DSG: Das müssen Akteure des Gesundheitswesens wissen

27.10.2023 - Datenschutz & Security, Hintergrund

Das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Gewisse Neuerungen können in Arztpraxen oder Institutionen des Gesundheitswesens eine Anpassung oder Erweiterung der bisherigen Richtlinien und Datenbearbeitungsprozesse für Personendaten erfordern.Im ersten Blogbeitrag zum neuen Datenschutzgesetz hatten wir eine Übersicht wichtiger Änderungen gegeben und sind auf einige Neuerungen in puncto Datenbearbeitung eingegangen. In diesem Beitrag geht es nun um wichtige Punkte bezüglich Datenbearbeitung, -archivierung und -löschung.

Verzeichnis der Datenbearbeitungen

Mit Inkrafttreten des neuen Bundesgesetzes über den Datenschutz werden Verantwortliche unter bestimmten Voraussetzungen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Diese Pflicht trifft Unternehmen mit mehr als 250 Mitarbeitenden sowie Verantwortliche, welche eine umfangreiche Bearbeitung von besonders schützenswerten Personendaten vornehmen.Aufgrund der Sensitivität der Gesundheitsdaten wird Arztpraxen und anderen Institutionen des Gesundheitswesens empfohlen, ein solches Verzeichnis zu führen, auch als Basis für etwaige Datenauskünfte. Allerdings sind bei dessen Fehlen keine Bussen vorgesehen. Im Verzeichnis der Datenbearbeitungen aufgeführt sein sollten alle Bearbeitungstätigkeiten, bei welchen die Bearbeitung von besonders schützenswerten Personendaten im Fokus steht.Beispiele hierfür:

Führung und Verwaltung der Krankengeschichten
Verwaltung der Patientendaten zur Abrechnung der Sozialversicherungen
Laboranalysen
Verwaltung von Medikamenten- und Materialbestellungen
Mitarbeiterverwaltung

Die FMH bietet eine Vorlage für das Verzeichnis der Bearbeitungstätigkeiten, siehe «Vorlage Verzeichnis der Bearbeitungstätigkeiten» auf der Informationsseite der FMH.Nachfolgenden erklären wir die Spalten, welche mindestens geführt werden sollen:

Bearbeitungstätigkeit: spezifische Bearbeitungstätigkeit, in welcher Personendaten bearbeitet werden. Zusammenhängende oder ähnliche Bearbeitungstätigkeiten können zusammengefasst aufgeführt werden.
Zweck: Zweck, aufgrund dessen die Personendaten bearbeitet werden. Es können auch mehrere Zwecke aufgeführt werden (z.B. Ermittlung Laborwerte, Dokumentation der Behandlung).
Verantwortliche Person: Person, welche für die Bearbeitungstätigkeit und die bearbeiteten Daten verantwortlich ist. Gemeint ist die Person, welche darüber entscheidet, wie und womit die Daten bearbeitet werden (z. B. die Ärztin oder der Arzt). Sind für eine Bearbeitungstätigkeit (z. B. die Führung der Krankengeschichte in einer Gemeinschaftspraxis) mehrere Personen verantwortlich, so wird empfohlen den Namen der Arztpraxis sowie die Funktionen der Verantwortlichen aufzuführen (z. B. behandelnde Ärztin oder behandelnder Arzt).
Kategorien betroffener Personen: betroffenen Personen, über welche Daten bearbeitet werden. Gemeint sind typisierte Gruppen, die bestimmte gemeinsame Merkmale haben (z. B. Interessenten, Patientinnen und Patienten, Mitarbeitende, Dienstleistende).
Kategorien der Personendaten: die bearbeiteten Personendaten, in Kategorien zusammengefasst (nicht zu detailliert, z. B. Personalien, Stammdaten, Kontaktdaten, Lohndaten, Versicherungsdaten, Bankverbindungsdaten, Behandlungsdaten, Gesundheitsdaten).
Kategorie der Empfänger: Empfänger, welche im Rahmen einer Tätigkeit Einsicht in oder Zugang auf die Personendaten erhalten, in Kategorien zusammengefasst. Empfänger können Personen, Unternehmen, Behörden etc. sein. Aussagekräftige Bezeichnungen für Kategorien der Empfänger sind beispielsweise Krankenkassen, Invalidenversicherungen, Buchhaltung, Steuerverwaltung, Aufsichtsbehörden, Dienstleister.
Aufbewahrungsdauer / Aufbewahrungskriterium: Fristen für die Aufbewahrung der Daten (z. B. Anzahl Tage oder Jahre), sofern bekannt. Dabei sind insbesondere gesetzliche bzw. standesrechtliche Aufbewahrungspflichten zu berücksichtigen, siehe Kapitel «Datenarchivierung und Datenlöschung». Bestehen keine gesetzlich bzw. standesrechtlich festgelegten Aufbewahrungsfristen, sollte festgehalten werden, nach welchen Kriterien die Personendaten aufbewahrt werden (z. B. bis zur Erfüllung des Zwecks, bis Austritt der Mitarbeitenden).
Massnahmen zur Datensicherheit: technische und organisatorische Massnahmen, welche bereits umgesetzt werden, um die Daten vor Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit zu schützen (z. B. abgeschlossene Schränke bei physischen Krankengeschichten, verschlüsselter E-Mail-Verkehr, Zugriffsbeschränkung auf digitale Ablagen, Schulung der Mitarbeitenden etc.). Hier besteht auch die Möglichkeit, auf bestehende Sicherheitskonzepte zu verweisen.

Datenarchivierung

Die mit dem Datenschutzgesetz regulierten und in Gesundheitseinrichtungen zahlreich bearbeiteten Personendaten unterliegen unterschiedlichen gesetzlichen Anforderungen zur Archivierung und zur Vernichtung bzw. Löschung.Nachfolgend geben wir eine Übersicht darüber, welche Daten – unter anderem aufgrund des revidierten Datenschutzgesetztes – wie lange aufbewahrt werden müssen, sortiert nach Aufbewahrungsdauer. Die Umsetzung in Ihrer Praxis oder Institution können Sie im oben erklärten Verzeichnis der Datenbearbeitungen dokumentieren.Daten, die in der Praxis oder Institution bearbeitet werden:

Personaldossier, Zeiterfassung und Lohnwesen: 5 Jahre ab Austritt des Mitarbeitenden.
Rechnungen, Spesen und Steuerunterlagen: 10 Jahre ab Beendigung des Geschäftsjahres.
Krankengeschichte: aufgrund der Verjährungsfrist im Haftungsrecht 20 Jahre nach Abschluss der letzten Untersuchung oder Behandlung. Darüber hinaus darf sie nur mit der Zustimmung der betroffenen Person aufbewahrt bleiben.
Aufzeichnungen im Zusammenhang mit dem Umgang mit Blut oder Blutprodukten (z. B. bei Blutentnahme): 30 Jahre

Daten, welche bei Partnern bearbeitet werden:

Protokolle umfangreicher Datenbearbeitungen (Event Logs) besonders schützenswerter Personendaten: mindestens 1 Jahr, getrennt vom System, in welchem die Personendaten bearbeitet werden. Dies betrifft primär Ihre IT Service Provider, welche für die Speicherung Ihrer elektronischen Daten verantwortlich sind.
EPD-Protokolle: 10 Jahre. Dies betrifft primär Ihre Stammgemeinschaft.
Elektronische Patientendossiers (EPD): Diese müssen bei entfallenem Zweck, nach Aufforderung der betroffenen Person (dem Patienten) oder spätestens nach 20 Jahren gelöscht werden. Dies betrifft primär Ihre Stammgemeinschaft.

Begriffsdefinitionen: Vernichtung, Löschung, Archivierung, Backup Archivierung bedeutet, dass Daten in eine sichere und unveränderbare physische Lagerung oder digitale Speicherung überführt werden, um über einen definierten Zeitraum Nachweise erbringen zu können. Im Gegensatz dazu dient ein Backup zur unmittelbaren Wiederherstellung der operativen Daten nach einem Datenverlust. Werden Daten unwiderruflich vernichtet, wird bei physischen Daten (wie beispielsweise Patientendossiers auf Papier) von einer Vernichtung gesprochen, bei elektronischen Daten hingegen von einer Löschung.

Die Vernichtung oder Löschung der Daten erfolgt in diesem Fall in der Regel durch Ihre Partner. Sollten Sie unsicher sein, fragen Sie bei diesen nach.Weitere Details finden sie im «Leitfaden für die Aufbewahrung und Archivierung» der FMH auf der Informationsseite der FMH.

Das Wichtigste in Kürze

Transparente Datenbearbeitung: Patientinnen und Patienten müssen transparent informiert werden über die Bearbeitung ihrer Daten. Eine Vorlage finden Sie auf der Informationsseite der FMH, siehe «Datenschutzerklärung».
Einwilligungspflicht bei Datenweitergabe: Patientinnen und Patienten müssen in die Weitergabe ihrer Daten an Dritte explizit einwilligen (nicht aber zwingend schriftlich). Eine Vorlage für eine Einverständniserklärung, finden Sie auf der Informationsseite der FMH (siehe «Einwilligungserklärung / Patientenformular»).
Datensparsamkeit: Speichern und bearbeiten Sie Daten nur, wenn dies wirklich nötig ist und geben Sie nur Daten an Dritte weiter, wenn diese sie nachweislich zwingend benötigen.
Verzeichnis Ihrer Datenbearbeitungen: Führen Sie das oben erklärte Verzeichnis und halten Sie es aktuell. Sie werden keine Busse erhalten, wenn sie es nicht tun. Doch das Verzeichnis ist auch für Sie hilfreich, um die Übersicht über Ihre Datenbearbeitungen zu behalten.
Datenschutz und Datensicherheit: Schützen Sie Patientendaten im Arbeitsalltag sorgfältig. Lassen Sie z.B. physische Dossiers niemals offen herumliegen und investieren Sie in eine sichere IT-Infrastruktur. Schützen Sie Computer und Notebooks, auf denen digitale Personendaten gespeichert sind, mit einem sicheren Passwort. E-Mails, die Patientendaten enthalten, müssen verschlüsselt übermittelt werden. Siehe auch IT-Grundschutz der FMH.
Technische und organisatorische Massnahmen: Definieren Sie konkrete Vorgaben zur Umsetzung der technischen und organisatorischen Massnahmen in Bezug auf Datenschutz und Datensicherheit in Ihrer Praxis. Setzen Sie diese sorgfältig um, prüfen Sie ihre Aktualität und Einhaltung immer wieder und passen Sie sie wenn nötig an. Die Verantwortung über die Datenbearbeitung bedeutet neu ein ständiger Prozess.

Mehr Informationen

Eine Übersicht über die wichtigsten Neuerungen aufgrund des nDSG sowie erste Tipps zur Datenbearbeitung finden Sie im HIN Blogbeitrag Teil 1
Alle Hilfsmittel und Musterdokumente für Arztpraxen und Institutionen des Gesundheitswesens finden Sie auf der Informationsseite der FMH

Über den Autor: Clemens Hüppe

Clemens Hüppe ist als Head of Compliance and Risk verantwortlich für die Vorgabedokumente und die Auditierung der Einhaltung der gesetzlichen und normativen Vorgaben sowie für das Management der Risiken für Datenschutz und Informationssicherheit. Er berichtet direkt an die Geschäftsleitung. Er ist massgeblich involviert bei der erhaltenen Zertifizierung der AD Swiss EPD Gemeinschaft gemäss EPDV-EDI Anhang 2 und bei den bestehenden Zertifizierungen der Health Info Net AG gemäss EPDV-EDI Anhang 8 sowie gemäss ISO/IEC 27001. Clemens Hüppe bringt über 25 Jahre Erfahrung in den Bereichen IT Security Engineering, Information Security Management und Certification bei Schweizerischen und internationalen Unternehmen in unterschiedlichen Branchen mit. Zum Entspannen geht Clemens gerne Wandern, Schwimmen, Velo fahren oder Langlaufen.

Clemens Hüppe, Head of Compliance and Risk

Quellenverzeichnis nDSG: https://www.fedlex.admin.ch/eli/cc/2022/491/de DSV: https://www.fedlex.admin.ch/eli/cc/2022/568/de FMH: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm

< Letzter Artikel

Nächster Artikel >

27.03.2024 - Datenschutz & Security Alessandro Vitale

Woher Spam-Mails kommen und wie Sie diese lästigen E-Mails bekämpfen

Ursprünglich hatte das Wort Spam nichts mit E-Mail zu tun. Heute ist der Begriff bestens bekannt als unaufgefordert versendete E-Mails, die meist zu Werbezwecken verschickt w

5.03.2024 - Datenschutz & Security, Hintergrund Philipp Senn

Gesundheitswesen und Cybersicherheit – im Interview mit Pascal Lamia, Leiter Operative Cybersicherheit beim BACS

In den letzten Jahren hat die Digitalisierung des Gesundheitswesens zwar viele positive Veränderungen wie die Vereinfachung administrativer Prozesse ermöglicht, gleichzeitig jedo

11.01.2024 - Datenschutz & Security, Hintergrund Philipp Senn

Cloudlösungen: Freund oder Feind?

Dieser Beitrag ist am 10. Januar 2024 in der Schweizerischen Ärztezeitung erschienen.Cloud-Speicherlösungen können Aufwand und Kosten für die IT verringern. Doch wie schneiden

Neues Datenschutzgesetz: Das müssen Akteure des Gesundheitswesens wissen (Teil 2)

Verzeichnis der Datenbearbeitungen

Datenarchivierung

Das Wichtigste in Kürze

Mehr Informationen

Über den Autor: Clemens Hüppe