Datenschutzgesetz (DSG) in der schweizer Arzt- und Zahnarztpraxis – Das müssen Sie ab dem 01.09.2023 unbedingt beachten!

Das Datenschutzgesetz in der Schweiz (DSG) betrifft die Informationen von natürlichen Personen. Es gibt eine Unterscheidung zwischen regulären personenbezogenen Informationen und besonders sensiblen personenbezogenen Informationen.

Die umfassende medizinische Krankengeschichte fällt unter die Kategorie der besonders sensiblen Informationen und unterliegt strengsten Schutzmaßnahmen.

Die Daten der Angestellten (wie Namen, E-Mail-Adressen, HR-Dokumente, Berufszertifikate und Arbeitszeugnisse) werden als "grundlegende" personenbezogene Informationen betrachtet.

Es gibt verschärfte rechtliche Anforderungen zur Gewährleistung der Sicherheit von persönlichen Informationen. Einzelpersonen wie Patienten oder Mitarbeiter, erhalten eine erhöhte Befugnis über ihre individuellen Daten:

• Sie müssen informiert werden, falls Informationen über sie erfasst werden
• Sie haben das Recht, die Herausgabe, Berichtigung oder Löschung dieser Daten zu verlangen

Allerdings gelten nicht alle Aspekte für medizinische Informationen gleichermaßen. Daten, die bezüglich der Krankenakte erfasst werden und einer Aufbewahrungsfrist unterliegen, dürfen nicht gelöscht werden.

Grundsätzlich werden ausschließlich Kopien (sowohl in elektronischer als auch in analoger Form) der ausdrücklich angeforderten Informationen an die Person übergeben. Die originalen Daten verbleiben in der Praxis, da die Aufbewahrungspflicht bei der Praxis liegt. Diese Aushändigung muss innerhalb eines Zeitraums von maximal 30 Tagen erfolgen, es sei denn, es existieren überzeugende Gründe, die eine Einsichtnahme verhindern (in diesem Fall muss die Begründung innerhalb von 30 Tagen vorgelegt werden).

Das Aushändigen der Kopien ist kostenfrei. Nur wenn der Aufwand unverhältnismässig gross ist, und nur bis maximal CHF 300.- dürfen berechnet werden. Das ist aber kritisch zu beurteilen. Stellen Sie daher sicher, dass Sie die Kopien schnell und einfach zur Verfügung stellen können.

Bitte immer beachten, dass Daten bei elektronischer Übermittlung nur verschlüsselt übergeben werden dürfen.

Dies ist auch beim Versand von Röntgenbildern zu beachten. Die Nutzung von Faxgeräten sollte ebenfalls überdacht werden, da Daten nicht verschlüsselt und gezielt versand werden können.

 Im medizinischen Bereich besteht keine explizite Notwendigkeit, Patienten darauf hinzuweisen, dass relevante Gesundheitsdaten erfasst werden, da es allgemein angenommen wird, dass Patienten sich dessen bewusst sind, wenn sie medizinische Fachkräfte konsultieren. Nichtsdestotrotz ist das Prinzip der Angemessenheit von Bedeutung. Es sollten lediglich Informationen erfasst werden, die im Zusammenhang mit der aktuellen medizinischen Behandlung stehen. Sollte ein Patient beispielsweise Angaben auf einem Anamnesebogen verweigern, die keinen Bezug zur Behandlung haben, steht ihm dieses Recht zu. Klären Sie Ihre Patienten auf, wofür Sie die Daten benötigen. Gerade Grunderkrankungen können sich negativ auf die Behandlungen und die Mundgesundheit auslegen. Hier ist eine gute Aufklärung für die Patienten Gold wert.

Sie sollten in Ihrem QSS ein Standarddokument einpflegen, welches den Patienten als Aufklärung über die Erhebung der Daten dient.

Ein Dokument zur Einwilligung der Datenerhebung sollte ebenfalls erfasst und von den Patienten in regelmässigen Abständen unterschrieben werden.

Dies kann auch als Absatz im Anamnesebogen mit aufgenommen werden.

Gerne helfe ich Ihnen bei der Erarbeitung solcher Themen in Ihrer Praxis.

Die Praxis unterliegt bei medizinischen Daten einer Aufbewahrungspflicht, die kantonal abhängig ist. In der Regel liegt diese bei mindestens 10 Jahren.

Hier dürfen keine Daten gelöscht werden. Das ist dem Patienten verständlich zu vermitteln.

Anders als in der EU, wird in der Schweiz keine Pflicht zum Ernennen eines Datenschutzbeauftragten verlangt.

Hier ist in der Regel der Bewilligungsinhaber / die Bewilligungsinhaberin verantwortlich für den Datenschutz.

Es ist wichtig, dass Sie alle Prozesse in der Praxis erfassen, bei denen personenbezogene Daten erfasst werden und sicher stellen, dass hier keine Gefährdungen oder Datenlecks auftauchen.

Das bedeutet eine gute Datensicherung, eine gute Firewall und andere technische Datenschutzmassnahmen. Hierbei sind auch Prozesse zu beachten, die nicht nur digital abgebildet werden.

Die Akte, die offen an der Rezeption ausliegt, oder Notizzettel mit heiklen Personendaten, Laborauftragszettel oder Namen auf ZE-Modellen, Zugang zu Aktenschränken oder die Einsicht von Bildschirmen für dritte Personen.

Erfassen Sie in Ihrem QSS eine Arbeitsanweisung (SOP) wie Sie mit Daten umgehen, unterweisen Sie Ihre Mitarbeiter nachvollziehbar 1x jährlich in dem Thema und erheben Sie eine Auflistung aller Ihrer Datenverarbeitungsverfahren.

Zusätzlich sind Sie verpflichtet sicherzustellen, dass Personen oder Firmen, die in Ihrem Auftrag arbeiten, sicher mit Ihren Patientendaten umgehen.

Hierbei sind Datenverarbeitungsverträge mit den externen Parteien wie externe Labore oder EDV-Firmen für Supportarbeiten zu vereinbaren.

Im Falle eines Cyberangriffs ist es von größter Bedeutung, umgehend die erforderlichen Massnahmen zu ergreifen, um die Datensicherheit zu gewährleisten. Die spezifischen Massnahmen hängen von der Art des Angriffs ab. Es ist ratsam, sofort einen Fachexperten zu konsultieren und vorsichtshalber jegliche Netzwerkverbindung zu unterbrechen. Falls besonders schützenswerte Daten gestohlen, beschädigt oder veröffentlicht wurden, sollten Sie die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) benachrichtigen und online einen entsprechenden Bericht erstellen. Ebenso müssen alle betroffenen Personen informiert werden. Während das Schweizer Gesetz keine spezifische Zeitvorgabe für diese Benachrichtigungen vorgibt (so schnell wie möglich), beträgt die Frist in der Europäischen Union 72 Stunden.

Auch das sollten Sie in Ihrer SOP klar definieren und eine Anweisung dafür erstellen.

Eine Missachtung des Datenschutzgesetzes kann die verantwortliche Person in der Arzt- und Zahnarztpraxis eine Busse bis zu 250.000 CHF kosten.

Kümmern Sie sich daher lieber zeitnah um alle Prozesse und notwenigen Dokumente.

Am 01.09.2023 sind alle Anforderungen verpflichtend umzusetzen. Bei einer behördlichen Kontrolle einer meiner Zahnarztpraxen in der Schweiz wurde der Datenschutz bereits schon vor dem 1.09. teilweise mit geprüft und mit in die Auflagen zur Änderung aufgenommen.

Hier nochmals eine Übersicht der wichtigsten Umsetzungspunkte bis zum 01.09.2023:

• Ist-Zustand erfassen, der jetzigen Praxisprozesse bezüglich Datenschutz (GAP-Analyse)
• Erfassen von diversen SOP`s für die Umsetzung des Datenschutzes in der Praxis mit Risiken, Datenschutzzielen, Umsetzung der Datensicherung, Ablauf bei Datenverlust etc.
• Aufklärungsformular zum Thema Datenschutz für die Patienten auch mit Unterschrift (ggf. mit in Anamnese aufnehmen)
• Vertrag zur Datenverarbeitung bzw. Fernwartung mit externen Firmen schliessen
• Unterweisung der Mitarbeiter in das Thema DSG schriftlich und nachvollziehbar
• Auflistung aller Datenverarbeitungsverfahren in der Praxis

Sie möchten gerne Unterstützung bei der Bearbeitung des Themas oder suchen eine smarte Software die ihr gesamtes QM einfach und digital nach den Anforderungen der schweizer Behörden und der swissmedic abdeckt?

Dann kontaktieren Sie mich für ein erstes und unverbindliches Analysegespräch.