Um den Datenschutz in Arztpraxen und Institutionen des Gesundheitswesens sorgfältig umzusetzen, ist ein stetes Bewusstsein im Arbeitsalltag nötig. Der Bundesrat empfiehlt betriebliche Schulungen, um Datenschutzverletzungen zu vermeiden – auch im Hinblick auf das neue Datenschutzgesetz (nDSG).
Dieser Beitrag wurde am 18. Oktober 2021 auf medinside.ch publiziert.
Der Datenschutz ist im Gesundheitswesen ein nicht zu vernachlässigendes Thema. Das neue Datenschutzgesetz (nDSG) ist ein guter Anlass, sich einmal mehr mit seiner Umsetzung in der eigenen Praxis zu befassen.
Gesetzliche Grundlagen für Gesundheitsfachpersonen
Gesundheitsfachpersonen unterliegen dem Berufsgeheimnis. Sie sind verpflichtet, Informationen geheimzuhalten, die ihnen im Rahmen ihrer beruflichen Tätigkeit anvertraut werden. Gemäss Strafgesetzbuch gelten Gesundheitsdaten als besonders schützenswert, weshalb der Umgang damit entsprechend verantwortungsbewusst zu geschehen hat. Es müssen angemessene technische und organisatorische Massnahmen getroffen werden, damit die Personendaten gegen unbefugtes Einsehen und Bearbeiten geschützt sind. Diese gesetzlichen Grundlagen ändern sich durch das nDSG nicht.
Das neue Datenschutzgesetz (nDSG)
Das nDSG wird voraussichtlich 2022 in Kraft treten. Es regelt die Bearbeitung von Personendaten natürlicher Personen durch private Personen und Bundesorgane. Das neue Gesetz gleicht das Datenschutzniveau der Schweiz an dasjenige der EU an (Stichwort «DSGVO»), schafft mehr Transparenz bei der Bearbeitung von Personendaten und baut die Rechte betroffener Personen aus.
Kurz erklärt: Ausgewählte Änderungen
Einige der Neuerungen des nDSG erläutern wir im Folgenden kurz. Es handelt sich nicht um eine vollständige Aufzählung, sondern lediglich um ausgewählte Punkte.
- Definition von Personendaten: Wurden bis anhin auch die Daten von juristischen Personen durch das DSG geschützt, gelten neu nur noch Daten von natürlichen Personen als Personendaten. Zu den besonders schützenswerten Personendaten zählen gemäss nDSG neu auch Daten zur ethnischen Herkunft sowie genetische und biometrische Daten wie beispielsweise Gesichtsbilder und Stimmaufnahmen.
- Privacy by design: Das Prinzip des Datenschutzes durch Technik verlangt, dass technische Hilfsmittel (insbesondere IT-Applikationen) so ausgestaltet werden, dass sie den datenschutzrechtlichen Grundsätzen nach Art. 6 nDSG entsprechen. So kann beispielsweise durch Softwareprogrammierung dafür gesorgt werden, dass Daten in regelmässigen Abständen gelöscht oder standardmässig anonymisiert werden.
- Privacy by default: Wird bei technischen Lösungen mit Voreinstellungen zum Datenschutz gearbeitet, müssen diese standardmässig die datenschutzfreundlichste Einstellung aufweisen. Dies gilt nur, wenn der Nutzer die Systemeinstellungen selbst beeinflussen kann.
- Datensicherheit: Nach dem Prinzip der Datensicherheit muss durch technische und organisatorische Massnahmen ein dem Risiko angemessener Schutz vor unbefugter Bearbeitung gewährleistet werden (vgl. Art. 8 nDSG). Es sind im Rahmen der Datensicherheit insbesondere die Vertraulichkeit, Verfügbarkeit und Integrität der bearbeiteten Personendaten sicherzustellen.
Datenschutz im Alltag leben
Im Arbeitsalltag von Gesundheitsfachpersonen gibt es viele Herausforderungen in Bezug auf den Datenschutz: ein ungesperrter Bildschirm, ein auf dem Empfangstresen liegendes Behandlungsdossier, eine unverschlüsselte E-Mail mit Patientendaten… Datenschutzverletzungen geschehen in den seltensten Fällen aus Böswilligkeit, dafür liegen die Patientinnen und Patienten den Gesundheitsfachpersonen zu fest am Herzen. Es ist meist Unachtsamkeit, die zu dazu führt. Der Schlüssel liegt somit im ständigen Bewusstsein: Nur wer sich der Relevanz des Datenschutzes im Arbeitsalltag jederzeit bewusst ist, kann sich entsprechend verhalten.
Im Arbeitsalltag von Gesundheitsfachpersonen gibt es einige Stolpersteine in Bezug auf den Datenschutz.Schulungen stärken das Bewusstsein
Eine Möglichkeit, das eigene Bewusstsein für die Relevanz des Datenschutzes zu stärken, sind Schulungen. Diese können Gesundheitsfachpersonen die Herausforderungen im Arbeitsalltag vor Augen führen und mögliche Konsequenzen von Unachtsamkeit aufzeigen.Auch der Bundesrat hält Schulungen für wichtig: Am 23. Juni 2021 hat das Bundesamt für Justiz (BJ) einen erläuternden Bericht zum nDSG veröffentlicht, in dem ausdrücklich die Relevanz von Schulungen und Beratungen erwähnt wird. Denn aus Sicht des Bundesrates hängen die Umsetzung und Wirksamkeit der Datensicherheit insbesondere auch davon ab, ob die involvierten Personen vorgesehene Massnahmen in Bezug auf IT-Sicherheit und Datenschutz korrekt anwenden. So könnten fehlende Schulungen und Beratung zu Datensicherheitsverletzungen führen, beispielsweise wenn eine Mitarbeiterin oder ein Mitarbeiter eine E-Mail mit Malware öffne.
Gesamten Bericht herunterladen
Sensibilisieren Sie sich und Ihre Mitarbeitenden
In puncto Datenschutz kann wenig schon viel bewirken. Denn oft braucht es weder viel Zeit noch viel Aufwand, um dem Datenschutz im Arbeitsalltag Rechnung zu tragen. Viel wichtiger ist, dass Sie sich seiner Relevanz jederzeit bewusst sind – und sich entsprechend verhalten. Stärken Sie jetzt Ihr Bewusstsein für den Datenschutz, informieren Sie sich über Stolpersteine, denken Sie im Alltag einmal mehr an die Sensibilität von Gesundheitsdaten!
Die HIN Academy sensibilisiert
Die HIN Academy der Health Info Net AG (HIN) sensibilisiert Akteure des Gesundheitswesens für den Datenschutz und die Gefahren durch Cyberkriminalität. Das neue Modul Datenschutz legt den Fokus vollumfänglich auf das Thema Datenschutz. Sowohl individuell konfigurierbare Schulungen für Institutionen als auch die Teilnahme als Einzelperson sind möglich.
Jona Karg
Spezialist für Informationssicherheit und Security Awareness und Leiter Schulungswesen bei HIN.