Einführung
Dieses Dokument richtet sich an zukünftige und bestehende Kunden (Praktiker) sowie an Gateway-Partner. Es beschreibt, wo, warum und wie Doctena S.A. und ihre Tochtergesellschaften Sicherheit und Compliance für die von ihnen angebotenen Dienstleistungen umsetzen.
Das Dokument beginnt mit dem Compliance-Teil und beschreibt die verschiedenen Rollen und Verantwortlichkeiten, die Patienten, Praktiker, Gateway-Partner und Doctena im Zusammenhang mit der DSGVO übernehmen. Dieser Teil hebt auch einige wichtige Punkte darüber hervor, wie wir die Einhaltung der Vorschriften mithilfe von Datenverarbeitungsvereinbarungen durchsetzen.
Konformität
DSGVO
Die Allgemeine Datenschutzverordnung (DSGVO) legt die Messlatte für den Schutz der Integrität des Einzelnen in der EU sehr hoch. Die GDPR ist die europäische Datenschutzverordnung, die für alle Organisationen (einschließlich Arztpraxen) gilt, die innerhalb der EU tätig sind, aber auch für alle Organisationen außerhalb der EU, die Daten von Personen in der EU verarbeiten. Die Definition von personenbezogenen Daten im Rahmen der DSGVO wurde auf „alle Informationen, mit denen eine Person identifiziert werden kann“ reduziert. Das Ziel der DSGVO ist es, die Datenschutzgesetze in allen EU-Mitgliedsstaaten zu harmonisieren, um die Integrität des Einzelnen zu stärken. Das Gesetz ist seit dem 25. Mai 2018 in Kraft.
DSGVO gilt sowohl für für die Datenverarbeitung Verantwortliche als auch für Auftragsverarbeiter. Der Datenverantwortliche ist die Partei, die bestimmt, zu welchem Zweck und auf welche Weise die gesammelten persönlichen Daten verarbeitet werden. Während der für die Verarbeitung Verantwortliche ein Dritter ist, der die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Doctena ist in diesem Punkt sehr klar und transparent: Der Praktiker ist der Verantwortliche für die Verarbeitung und der Eigentümer der Daten seines Patienten oder Termins.
Rollen und Verantwortlichkeiten
Doctena ist sowohl Datenverantwortlicher als auch Auftragsverarbeiter, jedoch für unterschiedliche Teile der Daten.
Als Online-Kalenderunternehmen, das eine Dienstleistung für Praktiker anbietet, fungiert Doctena hauptsächlich als Datenverarbeiter. Wir verarbeiten die Daten im Auftrag des Arztes, der bestimmt, was mit den Daten geschieht (Änderung, Löschung, Übertragung, Rechte gemäß DSGVO?), und der Arzt bleibt Eigentümer der Daten. Diese Daten umfassen das Patientenprofil, Daten zu Terminen und optionale Notizen des Arztes/Patienten, die sich auf Termine beziehen. Dies gilt auch, wenn der Praktiker eine Synchronisation mit unseren Diensten unter Verwendung eines Gateway-Anbieters einrichtet.
Für Patienten mit einem Doctena-Konto spielt Doctena die Rolle des Datenverarbeiters nur für die Kontodaten (Präferenzen, Name, Adresse, Telefon, E-Mail, Bewertungen usw.), die nur dazu dienen, die Terminverwaltung des Patienten durch die Nutzung unserer Online-Dienste zu erleichtern. Bei jeder Buchung kopieren wir im Wesentlichen die Daten aus dem Doctena-Konto in das Patientenprofil und den Arzttermin, von wo aus diese Kopie vom Praktiker kontrolliert wird. Im Rahmen des Doctena-Kontos kontrollieren wir auch eine logische Verknüpfung mit den Arztterminen, sodass wir die Behandler und die Termine des Patienten anzeigen können.
Unterschiedliche Informationsflüsse
Im folgenden Diagramm sehen Sie die drei Wege, auf denen persönliche Informationen vom Patienten in unsere Systeme gelangen können.
Patient
Der Patient ist die Person, die die Dienste von Doctena direkt oder indirekt über den Behandler nutzt, um ihren Arzttermin zu finden und zu verwalten. Im Sinne der DSGVO ist der Patient immer der Datensubjekt (Endeigentümer der personenbezogenen Daten) und hat immer das Recht, zu bestimmen, was mit seinen Daten geschieht, es sei denn, es gibt gesetzliche Verpflichtungen zur Anforderung (z. B. ein Gerichtsbeschluss, eine strafrechtliche Untersuchung, …).
Praktiker
Der Praktiker ist die natürliche oder juristische Person, die einen Unterauftrag an Doctena vergibt, um ihr einen Online-Terminkalender zur Verfügung zu stellen und Patientendaten zu sammeln. Der Arzt ist der Endempfänger der Patientendaten (MEDIZIN-PATIENT) und legt den Zweck der Datenverarbeitung und -erhebung fest. Es liegt in seiner Verantwortung, bei der Auswahl von Subunternehmern wie Doctena oder einem mit Doctena verbundenen Portalpartner sicherzustellen, dass die Patientendaten sicher und in Übereinstimmung mit den Vorschriften verarbeitet werden. Diese Sicherung erfolgt auf Vertrauensbasis und durch die Verwendung der von Doctena zur Verfügung gestellten Datenverarbeitungsvereinbarungen, in denen klar festgelegt ist, was Doctena im Namen des Praktikers mit den Daten tun darf und welches Sicherheitsniveau Doctena zum Schutz dieser Daten anwendet.
Im Sinne der DSGVO ist der Zahnarzt immer der Verantwortliche für die Verarbeitung (Hauptverantwortlicher) von Patientendaten und Termindaten (MEDIZIN-PATIENT).
Gateway-Partner
Es gibt zahlreiche medizinische Softwareprogramme, die von Arztpraxen intern verwendet werden. Gateway-Partner sind juristische Personen (manchmal dieselben wie der Anbieter der medizinischen Software), die darauf spezialisiert sind, bestimmte Daten der medizinischen Software mit den Diensten von Doctena zu verknüpfen. Bei Integrationen mit Doctena sind nur die Daten des Arztes (MEDICIN-PATIENT) betroffen. Dies kann von der medizinischen Software zu Doctena, von Doctena zur medizinischen Software oder in beide Richtungen geschehen, je nach den Bedürfnissen des Arztes. Doctena bietet auch externe Plugins wie Kalendersynchronisationen (z. B. Cronofy) an, die Doctena-Kalender für Exchange, Gsuite, outlook, … synchronisieren, die ebenfalls als Gateway-Partner betrachtet werden.
In Bezug auf die DSGVO sind die Gateway-Partner immer Subunternehmer des Arztes. Der Arzt muss eine Datenverarbeitungsvereinbarung mit dem Gateway-Partner haben, in der er klar definiert, was mit ihren Daten gemacht werden darf, zu welchem Zweck und wie sie gesichert werden. Die Gateway-Partner werden von Doctena als Subunternehmer des Praktizierenden betrachtet, der die Sekrete oder die Erlaubnis erhalten hat, in ihrem Namen zu handeln. Daher ist keine besondere Vereinbarung zur Datenverarbeitung zwischen Doctena und dem Gateway-Partner erforderlich, es sei denn, es ist eine besondere Verarbeitung zusätzlicher personenbezogener Daten involviert, die eine zusätzliche Vereinbarung erfordert.
Doctena
Die Doctena-Gruppe bezeichnet die Doctena S.A. und ihre Tochtergesellschaften in den verschiedenen Ländern :
Doctena SA – 42, Rue de la Vallée, L-2661 Luxembourg (Luxembourg)
Doctena Austria (formally a3L e-solutions) – Simmeringer Hauptstraße 24, A-1110 Wien (Österreich)
Doctena Belgium Sprl – Square de Meeus 37, B-1000 Brüssel (Belgien)
Doctena Switzerland GmbH – Hagenholzstrasse 81a, 8050 Zürich (Schweiz)
Doctena Germany GmbH – Kurfürstendamm 14, 10719 Berlin (Deutschland)
Doctena Afspraken Sprl – Square de Meeus 37, B-1000 Brüssel (Belgien)
Vereinbarung über die Datenverarbeitung
Doctena hält sich an die in der Verordnung festgelegten Standards, und unsere Nutzungsbedingungen und Datenschutzrichtlinien beschreiben, wie wir die Rechte unserer Nutzer respektieren.
Wir haben eine Datenverarbeitungsvereinbarung (DPA) vorbereitet, die für alle unsere Kunden gleich ist und die Sie als Arzt (Datenverantwortlicher) mit Doctena (Datenverarbeiter) unterzeichnen können, um festzulegen, wie Doctena Ihre Daten verwenden darf. Im Rahmen der DSGVO sind Praktiker verpflichtet, eine solche Vereinbarung mit allen ihren Auftragsverarbeitern zu haben, um die Vorschriften einzuhalten, und Sie sollten sie zu Ihrer eigenen DSGVO-Dokumentation hinzufügen. Das DPA beschreibt die Begriffe der DSGVO, die Rollen und Pflichten bei der Datenverarbeitung sowohl für den Auftragsverarbeiter als auch für den für die Verarbeitung Verantwortlichen. Sie enthält die meisten der Informationen, die wir in diesem Artikel beschreiben.
Unterzeichnen Sie Ihre spezielle Vereinbarung zur Datenverarbeitung mit Doctena
Spezielle Vereinbarung zur Datenverarbeitung mit Doctena als PDF herunterladen
Wenn Sie eine Gateway-Integration in unserem System verwenden, müssen Sie sicherstellen, dass Sie eine Datenverarbeitungsvereinbarung mit diesem Integrator in Kraft haben, in der Sie dem Integrator eindeutig das Mandat erteilen, dass Sie als Datencontroller dem Integrator erlauben, in Ihrem Namen über Ihre Doctena-Ressourcen zu handeln.
Aktivitäten zur Verarbeitung
Doctena definiert die folgenden Dienstleistungen als Teil der ausgelagerten Verarbeitungstätigkeiten, die immer zusammen genommen werden müssen:
(i) Verwaltung von Patientendaten über Arzttermine und Nachsorgeleistungen
(ii) Verwaltung des Terminkalenders/Kalenders des Arztes
(iii) Verwaltung der IT-Infrastruktur, Software, Wartung und Verwaltung in Verbindung mit den im Hauptvertrag genannten Dienstleistungen.
Die Art der Operationen, die mit den Daten für die Zwecke der Punkte durchgeführt werden (i), (ii) und (iii) lautet wie folgt:
Erfassung, Speicherung und Änderung von persönlichen Informationen des Patienten, die vom Arzt zur Terminvereinbarung benötigt werden
Suche nach dem Patientenkonto anhand eines seiner gespeicherten personenbezogenen Daten
Kommunikation mit der betroffenen Person bezüglich ihres Termins unter Verwendung der E-Mail-Adresse oder der (Mobil-)Telefonnummer
Datenimport in Doctena-Dienste mittels der vom Arzt übermittelten strukturierten Daten (z.B. Onboarding)
Automatische Datensicherung
Die Kategorie Betroffene Personen ist: Patienten.
Um die in den Punkten (i), (ii) und (iii) darf der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen die folgenden notwendigen Kategorien personenbezogener Daten verarbeiten, je nachdem, welche Daten vom für die Verarbeitung Verantwortlichen und/oder der betroffenen Person übermittelt wurden:
Persönliche Daten zur Identifizierung: Name, Titel, E-Mail-Adresse, Anschrift (privat und geschäftlich), frühere Adressen, (Mobil-)Telefonnummer (privat und geschäftlich), vom Verantwortlichen für die Verarbeitung zugewiesene Kennungen
Persönliche Informationen: Alter, Geschlecht, Geburtsdatum, Geburtsort, Meldeamt und Staatsangehörigkeit
Elektronische Identifikationsdaten: IP-Adressen, Cookies, Anmeldezeitpunkte, elektronische Signatur
Versorgungsdaten: Daten zu den Ressourcen und Verfahren, die für die medizinische und paramedizinische Versorgung von Patienten verwendet werden (z. B. Arzt-/Patientennotizen, Grund für den Besuch)
Angaben zu anderen Familien- oder Haushaltsmitgliedern: Kinder, Unterhaltsberechtigte, andere Haushaltsmitglieder, Angaben zu Eltern und Verwandten
Pseudonymisierung: Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (z. B. Hash-Passwort)
(nur wenn die Option aktiviert ist) Identifikationsdaten: von öffentlichen Stellen ausgestellt, z. B. Nationale Identifikationsnummer, Sozialversicherungsnummer, Nummer des Personalausweises, Reisepass
Zustimmung des Patienten
Alle Termine, die über unsere Website oder über Widgets, die Sie in Ihre eigene Website einbinden, vereinbart werden, informieren den Patienten über die Datenschutzbestimmungen und darüber, dass Doctena die medizinischen Daten im Auftrag des Arztes verarbeitet. Unsere Dienste sammeln und speichern diese Einwilligung und erleichtern so diesen Prozess im Namen des Praktikers. Der Arzt ist dafür verantwortlich, diese Einwilligung zu verwalten, wenn der Termin nicht online vereinbart wird und wenn er mithilfe eines Gateway-Anbieters in unsere Systeme eingegeben wird.
Die Subunternehmer von Doctena
Wenn wir mit externen Partnern oder Auftragnehmern zusammenarbeiten, verlangen wir, dass sie mindestens die gleichen Sicherheitsstandards anwenden wie wir. Wir wollen in unseren Produktions- und Betriebsketten keine schwachen Glieder in Bezug auf die Sicherheit haben. Doctena veröffentlicht eine Liste ihrer eigenen Subunternehmer (Cloud, SMS, Messaging…) im Rahmen ihres Datenverarbeitungsvertrags. Diese Subunternehmer wurden auf der Grundlage ihrer Einhaltung der Sicherheits- und Vertraulichkeitsregeln ausgewählt. Wir unterhalten mit jedem dieser Auftragsverarbeiter eigene Datenverarbeitungsverträge, in denen wir den Zweck der Verarbeitung festlegen und in denen wir mindestens das gleiche Maß an Sicherheit und Vertraulichkeit anwenden, das den Praktikern im Hauptdatenverarbeitungsvertrag zugesagt wird. Die Subunternehmer von Doctena dürfen keine Daten in einem Drittland (Länder außerhalb der EU/des EWR, es sei denn, sie verfügen über einen gültigen Angemessenheitsbeschluss der Europäischen Kommission zum Schutz personenbezogener Daten) verarbeiten oder übermitteln. Jede Änderung des für die Verarbeitung Verantwortlichen (Auftragsverarbeiters) von Doctena wird allen für die Verarbeitung Verantwortlichen (Praktizierenden) mitgeteilt, die eine Frist von 14 Tagen haben, um gegen diese Änderung Einspruch zu erheben, bevor sie umgesetzt wird.
Aufbewahrung von Daten
Aufgrund der gesetzlichen Aufbewahrungspflichten für medizinische Daten in den verschiedenen Ländern, in denen Doctena tätig ist, haben wir entschieden, dass alle Daten zehn Jahre lang aufbewahrt und dann automatisch anonymisiert werden. Die Daten können auch jederzeit vom Praktiker mithilfe des Online-Tagebuchs anonymisiert werden.
Rechte der Datensubjekte
Um Patienten und Heilpraktikern die Beantwortung häufig gestellter Fragen zur DSGVO zu erleichtern und ihnen die Ausübung ihrer Rechte zu ermöglichen, haben wir unser eigenes Doctena Privacy Center eingerichtet. Unser Datenschutzzentrum wird Ihnen einige Fragen stellen, damit Sie schnell zu den Informationen gelangen, die Sie suchen.
Wenn wir Anfragen zur Durchsetzung von DSGVO-Rechten (Recht auf Berichtigung, Recht auf Löschung, …) erhalten, werden diese Anfragen intern vom Beauftragten für Informationssicherheit (CISO) oder einem speziell ausgebildeten Support-Mitarbeiter bearbeitet und bestätigt. Wenn die Anfrage gültig ist, können je nach Typ zwei Arten von Aktionen stattfinden.
Bei Anfragen zu MEDIZIN-PATIENTEN wird die Anfrage immer an den für die Verarbeitung Verantwortlichen (Praktiker) weitergeleitet. Doctena wird den Antrag nur ausführen, wenn dieser seine ausdrückliche Zustimmung zu der Aktion gibt.
Bei Anfragen im Zusammenhang mit COMPTE-DOCTENA wird die Anfrage ohne Beteiligung des Praktizierenden ausgeführt.
Wir versprechen in unserer Datenschutzrichtlinie, dass jede derartige Anfrage innerhalb eines Monats erledigt wird, sodass beide Seiten genügend Zeit haben, darauf zu reagieren. Alle wichtigen Sicherheitsvorfälle oder -anfragen werden an unseren CISO weitergeleitet und von ihm persönlich verfolgt, wodurch eine sofortige Reaktion oder Maßnahme gewährleistet ist.
Benachrichtigungen
Doctena wird den Controller (Praktiker) spätestens 48 Stunden nach Kenntnisnahme per E-Mail über jede Verletzung der personenbezogenen Daten informieren. Die Meldung wird zusammen mit allen erforderlichen Unterlagen versandt, damit der für die Verarbeitung Verantwortliche (Praktiker) diese Verletzung gegebenenfalls der zuständigen Aufsichtsbehörde melden kann.
Ort der Datenverarbeitung und -speicherung
Die Serverinfrastruktur von Doctena wird bei Amazon Web Services gehostet und nutzt ausschließlich Rechenzentren in der Region Frankfurt (eu-central-1), um sicherzustellen, dass die Daten die EU nie verlassen. Amazon Web Services ist vollständig mit der DSGVO konform, zu der Sie unter dem folgenden Link weitere Informationen erhalten können.
https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/
Warum ein externer Datenschutzbeauftragter?
Wir hätten uns auch für einen internen DSB entscheiden können, aber da wir gegenüber Patienten, Behandlern und Behörden sehr transparent sein wollten, entschieden wir uns dafür, diese Rolle einem unparteiischen externen Unternehmen zu übertragen, das sich auf Datenschutz und die Entwicklung von Vorschriften spezialisiert hat. Dieses Unternehmen fungiert als Vermittler zwischen den betroffenen Personen (den Patienten) und Doctena, um die ordnungsgemäße Durchsetzung der Patientenrechte zu gewährleisten. Im Falle einer Nichteinhaltung durch Doctena ist der DSB verpflichtet, die entsprechenden Behörden zu informieren. Dies zwingt uns, über die Anforderungen und ihre jährlichen Audits auf dem Laufenden zu bleiben, und unsere regelmäßigen Treffen helfen Doctena dabei, konform zu bleiben.
Kemal Webersohn, LL.M
WS Datenschutz GmbH
Meinekestraße 13
10719 Berlin (Germany)
Fax: +49 30 88 72 07 88
Website: www.ws-datenschutz.de
E-Mail:
DSGVO-Zertifikate
Deutschland: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Germany.pdf
Österreich: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Austria.pdf
Belgien: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Belgium.pdf
Luxemburg: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Luxembourg.pdf
Schweiz: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Switzerland.pdf
Wenn Sie Fragen zur DSGVO und Ihrer Nutzung von Doctena haben, können Sie uns gerne eine E-Mail schicken.
Bitte beachten Sie, dass dieser Artikel nur zu Informationszwecken dient und keinesfalls als Rechtsberatung angesehen werden sollte.
Links
Von Doctena eingesetzte Sicherheitsmaßnahmen: https://www.doctena.com/de-at/sicherheit/