Neues von der DSGVO

Im Rahmen des 12. Praktikerzirkels des Statis e.V. stellten sich Datenschutzbeauftragte aus verschiedenen Bundesländern den Fragen von Klinik-MVZ.

Es wurde deutlich, dass bspw. die aktive Verwaltung von Zugriffsrechten in der EDV für Ärzte und Assistenzpersonal unverzichtbar ist und eingefordert wird. Die Berechtigungen, auf Patientendaten zuzugreifen, muss auf das notwendige beschränkt werden. In der Verantwortung stünden eindeutig die Betreiber (also die Klinik-MVZ), nicht die EDV-Hersteller. Entsprechende Berechtigungs-Manager müssen daher (sofern noch nicht vorhanden) hinzuerworben werden.

Auf Interesse stieß die Höhe von bereits verhängten Bußgeldern. So wurde ein Klinik-MVZ für das Überschreiten der 72-Stunden-Meldefrist für einen Datenschutzvorfall nach Art. 33 DSGVO mit einem Bußgeld von € 6.000 belegt.

Kontrovers diskutiert wurde die Pflicht zur Einholung von Einverständniserklärungen zur Dateneinsicht für jeden MVZ-Arzt einzeln. Bei MVZ mit bspw. 20 Ärzten müssten die Patienten 20 Unterschriften auf 20 Formularen leisten. Als mögliche Alternative könnte eine generelle Einverständniserklärung für alle MVZ-Ärzte in Frage kommen, der der Patienten für einzelne MVZ-Ärzte, denen er keine Dateneinsicht gewähren möchte, widersprechen kann.

Lehnt ein Privatpatient die Honorar-Abrechnung über eine externe Verrechnungsstelle ab, darf dieser Patient nicht abgewiesen werden. Das Klinik-MVZ muss für solche Fälle die Fähigkeit zur Eigenabrechnung nach GOÄ vorhalten.