État général de santé, résultats sanguins particuliers, orientation sexuelle : des quantités de données personnelles particulièrement sensibles sont collectées à chaque examen médical. Ces derniers sont stockés, stockés et souvent transmis aux prestataires de services pour traitement.

Depuis le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (GDPR UE) est également appliqué en Allemagne. La loi standardise la protection des données à travers toute l’Europe. Les nouvelles dispositions visent à mieux protéger les données personnelles et à réglementer leur transfert. Puisque le secteur de la santé traite souvent des données personnelles sensibles, une prudence particulière doit être exercée ici. En règle générale, le médecin traitant est responsable de la protection des données des patients. Les nouvelles réglementations auxquelles le RGPD de l’UE s’applique posent des défis financiers et organisationnels pour le système de santé, en particulier pour les médecins en cabinet privé.

Nous avons résumé les quatre défis les plus importants pour vous selon nous :

1. Devoir de fournir des informations lors de la collecte des données des patients

Le cabinet médical a le devoir d’informer ses patients de manière exhaustive sur la collecte des données personnelles et leur traitement. Cela s’applique, par exemple, aux fins du traitement des données, à la base juridique de la collecte et à tout droit de plainte. À la demande du patient, des informations supplémentaires doivent également être fournies au moins un mois après la demande.

Notre conseil :

• Définition et structuration du processus d’information (en particulier Contrôleur, processus, documentation des informations)
• Utilisation de modèles uniformes
• Les consommateurs à travers tout le pays sont actuellement submergés d’informations sur le RGPD.
• Par conséquent, comprenez si certains de vos patients ne sautent pas de joie à l’idée d’une nouvelle « leçon » sur les nouvelles réglementations sur la protection des données.
  

2. Documentation du consentement avec la charge de la preuve

Le patient doit consentir expressement à l’utilisation et au traitement de ses données de santé, sauf exception légale plus spécifique. L’exigence d’« explicitité » impose des exigences plus élevées au degré de spécificité que pour le consentement « normal ». Ce consentement doit absolument être documenté et conservé avec la charge de la preuve. La signature de la personne concernée est une bonne option à cet effet. Cela implique une certaine charge administrative, pour laquelle vous devez être prêt. De plus, des réglementations spéciales s’appliquent aux mineurs ; Ici, cela dépend du consentement des tuteurs légaux.

Notre conseil :

• Préparez-vous aux charges administratives grâce à des modèles de consentement complets
  Solutions techniques pour documenter le consentement

3. Traitement des ordres et divulgation des données de santé

Vous ne traitez pas toutes les données personnelles dans votre cabinet ? Si vous transmettez ces informations à des prestataires de services externes ou qu’ils y ont accès (comme les prestataires de services informatiques), vous devez vérifier si vous avez conclu des accords de traitement des commandes qui respectent les exigences légales. S’il s’agit de transmettre des données de santé originales, vous devez obtenir le consentement de la personne concernée – c’est-à-dire du patient dont vous transmettez les données. Sauf exception juridique particulière. Cela s’applique, par exemple, aux prestataires de services de facturation. En général, les données doivent être tout aussi bien protégées par vos partenaires que dans votre propre entreprise.

Notre conseil :

• Création d’un registre des procédures (aperçu de qui et comment les données personnelles sont traitées)
• Contrôlez les mesures techniques et organisationnelles de vos partenaires de service afin de garantir qu’ils protègent adéquatement les données de vos patients.
• Conclusion des accords de traitement des commandes
• Obtention de déclarations explicites de consentement

4. Concept de sécurité informatique et de protection des données

Les données des patients, comme les autres données personnelles, doivent être protégées contre l’accès non autorisé par des mesures techniques et organisationnelles, entre autres, conformément à l’état de la technologie. Vous devez signaler immédiatement les violations de données et informer les personnes concernées. Les incidents de sécurité entraînent non seulement une perte de confiance dans votre cabinet médical, mais nuisent aussi à votre réputation. Le législateur sanctionne les infractions par des amendes allant jusqu’à 20 millions d’euros, soit un maximum de quatre pour cent du chiffre d’affaires de l’année précédente.

Notre conseil :

Les données des patients sont populaires auprès des cybercriminels. Compte tenu des énormes dommages qui peuvent survenir en cas d’incident de cybersécurité, la prévention est l’élément le plus important du concept de sécurité informatique et de protection des données.

• Mettre à jour les systèmes informatiques et les adapter à l’état de l’art
• Utilisation de technologies dans lesquelles la sécurité informatique et la protection des données ont déjà été intégrées et qui facilitent la manipulation grâce à des réglages par défaut conviviaux
• Formation à la sécurité informatique pour tous les employés
• Mise en place de chaînes de rapports en cas de violation de la protection des données

En cas de violation de données :

• Liste de contrôle d’urgence
• Des partenaires fiables de service et d’urgence à joindre.
• Assurance contre les incidents de cybersécurité