? Ich weiß aus regelmäßiger Lektüre dieses Forums das einige Kollegen Kameras nutzen um ihre Praxen zu überwachen. Ich hoffe sie setzen sich auch mit aktueller Rechtsprechung zu "Datenschutz und Videoüberwachung" auseinander :)
(update) Detail am Rande: Die als "Geschäftsführerin" bezeichnete Person verdient €1.500 netto/Monat. Aber das ist Stoff für einen anderen Thread ;)
Mein Profilbild bearbeiten