#62 DSGVO-Falle Gesundheitsdaten: Diese Datenschutzfehler passieren täglich

00:00:03: Datenschutz im Ohr.

00:00:04: Dein Podcast vom DSGVO Erste-Hilfekoffer für Soloselbstständige, Freiberufler und kleine Unternehmen bis zu neunzehn Mitarbeiter in Büro!

00:00:13: Wir sprechen über die verschiedensten Herausforderungen, wie der Datenschuss für dein Unternehmen mit sich bringt.

00:00:19: Du bekommst wichtige Infos was es

00:00:21: zu beachten gibt

00:00:22: und wertvolle Tipps zur Umsetzung der einzelnen Schritte.

00:00:26: So geht DSGVO einfach und leicht Und das lieben wir.

00:00:31: Bist du bereit, in die Welt der DSGVO einzutauchen?

00:00:34: Los geht's!

00:00:36: Ein fröhliches Hallo zu einer weiteren Podcastfolge und heute geht es rund um Gesundheitsdaten.

00:00:42: Also wenn Du in einem klassischen Beruf wo Du Gesundheitsdatten verarbeitest tätig bist zum Beispiel als Arzt, als Physiotherapeut, als High-Praktiker, als Pflegedienst also irgendwo wo Du mit Gesundheitsdarten zu tun hast dann solltest du dir diese Folge mal ganz genau anhören.

00:01:01: Denn sie heißt da DSGVO-falle Gesundheitsdaten, diese Datenschutzfehler passieren täglich und das stelle ich immer wieder fest und das ist ein genauer Grund warum wir uns das mal anschauen sollen.

00:01:13: weil gerade kleine Praxen oder auch Solohypraktika, Solopreneure oder kleine Physiotherapeuten mit Angestellten denken immer naja bei uns passiert ja nichts Wir sind ja so klein Wir passen schon auf unsere Daten auf, aber gerade da sind oftmals die häufigsten Risiken.

00:01:33: Warum sind gerade Gesundheitsdaten ebenso problematisch?

00:01:37: Sie gelten nach der DSGVO tatsächlich als Hochrisikodaten.

00:01:42: im Artikel neun Der DSGVO sind besondere Kategorien von Daten veranschlagt, die man eben auch besonders schützen muss.

00:01:52: Also da gehören zum Beispiel Religionsdaten, Gesundheitsdaten biometrische Daten ethische politische Einstellung Gewerkschaft zu Gehörigkeit.

00:02:01: Das sind alles so besondere Kategorien die einen besonderen Schutz benötigen.

00:02:07: das heißt ich kann es nicht vergleichen mit normalen Rechnungsadressen oder ähnliches was jetzt ein Handwerker oder so hat.

00:02:14: also immer wenn ich mit diesen besonderen kategorieren zu tun habe muss ich mich noch mal besonders aufstellen in meinen technisch-organisatorischen Maßnahmen, um diese Daten eben zu schützen.

00:02:29: Und da haben wir eben höhere gesetzliche Schutzpflichten und die werden auch höher geahndet.

00:02:36: Mögliche Folgen von Datenschutz verstößen?

00:02:38: Was kann das denn sein wenn ich dann es nicht richtig mache und sich vielleicht ein Patient beschwert?

00:02:44: oder nennend lassender Mitarbeiter denkt Der Praxis, der haue ich jetzt noch mal ein rein und melde sie bei der Datenschutzbehörde.

00:02:52: Einerseits natürlich Vertrauensverlust bei Patienten.

00:02:55: Das ist etwas das wir alle nicht wollen.

00:02:58: Beschwerden beider Aufsichtsbehördes kann wiederum Bußgelder nach sich ziehen Und das kann bis zu vier Prozent des jährlichen Umsatzes gehen Nicht gewinnen und natürlichen Reputation Schaden für die Praxis.

00:03:11: Wer will schon in Bewertung lesen dass Patienten oder Mitarbeiter schreiben, das mit Datenlapidar umgegangen werden und dass Daten irgendwo ja nicht schützenswert behandelt werden oder offen liegen.

00:03:26: Ich denke mal, das kann sich schon ganz schön nach außen auswirken.

00:03:31: Und genau sehen wir hier in der Praxis immer ganz typische Fehler.

00:03:36: Immer ganz typisch Fehler die fast überall durchgängig sind und da möchte ich heute auch ein bisschen gezielter drauf eingehen weil wir im wie gesagt das Hoch-Sicherheitsrisiko hier haben.

00:03:47: Es geht schon los mit der Organisation in Praxis ein, also offene Patientenlisten am Empfang.

00:03:53: Da liegt vielleicht noch die Karteikarte oder die Kartenkarten für den Nächsten da liegen vielleicht die Krankenkassenkarten.

00:04:02: man hat irgendwelche Rezepte liegen was der Patient da reinkommt am empfang einsehen kann.

00:04:09: ich kann auf dem Monitor schauen.

00:04:11: Ich sehe zum Beispiel an einer Rezeption eingebt, die Mitarbeiterinnen.

00:04:16: Das sind alles so Dinge oder aber auch Gespräche über Patientendaten im Wartezimmerbereich.

00:04:22: Das heißt man kommt ins Wartezeimer und hier haben sie die Überweisung zum Krankenhaus.

00:04:27: lassen Sie da das und das nochmal checken.

00:04:30: Das geht auch nichts.

00:04:31: So eine Sache kann ich einfach nicht besprechen wenn andere zuhören Und das sollte ich mir eben auch immer überlegen bei der Kommunikation.

00:04:41: Wie ist es denn zum Beispiel, wenn ich telefoniere?

00:04:44: Muss ich dann unbedingt sagen Hallo Frau Meier wir haben Ihren Befund von Ihrer Brustuntersuchung oder was weiß ich nicht.

00:04:53: Wenn das Wartezimmer offen ist, wenn die Warten denn das mithören können oder wenn eine lange Schlange da steht Dann muss sich das anders organisieren.

00:05:01: Aber auch wie verschicke ich denn Befunde an zum Beispiel weitergehende Ärzte Oder der Patient möchte es haben mit unverschlüsselter E-Mail.

00:05:14: Das Problem ist, E-mails sind nicht sicher!

00:05:17: Also die laufen von Knotenpunkt zu Knotempunkt und dort gibt es immer einen Man in der Mitte und er kann diese E-mail zum Beispiel abfangen.

00:05:27: Und da habe ich ein klassisches Beispiel zwar jetzt nicht aus dem Gesundheitsbereich sondern aus dem Baubereich.

00:05:32: Da wurde eine Rechnung vom Architekten an den Bauherrn geschickt zum Zahlen des Bauunternehmers, nachdem er das abgenommen hat der Architekt, nach dem er die Leistung geprüft hat.

00:05:45: Und der Bauherrer hat auch bezahlt.

00:05:47: nur der Bauunternehmer hat sich dann irgendwann mal beschwert dass es ein Geld gerne haben möchte und dann kam raus, dass die Rechnung auf einem Weg vom Architekten zum Bauherren abgefangen wurde und die Kontoverbindung unten ausgetauscht wurde auf dieser Rechnungen und zwar so dass nicht aufgefallen ist.

00:06:05: also Es ist immer klar, eine E-Mail ist nie ein sicherer Versand.

00:06:10: Und wenn ich eine E mail verschicke mit sensiblen Daten und besonderen Kategorien von Daten dann muss sich die auch besonders schützen.

00:06:19: oder aber nutze ich mit meinem Patienten private Messenger Dienste?

00:06:23: Ist das abgesprochen?

00:06:25: was darf darüber denn kommuniziert werden?

00:06:28: Das sind eben auch so Dinge!

00:06:30: Das sind alles so Themen die ich mir angucken muss.

00:06:36: Was für eine Software verwende ich?

00:06:38: Gut, bei Ärzten da bin ich ja oftmals an die Telemedizin angeschlossen.

00:06:42: Da kann ich gar nicht so groß entscheiden aber wenn ich jetzt ein Heilpraktiker oder Physiotherapeut bin dann sollte ich mir schon mal Gedanken machen was für eine software ich da einsetze.

00:06:52: Wo sitzt der Anbieter?

00:06:54: Sitzt er in der EU?

00:06:55: Bekomme ich einen Auftragsverarbeitungsvertrag mit ihm?

00:06:58: Liegen die Daten in der Cloud?

00:07:00: wie sicher sind sie denn in der cloud?

00:07:03: Das sind alles so Themen, die ich mir natürlich anschauen muss.

00:07:06: Und auch wenn ich Mitarbeiter habe, welche Mitarbeiter dürfen denn auf welche Daten zugreifen?

00:07:13: Darf denn alle Mitarbeiter auf alle Patientendaten zugreiven oder gibt es da Unterschiede?

00:07:19: Also so ein Rechte- und Rollenprinzip – auch das muss ich mir überlegen!

00:07:24: Die fünf häufigsten Fehler in Kleinpraxen Das ist erstens mal, wenn ich mir die Webseiten anschaue eine fehlende oder veraltete oder nicht stimmige Datenschutzerklärung.

00:07:36: Die auch mit dem Cookie-Banner nicht übereinstimmt.

00:07:38: das ist schonmal ein Angriff der wovon außen sehr schnell eine Datenpanne oder eine Beschwerde losgelassen werden kann.

00:07:48: und der zweite Fehler Ich habe kein Verzeichnis meiner Verarbeitungstätigkeiten meine Verarbeitung, die ich im Unternehmen habe.

00:07:56: Die einzelnen Schritte, die Ich mit Daten mache muss ich dokumentieren und da brauche ich ein Verarbeitungsverzeichnis wo ich genau dokumentiere welche Verarbeitungen mit welchen Schritten?

00:08:07: Mit welchen Programmen unternehme ich?

00:08:10: wer hat Wer ist davon betroffen?

00:08:12: Wer hat darauf Zugriff und Welche unterstützenden Dienstleister oder Programme nutzeln.

00:08:19: Und das sind wir auch schon beim Fehler.

00:08:20: drei technische und organisatorische Maßnahmen, die fehlen.

00:08:25: Sind meine Mitarbeiter geschult?

00:08:27: Habe ich eine Firewall?

00:08:29: Wie läuft meine Datensicherung?

00:08:31: Wie werden Akten geschreddert oder wo werden sie ausgelegt?

00:08:35: Also all das sind Themen mit denen ich mich befassen muss!

00:08:40: Ja und der nächste Fehler ist tatsächlich dass die Mitarbeiter nicht geschult sind.

00:08:45: also Sie sprechen zu offen über Patientendaten wenn andere dabei sind.

00:08:51: Der Umgang mit Daten ist nicht klar geregelt.

00:08:53: Es gibt keine Vereinbarung, es gibt keine Richtlinien für Mitarbeiter und das sollte gerade auch in diesem Bereich so sein.

00:09:00: also dürfen zum Beispiel wenn ich in der ambulanten Pflege oder was tätig bin wie sind denn die Akten in den Autos der Mitarbeiter zu halten?

00:09:09: Müssen die in irgendeinem verschlossenen Koffer in einem eingebauten Tresor die Schlüssel im Auto oder was weiß ich nicht transportiert werden?

00:09:19: Da muss ich mir Gedanken drüber machen, wenn ich in dem Bereich unterwegs bin.

00:09:23: Und natürlich auch welche externen Dienstleister lasse ich denn eventuell drauf auf die Daten?

00:09:30: Mein IT-Dienstleister, Terminbuchungssysteme, Cloudanbieter.

00:09:36: mit denen brauche ich Auftragsverarbeitungsverträge.

00:09:39: Das heißt Ich muss mir genau anschauen wo landenden Daten meiner Patienten und was für Anbietern habe.

00:09:47: Bekomme ich mit denen überhaupt einen Auftragsverarbeitungsvertrag?

00:09:50: Wo sitzen die, was dürfen sie überhaupt?

00:09:53: all das muss sich tatsächlich regeln.

00:09:58: Die meisten Verstöße in dem Bereich Gesundheitsdaten entstehen nicht aus Absicht sondern aus mangelndem Bewusstsein weil man einfach alltäglich immer schon so damit gearbeitet hat noch nie etwas passiert ist und man sich gar nicht Gedanken drüber macht.

00:10:15: was könnte denn passen Wenn man sich da mal ein bisschen mit sensibilisiert und sich mit seiner eigenen Praxis mal auseinandersetzt.

00:10:24: Und einfach mal schaut, was habe ich denn für Arbeitsschritte?

00:10:27: Ups!

00:10:28: Wo könnte es eventuell kritisch werden?

00:10:30: Dann bin ich schon ganzes Stück weiter und dann weiß ich auch wo ich sozusagen den Hebel ansetzen kann dass ich diese Schwachpunkte eliminiere.

00:10:41: Zusammengefasst nochmal kurz Gesundheitsdaten sind Hochrisikodarten.

00:10:46: Da wird ein besonderer Augenmerk von Aufsichtsbehörden drauf gebildet.

00:10:52: Das bedeutet, wenn mal eine Beschwerde eines Patienten oder eines entlassenen Mitarbeiters eingeht, dann wird besonders geprüft.

00:11:01: wie sind hier die technischen und organisatorischen Maßnahmen getroffen worden?

00:11:06: Datenschutz beginnt im Praxisalltag und auch kleine Praxen müssen eben ihre Datenschutzzeprozesse haben.

00:11:14: Seien sie Solounternehmer, Solo-Heilpraktiker.

00:11:18: Aber trotzdem ist die Schärfe des Gesetzes genauso gegeben.

00:11:23: Und wenn du mit Gesundheitsdaten unterwegs bist und wenn du in dem Tätigkeitsfeld arbeitest, und sagst Mensch wie soll ich denn das Ganze irgendwo abdecken?

00:11:32: Ich habe doch da gar keine Ahnung von!

00:11:35: Dann gehen den Show-Notes auf den Link zu unserer Webseite und bucht ihr bei uns einfach einen Erstgespräch.

00:11:40: In einem lockeren Gespräch erfährst Du was Du eigentlich tun müsstest und wie wir Dich unterstützen können.

00:11:46: Und das ist auch kein Hexenwerk, sondern wenn man weiß wie dann ist es relativ gut und schnell erledigt.

00:11:53: Also schütze die Daten deiner Patienten und schützi vor allen Dingen auch dich!

00:11:59: Weil das ist es eigentlich.

00:12:00: Datenschutz ist nicht nur eine rechtliche Verpflichtung Es ist ein Schutz deiner eigenen Existenz und vor allem ist es Vertrauensaufbau für die Zukunft, für deine Patienten.

00:12:13: Ich wünsche dir Eine sichere Woche im Umgang mit deinen Daten und freue mich, wenn du bei der nächsten Podcast-Folge wieder mit an Bord bist.

00:12:22: Ciao!

00:12:24: Schön dass Du heute mit dabei warst.

00:12:26: Weitere Informationen zu unserem DSGVO Erste Hilfe Koffer & Datenschutz findest Du unter dsgvo-erste-hilfe.de.

00:12:36: Du kannst dir gerne auch einen kostenlosen Termin buchen mit einem unserer Beraterinnen und Berater vom DSGVO Erste-Hilfekoffer Team.

00:12:45: Den Link dazu gibt's in den Shownotes.

00:12:47: Sucht ihr aus, von dem du dich beraten lassen möchtest?

00:12:50: Und lass uns darüber sprechen wie wir dir am besten weiterhelfen können!

00:12:54: Bis zur nächsten Folge – und denk immer daran!

00:12:57: Datenschutz muss nicht kompliziert sein.

00:12:59: Der DSGVO Erste Hilfekoffer macht es leicht.