Hallo, voranstellen möchte ich, dass ich Arztgatte, Rechtsanwalt, Systemadministrator ud Datenschutzbeauftragter in der Praxis meiner Frau bin. Ich führe den von den Ärztekammern geforderten Check-up in Arztpraxen durch.
Die uns vorliegenden vertraglichen Vereinbarungen zu Tomedo entsprechen nicht den Anforderuneg der DS-GVO, aber das kan ja noch werden.
Zur Herstellung der DS-GVO-Konformität des Sytems Tomedo ist eine Passwortwechsel-Routine (8-stellig im 3-Monatswechsel) erforderlich. Gut, das läßt sich auch mit einer Fremd-App installieren, wäre aber innerhalb von Tomedo vorteilhaft, weil es ja gerade gilt, dieses System zu schützen und nicht irgendeine andere App auf dem Client. In diesem Zusammenhang kann ich den oder das Kameralogin von Tomedo als mustergültig testieren.
Die Geschäftsleitung des Softwareherstellers sollte in geeigneter Weise ihre Mitarbeiter instruieren, Passwörter der Kunden NICHT zu speichern und bei der Erstinstallation auch keine Kombinationen wie praxis / praxis als Nutzer und Passwort zu vergeben. (Das finde ich auch auf Systemen in jeder 2. Praxis.) Sicher, man macht das, um einen leichteren Umgang mit den Kunden zu haben, aber genau diese Vorgehensweise eröffnet Datendieben Tor und Tür. Der Hersteller und Provider kann sich da selbst auch eine hübsche Abmahnung einfangen, wenn man so verfährt.
Wie die Damen und Herren der Ärzteschaft in den letzten Tagen wahrscheinlich auch gemerkt haben, versenden Labore für Histo/ Blut/ etc. zur Zeit kartonweise eigene Einwilligungserklärungen für ihre Untersuchungen. Hier wäre eine Hilfestellung von Tomedo wünschenswert über ein Auswahlpanel die gewünschten Einwilligungen formularartig zusammenzufassen. Beispiel: Patient kommt als Neupatient: Er willigt ein
-
in die Datenspeicherung durch die Praxis, mit Recht zum sofortigen Wideruf einschl. Anspruch auf Information über den Inhalt der Daten, Weiterleitung und Löschung
-
Weiterleitung der Daten an den Zuweiser
-
den Versand an die PVS/ ALG o.ä.
-
die Kenntnis, dass die Praxis zur Datenverarbeitung
-
einen/ zwei/ drei Dienstleister einsetzt,
-
die Daten an den Steuerberater weiterleitet (betr. Privatabrechnungen/ Buchung durch den StB - das kann Arzt vermeiden),
-
die Daten an das Labor A/ B/ C weiterleitet
... die Aufzählung ist sicher noch nicht abschliessend, erfasst aber die meisten Fälle.
Über eine Inhaltsauswahl könnte man das Dokument etwas eindampfen oder zweckgerichtet ausstatten.Erstaufnahme/ Laboruntersuchung/ OP/...Für ein Patiententerminal bestens geeignet, Weiterleitung der Dokumentation per E-Mail an den Pat oder Ausdruck, für den, der altersbedingt keinen Drucker hat.
Tomedo-Online Termine:
Wenn eine Person ihre Daten ungefragt zur elektronischen Verarbeitung zur Verfügung stellt, ist rein juristisch davon auszugehen, dass die Person mit dieser Verarbeitung (und nur mit dieser) einverstanden ist. Unter Compliance-Gesichtspunkten ist es wünschenswert, dem Patienten bereits mit der Reservierungsbestätigung mitzuteilen, dass die Terminierungsdaten auf dem Zollsoft-Server nicht länger als bis zum Termin (oder früher...?) gespeichert werden und automatisch gelöscht werden. Ein solcher Hinweis sollte kurzfristig eingearbeitet werden. (Auf der anderen Seite finde ich das Feature, dem Pat die Terminvergabe pro Quartal zu begrenzen auch sehr schick, bedetutet aber, dass die Daten wenigtens bis zum Ende des Quartals gespeichert werden.)
Kommt der Patient dann in die Praxis, sollte er eine Einwilligung der Nutzung seiner Daten in dem vorbeschriebenen Umfang unterschreiben. Hinweis: Früher erteilte Einwilligungen werden ab Ende Mai nicht bedeutungslos - sie sind aber regelmässig im Umfang beschränkt. Für die Nutzung von E-Mail-Daten ist aber zwingend eine Einwilligung einzuholen. Im Wartezimmer und auf der Homepage (soweit vorhanden) sollte dann noch einmal umfangreich über den Datenschutz der Praxis hingewiesen werden.
Zum Thema Datenlöschung gibt es kontroverse Ansichten und gegenäufige Rechtsvorschriften. Wenn der Pat die Löschung seiner Daten wünscht, dann sollte er auch unterschreiben, dass er auf Haftungsansprüche gegen den Arzt/ Ärztin für die nächsten 30 Jahre verzichtet, andernfalls wäre dies schlecht für den Arzt. Gegenüber den Vorstellungen der Ärztekammern, die Daten 10 Jahre aufzubewahren, würde ich das Interesse des Patienten als vorrangig betrachten. Aber diese Fälle werden sich in Bälde gerichtlich geklärt. Bis dahin sollten die daten nicht wirklich gelöscht, sondern archiviert werden. Und wenn wirklich einer kommt und um Löschung bittet, dann lassen Sie sich das in Gegenwart Dritter und nach ausdrücklicher Belehrung unterschreiben.
Herzliche Grüße
Jörg Frotscher