Verarbeitungstätigkeit - Dokumentation
1. Angaben zum Verantwortlichen
Name, Anschrift der Praxis | Physiotherapie in der Altstadt Sylvia Greve Neue Marktstr. 20 31785 Hameln |
Verantwortlicher/ Datenschutzbeauftragter | Sylvia Greve |
2. Grundsätzliche Angaben zur Verarbeitung
Bezeichnung der Verarbeitungstätigkeit | Abrechnung Dokumentation Patientendaten E-Mail Verarbeitung |
Verantwortlicher Ansprechpartner | Sylvia Greve Tel.: 05151 821086 physio-altstadt@gmx.de |
Art der Verarbeitung | Praxis Software Manuelle Verarbeitung der Privatrezepte Abrechnungszentrum zur Verarbeitung der Kassenrezepte |
Ort der Verarbeitung | Praxisräume (abschließbare Schränke) Abrechnungszentrum Computer , Praxissoftware |
3. Allgemeine datenschutzrechtliche Anforderungen DSGVO
Zweckbestimmung | Allg. Patientenverwaltung -Abrechnung, Buchhaltung, Inkasso Lohn und Gehaltsabrechnung -zur Erstellung der Lohnabrechnung :Steuerbüro |
Zweckänderung | ------- |
Rechtmäßigkeit der Verarbeitung Art.6 DSGVO | Verarbeitung gesundheitsbezogener Daten ( Art.9 Abs.2 lit. h) -Behandlungsvertrag im Selbstzahlerbereich oder für Wellness Leistungen ( Art..6 Abs. 1 lit.. a, Art.7) -Einwilligung ( Art. 6 Abs. 1 lit. a, Art 8) -Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten ( Art. 6 Abs. 1 lit. f. ) ( Weitergabe der Daten zwecks Inkasso) |
Erforderlich- und Verhältnismäßigkeit Art. 5 DSGVO | Die erhobenen Daten werden ausschließlich zu den vorgenannten Zwecken gespeichert und sind erforderlich zur Behandlung der Patienten und den damit verbundenen Vorgängen (s.o. unter Zweckbestimmung) Es werden nur die Daten erhoben, die zu diesen Zwecken zwingend benötigt werden, die Vertraulichkeit ergibt sich aus der Schweigpflicht des Berufsstandes |
Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 ( Datenschutz-Folgeabschätzung) | Nein |
4. Erhebung der Daten
Kreis der betroffenen Personen | Patienten, Selbstzahler, Angestellte, Bewerber auf freie Stellen |
Datenkategorien | Gesundheitsdaten, Abrechnungsdaten, Adressdaten, Bankverbindungen, Geburtsdatum, Kontaktdaten, Lohn und Gehaltsdaten, Lebenslauf, Name, Vorname, Adresse, Anrede, Titel, Sozialversicherungsdaten, Zahlungsdaten, IP-Adresse, Standortdaten |
Herkunft der Daten | Die Daten stammen von den betroffenen selbst, durch Verordnungen oder Selbstzahlerleistungen |
5. Empfänger, denen die Daten mitgeteilt werden können
Interne Empfänger | Nur Praxisinhaberin |
Externe Empfänger und Dritte ( jeder andere Empfänger, der nicht Auftragsdatenverarbeiter ist) | Finanzamt Steuerberater |
6. Zugriffsberechtigte Personen
Zugriffsberechtigte Personen | Praxisinhaber, Steuerbüro, Abrechnungszentrum, Finanzamt |
7. Auftragsdatenverarbeitung als Auftraggeber
entfällt
8. Informationspflicht bei Erhebung der Daten
Informationen an die betreffende Person ausgehändigt | Informationsblatt mit Name und Kontaktdaten der Praxisinhaberin Name des Datenschutzbeauftragten Zweck für die Datenverarbeitung und Rechtsgrundlage der Verarbeitung Empfänger, Krankenkasse, Abrechnungszentrum, Finanzamt, Steuerbüro Dauer der Datenspeicherung -Hinweis auf Löschkonzept (siehe Homepage) Recht auf Auskunft Art .13, Art. 6 , Art. 9 |
9. Regelfristen für die Löschung der Daten
Speicherdauer | Personenbezogene Daten werden nur in dem Maße erhoben und verarbeitet, wie es der zuvor festgelegte Zweck gebietet. ( Art. 5 Abs. 1 lit. c und e DSGVO) Für Befunde, Diagnosen, Arztberichte besteht eine 10 jährige Aufbewahrungsfrist , bevor sie gelöscht werden dürfen. Sind diese Daten für die weitere Behandlung nicht mehr erforderlich, so müssen sie zwingend nach Fristablauf gelöscht werden.Besteht aber ein berechtigtes Interesse Daten über diesen Zeitraum aufzubewahren, z.B. wegen etwaiger Schadensansprüche eines Patienten, dürfen sie auch über den 10 jährigen gesetzlichen Zeitraum hinweg gespeichert werden. |
10. Beurteilung der Angemessenheit techn. und org. Maßnahmen
Allg. Beschreibung der technischen und organisatorischen Maßnahmen ( Art. 30 Abs. 1 lit. g, Art.32 Abs. 1 DGSVO) | Die Maßnahmen schließen folgendes ein : Pseudonymisierung und Verschlüsselung Personenbezogener Daten -die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen -die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu Ihnen bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen -ein Verfahren zur regelmäßigen Überprüfung Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung |
Verbleibendes Risiko unter Berücksichtigung der eingesetzten tech. und org. Maßnahmen | Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfanges, der Umstände und der Zwecke der Datenverarbeitungen sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche ( und der Auftragsgeber) geeignete tech. und org. Maßnahmen um ein dem Risiko angemessenes Schutzniveau zu gewährleisten ( Art. 32 Abs. 1 DSGVO) |