Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Umsetzung der EU DS-GVO

Veröffentlicht von:Linus Burgstaller Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Umsetzung der EU DS-GVO"—  Präsentation transkript:

1 Umsetzung der EU DS-GVO
Maßnahmenplan für Krankenhäuser zur Umsetzung der EU DS-GVO Fachtagung für Krankenhäuser zur EU Datenschutz-Grundverordnung am in Mainz Michael Heusel-Weiss, Mitarbeiter des Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz

2 Datenschutzrecht gab es schon vor dem 25. Mai 2018!
Viele Anforderungen aus der EU Datenschutz-Grundverordnung sollten den verantwortlichen Entscheidungsträgern der Krankenhäuser bereits schon jetzt bekannt sein: → aus dem derzeit geltenden Datenschutzrecht (BDSG/LDSG sowie Landeskrankenhausgesetz) → aus dem Standesrecht (Berufsordnungen) Einige Beispiele:

3 Datenschutzrecht gab es schon vor dem 25. Mai 2018!
hoher Schutzbedarf patientenbezogener Behandlungsdaten (ärztliche Schweigepflicht) Weitergabe von Patientendaten an Dritte nur bei Vorliegen einer Befugnis (entweder durch Gesetz oder Einwilligung) Pflicht der Krankenhäuser zur Vornahme angemessener technischer und organisatorischer Vorkehrungen (u.a. OH KIS) Patienten und Mitarbeiter haben Rechte

4 Datenschutzrecht gab es schon vor dem 25. Mai 2018!
Aber die DS-GVO bringt auch zahlreiche Neuerungen für den Betrieb von Krankenhäusern. Z.B.: Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 (Nachweis der Einhaltung der dsr Vorgaben) Risikobasierter Ansatz: die Verarbeitung besonders schutz-bedürftiger Daten erfordert besonders hohes DS-Niveau Etablierung eines angemessenen DS-Managements Informationspflichten ggü. Patienten/Mitarbeitern nach Art. 12 ff.

5 Datenschutzrecht gab es schon vor dem 25. Mai 2018!
Aber die DS-GVO bringt auch zahlreiche Neuerungen für den Betrieb von Krankenhäusern. Z.B.: Instrument der gemeinsamen dsr Verantwortung Möglichkeiten der Selbstregulierung (z.B. CoC, Zertifizierung) Ausweitung der Befugnisse und Sanktionsmöglichkeiten der Datenschutzaufsicht ggü. Verantwortlichen und Auftragnehmer EU-weite Abstimmung der Datenschutzaufsichtsbehörden

6 Datenschutzrecht gab es schon vor dem 25. Mai 2018!
Der nachfolgende Maßnahmenplan basiert auf dem zum Zeitpunkt der Veranstaltung bekannten Rechtsrahmen, der ab dem 25. Mai 2018 für die in Rheinland-Pfalz ansässigen Krankenhäuser gelten wird. Gegenwärtig wird das Landeskrankenhausgesetz im Zuge der Anpassung des Landesrechts an die Vorgaben der DS-GVO novelliert. Welche ergänzenden Vorgaben künftig darin enthalten sein werden, steht noch nicht abschließend fest.

7 Maßnahmenplan für Krankenhäuser
1. Datenschutz ist Chefsache! Die Krankenhausleitung ist für einen datenschutzgerechten Geschäftsbetrieb verantwortlich. Der Aufbau geeigneter eigener Kompetenzen zur Wahrung dieser Verantwortung ist deshalb auch auf der oberen Managementebene unerlässlich. Um die vielfältigen Anforderungen aus der DS-GVO zu erfüllen, sollte zudem innerhalb eines Krankenhauses eine effektive DS-Organisation eingerichtet werden.

8 Maßnahmenplan für Krankenhäuser
1. Datenschutz ist Chefsache! Anforderungen an eine effektive DS-Organisation: Benennung eines DSB (nähere Infos hierzu im nachfolgenden Beitrag) Festlegung eines internen Teams für das DS-Management (fachbereichsübergreifend; Ansprechpartner zumindest aus: IT, Organisation, QS/Controlling, Ärzte, Pflege sowie DSB) Empfehlung: allgemeine Dienstanweisung zum Datenschutz, die Verantwortlichkeiten im Zshg. mit der DS-GVO zuweist

9 Maßnahmenplan für Krankenhäuser
2. Durchführung einer Bestandsaufnahme (IST-Analyse) → Vorab durch Leitung festzulegen: Welche Mitarbeiter sind für die Durchführung der Bestandsaufnahme verantwortlich? Zeitrahmen

10 Maßnahmenplan für Krankenhäuser
2. Durchführung einer Bestandsaufnahme (IST-Analyse) Identifizierung der derzeitigen DV-Verfahren (z.B. anhand des schon geführten Verfahrensverzeichnisses) inkl. RGL Auflistung der hierzu vorhandenen Datenschutzkonzepte sowie Ergebnisse evtl. durchgeführter Vorabkontrollen Klärung, ob und in welchen Zusammenhängen bislang bereits mit externen Dienstleistern zusammengearbeitet wurde (z.B. zur Abrechnung, zur IT-Unterstützung/Fernwartung oder zur Aktenvernichtung); ggf. Auflistung bestehender Verträge

11 Maßnahmenplan für Krankenhäuser
2. Durchführung einer Bestandsaufnahme (IST-Analyse) Welche Vorkehrungen zum Schutz von Patienten- und Mitarbeiterdaten wurden bislang ergriffen? Zusammenstellung der in der Einrichtung eingesetzten Vordrucke und Formulare In welcher Weise konnten bislang die Betroffenenrechte (z.B. Auskunftsrecht) sichergestellt werden? Gab es in der Vergangenheit ds-relevante Vorkommnisse und wie wurde darauf reagiert?

12 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) → Vorab durch Leitung festzulegen: Welche Mitarbeiter sind für die Umsetzung der aus der DS-GVO resultierenden Anforderungen verantwortlich? Zeitrahmen

13 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DS-GVO) (nähere Infos hierzu im nachfolgenden Beitrag) Ergänzende Feststellung der einzelnen Rechtsgrundlagen für die jeweilige Verarbeitungstätigkeit Prüfung: Gibt es Verarbeitungsvorgänge in der Einrichtung, die ein hohes Risiko für die persönlichen Rechte/Freiheiten der Patienten bergen? Wenn ja: → DSFA nach Art. 35 DS-GVO

14 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) Zuordnung von Verantwortlichkeiten zur Durchführung einer DSFA bei Verarbeitungstätigkeiten mit hohem Risiko Aufstellung der aus der DS-GVO gebotenen technischen u. organisatorischen Maßnahmen, die zum Schutz von Patienten-/Mitarbeiterdaten erforderlich sind (betroffen sind hier nicht nur die IT, sondern z.B. auch Fragen der räumlichen Gestaltung, der Einsatz von Vordrucken und die Kommunikation mit Externen)

15 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) Anpassung bestehender Dienstleistungsbeziehungen mit Dritten an die Vorgaben des Art. 28 DS-GVO (nähere Infos hierzu im nachfolgenden Beitrag) Wahrung der Informationspflichten, insbesondere Bereitstellung einer allgemeinen Patienteninformation (nähere Infos hierzu im nachfolgenden Beitrag) Wahrung der Betroffenenrechte (z.B. Auskunftsrechte), insbesondere Festlegung eines Verfahrens

16 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) Sicherstellung einer aussagekräftigen Dokumentation zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO Sonstiges Ist die Einrichtung auf die Erfüllung der Meldepflichten im Falle eines Datenschutzverstoßes vorbereitet? Ist der Webauftritt ds-konform? Sind die Mitarbeiter ausreichend sensibilisiert?

17 Maßnahmenplan für Krankenhäuser
3. Maßnahmen zur Umsetzung der Vorgaben (SOLL-Analyse) → Alle ergriffenen Maßnahmen zur Umsetzung der aus der DS- GVO resultierenden Vorgaben müssen fortlaufend im Hinblick auf ihre Wirksamkeit und Angemessenheit überprüft werden. → Datenschutzmanagement im Krankenhaus ist damit kein einmaliges Ereignis, sondern ein permanenter Prozess.

18 Maßnahmenplan für Krankenhäuser
4. Weiterführende Informationen und Hilfestellungen auf Homepage des LfDI RP: DSK hat diverse Kurzpapiere zu einzelnen Inhalten der DS-GVO einschließlich Maßnahmenplan erarbeitet auf europäischer Ebene werden Arbeitspapiere zu Themen-feldern der DS-GVO erstellt, die EU-weit abgestimmt sind → alle Materialien über erschließbar

19 Maßnahmenplan für Krankenhäuser
4. Weiterführende Informationen und Hilfestellungen zu den Unterstützungsangeboten durch die jeweilige kirchliche Datenschutzaufsicht sowie die DKG bzw. die Krankenhausgesellschaft Rheinland-Pfalz vgl. nachfolgende Statements am Ende der Veranstaltung LfDI RP steht den seiner Aufsicht unterliegenden Einrichtungen im Rahmen seiner Möglichkeiten für Anfragen zur Verfügung

20 Noch Fragen? Michael Heusel-Weiss Referent
beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz +49 (6131) Postfach Mainz

Herunterladen ppt "Umsetzung der EU DS-GVO"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Information und Technik Nordrhein-Westfalen

Information und Technik Nordrhein-Westfalen
Versand der Arzneimittel

Versand der Arzneimittel
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Informations-veranstaltung LAG JAW

Informations-veranstaltung LAG JAW
1 Herzlich willkommen Medienkonferenz Tätigkeitsbericht 2010 26. April 2011.

1 Herzlich willkommen Medienkonferenz Tätigkeitsbericht April 2011.
DatenschutzManagement mit Verinice

DatenschutzManagement mit Verinice
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Willkommen zur Schulung

Willkommen zur Schulung
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.

Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.
Gefährdungsbeurteilungen an Schulen

Gefährdungsbeurteilungen an Schulen
Betriebliches Eingliederungsmanagement (BEM)

Betriebliches Eingliederungsmanagement (BEM)
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
[Name des Projektes] Post-Mortem

[Name des Projektes] Post-Mortem
Hinweise zur Ausweisung von erheblich veränderten Gewässern (HMWB) in Niedersachsen und Bremen Stand: 12.07.2006.

Hinweise zur Ausweisung von erheblich veränderten Gewässern (HMWB) in Niedersachsen und Bremen Stand:

Ähnliche Präsentationen

Google-Anzeigen