Das neue Datenschutzgesetz und die Umsetzung mit medmonitor.swiss

Damit Sie für das kommende Datenschutzgesetz ab dem 01.09.2023 bestens vorbereitet sind, haben wir die wichtigsten Informationen für Praxen zusammengefasst.

Das Gesetz sieht strengere Vorgaben zum Schutz persönlicher Daten vor. Einzelpersonen wird mehr Kontrolle über ihre eigenen Daten gegeben: Sie müssen aufgeklärt werden, wenn Daten über sie erhoben werden, sie dürfen verlangen, dass die Daten herausgegeben werden, oder dass man alle Daten über sie löscht. Allerdings ist bei medizinischen Daten nicht alles anwendbar.

Es geht bei diesem Gesetz um Personendaten. Man unterscheidet zwischen Personendaten und besonders schützenswerten Personendaten. Die gesamte Krankengeschichte (KG) ist besonders schützenswert und unterliegt allen strengen Massnahmen. Die Daten der Mitarbeitenden (Name, Email, HR Dokumente, Berufszertifikate, Arbeitszeugnisse) sind ‚einfache‘ Personendaten.

Nein. Im medizinischen Bereich muss man die Personen nicht explizit darauf hinweisen, dass hier gesundheitsrelevante Daten erhoben werden – es wird angenommen, dass sich dem alle bewusst sind, wenn sie einen Arzt aufsuchen. Allerdings gilt die Verhältnismässigkeit. Es sollten nur Daten erhoben werden, die der vorliegenden Behandlung dienen. Wenn der Patient Angaben zum Beispiel auf einem  Anamneseblatt verweigert, die nichts mit der Behandlung zu tun haben, ist das sein Recht. Formulare und Blätter sollten entsprechend angepasst oder gekennzeichnet werden (welche Angaben sind zur Behandlung notwendig, welche sind fakultativ, und zu welchem Zweck werden sie erhoben).

Ja. Es werden aber grundsätzlich nur Kopien (elektronisch oder analog) der explizit angefragten Daten ausgehändigt. Die Originaldaten bleiben bei der Gesundheitsinstitution. Dies muss innerhalb von spätestens 30 Tagen erfolgen, ausser es bestehen sehr gute Gründe, weshalb eine Einsicht nicht gewährt wird (in dem Fall muss die Begründung innerhalb von 30 Tagen vorliegen). Alternativ zur Aushändigung der Daten kann man auch einen Termin anbieten, wo die Daten der Person gezeigt werden – bei medizinischen Daten ist häufig eine Erklärung notwendig.

Nein für die KG. Hier gilt nach wie vor die Aufbewahrungspflicht (je nach Kanton ist dies verschieden lang, in der Regel 10 Jahre). Dies trumpft das Recht auf Löschung. Ausserdem dürfen Daten so lange aufbewahrt werden, bis allfällig mögliche Klagen wegen einer Behandlung verjähren. In der Regel sollte man deshalb die entsprechenden Daten 20 Jahre lang aufbewahren, bei laufenden Gerichtsverfahren so lange nötig. Bei nicht-KG Daten, die eventuell vorhanden sind (namentliche Nennung bei Mitwirkung in Studien), müssen die entsprechenden Daten gelöscht werden.

Grundsätzlich darf jede angestellte Person Einsicht in das eigenes Dossier verlangen, und verlangen, dass unrichtige Angaben korrigiert werden. Auch hier gilt die Verhältnismässigkeit: es sollten nur Daten vorhanden sein, die unbedingt benötigt werden, alles andere sollte regelmässig geprüft werden, ob es noch nötig ist und die Personalakte regelmässig bereinigt werden. Die Löschung nach Beendigung des Arbeitsverhältnisses darf ebenfalls verlangt werden (und sollte in der Regel automatisch erfolgen), ausser von Unterlagen, die der Arbeitgeber zur Wahrung der Zeugnispflicht benötigt oder zur Durchsetzung oder Abwehr von Ansprüchen gegenüber dem ehemaligen Arbeitnehmer noch braucht. Auf jeden Fall sind alle Unterlagen nach 10 Jahren zu löschen (Verjährung).

Nur wenn der Aufwand unverhältnismässig gross ist, und nur bis maximal CHF 300.-. In der Regel muss die Auskunft, Anpassung oder Löschung gratis erfolgen. Stellen Sie sicher, dass ihr System einen schnellen Zugriff und rasche Anfertigung von Kopien ermöglicht.

Nein. Das ist nur in der EU eine Vorschrift, in der Schweiz ist es eine Empfehlung. Für grosse Einrichtungen ist es allerdings eine gute Idee, wenn jemand diese Funktion übernimmt und darin geschult wird. Die Aufgaben sind die Überwachung und Sicherstellung der notwendigen Massnahmen und die regelmässige Schulung der Mitarbeitenden.

Sie müssen sicherstellen, dass alle besonders schützenswerte Daten gut gesichert sind, dass alle technischen Massnahmen zum Schutz getroffen sind und dass diese aktuell gehalten werden. Es müssen unbedingt Sicherungskopien von den Daten gemacht werden, die auch gegen Angriffe geschützt sind und an einem anderen Ort gelagert werden. Bei Cloud Softwarelösungen muss ihr Anbieter alle Massnahmen sicherstellen und dokumentieren, wie besonders schützenswerte Personendaten behandelt werden. Ihre Mitarbeiter müssen regelmässig in Datensicherheit geschult werden, damit Scamming, Phishing und andere Angriffe möglichst wirkungslos bleiben. Geben sie niemals Auskunft über Daten, die nicht der betroffenen Person gehören. Für alle ’normale‘ Daten, die ebenfalls lange aufbewahrt werden müssen (dazu gehören auch die QSS Daten, Daten über Arbeitsschutz, Meldungen über Produkte, Medikamentendokumentation, etc), muss sichergestellt werden, dass ihre Aufbewahrung sichergestellt ist, und das sie auch gegen Cyberattacken genügend geschützt sind.

Wenn sie Opfer eines Cyberangriffs werden, müssen Sie unbedingt die nötigen Massnahmen treffen, um die Daten zu schützen. Es kommt auf die Art des Angriffs drauf an, welche konkreten Massnahmen dies sind. Nehmen Sie sofort Kontakt mit einem Spezialisten auf und nehmen Sie zur Sicherheit alles vom Netz. Wenn besonders schützenswerte Daten entwendet oder vernichtet oder publiziert worden sind, müssen Sie die EDÖB informieren, und dort online einen Bericht erstellen. Es müssen auch alle betroffenen Personen informiert werden. Das Schweizerische Gesetz gibt keine genauen Angaben dazu, wie zeitnah dies erfolgen muss, in der EU sind es 72 Std.

Anders als in der EU wird in der Schweiz nicht die Firma selbst, sondern die verantwortliche Person(en), also in der Regel die Inhaber, mit bis zu 250’000 CHF gebüsst, wenn Daten wegen Fahrlässigkeit oder Nichterfüllen der Auflagen öffentlich gemacht worden sind, oder abhanden gekommen sind. Halten Sie deshalb ihre Systeme auf dem neuesten Stand, stellen Sie sicher, dass Ihr Netzwerk geschützt ist, dass Ihre PCs mit Virenschutz immer aktuell sind, dass der Zugang Ihrer Mitarbeiter zu den Daten geregelt und sicher ist, und dass sie regelmässig geschult werden, wie sie die Daten handhaben müssen. Beachten Sie, dass Sie auch in der Verantwortung stehen, Software zu verwenden, die den Sicherheitsstandards genügt. Fordern Sie die entsprechenden Unterlagen bei ihren Software-Zulieferern ein und prüfen Sie diese. Wenn Sie Daten auf Papier oder sonst wie analog aufbewahren, müssen Sie auch sicherstellen, dass der Zugang zu den Akten gesichert ist (abschliessbarer Schrank oder Archiv), und dass nur diejenigen Personen Zugang haben, die ihn benötigen.

Haben Sie weitere Fragen?

Rufen Sie uns einfach an:

041 566 70 77

Persönliche Präsentation

Interessiert? Viele Fragen?

Wir vereinbaren gerne einen Termin und finden gemeinsam heraus, ob medmonitor.swiss die passende Lösung für Ihre Praxis ist.

Kontaktieren

kostenloses Webinar Datenschutz

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Donnerstag, 31. August:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos

kostenloses Webinar Datenschutz

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Donnerstag, 31. August:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos

kostenloses Webinar Datenschutz

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Donnerstag, 31. August:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos

kostenloses Webinar
Datenschutz

31. August 23
19:00 bis 20:00

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Donnerstag, 31. August:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos

kostenloses Webinar
Datenschutz

04. September 23
19:00 bis 20:00

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Montag, 4. September:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos

kostenloses Webinar
Datenschutz

06. September 23
19:00 bis 20:00

In diesem kostenlosen Webinar mit Dr. Peter Kunszt und Pascal Fähndrich erhalten Sie praxisspezifische Informationen und die wichtigsten Änderung zum neuen Schweizer Datenschutzgesetz. Zudem können Sie individuelle Fragen stellen.

  • Kursdatum und Uhrzeit:
    Mittwoch, 6. September:
    19:00 – 20:00

  • Onlinekurs

  • kostenlos