Ärztinnen und Ärzte müssen von Gesetzes wegen für die Patientinnen und Patienten eine Krankengeschichte führen. Die Daten über die Patientinnen und Patienten wiederum sind «besonders schützenswerte Personendaten», an deren Bearbeitung das Datenschutzgesetz höchste Ansprüche stellt. Achtung: Bei ungenügender Datenhandhabung kann die Versicherung im Schadenfall die Zahlung verweigern.
Der Grundsatz
Ärztinnen und Ärzte sind von der Gesundheitsgesetzgebung zur Führung und Aufbewahrung der Krankengeschichte ihrer Patientinnen und Patienten verpflichtet. Die Krankengeschichte gehört aber nicht der Ärztin oder dem Arzt, sondern den Patientinnen und Patienten. Bei den Patientendaten handelt es sich um «besonders schützenswerte Personendaten», an deren Bearbeitung vom Datenschutzgesetzt sehr hohe Anforderungen gestellt werden. Zur Sicherung der Daten hat die Ärztin oder der Arzt sicherzustellen, dass alle erforderlichen technischen und organisatorischen Massnahmen vor unbefugtem Zugriff und Bearbeitung und vor Zerstörung durch Feuer, Wasser oder Diebstahl getroffen werden. Weiter hat die Ärztin oder der Arzt den unterschiedlich langen Aufbewahrungsfristen durch geeignete Massnahmen Rechnung zu tragen.
Unterschiedliche Fristen
Grundsätzlich beträgt die Aufbewahrungsfrist für eine Krankengeschichte zehn Jahre nach Abschluss der letzten Behandlung. Für bestimmte Dokumentationen im Laborbereich sowie für Befunde, die sich nach Lage der Dinge erst viel später auswirken können, gibt es längere Aufbewahrungsfristen.
Vollständiges Auskunftsrecht der Patientinnen und Patienten
Die Daten über die Patientinnen und Patienten sind rechtlich im Eigentum der Patientinnen und Patienten, obwohl die Ärztinnen und Ärzte die Daten sammeln und schützen. Deshalb haben die Patientinnen und Patienten jederzeit ein vollständiges Auskunftsrecht, welche Daten über sie oder ihn vorhanden sind.
Datensicherheit und Zugriffskontrolle
Alle Daten über die Patientinnen und Patienten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt und die Vertraulichkeit, Verfügbarkeit und Integrität der Daten jederzeit gewährleistet werden. Unbefugten Dritten ist daher der Zugang zu Räumen, in denen Gesundheitsdaten der Patienten bearbeitet werden, zu verwehren. Ebenfalls ist der Zugriff auf die Gesundheitsdaten technisch so einzuschränken, dass der Zugriff immer nur auf diejenigen Daten besteht, welche die Person für ihre Tätigkeit benötigt. In gleicher Weise ist sicherzustellen, dass die Gesundheitsdaten nicht unbefugterweise geändert, gelöscht oder durch Feuer oder Wasser vernichtet werden.
Zum Schutz elektronischer Daten sind regelmässig Sicherungskopien zu erstellen und die Passwörter zu ändern. Die Ärztin oder der Arzt ist speziell verpflichtet, technische und organisatorische Massnahmen zu treffen, die notwendig sind, um die Daten der Patientinnen und Patienten zu sichern, wenn die Computerinfrastruktur der Praxis ans Internet angeschlossen ist. Es ist zu empfehlen, die Sicherheitsmassnahmen regelmässig überprüfen zu lassen.
Für handgeschriebene Patientenakten sind Kopien zu machen, die so aufbewahrt werden müssen, dass sie nicht zusammen mit den Originalakten zerstört werden können.
Bei ungenügender Datenhandhabung zahlt die Versicherung nicht
Wie gesagt: Ärztinnen und Ärzte sind gesetzlich verpflichtet, die Patientendaten mit allen erforderlichen technischen und organisatorischen Massnahmen vor unbefugtem Zugriff und Bearbeitung sowie vor Zerstörung durch Feuer, Wasser oder Diebstahl zu schützen. Für elektronische Daten müssen dafür die branchenüblichen und jederzeit aktuellen Schutzsysteme wie Antivirussysteme, Firewalls und externe Backups eingesetzt werden. Bei handgeschriebenen Patientenakten braucht es eine Kopie, die physisch getrennt ausbewahrt wird, damit Original und Kopie nicht gleichzeitig zerstört werden können. Sind diese Anforderungen nicht erfüllt, kann die Versicherung im Schadenfall die Zahlung verweigern. Das ist in den Allgemeinen Versicherungsbedingungen der Versicherer beispielsweise wie folgt formuliert: «Nicht versichert sind Mehraufwendungen für die Wiederherstellung von Daten, sofern keine regelmässige Datensicherung erfolgt und Doppel zusammen mit Originaldaten zerstört werden.»
Profis beziehen
Damit rund um die Krankengeschichten und die Patientendaten alles rund läuft, lohnt es sich Profis beizuziehen. Dafür kann beispielsweise die in Zusammenarbeit mit FMH Services, der Schweizerischen Zahnärzte-Gesellschaft und den Kantonsärzten betriebene Branchenlösung KG-archivsuisse ins Auge gefasst werden.