Datenschutz
ISO/IEC 21964
Zertifizierung

Bildnachweis: iStock_Brownfalcon
23. September 2019

Röntgenbildentsorgung nur mit DSGVO-konformen AV-Verträgen

In der seit Mai 2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO) schreibt Artikel 28 Verträge zur Auftragsverarbeitung – sogenannte AV-Verträge bzw. Datenschutzverträge – zwischen medizinischen Einrichtungen und externen Dienstleistern vor, die deren personenbezogene Daten verarbeiten. Entsorger von Röntgenfilmen und dazugehörigen Patientenakten gehören zu den Dienstleistern, die AV-Verträge zur Konkretisierung bestehender Dienstleistungsverträge vorlegen müssen. Abfall- und Datenschutzbeauftragte, Justitiare oder auch mit Entsorgungsfragen betraute Mitarbeiter in ärztlichen Praxen sind in der Pflicht, diese zu prüfen, auszufüllen und zurückzusenden.

AV-Verträge auf Rechtssicherheit und Vollständigkeit prüfen

Praxen und Kliniken und jegliche andere Medizinische Institutionen müssen ihre externen Dienstleister zur Geheimhaltung verpflichten. Zuallererst müssen Vereinbarungen auf ihre DSGVO-Konformität überprüft werden. Verträge, die den Entsorgungsprozess nicht umfassend abbilden, Subunternehmer nicht ausweisen und in den Anlagen keine Zertifikate enthalten, sind kritisch zu betrachten und ggf. an einen Juristen zur weiteren Prüfung zu übergeben. Zertifizierte Entsorgungsunternehmen arbeiten ausschließlich mit rechtlich einwandfreien und geprüften AV-Verträgen nach Artikel 28 DSGVO. Der Auftragsverarbeitungsvertrag ist grundsätzlich schriftlich abzufassen, was auch in elektronischer Form erfolgen kann.

Bei Unsicherheiten rund um die Entsorgung der Patientenakten sollten der Datenschutzbeauftragte, die Ärztekammer oder der zertifizierte Entsorger zu Rate gezogen werden. Alle in der Arztpraxis oder im Krankenhaus anfallenden Daten müssen absolut sicher vernichtet werden. Bei Nichtbeachtung muss mit einer Untersagungsverfügung sowie einem hohen Bußgeld nach Art. 83 DSGVO gerechnet werden.

Was muss ein AV-Vertrag beinhalten?

Verträge zur Entsorgung von Röntgenfilmen behandeln entsprechend den Gegenstand und die Dauer des Auftrags, die Konkretisierung des Auftragsinhalts, technisch-organisatorische Maßnahmen, die Berichtigung, Einschränkung und Löschung von Daten, die Pflichten des Auftragnehmers, Unterauftragsverhältnisse, Kontrollrechte des Auftraggebers, Mitwirkungspflichten des Auftragnehmers, die Weisungsbefugnis des Auftraggebers, die Löschung und Rückgabe von personenbezogenen Daten sowie die Geheimhaltungspflichten. Ein Zertifikat über die bei der Röntgenfilmentsorgung weiterhin maßgebliche ISO ist ebenso Bestandteil der Vereinbarung.

Subunternehmer müssen namentlich genannt werden

Kliniken und Praxen sollten sich die Zeit nehmen, empfangene Verträge genauestens zu lesen, Fragen zu den Datenarten und deren Schutzbedarf zu beantworten, eventuelle Subunternehmer hinsichtlich ihrer Fachkunde zu begutachten und beigefügte Zertifikate durch einen Anruf beim jeweiligen Zertifizierer auf ihre Echtheit und Gültigkeit prüfen. Entsorger, die über keine eigene Entsorgungsanlage oder keine internen Sortierkapazitäten verfügen, müssen diese Lücken im Entsorgungsprozess durch Subunternehmen füllen, die im AV-Vertrag namentlich, mit Adresse und Zertifikat auszuweisen sind.

Röntgenblick

Mit unserem Newsletter „Röntgenblick“ auf dem Laufenden bleiben!

Ihre E-Mail-Adresse wird ausschließlich für den Versand des Newsletters über CleverReach verwendet, und Sie können sich jederzeit wieder abmelden.
Eine Nutzung darüber hinaus oder eine Weitergabe an Dritte findet nicht statt. Mehr Infos unter Datenschutz.