Kategorien
Neueste Beiträge
Datenschutz beim Transport von Gesundheitsdaten
Mit der Möglichkeit zur alternierenden Home-Office-Arbeit (mal im Büro, mal Zuhause) oder der generellen Notwendigkeit, Hausbesuche als Arzt oder Pfleger durchzuführen, steigt auch die Gefahr, dass die Patientenunterlagen unterwegs verlorengehen können. Daher ist der Datenschutz beim Transport von Gesundheitsdaten eines der Themen, die nicht nur bei Arbeiten außerhalb des Büros große Wichtigkeit haben, sondern auch beim Einsatz digitaler Mittel. Lesen Sie also weiter, um mehr zu dieser Problematik und zu Lösungsvorschlägen zu erfahren.
Gesundheitsdaten gemäß der DSGVO
Gesundheitsdaten bzw. solche Daten, die Hinweise zur Gesundheit einer natürlichen Person geben, definiert Art. 9 Abs. 1 DSGVO – neben anderen einer Auswahl anderer sensibler Daten – als personenbezogene Daten besonderer Kategorien. Während ein Verantwortlicher natürlich die Pflicht hat, generell alle personenbezogenen Daten vor einer unbefugten Verarbeitung zu schützen, gelten eben diese Daten als besonders schützenswert.
Verschiedene Szenarien beim Transport von Gesundheitsdaten
Gesundheitsdaten verlassen in verschiedenen Szenarien den Standort des Verantwortlichen. Möglicherweise erstellen die Mitarbeiter sie aber beispielsweise aufgrund von einer zu dokumentierenden Arbeit in den Räumen einer zu behandelnden Person und damit nicht in den Büro-/Praxisräumen des Verantwortlichen.
Notärzte haben, wenn ein Patient nicht schon aufgrund vorheriger Vorfälle bekannt ist, keine Kenntnisse zum früheren Gesundheitszustand der Person. Folglich erheben sie zumeist die Patientendaten am Einsatzort – wo auch immer dieser sein mag.
Hausärzte und Pfleger machen sich ggf. ebenfalls vor Ort bei Hausbesuchen Notizen, nehmen aber gleichermaßen eventuell entsprechende Dokumente oder gar die ganze Patientenakte zur zu behandelnden Person mit.
Wenn wir uns auf den digitalen Aspekt fokussieren, kommt es möglicherweise zu einem Austausch von Gesundheitsdaten natürlicher Personen zwischen verschiedenen Parteien per E-Mail, Kommunikationsdienste (z. B. Messenger), mobiler Datenträger, über Dokumentenaustauschplattformen o. Ä.
Mögliche Gefahren
Beim analogen Transport von Gesundheitsdaten liegt die wahrscheinlich größte Gefahr darin, dass die Akte, die Notizen, der Datenträger etc. versehentlich auf dem Weg vergessen wird, aus der Tasche fällt etc. Die Landesbeauftragte für den Datenschutz in Brandenburg berichtet in ihrem 2023-Tätigkeitsbericht unter Punkt IV.4, Seite 78 von drei derartigen Fällen: Darin schreibt sie von einem ambulanten Pflegedienst, von dem eine Mitarbeiterin ihren Rucksack mit Leistungsnachweisen zur Pflegetätigkeit an einer Haltestelle vergaß. In einem anderen Fall wurde eine psychotherapeutische Patientenakte im öffentlichen Verkehrsmittel selbst vergessen. Auch gab es einen Vorfall bei einem Verein bzgl. Wohngruppen für Menschen mit Behinderung. Dieser speicherte entsprechende Daten mit dem jeweiligen Entwicklungsfortschritt auf einem USB-Stick, der abhandenkam (gemäß den Angaben ist zu vermuten, dass die Daten unverschlüsselt waren).
Betrachten wir die digitalen Daten, kann es bei der Übertragung selbst durch einen sogenannten „Mittelmann“, der die Daten während des Transportes abfängt, zu einer unbefugten Verarbeitung kommen. Ein USB-Stick – wie in dem oben genannten Beispiel – kann verloren gehen und damit besteht für eine unbefugte Person die Möglichkeit eines Zugriffes, wenn die gespeicherten Daten nicht nach dem Stand der Technik verschlüsselt sind.
Mögliche Maßnahmen zum Schutz und zur Sicherheit der Daten
Wie wir schon anmerkten, lässt es sich aufgrund der Tätigkeit u. U. nicht vermeiden, dass Gesundheitsdaten von einem Ort zum anderen transportiert oder übertragen werden müssen. Möglichst vermeiden lässt sich aber ein unbefugter Zugriff und damit ein Datenschutzvorfall. Im Sinne des Datenschutzes können die technischen und organisatorischen Maßnahmen also wie folgt definiert werden:
1) Pseudonymisierung von beispielsweise der Namen und Adressen in Patientenakten – wie von der Datenschutzaufsichtsbehörde Brandenburg vorgeschlagen.
2) Minimierung der Klardaten, die der Mitarbeiter in der Patientenakte transportiert.
3) Verschlüsselte Speicherung von Gesundheitsdaten auf elektronischen Geräten.
4) Sperren eines elektronischen Gerätes, auf dem sich Gesundheitsdaten befindet, wenn der jeweilige Mitarbeiter es nicht nutzt.
5) Ende-zu-Ende-Verschlüsselung beim Versand von Patientendaten per E-Mail.
6) Betrieb einer Dokumentenaustauschplattform auf den eigenen firmeninternen Servern.
7) Verschlüsselung des elektronisch zu versendenden Dokumentes, welches Gesundheitsdaten enthält.
8) Richtlinie/schriftliche Anweisungen zur Umsetzung des Datenschutzes und zur Sicherheit der Daten beim Transport von Gesundheitsdaten.
9) Regelmäßige Schulungen bzw. Sensibilisierungen zur Sicherheit der Gesundheitsdaten beim Transport.
Fazit
Die oben genannten Maßnahmen sind wie immer nicht abschließend. Ein jeder Verantwortlicher entscheidet in eigenem Ermessen, welche Maßnahme effektiv dazu beitragen kann, das Risiko für die Rechte und Freiheiten betroffener Personen durch eine unbefugte Verarbeitung zu verringern (Art. 32 Abs. 1 DSGVO). Gerade bei digitalen Patientendaten in der Arztpraxis sind dabei auch die Vorgaben der KBV-IT-Sicherheitsrichtlinie als Stand der Technik zu beachten.
Nun können wir Ihre Verantwortung als Verantwortlicher, der personenbezogene Daten verarbeitet, nicht übernehmen, aber wir können Sie bei der Umsetzung der Vorgaben der DSGVO unterstützen und beraten. Kontaktieren Sie uns also gern heute für ein unverbindliches Angebot.