Hier finden Sie in unregelmäßigen Abständen Neuigkeiten aus dem Bereich Datenschutz:

06.2019 Studie der Versicherungswirtschaft offenbart Defizite in der IT-Sicherheit im Gesundheitswesen

In einer aktuellen Branchenstudie hat der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) die IT-Sicherheit verschiedener Gesundheitsdienstleister in Deutschland betrachtet und ist dabei zu einem bedenklichen Fazit gekommen, so nutzen bei fast 90% der Arztpraxen mehrere Nutzer dieselbe Zugangskennung mit einfachen oder gar ohne Passwortabsicherung, ebenso scheint der Bereich der Verschlüsselung elektronischer Post noch nicht den Anforderungen an den Schutz besonderer personenbezogener Daten zu genügen.

Weitere Details und den Gesamtbericht finden Sie auf der Webseite des GDV.

06.2019 Beanstandung zu langer Aufbewahrung der Daten inaktiver Kunden

Die Berliner Datenschutzaufsicht kritisiert in Ihrem Jahresbericht die zu lange Aufbewahrung von Kundendaten, die die Leistungen eines Unternehmens – hier eines Lieferdienstes – seit längerer Zeit nicht mehr in Anspruch genommen hatten. Die Behörde stellt sich dabei auf den Standpunkt, dass eine Speicherung über einen Zeitraum zweijähriger Inaktivität hinaus grundsätzlich nicht zulässig ist.
Datenverarbeiter sind somit dringend gehalten Ihr Verfahren zur regelhaften Löschung nicht mehr benötigter Daten entsprechend auf Stand zu halten.

Details und weitere spannende Informationen finden sich im Jahresbericht der Behörde.

04.2019 Europarat verabschiedet neue Leitlinie zum Schutz von Gesundheitsdaten

Mit seiner Empfehlung (CM/Rec(2019)2) hat der Europarat die besondere Bedeutung des Schutzes personenbezogener Gesundheitsdaten nochmals hervorgehoben und eine unionsweite Vereinheitlichung des Datenschutzes in diesem Bereich weiter vorangetrieben.

Aktuell ist die Empfehlung in englischer / französischer Sprache verfügbar.

04.2019 Datenschutzinitiative für Ärzte und andere Leistungserbringer im Gesundheitswesen

Mit der Initiative „Mit Sicherheit gut behandelt“ haben der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz sowie die Kassenärztliche Vereinigung des Landes ein praxisorientiertes Informationsprogramm zur DSGVO für die Leistungserbringer im Gesundheitswesen ins Leben gerufen.

Hier finden Sie die Webseite mit dem vielfältigen Informationsangebot.

04.2019 Grenzen des Rechts auf Datenübertragbarkeit

In seinem Tätigkeitsbericht 2017/18 stellt die bayerische Datenschutzaufsicht klar, dass Patienten kein allumfassendes Recht auf Übertragbarkeit aller Daten gegenüber dem Leistungserbringer haben. So erstreckt sich das in Artikel 20 DSGVO enthaltene Recht auf Datenübertragbarkeit grundsätzlich nicht auf die Leistungserbringer im Gesundheitswesen, deren Datenverarbeitung gemäß Artikel 9 Absatz 2 Buchstabe h erfolgt. Weiterhin führt die Aufsichtsbehörde aus, dass auch lediglich vom Patienten bereitgestellte Daten unter einen möglichen Übertragungsanspruch fielen und nicht die  vom Behandler / Leistungserbringer erhobenen medizinischen Daten wie z.B. Laborparameter.

Hier finden Sie die Details und den kompletten Tätigkeitsbericht.

02.2019 - LDI NRW informiert zu technischen Anforderungen an die TOM's beim Versand von Mails

Das LDI NRW gibt Hinweise zu den für einen aus seiner Sicht sicheren Versand von E-Mails erforderlichen technischen und organisatorischen Maßnahmen.
Ein Punkt ist dabei die Forderung im Betreffbereich der Mail auf keinen Fall personenbezogene Daten zu nennen. Dies wird immer wieder übersehen und könnte bei strenger Auslegung der Position der Aufsichtsbehörde unter Umständen auch zu einem Bußgeld wegen unzureichender organisatorischer Maßnahmen führen.

Hier finden Sie die ausführliche Stellungnahme.

01.2019 - Bußgeld auf Grund fehlenden Vertrags zur Auftragsverarbeitung (AVV)

Ein Versandhändler wurde mit einem Bußgeld durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit belegt, da er es versäumt hatte als Auftraggeber einen Vertrag zur Auftragsverarbeitung mit seinem Auftragnehmer zu vereinbaren.

Denken Sie also immer daran im Fall der Verarbeitung personenbezogener Daten durch Dritte eine entsprechende Vereinbarung nach Artikel 28 Abs. 3 zu schließen, um Sicherheit für beide Parteien zu schaffen.

Weitere Details finden Sie im Artikel des Heise Verlags.

10.2018 - Krankenhaus in Portugal erhält Bußgeld wegen Verstosses gegen die DSGVO - "need to know" Prinzip

Das Hospital do Barreiro wurde mit einem Bußgeld belegt, da es unter anderem gegen Grundsätze der Zugriffskontrolle verstossen haben soll und zu vielen Nutzern den Zugriff auf medizinische Daten eingeräumt haben soll.

Weitere Details finden sich im Artikel „CNPD: Hospital do Barreiro multado em 400 mil euros por permitir acessos indevidos a processos clínicos