Richtlinie zur Datenbearbeitung

Transkript

1 Umgang mit Persnendaten bei Health Inf Net AG (HIN) 1 Grundlegende Bestimmungen 1.1 Zweck und Geltungsbereich Im Gesundheitswesen herrschen im Umgang mit medizinischen Daten verschärfte Datenschutzbestimmungen. Als Anbieterin vn datenbezgenen Dienstleistungen im Gesundheitswesen (Verschlüsselung, Transprt, Zugriffskntrlle) anerkennt HIN (Health Inf Net AG, Winterthur) die besndere Relevanz des Schutzes persnenbezgener Daten im medizinischen Bereich. Für Persnendaten, die für Aufbau und Erhalt der Beziehungen zu den Kundinnen und Kunden des Unternehmens angelegt werden, gilt die für Unternehmen in Ausführung ihrer Tätigkeit übliche Praxis, hingegen gibt es keine branchenspezifischen Einschränkungen. Die vrliegende Richtlinie zum Datenschutz regelt den Umgang vn HIN mit Persnendaten. Sie sll transparent machen, welche Daten zu welchem Zweck gespeichert werden, und wer darüber verfügt der Einsicht hat. 1.2 Rechtliche Grundlagen Rechtliche Grundlage bildet das Schweizer Recht, insbesndere die Bestimmungen über Datenschutz (DSG, VDSG). Darüber hinaus gelten spezielle Bestimmungen für Internet-Service-Prvider. Für abgeschlssene Verträge gilt das Schweizer Obligatinenrecht. Neben dem jeweiligen Vertragsinhalt sind die Allgemeinen Geschäftsbedingungen, die Rahmenbestimmungen für die elektrnische Datenkmmunikatin vn HIN und die Leistungsbeschreibungen der jeweiligen Prdukte als Vertragsbestanteil ebenfalls bindend. 1.3 Grundsätze der Datenbearbeitung Persnendaten sind alle Angaben, die sich auf eine bestimmte der bestimmbare Persn beziehen 1. Für die Bearbeitung slcher Daten (beschaffen, aufbewahren, verwenden, umarbeiten, bekanntgeben, archivieren der vernichten) frmuliert HIN flgende Grundsätze: HIN legt nur Datensammlungen an, die für den angegebenen Zweck ntwendig sind. HIN srgt für den sicheren Transprt vn Daten und s. Dazu werden die Hülldaten einer Transaktin gespeichert. Inhalte vn Transaktinen werden nur im Rahmen autmatischer Server-Backups gespeichert. HIN verkauft keine Daten an Dritte. HIN kauft keine widerrechtlich angelegte Sammlung vn Persnendaten. HIN gibt keine Persnendaten an Dritte weiter, ausser wenn dies für die Erbringung einer vertraglichen Dienstleistung am Kunden nötig ist. Dieser Fall ist in der Leistungsbeschreibung des jeweiligen Prduktes geregelt. Jede Persn, deren Daten HIN bearbeitet, kann vm Auskunftsrecht Gebrauch machen. HIN muss begründen, wenn dieses Auskunftsrecht im Einzelfall eingeschränkt wird. 1 Art. 3 lit. a DSG Health Inf Net AG, Ausgabe V1.6 September 2010 Seite 1 vn 5

2 Umgang mit Persnendaten bei Health Inf Net AG (HIN) 2 Datenhaltung bei HIN 2.1 Datensammlungen Nachflgend sind die für den Betrieb, Administratin, Kmmunikatin mit den Kundinnen/Kunden und gesetzlich ntwendigen Datensammlungen aufgeführt, die vn HIN angelegt werden. Für jede Datensammlung ist festgelegt, zu welchem Zweck sie angelegt wurde, wer auf die Daten zugreifen und diese bearbeiten kann und b diese unter strengen Bedingungen (siehe Kapitel 4.2) an HIN Vertragspartner weitergegeben werden. Kundenstammdaten (Administratin & Kundendienst) Kntaktinfrmatinen für die HIN Identität als Teilbereich der Kundenstammdaten (HIN Identität, HIN Teilnehmerverzeichnis) HIN -Adresse (wichtiges Element der Kntaktinfrmatinen) Prduktbezgene Daten, Verträge, Rechnungsdaten (Administratin & Kundendienst) Daten über erflgte Kundenkntakte und Krrespndenz (Administratin & Kundendienst) Zweck der Datensammlung: Pflege der Kundenbeziehung Bearbeitung und Zugriff durch HIN Mitarbeitende bestimmen vertraglich vereinbarten Leistung Zweck der Datensammlung: Anbieten vn Verzeichnisdiensten für HIN Teilnehmende, pt ut durch Kunde möglich z.b. Testab Ntwendige Grundfunktin einer PKIbasierenden Identitäts- und Rechtemanagement- Plattfrm Bearbeitung und Zugriff durch HIN Mitarbeitende bestimmen vertraglich vereinbarten Leistung Zweck der Datensammlung: Pflege der Kundenbeziehung Anbieten vn Verzeichnisdiensten für HIN Teilnehmende; pt ut durch Kunde möglich Bearbeitung durch HIN Mitarbeitende Einsicht für alle HIN Teilnehmende über den geschützten Bereich des HIN Teilnehmerverzeichnis Zweck der Datensammlung: Erfüllung vn vertraglichen Leistungen Bearbeitung und Zugriff nur durch HIN Mitarbeitende vertraglich vereinbarten Leistung Zweck der Datensammlung: Pflege der Kundenbeziehung z.b. technische Supprtfälle der administrative Anliegen Bearbeitung und Zugriff nur durch HIN Mitarbeitende Health Inf Net AG, Ausgabe V1.6 September 2010 Seite 2 vn 5

3 Umgang mit Persnendaten bei Health Inf Net AG (HIN) Datensammlungen mit unveränderbaren Daten Knnektinsdaten Zweck der Datensammlung: Betrieb der Applikatinen und Erfüllung gesetzlicher Pflichten für Internet Service Prvider Bearbeitung: keine, keine Veränderung möglich Zugriff nur durch speziell berechtigte HIN Mitarbeitende HIN Audit Trail-Daten Zweck der Datensammlung: Sicherstellung der Nachvllziehbarkeit aller Transaktinen auf der HIN Plattfrm Zentrales Hilfsmittel zur Beurteilung der Einhaltung der HIN Security Plicies Wichtiges Element zur Verhinderung vn Missbrauch der HIN Plattfrm Nur Persnen mit einer der flgenden Rllen haben Einsichtsrecht: HIN Security Officer HIN Supprt und HIN Betrieb HIN Kunde, ausschliesslich Einsichtsrechte in den eigenen Audit Trail Dritte auf gerichtliche Anrdnung hin Bearbeitung: keine, keine Veränderung möglich 2.2 Technischer Schutz vn Daten HIN trifft rganisatrische und technische Vrkehrungen zum Schutz der angelegten Datensammlungen. Der Schutz umfasst flgende Risiken: unbefugte der zufällige Vernichtung; zufälliger Verlust; technische Fehler; Fälschung, Diebstahl der widerrechtliche Verwendung; unbefugtes Ändern, Kpieren, Zugreifen der andere unbefugte Bearbeitungen. Die getrffenen Massnahmen werden laufend dem neuen Stand der Technik angepasst. Health Inf Net AG, Ausgabe V1.6 September 2010 Seite 3 vn 5

4 Umgang mit Persnendaten bei Health Inf Net AG (HIN) 3 Umgang mit Persnendaten bei HIN 3.1 Wer arbeitet mit Persnendaten? Die in Kapitel 2.1 beschriebenen Datensammlungen werden aufgrund der Angaben bei der Anmeldung der HIN Teilnehmenden resp. bei der Nutzung der HIN Dienste angelegt. Die bei der Anmeldung gemachten Angaben werden vn HIN im Rahmen der Qualitätssicherung vr der Freischaltung des HIN Ab auf Krrektheit überprüft. Für das Gesundheitswesen relevante und wichtige Daten werden in den zentralen Registern und Listen überprüft. Verschiedene Aktivitäten des perativen Betriebs wie das Pflegen der Kundenbeziehung, der technische Betrieb, die Verrechnung der Dienstleistung und der Krrespndenz erfrdern die Nutzung dieser Daten. Die Nutzung findet in unterschiedlichen Organisatinseinheiten statt: HIN Calldesk, HIN Backffice, HIN Supprt, HIN Management, HIN Rechenzentrum. Die beschriebenen Aktivitäten werden durch das Persnal vn HIN ausgeführt. Dieses untersteht der Schweigepflicht, welche arbeitsvertraglich geregelt ist. 3.2 Wer darf Persnendaten mutieren? Eine Persn darf nur die Daten mutieren, die sie selber betreffen. Jede Persn, die in den in Kapitel 2.1 beschriebenen, veränderbaren Datensammlungen geführt wird, hat flgende Rechte: Recht auf Auskunft Jede Persn, deren Daten HIN bearbeitet, kann vm Auskunftsrecht Gebrauch machen. Es gelten auch die im Gesetz genannten Einschränkungen des Auskunftsrecht 2, insbesndere gewährt HIN keinen Einblick in Schriftverkehr zwischen / mit Drittpersnen der Mitarbeitenden. Recht auf Krrektur Falsche der unkrrekte Angaben dürfen vn einer Persn der dem Rechtsvertreter dieser Persn jederzeit beanstandet und deren Änderung verlangt werden. Speziell für Firmen Mitarbeiter vn Firmen können ebenfalls HIN Teilnehmende sein. Sfern es klar ist, dass diese Persnen nur als Organ einer Firma eine Kundenbeziehung zu HIN haben, kann die Firma über die betrffenen Verträge und Daten verfügen. Sfern nicht klar festzustellen ist, dass ein Vertrag nicht ausschliesslich im Namen der Firma abgeschlssen wurde, dürfen Mutatinen nur mit Zustimmung der Inhaber des betreffenden Vertrags durchgeführt werden. 3.3 Vrgehensweise für die Mutatin vn Persnendaten Die Änderungen vn Angaben, die eine Persn betreffen, sind bei HIN schriftlich einzureichen. Dies gilt swhl für Vertragsänderungen der kündigungen als auch für Adressänderungen. Diese Regelung gilt zum Schutz der HIN Teilnehmenden vr unerlaubten Eingriffen Dritter. 2 Art. 8 DSG und Art. 9 DSG Health Inf Net AG, Ausgabe V1.6 September 2010 Seite 4 vn 5

5 Umgang mit Persnendaten bei Health Inf Net AG (HIN) 4 Weitergabe vn Persnendaten 4.1 Grundsätze zur Weitergabe vn Persnendaten Grundsätzlich gibt HIN keine persnenbezgenen Daten weiter. Persnenbezgene Daten werden weder verkauft nch Partnerrganisatinen zugänglich gemacht. Dennch ist eine Weitergabe vn Persnendaten an Vertragspartner vn HIN in speziellen Fällen möglich. Diese Fälle sind mit Datenschutzverträgen verbindlich geregelt. 4.2 Bedingungen für Ausnahmen Für eine Weitergabe vn Persnendaten an Vertragspartner vn HIN müssen flgende Vraussetzungen kumulativ erfüllt sind: Die Weitergabe vn Persnendaten ist nur dann zulässig, wenn der Empfänger mit HIN ein Abkmmen unterzeichnet haben, das den Schutz der übermittelten Daten sicherstellt. Die Weitergabe vn Persnendaten ist nur dann zulässig, wenn sie zweckgebunden erflgt, d.h. in besagtem Vertrag ist abschliessend geregelt, zu welchem Zweck die Daten weitergegeben werden und für welchen Zweck sie verwendet werden dürfen. Die Weitergabe vn Persnendaten ist nur dann zulässig, wenn der Umfang der weitergegeben Daten den für den definierten Zweck benötigten Umfang nicht übersteigt. Ausgenmmen vn diesen Bedingungen sind Anfragen zur Weitergaben vn Daten, die aufgrund einer gesetzlichen Grundlage erflgen. Health Inf Net AG, Ausgabe V1.6 September 2010 Seite 5 vn 5