§ 39 LKHG M-V - Datenverarbeitung im Auftrag
Bibliographie
- Titel
- Krankenhausgesetz für das Land Mecklenburg-Vorpommern (Landeskrankenhausgesetz - LKHG M-V)
- Amtliche Abkürzung
- LKHG M-V
- Normtyp
- Gesetz
- Normgeber
- Mecklenburg-Vorpommern
- Gliederungs-Nr.
- 212-18
(1) Der Krankenhausträger darf die Verarbeitung von Patientendaten einem Auftragnehmer übertragen, wenn
- 1.
Störungen im Betriebsablauf sonst nicht vermieden werden können,
- 2.
die Datenverarbeitung dadurch erheblich kostengünstiger gestaltet werden kann oder
- 3.
das Krankenhaus seinen Betrieb einstellt.
Vor der Erteilung eines Auftrags zur Verarbeitung von Patientendaten außerhalb des Krankenhauses ist zu prüfen, ob der Zweck auch mit verschlüsselten oder pseudonymisierten Patientendaten erreicht werden kann.
(2) Eine über drei Monate hinausgehende Speicherung von Patientendaten durch einen Auftragnehmer ist außerhalb des Krankenhauses nur zulässig, wenn die Patientendaten auf getrennten Datenträgern gespeichert sind, die der Auftragnehmer für den Krankenhausträger verwahrt.
(3) Der Auftragnehmer ist vom Krankenhausträger sorgfältig auszuwählen. Die Einzelheiten des Auftrags und die vom Auftragnehmer zu treffenden technischen und organisatorischen Sicherungsmaßnahmen sind schriftlich zu vereinbaren. Eine Abschrift der Vereinbarung hat der Krankenhausträger dem Landesbeauftragten für den Datenschutz unverzüglich zu übersenden.
(4) Der Auftragnehmer darf die ihm Uberlassenen Patientendaten nur im Rahmen des Auftrags und der Weisungen des Krankenhausträgers verarbeiten. Sofern die §§ 32 bis 38 für den Auftragnehmer nicht gelten, hat der Krankenhausträger sicherzustellen, dass der Auftragnehmer diese Vorschriften entsprechend anwendet und sich insoweit der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.
(5) Eine Übertragung des Auftrags auf Dritte oder die Erteilung von Unteraufträgen ist nur mit Zustimmung des Krankenhausträgers zulässig. Die Absätze 2 bis 4 gelten entsprechend.
(6) Übernimmt ein Auftragnehmer nach einer Betriebseinstellung eines Krankenhauses den gesamten Bestand der Patientendaten, gelten für ihn als verantwortliche Stelle hinsichtlich der Verarbeitung dieser Daten die Vorschriften dieses Abschnitts. Bei der Übernahme ist vertraglich sicherzustellen, dass die Patientinnen und Patienten für die Dauer von zehn Jahren nach Abschluss der Behandlung oder Untersuchung auf Verlangen in gleicher Weise wie bisher beim Krankenhaus Auskunft und Einsicht erhalten.