Umgang mit Patientendaten beim elektronischen Datenaustausch

Im Zuge des Elektronischen Datenaustausches werden zwischen gewerblichem zahntechnischem Labor und Zahnarztpraxis patientenbezogene Daten ausgetauscht. Die Datenübermittlung muss daher grundsätzlich so erfolgen, dass die datenschutzrechtlichen Vorschriften eingehalten werden.


Beachten Sie, dass sowohl Ihr Labor als auch die Praxis Ihres Kunden für die Umsetzung dieser Vorschriften haften. Verlassen Sie sich nicht darauf, dass die Verwendung aller von Ihrer Laborsoftware und von der Praxisverwaltung Ihres Kunden angebotenen Funktionen datenschutzrechtlich unbedenklich ist. Das ist häufig nicht der Fall, und die Hersteller der Software können dafür auch nicht in Haftung genommen werden.

Nach dem geltenden Datenschutzrecht ist insbesondere zu beachten:
Es gilt das Prinzip der Datenknappheit. Versenden Sie keine Daten, die nicht unmittelbar für die Abrechnung des konkreten Behandlungsfalls benötigt werden.

Der zwischen VDZI, KZBV und VDDS als zulässig vereinbarte Inhalt der XML-Datei für den Datenaustausch lässt keine direkten Rückschlüsse auf den konkreten Patienten zu. Vielmehr sind die Angaben pseudonymisiert; anstelle des Patientennamens wird seine in der Praxissoftware intern verwendete Chiffrenummer übertragen.

Schützen Sie den Übertragungsweg der Daten, stellen Sie Übertragungssicherheit her. Je nach Ihrer konkreten Vorgehensweise kann das bedeuten, dass Sie

  • bei der persönlichen Übergabe von XML-Daten per Boten Ihre Datenträger ausschließlich an die autorisierten Mitarbeiter der Praxis aushändigen. Lassen Sie sich diese Mitarbeiter verbindlich benennen, dokumentieren Sie ggf. den Empfang der Datenträger.

  • beim Versand der Daten per Email ausschließlich auf Dienste zurückgreifen, die Mails verschlüsselt übertragen. Sie erkennen solche Dienste daran, dass Sie in Ihren Maileinstellungen Verfahren wie SSL oder STARTTLS einstellen müssen. Bei den großen Maildienstleistern ist dieses Verfahren Standard. Nutzen Sie für den Mailversand grundsätzlich spezielle Mailprogramme oder die Mailkomponente Ihrer Laborsoftware. Greifen Sie für den Datenaustausch nicht über einen browserbasierten Internetzugang auf Ihr Mailkonto zu.

  • bei der Übertragung der Daten über ein Online-System („Cloud“) vom Betreiber die Garantie einfordern müssen, dass Übertragungssicherheit gewährleistet ist und dass kein Dritter die Möglichkeit hat, auf Ihre pseudonymisierten Abrechnungsdaten und die dazu gehörenden Patientendaten zugreifen kann.

Übermitteln Sie beim Versand per Email nie Auftrags- oder Abrechnungsinformationen gemeinsam mit dem Namen, dem Geburtsdatum, der Adresse oder ähnlichen Informationen, mit denen eine Identifizierung des Patienten möglich ist. Sollte eine solche gemeinsame Übertragung wirklich unumgänglich sein, müssen Sie den Inhalt Ihrer Email vor dem Versand so verschlüsseln, dass sie nur vom vorgesehenen Empfänger entschlüsselt werden kann (Inhaltsverschlüsselung). Dazu müssen Sie und Ihr Kunde in der Regel auf spezielle Sicherheitssoftware zurückgreifen.

 

Quelle: © Verband Deutscher Zahntechniker-Innungen, 07.07.2015


   
 Download