Umgang mit einem Antrag auf Zugang zu personenbezogenen Daten (SAR)
Ein klarer Leitfaden für den rechtmäßigen und effizienten Umgang mit Patientendatenanfragen in der Allgemeinmedizin
Verfasst von Thomas Andrew Porteus, MBCSUrsprünglich veröffentlicht 9 Jul 2025
Erfüllt die Anforderungen des Patienten redaktionelle Richtlinien
- HerunterladenHerunterladen
- Teilen Sie
- Sprache
- Diskussion
Medizinisches Fachpersonal
Professionelle Referenzartikel sind für Angehörige der Gesundheitsberufe bestimmt. Sie werden von britischen Ärzten verfasst und basieren auf Forschungsergebnissen, britischen und europäischen Leitlinien. Vielleicht finden Sie einen unserer Gesundheitsartikel nützlicher.
In diesem Artikel:
Auskunftsersuchen (Subject Access Requests, SARs) sind ein gesetzliches Recht gemäß der britischen Datenschutzgrundverordnung (UK General Data Protection Regulation, GDPR), das es Einzelpersonen ermöglicht, eine Kopie ihrer personenbezogenen Daten zu verlangen. In der allgemeinen Praxis kommen diese Anfragen am häufigsten von Patienten - sie können aber auch von Anwälten, externen Agenturen oder sogar von Mitarbeitern gestellt werden. Gut gehandhabt, ist eine SAR eine Gelegenheit, Transparenz und Vertrauen zu demonstrieren. Schlecht gehandhabt, kann sie zu Verzögerungen, Beschwerden oder sogar zu behördlichen Maßnahmen führen. Dieser Leitfaden führt Sie durch die wichtigsten Schritte für einen sicheren und konformen Umgang mit Verdachtsmeldungen, während Sie gleichzeitig auf der richtigen Seite des Gesetzes - und Ihrer Patienten - bleiben.
Lesen Sie unten weiter
Was ist ein Antrag auf Zugang zum Thema?
Ein Antrag auf Zugang zu personenbezogenen Daten ist jeder Antrag einer Person auf Zugang zu den Daten, die Ihre Organisation über sie besitzt. In der allgemeinen Praxis könnte dies Folgendes umfassen:
Medizinische Unterlagen.
Korrespondenz über den Patienten.
Anmerkungen zur Konsultation.
Testergebnisse oder Überweisungen.
Aufzeichnungen des Personals über den Patienten.
Nach dem Gesetz haben Sieeinen KalendermonatZeit, um auf eine Verdachtsmeldung zu reagieren, und Siedürfen keine Gebühren erheben, es sei denn, die Anfrage ist offensichtlich unbegründet oder überzogen.
Wer kann einen SAR erstellen?
Der Patient selbst.
Ein Elternteil oder ein Erziehungsberechtigter (für Kinder, je nach Alter und Kapazität).
ein Dritter mit schriftlicher Zustimmung des Patienten (z. B. Rechtsanwalt, Versicherungsgesellschaft).
Sie müssen immer die Identität und die rechtliche Befugnis des Antragstellers überprüfen.Dazu kann es erforderlich sein, einen Ausweis und eine Einverständniserklärung anzufordern.
Lesen Sie unten weiter
Wie man auf eine SAR reagiert - Schritt für Schritt
1.Bestätigen und protokollieren Sie die Anfrage
Notieren Sie das Eingangsdatum des Antrags und die Person, die ihn eingereicht hat. Beachten Sie die einmonatige Frist - Wochenenden und Feiertage sind darin enthalten. Das sollten Sie auch tun:
Weisen Sie eine verantwortliche Person zu, die den Antrag verwaltet.
Verwenden Sie ein Standard-SAR-Protokoll oder eine Vorlage (viele ICBs stellen solche zur Verfügung).
Fügen Sie es dem IG-Kalender oder dem Risiko-Tracker Ihrer Praxis hinzu.
Wenn Sie weitere Informationen vom Antragsteller benötigen, um fortzufahren (z. B. Klärung des Datumsbereichs oder der Zustimmung), wird die einmonatige Uhrangehalten, bis Sie diese erhalten.
2.Bestätigung der Identität und Zustimmung
Verlangen Sie einen Lichtbildausweis, wenn Ihnen der Antragsteller unbekannt ist.
Handelt es sich um einen Dritten (Anwalt, Versicherer), lassen Sie sich die Zustimmung des Patienten geben.
Achten Sie darauf, dass aus der Einwilligung klar hervorgeht, welche Informationen weitergegeben werden dürfen und an wen.
Wenn der Antrag von einem Elternteil gestellt wird, prüfen Sie das Alter und die Verständnisfähigkeit des Kindes. Möglicherweise müssen Sie die Gillick-Kompetenz beurteilen.
3.Sammeln Sie die relevanten Unterlagen
Sammeln Sie nur die Daten, die in den Anwendungsbereich der Anfrage fallen. Dies könnte beinhalten:
Suche in EMIS, SystmOne oder Ihrem klinischen System.
Extrahieren von Schriftverkehr (z. B. Krankenhausbriefe).
Drucken oder Exportieren von klinischen Notizen.
Schwärzung von Informationen Dritter (siehe unten).
Vermeiden Sie das Teilen:
Notizen über andere Personen (einschließlich Personal).
Vertrauliche Informationen Dritter.
Die Daten sind für den Patienten nicht relevant.
Informationen, die ernsthaften Schaden verursachen könnten.
Wenn Sie unsicher sind, wenden Sie sich an Ihren Caldicott Guardian oder Datenschutzbeauftragten (DSB).
4.Sorgfältig redigieren und überprüfen
Bevor Sie die Unterlagen weitergeben:
Schwärzen von Informationen Dritter, es sei denn, es liegt eine Zustimmung vor.
Sicherstellen, dass Schutz- oder Risikoinformationen in angemessener Weise berücksichtigt werden.
Prüfen Sie, ob beleidigende oder bedrohliche Ausdrücke verwendet wurden (diese müssen möglicherweise geschwärzt oder in den richtigen Kontext gesetzt werden).
Sie sollten Ihren Schwärzungsprozess für den Fall künftiger Anfechtungen dokumentieren.
5.Sicherer Versand und Empfangsbestätigung
Geben Sie die Antwort nach Möglichkeit in der vom Patienten bevorzugten Form. Dies könnte sein:
Ausgedruckt und persönlich abgeholt (mit Ausweiskontrolle).
Sicherer Versand per Einschreiben.
Elektronische Übermittlung über ein sicheres System oder eine verschlüsselte E-Mail.
Fügen Sie ein Anschreiben bei, aus dem hervorgeht, was enthalten ist und an wen Sie sich bei Fragen wenden können.
6.Schließen Sie den Antrag
Sobald Sie fertig sind, zeichnen Sie auf:
Das Datum, an dem die Meldepflicht erfüllt wurde.
Wer hat sie geprüft und genehmigt.
Eventuell angewandte Ausnahmen oder Schwärzungen.
Wie die Daten weitergegeben wurden.
Bewahren Sie dieses Protokoll sicher auf - es wird möglicherweise für Audits oder die Lösung von Beschwerden benötigt.
Häufige Fallstricke - und wie man sie vermeidet
Fallstrick | Wie man sie vermeidet |
Versäumnis der Frist | Protokollierung und Kalender für jede Anfrage vom ersten Tag an |
Übermittlung von zu vielen Informationen | Definieren Sie den Umfang klar, bevor Sie beginnen |
Vergessene Redaktionen | Vor dem Teilen immer prüfen |
Falsche Identifizierung des Antragstellers | Überprüfung der Identität und Zustimmung für Dritte |
Verwendung unsicherer Liefermethoden | Verschlüsseln oder sichere Post verwenden |
Lesen Sie unten weiter
Was ist, wenn der Antrag komplex ist?
Wenn die Verdachtsmeldung besonders große Datenmengen umfasst oder Sie mehr Zeit benötigen, um die Daten ausfindig zu machen und zu prüfen, können Siedie Frist um weitere zwei Monate verlängern - allerdings müssen Sie den Antragsteller innerhalb des ersten Monats benachrichtigen und ihm die Gründe dafür mitteilen.
Wo man Hilfe bekommt
Ihr behördlicher Datenschutzbeauftragter oder der Verantwortliche der IZB für die Informationsverwaltung.
Leitfaden des NHS England zum Thema Zugang.
ICO-Leitfaden für Verdachtsmeldungen: ico.org.uk.
Lokale CSU- oder IT-Unterstützung für Schwärzungstools.
Abschließende Bemerkung: Machen Sie es zur Routine, nicht zur Eile
Anträge auf Zugang zu personenbezogenen Daten müssen keine panische Aufgabe sein. Mit klaren Vorlagen, soliden Prozessen und einem gemeinsamen Verständnis im gesamten Team werden sie zu einem überschaubaren - und sogar hilfreichen - Teil der Datenverantwortung Ihrer Praxis. Die Patienten haben ein Recht auf Einsicht in ihre Unterlagen. Sie haben das Recht, auf eine Weise zu reagieren, die die Privatsphäre, die Sicherheit und das Vertrauen schützt.
Lesen Sie unten weiter
Artikel Geschichte
Die Informationen auf dieser Seite wurden von qualifizierten Klinikern verfasst und von Fachleuten geprüft.
Nächste Überprüfung fällig: 9. Juli 2028
9 Jul 2025 | Ursprünglich veröffentlicht
Verfasst von:
Thomas Andrew Porteus, MBCS
Fragen, teilen, verbinden.
Stöbern Sie in Diskussionen, stellen Sie Fragen, und tauschen Sie Erfahrungen zu Hunderten von Gesundheitsthemen aus.
Fühlen Sie sich unwohl?
Beurteilen Sie Ihre Symptome online und kostenlos