Gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) muss jeder Verantwortliche (also auch Arztpraxen als Verarbeiter sensibler Gesundheitsdaten) einen Datenschutzvorfall der zuständigen Datenschutzaufsichtsbehörde melden, wenn er voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die Meldefrist beträgt 72 Stunden nach Bekanntwerden des Vorfalls.
Bedeutung für Ärzte
Für Arztpraxen sind Datenschutzvorfälle besonders heikel, da Gesundheitsdaten zu den besonders sensiblen Datenkategorien zählen. Typische Vorfälle sind: versehentlicher Versand von Patientendaten an falsche Empfänger, Hackerangriffe mit Datenzugriff, Verlust von Geräten mit unverschlüsselten Patientendaten oder unberechtigter Zugriff durch Mitarbeiter.
Praxishinweise
Jede Arztpraxis sollte einen internen Meldeprozess für Datenschutzvorfälle etablieren: Wer wird intern informiert? Wer meldet an die Aufsichtsbehörde? Was ist zu dokumentieren? Ein Datenschutzbeauftragter (bei bestimmten Praxisgrößen Pflicht) unterstützt. Ärzteversichert empfiehlt eine Cyberversicherung, die auch Datenschutzvorfälle abdeckt.
Quellen:
- Bundesbeauftragter für Datenschutz: Meldepflicht
- KBV: Datenschutz in der Arztpraxis
- Bundesärztekammer: Datenschutz
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →