AV-Verträge auf Rechtssicherheit und Vollständigkeit prüfen
Praxen und Kliniken und jegliche andere Medizinische Institutionen müssen ihre externen Dienstleister zur Geheimhaltung verpflichten. Zuallererst müssen Vereinbarungen auf ihre DSGVO-Konformität überprüft werden. Verträge, die den Entsorgungsprozess nicht umfassend abbilden, Subunternehmer nicht ausweisen und in den Anlagen keine Zertifikate enthalten, sind kritisch zu betrachten und ggf. an einen Juristen zur weiteren Prüfung zu übergeben. Zertifizierte Entsorgungsunternehmen arbeiten ausschließlich mit rechtlich einwandfreien und geprüften AV-Verträgen nach Artikel 28 DSGVO. Der Auftragsverarbeitungsvertrag ist grundsätzlich schriftlich abzufassen, was auch in elektronischer Form erfolgen kann.
Bei Unsicherheiten rund um die Entsorgung der Patientenakten sollten der Datenschutzbeauftragte, die Ärztekammer oder der zertifizierte Entsorger zu Rate gezogen werden. Alle in der Arztpraxis oder im Krankenhaus anfallenden Daten müssen absolut sicher vernichtet werden. Bei Nichtbeachtung muss mit einer Untersagungsverfügung sowie einem hohen Bußgeld nach Art. 83 DSGVO gerechnet werden.
Was muss ein AV-Vertrag beinhalten?
Verträge zur Entsorgung von Röntgenfilmen behandeln entsprechend den Gegenstand und die Dauer des Auftrags, die Konkretisierung des Auftragsinhalts, technisch-organisatorische Maßnahmen, die Berichtigung, Einschränkung und Löschung von Daten, die Pflichten des Auftragnehmers, Unterauftragsverhältnisse, Kontrollrechte des Auftraggebers, Mitwirkungspflichten des Auftragnehmers, die Weisungsbefugnis des Auftraggebers, die Löschung und Rückgabe von personenbezogenen Daten sowie die Geheimhaltungspflichten. Ein Zertifikat über die bei der Röntgenfilmentsorgung weiterhin maßgebliche ISO ist ebenso Bestandteil der Vereinbarung.
Subunternehmer müssen namentlich genannt werden
Kliniken und Praxen sollten sich die Zeit nehmen, empfangene Verträge genauestens zu lesen, Fragen zu den Datenarten und deren Schutzbedarf zu beantworten, eventuelle Subunternehmer hinsichtlich ihrer Fachkunde zu begutachten und beigefügte Zertifikate durch einen Anruf beim jeweiligen Zertifizierer auf ihre Echtheit und Gültigkeit prüfen. Entsorger, die über keine eigene Entsorgungsanlage oder keine internen Sortierkapazitäten verfügen, müssen diese Lücken im Entsorgungsprozess durch Subunternehmen füllen, die im AV-Vertrag namentlich, mit Adresse und Zertifikat auszuweisen sind.