Per 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (DSG) in Kraft. Mit dieser Gesetzesänderung gehen auch einige Verpflichtungen für Praxisbetreiberinnen und Praxisbetreiber einher. Im Interview mit Dominic Zbinden, Consultant und Spezialist bei der Swiss Infosec AG, beleuchten wir wichtige Aspekte und Fragen rund ums Thema und helfen Ihnen, sich auf die bevorstehenden Änderungen vorzubereiten.

Herzlich willkommen Dominic Zbinden. Als Spezialist im Bereich neues Datenschutzgesetz laufen bei Ihnen aktuell sicher die Drähte heiss. Danke, dass Sie sich Zeit nehmen, Fragen unserer Therapeutinnen und Therapeuten zu beantworten.

Muss ich in meinen AGBs etwas anpassen?
AGBs dürfen nicht verwechselt werden mit einer Datenschutzerklärung. Datenschutzrechtlich stehen die AGBs nicht im Zentrum. Die AGBs können unter Umständen datenschutzrechtliche Inhalte aufweisen, die es mit dem geltenden Datenschutz abzugleichen gilt. Es geht vielmehr um die Datenschutzerklärung, welche am 01.09.2023 up-to-date sein muss. Am einfachsten ist es, in den AGBs direkt auf die Datenschutzerklärung zu verweisen.

Brauche ich in jedem Fall eine generelle Datenschutzerklärung für meine Patienten?
Ja. Eine Datenschutzerklärung brauchen Sie als TherapeutIn künftig immer; sie ist Ausfluss aus dem sogenannten «Transparenzgebot», welches das neue Datenschutzgesetz noch stärker ins Zentrum stellt. Die betroffenen Personen (Patienten, Webseitenbesucher etc.) müssen in transparenter Weise informiert werden, wie mit ihren Daten umgegangen wird und wie diese im Einzelfall bearbeitet werden.

Wie hole ich das OK der Patienten für die generelle Datenschutzerklärung am besten ein?
Eine Datenschutzerklärung bedarf keiner Zustimmung durch allenfalls betroffene Personen. Die Datenschutzerklärung stellt eine einseitige Erklärung dar. Ein OK braucht es hingegen überall, wo man Daten an Dritte weitergibt. Dies kann u.a. der Fall sein bei der Weitergabe von Daten an Inkasso-Unternehmen, Versicherer oder Gerichte und Behörden. Mindestens jedenfalls wenn ein Berufsgeheimnis besteht. Falls man diese Einwilligung nicht hat oder nicht einholen kann, so muss man sich von der kantonalen Gesundheitsbehörde vom Berufsgeheimnis entbinden lassen.

Wie sieht es aus, wenn ich zusätzlich eine Website sowie eine Online-Buchung respektive ein Klienten-Portal zur Verfügung stelle?
Die Datenschutzerklärung muss all diese Vorgänge abdecken, denn beim Betrieb einer Website und beim Einsatz eines Online-Buchungs-Tools werden jeweils Personendaten bearbeitet. Man kann sich auch übersichtshalber dafür entscheiden, für die jeweiligen Einsatzbereiche eine gesonderte Datenschutzerklärung zu erstellen. Zudem müssen dringend mit den jeweiligen Betreibern der verschiedenen Tools (Website, Buchung, IT etc.) Auftragsbearbeitungsverträge abgeschlossen werden.

Tipp HealthAdvisor: Wir haben die spezifischen Datenschutzerklärungen für die Online-Buchung und das Klienten-Portal bereits auf das neue Gesetz angepasst. Im Bereich «Einstellungen Online-Buchung» bzw. «Klienten-Portal» finden Sie eine vorbereitete Erklärung. Wir bitten Sie, diese zu überprüfen und auf Ihre Bedürfnisse anzupassen. Anschliessend klicken Sie auf «Speichern & publizieren». So wird der Link automatisch auf der Startseite Ihrer Online-Buchung respektive im Registrierungsfenster für das Klienten-Portal angezeigt.

Was muss ich mir unter einem «Auftragsbearbeitungsvertrag» vorstellen?
Ein Auftragsbearbeitungsvertrag ist ein Vertrag, der zwischen einem Auftraggeber (z.B. einer Therapeutin) und einem Auftragnehmer (z.B. HealthAdvisor) abgeschlossen wird, um sicherzustellen, dass die Bearbeitung von Personendaten im Einklang mit den geltenden Datenschutzbestimmungen erfolgt.

Im Rahmen dieses Vertrags beauftragt der Auftraggeber den Auftragnehmer mit der Bearbeitung bestimmter Personendaten in seinem Auftrag. Der Auftragnehmer ist verpflichtet, die Personendaten ausschliesslich gemäss den Anweisungen des Auftraggebers zu bearbeiten und alle erforderlichen technischen und organisatorischen Massnahmen zu ergreifen, um die Sicherheit der Personendaten zu gewährleisten.

Der Auftragnehmer darf die Personendaten nur zum vereinbarten Zweck bearbeiten und ist verpflichtet, die Personendaten nach Abschluss der Bearbeitung gemäss den Anweisungen des Auftraggebers zu löschen oder zurückzugeben. Der Auftraggeber behält die Kontrolle über die Personendaten und bleibt für deren rechtmässige Bearbeitung verantwortlich.

Durch den Abschluss eines Auftragsbearbeitungsvertrags können sowohl der Auftraggeber als auch der Auftragnehmer ihre rechtlichen Verpflichtungen im Hinblick auf den Schutz von Personendaten erfüllen.

Tipp HealthAdvisor: Wir werden unseren Therapeutinnen und Therapeuten einen vorbereiteten «Auftragsbearbeitungsvertrag» direkt im Abo-Bereich zum Downloaden hinterlegen. Ab Ende August 2023 wird der Vertrag für Sie bereit sein.

Welche Verpflichtungen generell habe ich neu meinen Patienten gegenüber?
Nicht gänzlich neu aber im neuen rechtlichen Rahmen verstärkt zum Ausdruck kommen die Betroffenenrechte und die Informationspflicht. Die Informationspflicht wurde bereits angesprochen mit den umfassenden Datenschutzerklärungen. Die Betroffenenrechte beinhalten unter anderem das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Ein Patient/Kunde darf z.B. verlangen, dass man jegliche Daten von ihm zeitnah aus allen Systemen löscht, sofern keine gesetzlichen Fristen entgegenstehen.

Ansonsten sieht das neue Datenschutzgesetz keine gänzlich neuen Regelungen vor. Wichtig ist zu wissen, dass Sie als TherapeutIn vollumfänglich für Ihre Daten verantwortlich sind.

Was muss ich beachten in Hinsicht auf die Speicherung meiner Patientendaten?
Die Speicherung der Daten ist ein wichtiger Punkt, der nicht nur den Datenschutz betrifft, sondern auch die Informationssicherheit. Die Sicherung der Daten sollte organisatorisch und technisch gewährleistet sein. Nachfolgend ein paar Punkte, die beachtet werden müssen:

  • Verschlüsselung: Alle Patientendaten sollten verschlüsselt werden, sowohl während der Übertragung als auch bei der Speicherung. Dies gewährleistet, dass selbst wenn Daten gestohlen werden, sie für unbefugte Personen unlesbar sind. Unter gewissen Bedingungen ist der Versand von Rechnungen via unverschlüsselte E-Mail möglich (siehe dazu die nachfolgende Frage).
  • Zugriffskontrolle: Es sollte eine klare Richtlinie für den Zugriff auf Patientendaten geben, und nur autorisierte Personen sollten Zugriff haben. Dies kann durch die Verwendung von Benutzerkonten, Passwörtern und mehrstufiger Authentifizierung erreicht werden.
  • Datensicherung: Regelmässige Backups der Patientendaten sollten erstellt werden, um sicherzustellen, dass sie im Falle eines Systemausfalls, einer Beschädigung oder eines Datenverlusts wiederhergestellt werden können.
  • Physische Sicherheit: Die Server und Datenspeicher, auf denen die Patientendaten gespeichert sind, sollten in einer sicheren und kontrollierten physischen Umgebung aufbewahrt werden, um unbefugten Zugriff zu verhindern.
  • Datenminimierung: Es ist wichtig, nur die notwendigen Patientendaten zu speichern und alle unnötigen Informationen zu entfernen. Dadurch wird das Risiko verringert, dass sensible Daten in falsche Hände geraten.
  • Audit-Protokollierung: Eine detaillierte Protokollierung aller Zugriffe auf die Patientendaten sollte implementiert werden, um eine Überwachung möglicher Sicherheitsverletzungen zu ermöglichen und bei Bedarf Untersuchungen durchführen zu können.
  • Schulung des Personals: Das medizinische Personal sollte regelmässig in Bezug auf Datenschutzrichtlinien und den sicheren Umgang mit Patientendaten geschult werden. Dadurch wird sichergestellt, dass alle Mitarbeitenden ein Bewusstsein für die Wichtigkeit der Datensicherheit haben.
  • Einhaltung von Vorschriften: Es ist wichtig sicherzustellen, dass die Speicherung und Bearbeitung von Patientendaten den geltenden Datenschutzgesetzen und -vorschriften entsprechen – wie beispielsweise dem neuen Schweizer Datenschutzgesetz (DSG) oder der Europäischen Datenschutz-Grundverordnung (DSGVO).

Die Speicherung der Daten ist das eine – die Löschung der Daten das andere. Personendaten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck, für den sie erhoben wurden, notwendig ist. Sobald der Zweck erfüllt ist oder die Daten nicht mehr benötigt werden, müssen sie gelöscht werden. Ansonsten wird es als übermässige Bearbeitung von Personendaten betrachtet. Dabei gilt es, ein geeignetes Löschkonzept und die betriebsinternen Prozesse betreffend die Löschung von Daten zu erarbeiten und zu implementieren.

Tipp HealthAdvisor: Unsere operativen Datenbanken sind in der Schweiz in zwei örtlich getrennten Rechenzentren redundant gespeichert. Unsere Rechenzentren sind ISO27001 zertifiziert; damit sind die Anforderungen an den physischen Zutrittsschutz sichergestellt. Sämtliche Daten – auch hochgeladene Dokumente – werden mehrmals täglich back-uped. Unser Überwachungssystem verfolgt jeden einzelnen Schritt in einem Audit-Log. Sobald mehrere Personen in einer Praxis arbeiten („Multi-Therapeuten-Lösung“), werden die Audit-Logs automatisch im Account angezeigt. Falls Sie einer Buchhalterin oder einem Assistenten Zugriff auf gewisse Bereiche in Ihrem Einzel-Account geben möchten, bietet sich die „Multi-User-Funktion“ an. Auch hier werden alle Klicks in den Audit-Logs datenschutzkonform protokolliert.

Wir ist zurzeit dabei, im Rahmen eines grossen Projektes zusammen mit der Swiss Infosec AG unsere Prozesse, Weisungen, Drittanbieterportfolio und rechtlichen Dokumente so auszugestalten, dass diese bis Ende August die Anforderungen des neuen Datenschutzgesetzes erfüllen.

Darf ich Rechnungen weiterhin per Mail an meine Patienten schicken?
Dies ist ein umstrittenes und sehr heikles Thema. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) empfiehlt, dass man Rechnungen an Patienten nicht via Mail ohne sichere Verschlüsselung sendet. Dies aus dem Grund, da dem Patientengeheimnis erhöhter Schutzbedarf zukommt. Allerdings gibt es auch weiterhin die Möglichkeit, dass PatientInnen durch Unterzeichnung einer Ermächtigung den TherapeutInnen die Erlaubnis geben, weiterhin Rechnungen unverschlüsselt zu verschicken. In diesem Fall ist es zentral, dass Sie als TherapeutIn diese Ermächtigungen jederzeit verfügbar haben, und dass die PatientInnen diese Ermächtigung auch jederzeit zurückziehen können.

Tipp HealthAdvisor: In unserem System können Rechnungen via unverschlüsselte E-Mails nur an einen Patienten verschickt werden, wenn dies beim besagten Patienten explizit in der Patientenkartei freigegeben ist. Wir stellen unseren Therapeutinnen und Therapeuten gerne einen von unseren Anwälten geprüften Ermächtigungstext zur Verfügung. Sobald der Patient diesen unterzeichnet hat, kann das Dokument ganz einfach in die Patientenkartei hochgeladen und dort gespeichert werden.  

Welche Alternativen gibt es zum Versand der Rechnungen via Mail und via Post?
Dies kann beispielsweise über Online-Portale oder Secure Mail (Mail mit genügend hohem Verschlüsselungsgrad) sein.

Tipp HealthAdvisor: Auf Wunsch kann mit dem «Klienten-Portal» gearbeitet werden. Hier hat man die Möglichkeit, den Patienten ein neutrales Mail mit einem Link zu schicken. Die Patienten loggen sich mit Mailadresse, Passwort und SMS-Code in den geschützten Bereich ein und können dort sämtliche Rechnungen einsehen und herunterladen.

Darf ich die Terminverwaltung meiner Praxis weiterhin in einem externen Kalender wie beispielweise Google Calendar, Outlook oder iCal machen? Diese Daten werden ja nicht in der Schweiz gespeichert…
Hier kann es sein, dass es zu einer Speicherung/Lagerung von Personendaten in sogenannten Ländern mit unangemessenem Datenschutzniveau kommt. Dies ist per se nicht verboten, aber es ist anspruchsvoll und komplex, dies datenschutzrechtlich konform abzuwickeln. Es gilt darauf zu achten, (wenn möglich) Anbieter und Lösungen aus der Schweiz oder aus dem EU/EWR Raum zu beziehen oder aus Ländern, die in der einschlägigen Liste (Datenschutzverordnung, Anhang 1) des Bundes als Land mit einem angemessenen Datenschutzniveau aufgeführt wurden.  Somit kann festgehalten werden, dass der Einbezug von Google und ähnlichen grossen Dienstleistern zwar nicht per se verboten ist, aber weitere Abklärungen (u.a. «Auftragsbearbeitungsvertrag» und Standort der Daten) nötig sind.

Tipp HealthAdvisor: Wie sämtliche Daten sind auch die Daten der elektronischen Agenda bei uns in der Schweiz in ISO27001-zertifizierten Rechenzentren gespeichert.

Angenommen ich arbeite mit einer Agenda eines Anbieters, der seine Daten in der Schweiz gehostet hat (z.Bsp. HealthAdvisor). Darf ich dann diese Agenda weiterhin mit Google oder iCal oder weiteren Anbietern synchronisieren?
Wichtig zu beachten ist, dass sich solche Dienste unter Umständen als Verantwortliche der Datenbearbeitung sehen können. Dadurch wird die Bearbeitung durch diese Dritte als Weitergabe von Daten gesehen. Im Falle der Weitergabe von Patientendaten wäre dies möglicherweise eine Verletzung des Arztgeheimnisses. Sehen sich diese Anbieter nicht als Verantwortliche, so muss lediglich ein Auftragsbearbeitungsvertrag mit diesen geschlossen werden. Somit haben wir es mit einem ähnlichen Fall wie bei der letzten Frage zu tun. Die Synchronisierung ist nicht verboten, aber kann unter Umständen datenschutzrechtliche Schwierigkeiten bereiten.

Empfehlen Sie, beim Login zusätzlich mit der Zwei-Faktor-Authentifizierung (2FA) zu arbeiten?
Ja. Dies empfehlen wir bei Online-Tools im medizinischen o.ä. Bereich dringendst. Es bietet einfach zusätzlich einen deutlich erhöhten Schutzfaktor.

Tipp HealthAdvisor: Die Funktion 2FA kann bei uns ganz einfach aktiviert werden. Je nach Wunsch kann mit einem SMS-Code (kostenpflichtig) oder mit dem Google-Authenticator gearbeitet werden (kostenlos).

Gibt es weitere Punkte, die ich als Praxisbetreiberin und Betreiber unbedingt beachten und vorbereiten muss bis 1. September 2023?
Neben der Datenschutzerklärung, die unseres Erachtens am 1. September bereit sein muss, da diese eine grosse Aussenwirkung hat (heisst: viele Personen können diese einsehen), könnten unter Umständen bei grösseren Praxen auch Bearbeitungsreglemente erforderlich sein, da in der Medizinbranche oftmals eine Bearbeitung von grossen Mengen an besonders schützenswerten Personendaten erfolgt nach Art. 5 DSV. Zudem gilt es, die zentralen Datensicherheitsmassnahmen (Zugriffsberechtigungen, Vertraulichkeit der Daten, Integrität der Daten und Verfügbarkeit der Daten) einzuhalten.

Wie sieht die Situation für einen Softwarebetreiber aus, der meine Praxisadministration betreibt?
Auf die Softwarebetreiber kommen ganz neue Herausforderungen hinzu, insbesondere was ihre eigenen Prozesse angeht, aber auch die Prozesse gegenüber weiteren Partnern, mit denen sie zusammenarbeiten. Einerseits müssen sie Ihnen als TherapeutIn einen sogenannten «Auftragsbearbeitungsvertrag» zur Verfügung stellen. Die Softwareanbieter müssen ihrerseits ebenfalls je einen «Auftragsbearbeitungsvertrag» mit all ihren Partnern haben. Jedes Unternehmen muss offiziell einen Datenschutzbeauftragten ernennen und beim EDÖB anmelden und benötigt neu eine Datenschutzweisung, ein Inventar über Datenbearbeitungsprozess inkl. Risikoabschätzung und vieles mehr.

Tipp HealthAdvisor: Wie bereits erwähnt, sind wir im Rahmen eines Grossprojektes seit ein paar Monaten mit unserem Partner Swiss Infosec AG daran, HealthAdvisor durch und durch fit zu machen für das neue Datenschutzgesetz. Sie können auf uns zählen.

Herzlichen Dank Dominik Zbinden für dieses Interview!

***

Zur Person: Die Swiss Infosec AG ist ein führendes Schweizer Unternehmen für Datenschutz, Informationssicherheit und Cybersecurity. Mit Expertenteams, Beratungsleistungen und technischen Lösungen unterstützt sie Unternehmen bei der Entwicklung und Umsetzung von Sicherheitsstrategien und begleitet Sie auf dem Weg zur Datenschutz-Compliancy.

Dominic Zbinden ist bereits seit über 5 Jahren bei der Swiss Infosec tätig und seit Januar 2023 als Consultant im Datenschutzteam tätig.
www.infosec.ch