01.05.2014, 20:58
Hallo Thomas,
natürlich handelt sich bei dem Thema nicht um Neuland oder gar um ein juristisch ungeklärtes Thema. Jedenfalls gilt das für Juristen.
Und ja, größere Arztpraxen bemühen Experten (hoffentlich) und zahlen viel Geld für Software und Infrastruktur. Bei dem Heilpraktiker, der alleine eine Praxis hat, der die gleichen besonders zu schützenden Personendaten digital verarbeiten will, stehen unter Umständen nicht die gleichen Ressourcen zur Verfügung.
Das Thema Aktenschrank - um bei meiner Bildhaften Analogie zu bleiben - ist insofern hoch aktuell, denn viele Therapeuten nutzen heute moderne Informationstechnologie, ohne sich darüber Gedanken zu machen, wo diese Daten überall landen. Dummerweise schützt Unwissenheit nicht, und wie du richtig zitiert hast, die Pflichten liegen auf der Seite des Therapeuten.
Neu meiner Meinung nach ist definitiv die Allgegenwärtigkeit des Internets und die Nutzung von Leistungen bzw. Dienste die kostenlos angeboten werden. Viele tragen mehrere Rechner mit sich - Smartphones, Tabletts - und sind es inzwischen gewohnt, die eigenen Daten auf alle Geräte synchronisiert zu sehen.
Ein kleines Beispiel: Patientendaten im Terminplan. Das iPhone kann Kalenderabos direkt laden, ohne das die Daten einen Umweg über die USA nehmen, Android Geräte hingegen benötigen zusätzliche Programme dafür. Viel einfacher ist es aber, Termine in einem Google Kalender oder ein Apple-iCloud-Kalender zu speichern. Kostet nichts und funktioniert wunderbar. Aber Moment, jetzt werden die Daten auf Servern gespeichert, die ausserhalb der EU liegen.
Weiteres Beispiel: die erwähnte Dropbox löscht zum Beispiel nicht, die Daten können wiederhergestellt werden. Auf der Webseite gibt es dann die Möglichkeit, die gelöschten Dateien anzuzeigen, um diese dann definitiv zu löschen. So oder so sind die Daten mit hoher Wahrscheinlichkeit einmal ausserhalb der EU gelandet.
Nicht selten wird ein selbständiger Therapeut - der auf die Hilfe von Verwandten und Freunden angewiesen ist - sich mit den konkreten technisch organisatorischen Massnahmen nicht auseinandersetzen können. Eventuell aus Bequemlichkeit, eventuell aus der Not heraus, eventuell interessiert es einen einfach nicht. Oder alles zusammen.
Selbst die Lektüre der äussert Wertvollen Informationen hinter deinem Link wird einen Therapeut nur dann weiterhelfen, wenn ein Verständnis dafür vorhanden ist, was wo und wie gespeichert wird. Ich weiss wie lange ich mich mit dem Thema beschäftige (ich bin in der IT Branche und die technischen Hintergründe interessieren mich), wie sieht es aber mit einem Heilpraktiker aus?
Das Thema "Software as a Service" (kurz SaaS) wird leider dort (und auf anderen interessanten Seiten) nicht angesprochen.
Zu diesem Thema wird dann folgende Transferleistung gefordert:
- das System muss mandantenfähig sein
- laut BDSG dürfen die besonders zu schützenden Personendaten nicht die EU verlassen (da muss man dann die Links auf die BDSG verfolgen)
- eine Auftragsdatenverarbeitung (ADV) muss abgeschlossen werden
- die technisch organisatorischen Massnahmen in Bezug auf Datensicherheit und Datenschutz müssen dokumentiert werden
- die Patientendaten dürfen nicht den Besitzer wechseln (hiermit ist die Weitergabe an Dritte, z.Bsp. für die Abrechnung), sonst ist eine Zustimmung des Patienten notwendig
Alleine die ADV hat es in sich: eigentlich ist es Aufgabe des Therapeuten, eine ADV mit dem Dienstleister abzuschließen (schließlich geht es ja um die Patientendaten des Therapeuten, und um dessen Schweigepflicht), aber welcher Therapeut kann das schon? Dienstleister sehen sich hier auch selten in der Pflicht - so eine ADV ist aufwendig.
Ja! der Therapeut ist für die Beurteilung der Zulässigkeit von Zugriffen auf personenbezogene Daten sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich. Jetzt muss man nur noch verstehen, was das bedeutet.
Gruss aus Karlsruhe,
Papick G. Taboada
natürlich handelt sich bei dem Thema nicht um Neuland oder gar um ein juristisch ungeklärtes Thema. Jedenfalls gilt das für Juristen.
Und ja, größere Arztpraxen bemühen Experten (hoffentlich) und zahlen viel Geld für Software und Infrastruktur. Bei dem Heilpraktiker, der alleine eine Praxis hat, der die gleichen besonders zu schützenden Personendaten digital verarbeiten will, stehen unter Umständen nicht die gleichen Ressourcen zur Verfügung.
Das Thema Aktenschrank - um bei meiner Bildhaften Analogie zu bleiben - ist insofern hoch aktuell, denn viele Therapeuten nutzen heute moderne Informationstechnologie, ohne sich darüber Gedanken zu machen, wo diese Daten überall landen. Dummerweise schützt Unwissenheit nicht, und wie du richtig zitiert hast, die Pflichten liegen auf der Seite des Therapeuten.
Neu meiner Meinung nach ist definitiv die Allgegenwärtigkeit des Internets und die Nutzung von Leistungen bzw. Dienste die kostenlos angeboten werden. Viele tragen mehrere Rechner mit sich - Smartphones, Tabletts - und sind es inzwischen gewohnt, die eigenen Daten auf alle Geräte synchronisiert zu sehen.
Ein kleines Beispiel: Patientendaten im Terminplan. Das iPhone kann Kalenderabos direkt laden, ohne das die Daten einen Umweg über die USA nehmen, Android Geräte hingegen benötigen zusätzliche Programme dafür. Viel einfacher ist es aber, Termine in einem Google Kalender oder ein Apple-iCloud-Kalender zu speichern. Kostet nichts und funktioniert wunderbar. Aber Moment, jetzt werden die Daten auf Servern gespeichert, die ausserhalb der EU liegen.
Weiteres Beispiel: die erwähnte Dropbox löscht zum Beispiel nicht, die Daten können wiederhergestellt werden. Auf der Webseite gibt es dann die Möglichkeit, die gelöschten Dateien anzuzeigen, um diese dann definitiv zu löschen. So oder so sind die Daten mit hoher Wahrscheinlichkeit einmal ausserhalb der EU gelandet.
Nicht selten wird ein selbständiger Therapeut - der auf die Hilfe von Verwandten und Freunden angewiesen ist - sich mit den konkreten technisch organisatorischen Massnahmen nicht auseinandersetzen können. Eventuell aus Bequemlichkeit, eventuell aus der Not heraus, eventuell interessiert es einen einfach nicht. Oder alles zusammen.
Selbst die Lektüre der äussert Wertvollen Informationen hinter deinem Link wird einen Therapeut nur dann weiterhelfen, wenn ein Verständnis dafür vorhanden ist, was wo und wie gespeichert wird. Ich weiss wie lange ich mich mit dem Thema beschäftige (ich bin in der IT Branche und die technischen Hintergründe interessieren mich), wie sieht es aber mit einem Heilpraktiker aus?
Das Thema "Software as a Service" (kurz SaaS) wird leider dort (und auf anderen interessanten Seiten) nicht angesprochen.
Zu diesem Thema wird dann folgende Transferleistung gefordert:
- das System muss mandantenfähig sein
- laut BDSG dürfen die besonders zu schützenden Personendaten nicht die EU verlassen (da muss man dann die Links auf die BDSG verfolgen)
- eine Auftragsdatenverarbeitung (ADV) muss abgeschlossen werden
- die technisch organisatorischen Massnahmen in Bezug auf Datensicherheit und Datenschutz müssen dokumentiert werden
- die Patientendaten dürfen nicht den Besitzer wechseln (hiermit ist die Weitergabe an Dritte, z.Bsp. für die Abrechnung), sonst ist eine Zustimmung des Patienten notwendig
Alleine die ADV hat es in sich: eigentlich ist es Aufgabe des Therapeuten, eine ADV mit dem Dienstleister abzuschließen (schließlich geht es ja um die Patientendaten des Therapeuten, und um dessen Schweigepflicht), aber welcher Therapeut kann das schon? Dienstleister sehen sich hier auch selten in der Pflicht - so eine ADV ist aufwendig.
Ja! der Therapeut ist für die Beurteilung der Zulässigkeit von Zugriffen auf personenbezogene Daten sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich. Jetzt muss man nur noch verstehen, was das bedeutet.
Gruss aus Karlsruhe,
Papick G. Taboada