Das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Auch unsere Kundinnen und Kunden haben einige Neuerungen zu beachten, die eine Anpassung oder Erweiterung der bisherigen Richtlinien und Datenbearbeitungsprozesse für Personendaten erfordern können.
Mit der Totalrevision des DSG wird dieses den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Damit Gesundheitsfachpersonen auf die Neuerungen vorbereitet sind, sollten sie sich baldmöglichst mit dem Thema auseinandersetzen. Denn nDSG und DSV können Anpassungen in Ihren Richtlinien und Datenbearbeitungsprozessen erfordern.
Diese Daten sind betroffen
In Arztpraxen und anderen Institutionen des Gesundheitswesens werden zahlreiche Personendaten bearbeitet, die vom nDSG und der DSV betroffen sind. Dazu gehören beispielsweise:- Stamm- und Kontaktdaten von Patienten, Mitarbeitenden, Ansprechpersonen von Dienstleistern oder anderen Gesundheitseinrichtungen (z. B. Namen, Telefonnummer, Anschrift, E-Mail-Adresse oder auch das Geburtsdatum).
- Aufzeichnungen über den Verlauf einer Behandlung, Symptombeschreibungen, Diagnosen, Verordnungen, Reaktionen, Laborresultate, Röntgenbilder, Medikationen.
- Sozialversicherungsstatus.
- Daten über Intimsphäre wie etwa der Gesundheitszustand, das Sexualleben oder die Gefühlswelt.
- Daten zu Mitarbeitenden und dem Anstellungsverhältnis inklusive Leistungsbeurteilungen und Lohnabrechnungen.
Übersicht wichtiger Änderungen
Für Arztpraxen und Institutionen des Gesundheitswesens sind in erster Linie nachfolgende Änderungen relevant:
Clemens Hüppe ist Head of Compliance and Risk bei HIN.
- Der Umfang besonders schützenswerter Personendaten wird erweitert um genetische und biometrische Daten, sofern diese eine natürliche Person eindeutig identifizieren. Die strengeren Bedingungen an die Bearbeitung besonders schützenswerter Personendaten gelten nun auch für diese Arten von Daten.
- Das heute geltende Register der Datensammlungen wird abgelöst durch ein Verzeichnis der Bearbeitungstätigkeiten. Damit stehen nicht mehr die Datensammlungen im Fokus, sondern die Art und Weise sowie der Zweck einer Bearbeitung von Personendaten. Für Details siehe «Leitfaden Verzeichnis der Bearbeitungstätigkeiten» sowie «Vorlage Verzeichnis der Bearbeitungstätigkeiten» auf der Informationsseite der FMH.
- Neu sieht das Gesetz die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Bearbeitung geplant ist, welche voraussichtlich ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person mit sich bringt. Ein solches Risiko kann beispielsweise vorliegen, wenn besonders schützenswerte Personendaten wie Gesundheitsdaten bearbeitet werden oder wenn neue Technologien (z. B. Cloud-Produkte, Künstliche Intelligenz) bei der Bearbeitung der Personendaten zum Einsatz kommen. Von einer Datenschutz-Folgenabschätzung kann abgesehen werden, wenn die Bearbeitung aufgrund einer gesetzlichen Vorgabe erfolgt, wenn die eingesetzten Systeme, Produkte oder Dienstleistungen für die vorgesehene Bearbeitung zertifiziert sind oder wenn ein dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgelegter Verhaltenskodex eingehalten wird.
- Das revidierte Datenschutzgesetz sieht eine Meldepflicht für Verletzungen der Datensicherheit vor. Für Details siehe «Checkliste und Prozessablauf bei Datenschutzverletzungen» auf der Informationsseite der FMH.
- Die Strafbestimmungen werden verschärft.
Datenbearbeitung: Das müssen Akteure des Gesundheitswesens beachten
Die Datenbearbeitung nach dem DSG umfasst jeden Umgang mit Personendaten wie etwa Beschaffung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Archivierung und Vernichtung von Daten, unabhängig von angewandten Mitteln und Verfahren. Bei der Bearbeitung von Personendaten gelten folgende Grundsätze:- Die Bearbeitung von Personendaten ist grundsätzlich rechtmässig, wenn die geltende Rechtsordnung und die Datenschutzvorgaben eingehalten werden.
- Im Zusammenhang mit der Bearbeitung von Personendaten haben Akteure des Gesundheitswesens gegenüber betroffenen Personen (unter anderem Patientinnen und Patienten) eine Informations- und Aufklärungspflicht. Sie haben die Patientinnen und Patienten in verständlicher Art und Weise darüber zu informieren, zu welchem Zweck die Personendaten erhoben und bearbeitet werden und an welche Kategorien von Empfängern eine Weitergabe der Daten erfolgt.
- Akteure des Gesundheitswesens setzen für eine ausreichende Patienteninformation entsprechende Aufklärungsformulare ein, welche nach erfolgtem Aufklärungsgespräch durch die Patientin bzw. den Patienten unterzeichnet werden und damit unter anderem bestätigen, dass sie mit der Datenbearbeitung einverstanden sind. Eine Mustervorlage hierfür liefert die FMH, siehe «Einwilligungserklärung / Patientenformular» auf der Informationsseite der FMH.
- Die Erhebung sowie der Zweck der Bearbeitung haben transparent und nach Treu und Glauben zu erfolgen. Sofern die Datenbeschaffung und der Zweck der Bearbeitung für die betroffene Person nicht ersichtlich sind, muss sie darüber informiert werden. Treu und Glauben bedeutet auch, dass die Daten nur so bearbeitet werden, wie es die betroffene Person erwarten kann.
- Die Bearbeitung der Personendaten hat verhältnismässig zu erfolgen. Die Verhältnismässigkeit ist gegeben, wenn die Bearbeitung auf die Daten beschränkt wird, die für die Erfüllung der Aufgabe oder die Erreichung des angegebenen Zwecks geeignet und notwendig ist. Weiter bedeutet die Verhältnismässigkeit, dass Personendaten nur so lange aufbewahrt werden sollen, wie sie auch tatsächlich für die Aufgabenerfüllung benötigt werden oder eine gesetzliche Aufbewahrungspflicht dies erfordert. Werden Personendaten nicht mehr benötigt und steht einer Löschung keine gesetzliche Aufbewahrungspflicht entgegen, sind sie unwiderruflich zu löschen.
- Die Bearbeitung muss zweckmässig sein. Die Zweckmässigkeit ist gegeben, wenn die Bearbeitung von Personendaten nur zu dem Zweck erfolgt, welcher definiert und bei der Beschaffung der Daten angegeben wurde.
- Sind die Personendaten nicht korrekt, sind diese zu berichtigen oder zu löschen.
Diesen Beitrag leistet HIN
HIN ist zertifiziert gemäss ISO/IEC 27001:2017 und gemäss dem Anhang 8 der Verordnung des EDI über das elektronische Patientendossier. Aufgrund unserer fortlaufenden Verpflichtung gegenüber Datenschutz und Informationssicherheit …- … erweitern wir zurzeit unsere Richtlinien, Prozesse und Schulungsinhalte gemäss den Anforderungen von nDSG und DSV. Im Jahr 2024 werden wir diese auch gemäss den zusätzlichen Anforderungen von ISO/IEC 27001:2022 erweitern.
- … überarbeiten wir zurzeit unsere Vertragsbestandteile mit Kunden und Lieferanten. Über die erwarteten Änderungen und Neuerungen werden wir Sie zu einem späteren Zeitpunkt informieren.
Über Clemens Hüppe
Clemens Hüppe ist als Head of Compliance and Risk verantwortlich für die Vorgabedokumente und die Auditierung der Einhaltung der gesetzlichen und normativen Vorgaben sowie für das Management der Risiken für Datenschutz und Informationssicherheit. Er berichtet direkt an die Geschäftsleitung. Er ist massgeblich involviert bei der erhaltenen Zertifizierung der AD Swiss EPD Gemeinschaft gemäss EPDV-EDI Anhang 2 und bei den bestehenden Zertifizierungen der Health Info Net AG gemäss EPDV-EDI Anhang 8 sowie gemäss ISO/IEC 27001. Clemens Hüppe bringt über 25 Jahre Erfahrung in den Bereichen IT Security Engineering, Information Security Management und Certification bei Schweizerischen und internationalen Unternehmen in unterschiedlichen Branchen mit. Zum Entspannen geht Clemens gerne Wandern, Schwimmen, Velo fahren oder Langlaufen.