· 

Datenschutzgesetz (DSG) in der schweizer Arzt- und Zahnarztpraxis – Das müssen Sie ab dem 01.09.2023 unbedingt beachten!

Datenschutzgesetz (DSG) in der Arzt- und Zahnarztpraxis Schweiz ab 01.09.2023

Ähnlich den Datenschutzreformen in Europa zielt die Totalrevision des Datenschutzgesetzes (DSG) darauf ab, das Datenschutzrecht an die aktuellen Entwicklungen anzupassen. Auch Arzt- und Zahnarztpraxen müssen sich aufgrund des neuen DSG ab dem 01.09.2023 auf Veränderungen im Umgang mit Patienten- und Mitarbeiterdaten einstellen.

Hiermit kommen grundlegende Anpassungen auf Sie zu, die Sie in der Praxis schnell erarbeiten und umsetzen sollten.

 
In diesem Artikel gehe ich auf die wichtigsten Fakten und Aufgaben ein, um Ihnen einen Überblick zu verschaffen, was Sie zwingend umsetzen sollten.

 

 

Die wichtigsten Fakten der DSG für Ihre Arzt- und Zahnarztpraxis


Welche Personendaten betrifft das Datenschutzgesetz in der Arzt- und Zahnarztpraxis?

 

Das Datenschutzgesetz in der Schweiz (DSG) betrifft die Informationen von natürlichen Personen. Es gibt eine Unterscheidung zwischen regulären personenbezogenen Informationen und besonders sensiblen personenbezogenen Informationen.

Die umfassende medizinische Krankengeschichte fällt unter die Kategorie der besonders sensiblen Informationen und unterliegt strengsten Schutzmaßnahmen.

 

Die Daten der Angestellten (wie Namen, E-Mail-Adressen, HR-Dokumente, Berufszertifikate und Arbeitszeugnisse) werden als "grundlegende" personenbezogene Informationen betrachtet.

 

Es gibt verschärfte rechtliche Anforderungen zur Gewährleistung der Sicherheit von persönlichen Informationen. Einzelpersonen wie Patienten oder Mitarbeiter, erhalten eine erhöhte Befugnis über ihre individuellen Daten:

  • Sie müssen informiert werden, falls Informationen über sie erfasst werden
  • Sie haben das Recht, die Herausgabe, Berichtigung oder Löschung dieser Daten zu verlangen

Allerdings gelten nicht alle Aspekte für medizinische Informationen gleichermaßen. Daten, die bezüglich der Krankenakte erfasst werden und einer Aufbewahrungsfrist unterliegen, dürfen nicht gelöscht werden.

 

 

Aushändigen von Patientendaten

Grundsätzlich werden ausschließlich Kopien (sowohl in elektronischer als auch in analoger Form) der ausdrücklich angeforderten Informationen an die Person übergeben. Die originalen Daten verbleiben in der Praxis, da die Aufbewahrungspflicht bei der Praxis liegt. Diese Aushändigung muss innerhalb eines Zeitraums von maximal 30 Tagen erfolgen, es sei denn, es existieren überzeugende Gründe, die eine Einsichtnahme verhindern (in diesem Fall muss die Begründung innerhalb von 30 Tagen vorgelegt werden).

Das Aushändigen der Kopien ist kostenfrei. Nur wenn der Aufwand unverhältnismässig gross ist, und nur bis maximal CHF 300.- dürfen berechnet werden. Das ist aber kritisch zu beurteilen. Stellen Sie daher sicher, dass Sie die Kopien schnell und einfach zur Verfügung stellen können.

 

Bitte immer beachten, dass Daten bei elektronischer Übermittlung nur verschlüsselt übergeben werden dürfen.

Dies ist auch beim Versand von Röntgenbildern zu beachten. Die Nutzung von Faxgeräten sollte ebenfalls überdacht werden, da Daten nicht verschlüsselt und gezielt versand werden können.

 

Was gilt bezüglich der Aufklärungspflicht?

 Im medizinischen Bereich besteht keine explizite Notwendigkeit, Patienten darauf hinzuweisen, dass relevante Gesundheitsdaten erfasst werden, da es allgemein angenommen wird, dass Patienten sich dessen bewusst sind, wenn sie medizinische Fachkräfte konsultieren. Nichtsdestotrotz ist das Prinzip der Angemessenheit von Bedeutung. Es sollten lediglich Informationen erfasst werden, die im Zusammenhang mit der aktuellen medizinischen Behandlung stehen. Sollte ein Patient beispielsweise Angaben auf einem Anamnesebogen verweigern, die keinen Bezug zur Behandlung haben, steht ihm dieses Recht zu. Klären Sie Ihre Patienten auf, wofür Sie die Daten benötigen. Gerade Grunderkrankungen können sich negativ auf die Behandlungen und die Mundgesundheit auslegen. Hier ist eine gute Aufklärung für die Patienten Gold wert.

Sie sollten in Ihrem QSS ein Standarddokument einpflegen, welches den Patienten als Aufklärung über die Erhebung der Daten dient.

Ein Dokument zur Einwilligung der Datenerhebung sollte ebenfalls erfasst und von den Patienten in regelmässigen Abständen unterschrieben werden.

Dies kann auch als Absatz im Anamnesebogen mit aufgenommen werden.

 

Gerne helfe ich Ihnen bei der Erarbeitung solcher Themen in Ihrer Praxis.

 

 

Dürfen Patienten verlangen Ihre Daten zu löschen?

Die Praxis unterliegt bei medizinischen Daten einer Aufbewahrungspflicht, die kantonal abhängig ist. In der Regel liegt diese bei mindestens 10 Jahren.

Hier dürfen keine Daten gelöscht werden. Das ist dem Patienten verständlich zu vermitteln.

 

Was muss bezüglich des Personaldossiers beachtet werden?

Prinzipiell hat jede beschäftigte Person das Recht, Einblick in ihre/seine eigene Akte zu verlangen und die Korrektur von fehlerhaften Informationen zu fordern. Auch hier findet das Prinzip der Angemessenheit Anwendung: Es sollten lediglich Daten vorhanden sein, die unbedingt erforderlich sind, während alles andere regelmäßig überprüft und überflüssige Informationen aus der Personalakte entfernt werden sollten. Die Löschung von Daten nach Beendigung des Arbeitsverhältnisses kann ebenfalls verlangt werden (und sollte in der Regel automatisch erfolgen), ausser bei Dokumenten, die der Arbeitgeber zur Erfüllung der Zeugnispflicht benötigt oder für die Durchsetzung oder Abwehr von Ansprüchen gegenüber dem ehemaligen Arbeitnehmer noch relevant sind. In jedem Fall sollten sämtliche Unterlagen nach Ablauf von 10 Jahren gelöscht werden (Verjährungsfrist).

 

Braucht die Praxis einen Datenschutzbeauftragten?

Anders als in der EU, wird in der Schweiz keine Pflicht zum Ernennen eines Datenschutzbeauftragten verlangt.

Hier ist in der Regel der Bewilligungsinhaber / die Bewilligungsinhaberin verantwortlich für den Datenschutz.

 

Was muss ich in meinem QSS noch umsetzen?

Es ist wichtig, dass Sie alle Prozesse in der Praxis erfassen, bei denen personenbezogene Daten erfasst werden und sicher stellen, dass hier keine Gefährdungen oder Datenlecks auftauchen.

Das bedeutet eine gute Datensicherung, eine gute Firewall und andere technische Datenschutzmassnahmen. Hierbei sind auch Prozesse zu beachten, die nicht nur digital abgebildet werden.

Die Akte, die offen an der Rezeption ausliegt, oder Notizzettel mit heiklen Personendaten, Laborauftragszettel oder Namen auf ZE-Modellen, Zugang zu Aktenschränken oder die Einsicht von Bildschirmen für dritte Personen.

Erfassen Sie in Ihrem QSS eine Arbeitsanweisung (SOP) wie Sie mit Daten umgehen, unterweisen Sie Ihre Mitarbeiter nachvollziehbar 1x jährlich in dem Thema und erheben Sie eine Auflistung aller Ihrer Datenverarbeitungsverfahren.

Zusätzlich sind Sie verpflichtet sicherzustellen, dass Personen oder Firmen, die in Ihrem Auftrag arbeiten, sicher mit Ihren Patientendaten umgehen.

Hierbei sind Datenverarbeitungsverträge mit den externen Parteien wie externe Labore oder EDV-Firmen für Supportarbeiten zu vereinbaren.

 

Was muss ich tun wenn es zu einem Datenverlust kommt?

 

Im Falle eines Cyberangriffs ist es von größter Bedeutung, umgehend die erforderlichen Massnahmen zu ergreifen, um die Datensicherheit zu gewährleisten. Die spezifischen Massnahmen hängen von der Art des Angriffs ab. Es ist ratsam, sofort einen Fachexperten zu konsultieren und vorsichtshalber jegliche Netzwerkverbindung zu unterbrechen. Falls besonders schützenswerte Daten gestohlen, beschädigt oder veröffentlicht wurden, sollten Sie die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) benachrichtigen und online einen entsprechenden Bericht erstellen. Ebenso müssen alle betroffenen Personen informiert werden. Während das Schweizer Gesetz keine spezifische Zeitvorgabe für diese Benachrichtigungen vorgibt (so schnell wie möglich), beträgt die Frist in der Europäischen Union 72 Stunden.

Auch das sollten Sie in Ihrer SOP klar definieren und eine Anweisung dafür erstellen.

 

Was passiert wenn ich nichts in der Praxis umsetze?

Eine Missachtung des Datenschutzgesetzes kann die verantwortliche Person in der Arzt- und Zahnarztpraxis eine Busse bis zu 250.000 CHF kosten.

 

Kümmern Sie sich daher lieber zeitnah um alle Prozesse und notwenigen Dokumente.

Fazit und konkrete Handlung für Ihre Arzt- und Zahnarztpraxis

 

Am 01.09.2023 sind alle Anforderungen verpflichtend umzusetzen. Bei einer behördlichen Kontrolle einer meiner Zahnarztpraxen in der Schweiz wurde der Datenschutz bereits schon vor dem 1.09. teilweise mit geprüft und mit in die Auflagen zur Änderung aufgenommen.

 

Hier nochmals eine Übersicht der wichtigsten Umsetzungspunkte bis zum 01.09.2023:

 

  • Ist-Zustand erfassen, der jetzigen Praxisprozesse bezüglich Datenschutz (GAP-Analyse)
  • Erfassen von diversen SOP`s für die Umsetzung des Datenschutzes in der Praxis mit Risiken, Datenschutzzielen, Umsetzung der Datensicherung, Ablauf bei Datenverlust etc.
  • Aufklärungsformular zum Thema Datenschutz für die Patienten auch mit Unterschrift (ggf. mit in Anamnese aufnehmen)
  • Vertrag zur Datenverarbeitung bzw. Fernwartung mit externen Firmen schliessen
  • Unterweisung der Mitarbeiter in das Thema DSG schriftlich und nachvollziehbar
  • Auflistung aller Datenverarbeitungsverfahren in der Praxis

 

Sie möchten gerne Unterstützung bei der Bearbeitung des Themas oder suchen eine smarte Software die ihr gesamtes QM einfach und digital nach den Anforderungen der schweizer Behörden und der swissmedic abdeckt?

 

Dann kontaktieren Sie mich für ein erstes und unverbindliches Analysegespräch.


Sie möchten Ihre Praxisprozesse effektiv anpacken und das gesamte Team erfolgreich in die Abläufe der Praxis etablieren?

 

 

 

In meinem Praxis-Blueprint zeige ich Ihnen 5 essentielle Schritte, die für einen ganzheitlichen und erfolgreichen Prozessansatz sorgen.

 

 

 

Weil Qualität Vertrauen schafft und Vertrauen Sicherheit und Umsatz!

 

 

 

Jetzt Formular ausfüllen und für 0€ erhalten!