DSGVO-konformer Auftragsverarbeitungs-Vertrag (AV-Vertrag)
Artikel 28 der DSGVO schreibt für die Röntgenbildentsorgung einen AV-Vertrag zwischen medizinischer Einrichtung und Entsorgungsunternehmen vor. Seriöse, im Bereich Datenschutz zertifizierte Entsorger legen diese vor Beginn der Zusammenarbeit unaufgefordert vor. Darin müssen alle Auftragsdetails, auch die häufig eingesetzten Subunternehmen, ausgewiesen sein. Das betrifft beispielsweise Sammler, die über keine eigene Verwertungsanlage verfügen.
Der AV-Vertrag dient der prüfenden Aufsichtsbehörde im Übrigen auch als Nachweis, dass die Daten während des gesamten Entsorgungsprozesses bestmöglich geschützt waren. Umso wichtiger ist, vor der Entsorgung zu prüfen, ob der Vertrag rechtlich einwandfrei ist.
Zertifizierung nach DIN SPEC 66399-3 / ISO/IEC 21964
Röntgenfilmentsorger müssen inzwischen auch garantieren, dass die Entsorgung nach den höchsten Datenschutz- und Sicherheitsstandards in einem geschlossenen Prozess erfolgt. Maßgeblich hierfür ist das Zertifikat nach DIN SPEC 66399-3 / ISO/IEC 21964. Dieses sollte alle drei Schutzklassen einschließen, die Sicherheitsstufe 7 für analoge Röntgenfilme und die Sicherheitsstufe 4 für digitales Röntgenmaterial und Patientenakten ausweisen. Datenschutz-Auszeichnungen legen Entsorgungsunternehmen in der Regel zusammen mit dem AV-Vertrag vor.
Ärzte und Abfallbeauftragte von Kliniken können sich den zertifizierten Entsorgungsprozess nach Abschluss aller Arbeiten zusätzlich in einem Vernichtungsprotokoll bestätigen lassen.
Vertraulichkeit und Geheimhaltung nach § 203 StGB
Alle Mitarbeiter eines beauftragten Entsorgungsunternehmens müssen auf die Verschwiegenheit und das Datengeheimnis verpflichtet sein – und das nicht nur im Sinne der Datenschutzgrundverordnung: Nach § 203 Strafgesetzbuch (StGB) ist heutzutage gesetzlich vorgeschrieben, dass Praxen und Kliniken ihre externen Dienstleister zur Geheimhaltung verpflichten. Wenn das nicht passiert und vertrauliche Patienteninformationen durch einen Fehler oder eine Nachlässigkeit des Entsorgers öffentlich werden, steht der Arzt mit in der Verantwortung. In der Regel ist auch die Verpflichtung zur Vertraulichkeit nach § 203 StGB im AV-Vertrag bestätigt.
Datenschutzanforderungen auch für Kleinmengen, Test- und Fehlaufnahmen
Arztpraxen, die nur kleine Mengen an Röntgenbildern archivieren, sind genauso zur datenschutzkonformen Entsorgung verpflichtet wie Krankenhäuser, die jährlich große Mengen bewältigen. Viele Arztpraxen, vor allem auch Tierärzte, nutzen die sogenannte Röntgenfilm-Box. Diese wird kostenfrei angeliefert, über einen festgelegten Zeitraum befüllt und später zur Entsorgung wieder in der Praxis abgeholt.
Gleiches gilt für fehlerhafte oder zerstörte Röntgenaufnahmen. Da auch diese personenbezogene Daten enthalten, sind sie genauso sorgfältig zu behandeln wie andere Röntgenfilme.