apotheken DSGVOEU-DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gehört zur EU-Datenschutzreform, die die Europäische Kommission am 25. Januar 2012 vorgestellt hat. Mit der DSGVO sollen die Regeln für die Verarbeitung von personenbezogenen Daten bei privaten Unternehmen und öffentlichen Stellen vereinheitlicht werden. Deshalb ticken nach dem 25. Mai 2018 auch in Apotheken die Uhren schlagartig anders. Was bisher „nur“ ärgerlich oder teuer war – ein Virus, ein Trojaner oder ein anderer Datenverlust – kann ab diesem Stichtag für alle, die mit besonders schützenswerten Daten anderer umgehen, schon nach 3 Tagen zur Straftat werden. Der europäische Gesetzgeber schreibt in Zukunft in Apotheken analog zu Revisionen oder Zertifizierung auch ein Informationssicherheits-Managementsystem verbindlich vor. Mehr

EU-Datenschutz-Grundverordnung: Die Zeit drängt

apotheken eu dsgvo DenPhaMedDie Umsetzung dieser Verordnung ist in jeder Apotheke Pflicht, wie groß oder klein sie auch immer sei, denn Ausnahmen oder Vereinfachungen oder weitere Übergangsfristen über den 25. Mai 2018 hinaus sind im Gesetz nicht vorgesehen. Der Umfang und Tiefgang dieses Systems hat nach der EU-DSGVO risikobasiert zu erfolgen, sich also am individuellen Risikopotential der Apotheke auszurichten. Auf jeden Fall müssen die Maßnahmen geeignet sein, die Rechte und Freiheiten von Betroffenen wirksam zu schützen. Der Gesetzgeber orientiert sich damit an den aktuellen Qualitätsmanagementsystemen, die allesamt ebenfalls eine individuelle Risikobewertung vorschreiben (DIN EN ISO 9001:2015). (link auf DIN ISO)
 

Meldepflichten – das eigentliche Problem der EU-DSGVO

Die EU-DSGVO beinhaltet eine Obliegenheit, die in fast jeder Apotheke ohne Vorbereitung und externe Unterstützung selbst bei bestem Willen nicht zu erfüllen sein wird. Denn innerhalb von maximal 72 Stunden muss das Informationssicherheitsmanagementsystem drei unterschiedliche Meldungen generieren und absetzen, sonst droht eine empfindliche Geldbuße:

  1. Die Feststellung und Behebung der Ursache für den Datenverlust.
    Es muss gemeldet melden, wie genau es zu der Datenschutzverletzung gekommen ist. Hier sind grundsätzlich drei Möglichkeiten denkbar, für die jedoch derselbe Bußgeldrahmen gilt: 

    • Ein gezielter Angriff: Jemand hat es auf bestimmte Daten abgesehen. Das ist bei Apotheken sicher eher unwahrscheinlich, kann aber passieren. 
    • Die Apotheke wird Opfer einer nicht zielgerichteten Attacke. Das kann ein versteckter Virus, eine Spam-Mail oder eine gegen Apotheken bereits mehrfach eingesetzte Fake-Bewerbung sein.
    • Ein Diebstahl, Streich oder eine unbedachte Aktion: Kundendaten gehen verloren, weil ein Laptop verloren geht oder der PC bei der Wartung abhandenkommt oder ein Mitarbeiter postet (auch ohne böse Absicht) ein Foto bei facebook, das Patientendaten enthält.

  2. Die Information der zuständigen Stellen über den Datenverlust als solchen. Der Datenschutzbeauftragte der Apotheke muss alle zuständigen Datenschutz-Institutionen über den Vorfall informieren. Bei Apotheken mit weniger als neun mit der Datenverarbeitung befassten Mitarbeitern ist immer grundsätzlich die Inhaberin oder der Inhaber persönlich haftbar. Damit ist die Zuständigkeitsfrage a priori für jeden Fall geklärt.

  3. Die Kundeninformation muss verschickt sein. Sie müssen jeden einzelnen Kunden persönlich informieren, dessen Daten vom Datenleck in Ihrer Apotheke betroffen sind.
     

Bußgelder: Selbst geringe Verstöße werden teuer

apotheken cyber risiko datenschutz DenPhaMedBei Verstößen gegen die Datenschutz-Grundverordnung und bei Nichteinhalten der Fristen für die Meldungen können gegen betroffene Apotheken Geldbußen in Höhe von bis zu 4 % des gesamten erzielten Vorjahresumsatzes verhängt werden. Voraussichtlich ist die Maximierung der Strafe bei 20 Mio. Euro an dieser Stelle dann kein wirklicher Trost mehr. Dagegen hilft nur noch versichern. Mehr

Wenn Sie als Apothekeninhaberin oder Apothekeninhaber nun wissen, dass die aktuellen Strukturen Ihrer Apotheke eine Erfüllung dieser Obliegenheiten möglich machen, dann kontaktieren Sie uns.

Wir helfen Ihnen, die Hürde der vorgeschriebenen Datensicherheit zu nehmen. Mehr
 

Datenschutz wird in Apotheken zur Chefsache

apotheken cyber risiko dsgvo DenPhaMed

Die EU-DSGVO, Datenschutz und Datensicherheit sind also immer „Chefsache“. Mehr

Eigentlich war es das natürlich immer schon, aber nun hat der Gesetzgeber diese Zusatzaufgabe rechtsverbindlich definiert. Zusätzlich zur Bestellpflicht eines Datenschutzbeauftragten (DSB) auch eine Pflicht zur Meldung der bestellten Person gegenüber der zuständigen Aufsichtsbehörde.

Bei Apotheken mit neun oder weniger Angestellten mit Zugriffsrechten auf die Datenverarbeitung gilt der Apothekeninhaber persönlich als DSB. Mehr 
 

Neue Verträge mit Rezeptabrechnern

Bei der Beauftragung von Subunternehmern schreibt das Bundesdatenschutzgesetzt schon heute vor, dass Verträge zur Auftragsdatenverarbeitung (AV, früher ADV) geschlossen werden müssen. In diesen Verträgen muss dem Dienstleister auch ein angemessenes Informationssicherheitsniveau vorgeschrieben werden. Die Einhaltung der Verträge zur AV muss durch den Auftraggeber regelmäßig überprüft werden. Mehr 

Aufgrund des nunmehr immens gestiegenen Haftungs- und Bußgeldrisikos kann nur jedem Apothekeninhaber und jeder Apothekeninhaberin dringend geraten werden, alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten. Mehr (FORMULAR) 
 

Vier Kriterien für Cyberrisk-Schutz

apotheken cyber risiko pishing DenPhaMed

Der letzte Baustein im Bereich der Cyber-Sicherheit sind Policen gegen die Folgen von Cyberangriffen.

Damit diese ihrem Namen gerecht werden, müssen sie vier Risiken abdecken, die in den marktüblichen Versicherungen üblicherweise nicht mitversichert sind und eine Reihe von Services bieten, ohne die ein Cyberschutz mit Versicherungsprodukten nur Makulatur wäre. Mehr