Gesetz zur Nutzung und zum Zugriff auf Daten 2025 – Was es für die Allgemeinmedizin bedeutet

Der Daten (Nutzung und Zugriff) Gesetz 2025 is now law in the UK. Introduced as part of the government’s digital strategy, it updates the rules around how personal data is used, shared, and protected across sectors - including healthcare.

Für Arztpraxen Die Vorschriften des Gesetzes haben erhebliche Auswirkungen, insbesondere darauf, wie Sie Patientendaten verwalten, auf Datenanfragen reagieren und mit Drittanbieterdiensten interagieren.

Das Gesetz ersetzt nicht die UK-DSGVO oder das Datenschutzgesetz 2018, aber es bringt wichtige Änderungen bei der Anwendung dieser Gesetze. Ein Großteil davon tritt im nächsten Jahr in Kraft, daher sollten allgemeine Praxen jetzt mit den Vorbereitungen beginnen.

Was die neue Gesetzgebung für Sie, Ihr Team und Ihre Patienten bedeutet.

Mehr Flexibilität bei der Bearbeitung von Zugriffsanfragen

GP practices often deal with Anfragen auf Auskunft über die betroffene Person (DSARs) - especially from patients who want to see their full medical record. Under current rules, practices have one calendar month to respond, which can be difficult when dealing with large files or vague requests.

Das neue Gesetz ermöglicht es Ihnen, die einmonatige Frist zu pausieren, wenn die Anfrage wichtige Details vermissen lässt oder Klärungsbedarf besteht. Als „Uhr anhalten“ bekannt, gibt dies den Praxen Zeit, weitere Informationen anzufordern, bevor die Frist fortgesetzt wird.

Diese Änderung ist besonders nützlich, wenn ein Patient nach „allen Informationen“ fragt, ohne einen Zeitraum oder ein Thema anzugeben. Sie gibt Ihrem Verwaltungsteam eine bessere Chance, Erwartungen zu steuern und präzise zu antworten.

Was Sie tun sollten:

• Aktualisieren Sie Ihre internen Verfahren, um diese neue Flexibilität zu berücksichtigen.

• Stellen Sie sicher, dass das Personal weiß, wann und wie sie um Klärung bitten können.

• Dokumentieren Sie alle Pausen deutlich, falls Sie geprüft oder angefochten werden.

One of the most significant updates is the introduction of 'anerkanntes berechtigtes Interesse als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Früher basierte die meisten Datenverarbeitungen durch Hausärzte auf öffentlicher Aufgabe, rechtlicher Verpflichtung oder Einwilligung.

Diese neue Grundlage ermöglicht es Organisationen, Daten ohne Zustimmung zu verarbeiten, wenn die Tätigkeit im öffentlichen Interesse liegt und Schutzmaßnahmen vorhanden sind. Beispiele sind Schutzmaßnahmen, Gesundheitsschutz, Verhinderung schwerer Verbrechen und Reaktion auf Notfälle.

Für Hausärzte könnte dies einen klareren rechtlichen Weg bieten, um Daten schnell mit sozialen Diensten, Schutzbeauftragten oder der Polizei zu teilen – insbesondere wenn das Warten auf formelle rechtliche Anweisungen die Maßnahmen verzögern könnte.

Dies ändert jedoch nichts an der Notwendigkeit einer ordnungsgemäßen Dokumentation – Sie müssen weiterhin:

• Erklären Sie den Zweck der Datennutzung.

• Stellen Sie sicher, dass es verhältnismäßig und notwendig ist.

• Dokumentieren Sie Ihren Entscheidungsprozess.

Dies ist keine Abkürzung, aber sie ermöglicht es Ihnen, selbstbewusster zu handeln, wenn eine sofortige Datenweitergabe zum Schutz der Öffentlichkeit erforderlich ist.

Früher konnten Sie personenbezogene Daten nur in Länder außerhalb des Vereinigten Königreichs übertragen, die eine offizielle „Angemessenheitsentscheidung“ besitzen. Das erschwerte die Nutzung von Software oder Diensten, die im Ausland gehostet werden.

Der DUAA ersetzt dieses Modell durch einen risikobasierten Ansatz. Sie können jetzt Daten in Nicht-UK-Länder übertragen, wenn Sie zufrieden sind, dass die bestehenden Schutzmaßnahmen nicht „wesentlich niedriger“ als die britischen Standards sind.

Dies ist besonders relevant für Praxen, die verwenden:

• Cloud-basierte Patientenakten-Systeme.

• Online-Buchungsplattformen.

• E-Mail-, SMS- oder Video-Beratungs-Tools, die Daten im Ausland speichern.

Sie müssen die Schutzmaßnahmen bewerten und möglicherweise Ihre Verträge oder Datenschutz-Folgenabschätzungen (DSFA) aktualisieren.

Maßnahmen für Praxen:

• Ermitteln Sie, wo Ihre Patientendaten gespeichert und verarbeitet werden.

• Arbeiten Sie mit Ihren Lieferanten zusammen, um die Einhaltung des neuen risikobasierten Standards zu bestätigen.

• Führen Sie Aufzeichnungen Ihrer Bewertungen.

Das Gesetz erleichtert die Nutzung personenbezogener Daten in der wissenschaftlichen Forschung durch gewerbliche Unternehmen, solange der Zweck klar ist und angemessene Schutzmaßnahmen getroffen werden.

Dies eröffnet Praxen die Möglichkeit, eine breitere Palette von Forschungsprojekten zu unterstützen, einschließlich Partnerschaften mit Universitäten, NHS-Trägern und Gesundheits-Tech-Unternehmen. Es könnte die Teilnahme an datengetriebenen Initiativen zur Verbesserung der Bevölkerungsgesundheit oder der Servicegestaltung erleichtern.

Die Gesetzgebung legt auch die Grundlage für intelligente Datensysteme – sichere, regulierte Systeme, bei denen Personen bestimmten Drittparteien den Zugriff auf ihre Daten für bestimmte Zwecke erlauben können.

Obwohl sich dies noch in der Entwicklung befindet, könnten intelligente Daten im Gesundheitswesen den Patienten letztendlich ermöglichen:

• Teilen Sie Teile ihrer Gesundheitsakte mit digitalen Tools oder Apps.

• Zugriff auf personalisierte Dienste mit Echtzeitinformationen.

• Übertragen Sie Daten einfacher zwischen Diensten.

Es wird nicht erwartet, dass die Praxen derzeit etwas umsetzen, aber Sie sollten sich bewusst sein, dass diese Pläne in den nächsten Jahren wahrscheinlich auftauchen werden.

Das Amt des Informationsbeauftragten (ICO) wird erweiterte Befugnisse haben, Organisationen, einschließlich Hausarztpraxen, zu prüfen und zu untersuchen.

Gleichzeitig müssen alle Organisationen jetzt einen klaren und zugänglichen Weg für Personen bereitstellen, um sich zu beschweren, wenn sie glauben, dass ihre Daten missbraucht oder unsachgemäß behandelt wurden. Sie müssen innerhalb von 30 Tagen auf diese Beschwerden reagieren.

Dies gilt auch, wenn die Beschwerde sich darauf bezieht, wie lange Daten gespeichert werden, wie sie geteilt werden oder was in einer Patientenakte geschrieben steht.

Was Sie tun müssen:

• Aktualisieren Sie Ihren Datenschutzhinweis mit einem klaren Beschwerdeabschnitt.

• Fügen Sie Ihrer Website ein einfaches Formular oder eine Kontaktseite hinzu.

• Schulen Sie das Personal darin, wie man Datenbeschwerden erfasst und darauf reagiert.

Wenn eine Beschwerde nicht gelöst wird, können Patienten die Angelegenheit an die ICO weiterleiten – und die Praxis könnte einer Überprüfung oder Durchsetzung unterzogen werden.

Obwohl viele Teile des Gesetzes erst ab 2026 durchgesetzt werden, ist es wichtig, sich frühzeitig vorzubereiten. Hier ist eine praktische Checkliste, die Ihre nächsten Schritte leitet:

• Überprüfen und aktualisieren Sie Ihre DSAR-Richtlinie, einschließlich der Verwendung der Stop-the-Clock-Funktion.

• Überprüfen Sie Ihren Datenschutzhinweis – Erklärt er die rechtlichen Grundlagen, den Datenaustausch und Beschwerden klar?

• Visualisieren Sie Ihre Datenflüsse, insbesondere bei internationalen Überweisungen.

• Besprechen Sie mit Ihren IT- und klinischen Systemlieferanten, wie sie die neuen Datenstandards erfüllen.

• Schulen Sie Ihr Team, insbesondere im Bereich des Schutzes von Daten, des Teilens und der Bearbeitung von Beschwerden.

Das Gesetz zur Datenutzung und -zugang 2025 ist Teil einer umfassenderen Regierungsagenda zur Vereinfachung des Datenschutzrechts und zur Förderung von Innovationen. Für Hausarztpraxen eröffnet es neue Möglichkeiten, Daten selbstbewusster zu teilen und bei Forschung und digitalen Diensten zusammenzuarbeiten.

Aber es erhöht auch die Erwartungen an Transparenz, Reaktionsfähigkeit und berufliche Verantwortlichkeit. Wie Sie sich jetzt vorbereiten, wird Ihre Einhaltung der Vorschriften und Ihre Patientenbeziehungen in den kommenden Jahren beeinflussen.

If your practice would benefit from a data protection review, template updates, or help with team training, your local LMC or federation may already have resources in place.