Dieses Dokument ist sowohl für zukünftige und bestehende Kunden (Behandler) als auch für Gateway-Partners gedacht. Es beschreibt, wo, warum und wie Doctena S.A. und ihre Tochtergesellschaften Sicherheit und Compliance für die von ihnen angebotenen Dienstleistungen umsetzen.

Das Dokument beginnt mit dem Compliance-Teil, indem es beschreibt, welche unterschiedlichen Rollen und Verantwortlichkeiten Patienten, Behandler, Gateway-Partner und Doctena im Rahmen von GDPR übernehmen. Dieser Teil beschreibt auch einige wichtige Elemente, wie wir Compliance mit Hilfe von Datenverarbeitungsvereinbarungen durchsetzen.

Patient

Der Patient ist die Person, die die Dienstleistungen von Doctena direkt oder indirekt über den Arzt nutzt, um seinen Arzttermin zu finden und zu verwalten. Im Sinne der GDPR ist der Patient immer das Betroffene (Endbesitzer der persönlichen Daten) und hat immer das Recht zu bestimmen, was mit seinen Daten geschieht, es sei denn, es bestehen gesetzliche Verpflichtungen zum Antrag (z.B. Gerichtsbeschluss, strafrechtliche Untersuchung, …)

Behandler

Der Behandler ist die natürliche oder juristische Person, die Doctena mit der Bereitstellung einer Online-Agenda und der Erfassung der zugehörigen Patientendaten beauftragt. Der Behandler ist der endgültige Empfänger der Patientendaten (DOCTOR-PATIENT) und definiert den Zweck der Verarbeitung und Datenerfassung. Es liegt in seiner Verantwortung, bei der Auswahl von Subunternehmern wie Doctena oder einem mit Doctena verbundenen Gateway-Partner für einen sicheren und vorschriftsmäßigen Umgang mit den Patientendaten zu sorgen. Diese Sicherheitsdurchsetzung erfolgt im guten Vertrauen und durch die Verwendung von Datenverarbeitungsvereinbarungen, die von Doctena zur Verfügung gestellt werden und die klar definieren, was Doctena im Namen des Behandlers mit den Daten tun darf und welches Sicherheitsniveau Doctena zum Schutz dieser Daten implementiert.

Im Sinne der GDPR ist der Behandler immer der Verantwortliche (Hauptverantwortlicher) für die Patientendaten und die zugehörigen Termindaten (DOCTOR-PATIENT).

Gateway-Partner

Es gibt viele verschiedene medizinische Software, die von den Praxen/Schränken intern verwendet werden. Gateway-Partner sind juristische Personen (manchmal die gleichen wie der Anbieter der medizinischen Software)
die darauf spezialisiert sind, einige Daten aus der medizinischen Software mit den Doctena-Diensten zu verknüpfen. Bei der Integration mit Doctena sind nur die Daten des Arztes (DOCTOR-PATIENT) betroffen. Dies kann von der medizinischen Software zu Doctena, von Doctena zur medizinischen Software oder in beide Richtungen erfolgen, je nach den Bedürfnissen des Arztes. Doctena stellt auch externe Plugins wie Kalender-Synchronisationen (z.B. Cronofy) zur Verfügung, die Doctena-Agenda’s zum Austausch synchronisieren, gsuite, outlook, … die auch als Gateway-Partner betrachtet werden.

Im Sinne von GDPR sind Gateway-Partner immer Prozessoren (Unterauftragnehmer) des Behandlers. Der Behandler muss eine Datenverarbeitungsvereinbarung mit dem Gateway-Partner haben.
Der Behandler legt klar fest, was mit seinen Daten gemacht werden kann und zu welchem Zweck und wie sie gesichert werden. Gateway-Partner werden von Doctena als Subprozessor des Behandlers, der die Beglaubigungen/Erlaubigungen erhalten hat, um in ihrem Namen zu handeln. Daher ist keine spezielle Datenverarbeitungsvereinbarung zwischen Doctena und dem Gateway-Partner erforderlich, es sei denn, es handelt sich um eine spezielle zusätzliche Verarbeitung personenbezogener Daten, die eine zusätzliche Vereinbarung erfordert.

Doctena

Die Doctena-Gruppe bezieht sich auf Doctena S.A. und ihre Tochtergesellschaften in den verschiedenen Ländern:

Doctena SA – 6 Rue Adolphe, L-1116 Luxembourg (Luxembourg)
Doctena Austria (formally a3L e-solutions) – Simmeringer Hauptstraße 24, 1110 Wien (Austria)
Doctena Belgium Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)
Doctena Switzerland GmbH – Hagenholzstrasse 81a, 8050 Zürich (Switzerland)
Doctena Germany GmbH – Kurfürstendamm 14, 10719 Berlin (Germany)
Doctena Netherlands BV – Barbara Strozzilaan 201, 1083 HN Amsterdam (Netherlands)
Doctena Afspraken Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)

Datenverarbeitungsvereinbarung

Doctena hält sich an die in der Verordnung festgelegten Standards und unsere Nutzungsbedingungen und Datenschutzerklärung beschreiben, wie wir die Rechte unserer Nutzer respektieren.

Wir haben eine für alle unsere Kunden gleiche Datenverarbeitungsvereinbarung (DPA) vorbereitet, die Sie als Behandler (Datenverantwortlicher) mit Doctena (Datenverarbeiter) unterzeichnen können, um festzulegen, wie Doctena Ihre Daten verwenden darf. Als Teil der GDPR sind Behandler verpflichtet, eine solche Vereinbarung mit allen ihren Subunternehmern zu haben, um die Verordnung einzuhalten, und Sie sollten sie Ihrer eigenen GDPR-Dokumentation beifügen. Die Datenschutzbestimmungen beschreiben die GDPR-Bedingungen, die Rollen und die Verpflichtungen der Datenverarbeitung sowohl für den Auftragsverarbeiter als auch für den für die Verarbeitung Verantwortlichen. Sie enthält die meisten Informationen, die wir in diesem Artikel beschreiben.



Vertrag über die Datenverarbeitung mit Doctena unterzeichnen

Download Muster-PDF für Datenverarbeitungsvertrag mit Doctena

Wenn Sie eine Gateway-Integration in unser System verwenden, müssen Sie sicherstellen, dass Sie eine Datenverarbeitungsvereinbarung mit diesem Integrator abgeschlossen haben, in der Sie dem Integrator eindeutig den Auftrag erteilen, dass Sie als für die Datenverarbeitung Verantwortlicher dem Integrator erlauben, in Ihrem Namen auf Ihre Doctena-Ressourcen einzuwirken.

Verarbeitungstätigkeiten

Doctena definiert die folgenden Leistungen als Teil der immer zusammenzufassenden Lohnveredelungsaktivitäten:

(i) Verwaltung der Patientendaten in Bezug auf seine Arzttermine und Nachsorgeleistungen;

(ii) Verwaltung der Agenda/des Kalenders des Arztes;

(iii) Verwaltung der IT-Infrastruktur, Software, Wartung und administration im Zusammenhang mit den Dienstleistungen des Hauptvertrags.

Die Art der Operationen, die mit den Daten für die Zwecke der Ziffern i), ii) und iii) durchgeführt werden, sind:

> Erfassung, Speicherung und Änderung der persönlichen Daten des Patienten, die der Arzt für die Organisation des Termins benötigt;

> Suche des Patientenkontos unter Verwendung seiner gespeicherten persönlichen Daten; Kommunikation mit der betroffenen Person per E-Mail oder (Mobil-)Telefon;

> Datenimport in Doctena-Dienste unter Verwendung der vom Arzt bereitgestellten strukturierten Daten (z.B. Onboarding);

> Automatische Datensicherung.

Die Kategorie der betroffenen Person ist: Patienten.

Da es mehrere Arten von Daten gibt, die im Rahmen Ihrer Nutzung in unsere Systeme eingehen können, nehmen wir die gängigsten Datenkategorien, die typischerweise in unserem System verwendet werden, in die Vereinbarung zur Datenverarbeitung auf. Dies bedeutet nicht, dass Sie oder die Patienten verpflichtet sind, alle Arten von Daten zu teilen, sondern dass Doctena berechtigt ist, diese Daten im Namen des Arztes zu verarbeiten, wenn sie in unsere Arzt-/Patientennotizen oder bei der allgemeinen Nutzung unseres Systems eingegeben werden. Dies sind die Kategorien und Arten von Daten, die von unserem Service erfasst werden können

1. Persönliche Daten zur Identifizierung: Name, Titel, E-Mail-Adresse, Anschrift (privat und beruflich), frühere Anschriften, (Mobil-)Telefonnummer (privat, beruflich), vom Datenverantwortlichen vergebene Kennungen;

2. Angaben zur Person: Alter, Geschlecht, Geburtsdatum, Geburtsort, Standesamt und Staatsangehörigkeit;

3. Daten elektronischer Identifikation: IP-Adressen, Cookies, Verbindungsmomente, elektronische Signatur.

4. Behandlungsbezogene Daten: Angaben zu den für die medizinische und paramedizinische Versorgung der Patienten verwendeten Ressourcen und Verfahren (z.B. Arzt-/Patientennotizen, Besuchsgrund).

5. Angaben zu anderen Familienmitgliedern oder zum Hausstand: Kinder, unterstützte Personen, andere Haushaltsmitglieder, Informationen über Eltern und Verwandte.

6. Pseudonymisierung: Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (z.B. Hash-Credentials).

7. (nur wenn Option aktiviert ist) Identifikationsdaten: von öffentlichen Diensten, z.B. nationale Identifikationsnummer, Sozialversicherungsnummer, Nummer des Personalausweises, Reisepass.

Einwilligung des Patienten

Bei allen Terminen, die Sie über unsere Website oder über Widgets in Ihre eigene Website, vereinbaren, informieren wir den Patienten über die Datenschutzbestimmungen und die Tatsache, dass Doctena medizinische Daten im Auftrag des Behandlers verarbeitet. Unsere Dienste sammeln und speichern diese Einwilligung, um diesen Prozess im Namen des Behandlers zu erleichtern. Der Behandler ist für die Verwaltung dieser Einwilligung verantwortlich, wenn der Termin nicht online gebucht wird und wenn er über einen Gateway-Provider in unsere Systeme eingegeben wird.

Doctena-Subunternehmer

Wenn wir mit externen Partnern oder Subunternehmern zusammenarbeiten, verlangen wir von ihnen, dass sie mindestens die gleichen Sicherheitsstandards anwenden wie wir. Wir wollen keine Schwachstellen in unserer Produktions- und Betriebskette haben, wenn es um Sicherheit geht. Doctena veröffentlicht im Rahmen des Datenverarbeitungsvertrages eine Liste der eigenen Subunternehmer (Cloud, SMS, E-Mail-Dienste…). Diese Subunternehmer wurden nach der Einhaltung der Sicherheits- und Datenschutzbestimmungen ausgewählt. Wir unterhalten eigene Datenverarbeitungsvereinbarungen mit jedem dieser Verarbeiter (Unterauftragnehmer), in denen wir den Zweck der Verarbeitung definieren und in denen wir mindestens das gleiche Sicherheits-/Privatheitsniveau durchsetzen, das den Behandlern in der Hauptvereinbarung zur Datenverarbeitung zugesagt wird. Den Auftragsverarbeitern (Unterauftragnehmern) von Doctena ist es untersagt, Daten in einem Drittland (Länder außerhalb der EU/EEA) zu verarbeiten oder zu übermitteln, es sei denn, sie verfügen über eine gültige Angemessenheitsentscheidung der Europäischen Kommission zum Schutz personenbezogener Daten). Jeder Wechsel des Verarbeiters (Unterauftragnehmers) von Doctena wird allen für die Verarbeitung Verantwortlichen (Behandlern) mitgeteilt, die 14 Tage Zeit haben, um dieser Änderung zu widersprechen, bevor sie umgesetzt wird.


Datenaufbewahrungsrichtlinien

Aufgrund der gesetzlichen medizinischen Datenspeicherungspflichten in den verschiedenen Ländern, in denen Doctena tätig ist, haben wir uns entschieden, dass alle Daten 10 Jahre gespeichert und dann automatisch anonymisiert werden. Die Daten können auch jederzeit vom Arzt über die Online-Agenda anonymisiert werden.


Rechte der betroffenen Personen

Um sowohl Patienten als auch Ärzten die Beantwortung häufig gestellter Fragen zu GDPR zu erleichtern und ihnen die Wahrnehmung ihrer Rechte zu ermöglichen, haben wir ein eigenes Doctena-Datenschutzzentrum eingerichtet. Unser Datenschutzzentrum stellt Ihnen einige Fragen, damit Sie schnell zu den Informationen gelangen, die Sie suchen.


Öffnen Sie das Datenschutzzentrum Doctena


Wenn wir Anfragen zur Ausübung der GDPR-Rechte (Recht auf Berichtigung, Recht auf Löschung, …) erhalten, werden diese Anfragen intern durch den Chief Information Security Officer (CISO) oder einen speziell geschulten Support Officer bearbeitet und validiert. Wenn die Anfrage gültig ist, kann abhängig von der Art der Anfrage zwei Arten von Aktionen stattfinden.

> Bei DOCTOR-PATIENT-bezogenen Anfragen wird die Anfrage immer an den Controller (Behandler) weitergeleitet. Nur wenn dieser der Aktion ausdrücklich zustimmt, wird Doctena die Anfrage ausführen.
> Bei DOCTENA-ACCOUNT-bezogenen Anfragen wird die Anfrage ohne Beteiligung des Behandlers ausgeführt.
Wir versprechen in unserer Datenschutzerklärung, dass solche Anfragen innerhalb eines Monats ausgeführt werden, um beiden Parteien ausreichend Zeit zur Beantwortung zu geben. Alle wichtigen Sicherheitsvorfälle/Anfragen werden von unserem CISO weitergeleitet und persönlich verfolgt, um sicherzustellen, dass sie sofort beantwortet werden.

Meldungen

Doctena benachrichtigt den Verantwortlichen (Behandler) per E-Mail über jede Datenschutzverletzung spätestens 48 Stunden, nachdem er davon Kenntnis erlangt hat. Die Benachrichtigung wird zusammen mit der notwendigen Unterlagen, die es dem für die Verarbeitung Verantwortlichen (Behandler) ermöglichen, diesen Verstoß gegebenenfalls der zuständigen Aufsichtsbehörde zu melden.



Datenverarbeitung und Speicheror

Die Serverinfrastruktur von Doctena wird bei Amazon Web Services gehostet und nutzt ausschließlich Rechenzentren im Raum Frankfurt (eu-central-1), um sicherzustellen, dass die Daten niemals die EU verlassen. Amazon Web Services ist vollständig konform mit der Datenschutz-Grundverordnung (GDPR), über die Sie unter dem unten stehenden Link weitere Informationen erhalten.

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

Warum ein externer Datenschutzbeauftragter?

Wir hätten einen internen datenschutzbeauftragen wählen können, aber da wir für Patienten, Ärzte und Autoritäten sehr transparent sein wollten, haben wir uns entschieden, diese Rolle einem externen, unparteiischen Unternehmen zu übertragen, das auf Datenschutz und die Entwicklung der Verordnung spezialisiert ist. Diese fungieren als Vermittler zwischen den betroffenen Personen (Patienten) und Doctena, um sicherzustellen, dass die Rechte der Patienten ordnungsgemäß wahrgenommen werden. Bei Nichteinhaltung durch Doctena ist der Datenschutzbeauftragte verpflichtet, dies den entsprechenden Behörden zu melden. Dies zwingt uns dazu, die Anforderungen und deren jährliche Audits zu überwachen. Unsere regelmäßigen Treffen helfen Doctena dabei, die Anforderungen einzuhalten.



Kemal Webersohn, LL.M

WS Datenschutz GmbH
Meinekestraße 13
10719 Berlin (Germany)


Fax : +49 30 88 72 07 88
Website: www.ws-datenschutz.de


Email :

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]



DSGVO Zertifikate

Belgium: https://doctena.com/media/fab067bb-a4ca-46c6-b866-3b7fcbdca1e1.pdf. 

Deutschland: https://doctena.com/media/8bc979e5-44ea-43bc-88e1-591f35c5a6ab.pdf. 

Luxembourg: https://doctena.com/media/3bc9a829-1dbe-45eb-8ed2-0d15dd6bbd67.pdf. 

Österreich: https://doctena.com/media/6e0d97ee-5546-4770-a4e5-7691f52ddc22.pdf. 

Schweiz: https://doctena.com/media/43028632-2199-4e21-9aa7-450a80df5f7d.pdf. 

Wenn Sie Fragen zur DSGVO und Ihrer Nutzung von Doctena haben, können Sie sich gerne per E-Mail an uns wenden:

[email protected]

Bitte beachten Sie, dass diese Mitteilung ausschließlich zu Informationszwecken erfolgt und nicht als Rechtsberatung aufzufassen ist.

Links

https://dsgvo-gesetz.de/


Sicherheitsmaßnahmen, die von Doctena implementiert wurden : https://www.doctena.com/sicherheit.