Versenden von Röntgenunterlagen und Rechnungen an Patienten via E-Mail – möglich, sinnvoll, zulässig?
Um im Praxisalltag möglichst zeitsparend dem Patienten seine Behandlung betreffende Unterlagen wie digitale Röntgenbilder oder Rechnungen zukommen zu lassen, stellt sich rechtlich die Frage, ob dies zulässig und damit möglich ist.
Grundsätzlich sind alle Patientendaten personenbezogene Daten im Sinne des Art.4 Nr.1 DSGVO wie der Name, der Geburtstag und ggf. der Geburtsort. Zudem beinhalten Röntgenbilder sogenannte Gesundheitsdaten im Sinne des Art. 4 Nr. 15 der Datenschutzgrundverordnung (DSGVO).
Rechnungen, die die Behandlung des Patienten betreffen beinhalten personenbezogene Daten und können auch auf Gesundheitsdaten Bezug nehmen; die datenschutzrechtliche Sensibilität ist damit ebenfalls nicht auszuschließen.
Praxisinhaber sind nach Art. 24 Abs.1 und Art. 32 DSGVO dem Datenschutz verpflichtet und müssen im Rahmen der Verarbeitung von Daten stets geeignete technische und organisatorische Maßnahmen für eine rechtmäßige Verarbeitung der Patientendaten vorhalten und entsprechend anwenden.
Gemäß Art. 32 DSGVO ist der aktuelle Stand der Technik zu berücksichtigen. Technisch sind hierfür unterschiedliche Verschlüsselungsvarianten möglich. Auskünfte zu sicheren Verschlüsselungsprogrammen (Inhalts- oder Transportverschlüsselung) dürften bei der in Nordrhein-Westfalen zuständigen Datenschutzaufsicht (LDI NRW) einzuholen sein. Zu beachten ist hierbei in allen Fällen der Verschlüsselung, dass die Entschlüsselung (Code/ Passwort) an den Patienten (= Empfänger der Mail) idealiter telefonisch durchzugeben ist.
Das verwendete Passwort sollte gewissen Anforderungen bezüglich der Komplexität und Länge entsprechen, damit es hinreichende Sicherheit gewährleistet. Weiter ist zu beachten, dass der Patient dem Praxisinhaber schriftlich (bis auf Widerruf) mitteilen sollte, an welche konkrete Mailadresse die Röntgenbilder oder die Rechnung versandt werden soll, um Missverständnisse und gegebenenfalls rechtliche Konsequenzen im Falle des Versendens an eine nicht mehr aktuelle beziehungsweise vom Patienten (mit-)benutzte Mailadresse zu vermeiden.
Sicherlich stellt sich in diesem Zusammenhang auch die Frage, ob auf die Verschlüsselung verzichtet werden kann, sofern der Patient dies erklärt. Hierbei ist jedoch grundsätzlich zu beachten, dass Art. 32 DSGVO einen solchen Verzicht nicht vorsieht. Infolgedessen ginge ein Datenverlust mit sich daraus ergebenden „Problemen“ rechtlich in der Regel zu Lasten des Praxisverantwortlichen, da er auch im Falle eines erklärten Verzichts die Beweislast für das sichere Versenden trägt.
Autoren: Katharina Beckmann / Thomas Hennig
Kommentar
- Bisher keine Kommentare
Hinterlassen Sie einen Kommentar