Grundlagen des nDSG
Gelten die Ausführungen aus dem Webinar für alle Gesundheitsfachpersonen?Ja, auch wenn in dem Webinar manchmal Ärztinnen und Ärzte explizit genannt wurden, gelten die Ausführungen für alle Gesundheitsfachpersonen. Und nicht nur das: Das nDSG gilt für alle Berufsgruppen, auch für Gärtner, Handwerker oder Buchhalter.
Mit wem muss ich eine Auftragsbearbeitungsvereinbarung abschliessen?
Auftragsbearbeiter sind Unternehmen, welche Daten Ihres Unternehmens bearbeiten. Das sind beispielsweise Cloud-Services oder Software-Anbieter mit Zugang zu Ihrem System. Nicht in diese Kategorie gehören Mitarbeiter Ihrer IT. Gemäss nDSG müssen mit Auftragsbearbeitern nicht zwingend schriftliche Vereinbarungen getroffen werden. Das bedeutet, dass Auftragsbearbeitungsvereinbarungen keine Pflicht sind. Aber: Es ist Pflicht, dass Sie den Auftragsbearbeiter informieren, dass er einer Geheimhaltung untersteht und die Pflicht hat, sensible Daten zu schützen. Theoretisch könnte dies auch mündlich erfolgen, dies ist dann im Ernstfall jedoch schwer zu beweisen. Viele Unternehmen, die mit Akteuren des Gesundheitswesens zusammenarbeiten, haben bereits eine Geheimhaltungsvereinbarung in ihren Standardverträgen darin – so beispielsweise auch HIN. In diesem Fall sind keine zusätzlichen Verträge nötig. Ist dies bei einem Ihrer Auftragsbearbeiter nicht der Fall, können Sie diesen nach einer vorhandenen Vorlage Fragen. Hat er keine, können Sie die Vorlage der FMH nutzen:
https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm
Mit wem muss ich eine Geheimhaltungsvereinbarung abschliessen?
Eine Geheimhaltungsvereinbarung ist empfehlenswert für alle Personen, die in Ihrer Praxis Zugang zu sensiblen Daten haben oder haben könnten – also auch für die Reinigungskräfte oder IT-Fachpersonen. Es muss nicht zwingend eine schriftliche Vereinbarung abgeschlossen werden. Es reicht aus, wenn die betroffenen Personen mündlich informiert werden, dass sie einer Schweigepflicht unterstehen. Da es einfacher ist, dies im Ernstfall zu beweisen, ist eine Geheimhaltungsvereinbarung empfehlenswert. Eine Vorlage hier für bietet die FMH:
https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm
Brauche ich eine Auftragsbearbeitungsvereinbarung oder eine Geheimhaltungsvereinbarung mit HIN?
Nein, dies ist nicht nötig. Die Themen Auftragsbearbeitung und Geheimhaltung werden bei HIN via Standardvertragswerk abgedeckt. In den Verträgen mit unseren Kundinnen und Kunden ist also alles Notwendige bereits enthalten.
Müssen Arztpraxen / selbständige Gesundheitsfachpersonen die Datenverarbeitung schriftlich festhalten? Benötigen sie ein Verzeichnis der Datenverarbeitungen?
Mit Inkrafttreten des nDSG werden Arztpraxen und selbständige Gesundheitsfachpersonen unter bestimmten Voraussetzungen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Diese Pflicht trifft Unternehmen mit mehr als 250 Mitarbeitenden sowie Verantwortliche, welche eine umfangreiche Bearbeitung von besonders schützenswerten Personendaten vornehmen. Aufgrund der Sensitivität der Gesundheitsdaten wird Arztpraxen und anderen Institutionen des Gesundheitswesens empfohlen, ein solches Verzeichnis zu führen, auch als Basis für etwaige Datenauskünfte. Allerdings sind bei dessen Fehlen keine Bussen vorgesehen.
Informationen zum Verzeichnis der Bearbeitungstätigkeiten finden Sie im HIN Blog.
Gibt es Vorlagen für das Verzeichnis Bearbeitungstätigkeit der Bearbeitungstätigkeit?
Informationen sowie den Link zur Vorlage der FMH finden Sie im HIN Blog.
Muss jeder Patient eine Datenschutzerklärung unterschreiben? Muss diese bei bestehenden Patienten erneuert werden?
Nein, das ist nicht nötig. Die Datenschutzerklärung kann auf der Webseite publiziert werden. Evtl. kann man diese auch zusätzlich auf der Rückseite des Anmeldeformulars für neue Patienten drucken, muss man jedoch nicht. Es ist natürlich jedoch auch nicht falsch, wenn Sie jeden Patienten eine Datenschutzerklärung unterschreiben lassen.
Eine Vorlage für eine Datenschutzerklärung finden Sie bei HIN oder auf der Webseite der FMH: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm
Was muss ich meinen Patienten zwingend kommunizieren in Bezug auf das nDSG?
Einzig zwingend notwendig ist die Einwilligung bei Weitergabe an Dritte. Zudem müssen Sie zwingend informieren, wo und wie Sie die Daten des Patienten bearbeiten (wo Sie sie speichern, wie die Bearbeitung erfolgt etc.). Es braucht keine schriftliche Einwilligung, eine solche erleichtert aber sicher den Beweis im Streitfall.
Was muss ab dem 1.9.23 auf einer Website von Praxisgemeinschaften angepasst werden?
Es braucht in aller Regel eine verbesserte Datenschutzerklärung. Eine Vorlage hierfür finden Sie unter www.hin.ch/vorlage-datenschutzerklaerung oder auf der Webseite der FMH: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm
Was, wenn ein Patient die Einverständniserklärung nicht unterzeichnet?
Die Einwilligung ist nur notwendig für die Weitergabe der Daten an Dritte. Für den internen Gebrauch der Daten ist es kein Problem, wenn ein Patient nicht unterzeichnet. Jedoch sind es oft genau diese Patienten, die schlussendlich Schwierigkeiten verursachen… Deshalb kann in einem solchen Fall auch auf die Aufnahme dieses Patienten verzichtet werden. Bei Notfällen müssen Sie dem Patienten aber natürlich helfen, dann besteht aus Sicht Datenschutz aber auch ein überwiegendes Interesse, dass Sie das Leben dieses Patienten schützen müssen.
Was passiert, wenn ich das Einverständnis eines Patienten mündlich eingeholt habe und dieser dies im Nachgang leugnet oder nicht mehr weiss?
In diesem Fall muss man Ihnen beweisen, dass Sie vorsätzlich das Gesetz verletzt haben. Weiss der Patient nicht mehr, dass er eingewilligt hat, aber Sie wickeln den Prozess bei allen Patienten gleich ab, reicht es, wenn mehrere andere Patienten das Einholen der Einwilligung innerhalb des Prozesses bestätigen können. Am sichersten für Sie ist es jedoch, wenn Sie Ihre Patienten eine Einverständniserklärung schriftlich unterschreiben lassen. Eine Vorlage für eine Einwilligungserklärung / ein Patientenformular liefert die FMH:
https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm
Darf man die Einwilligungserklärung für Patienten ergänzen durch den Zusatz, dass man Patientendaten unverschlüsselt per E-Mail oder per SMS versendet?
Ja, dies ist rechtlich theoretisch möglich. Der Patient willigt in diesem Falle ja ein. Jedoch empfehlen wir von HIN, sensible Daten auf elektronischem Weg niemals unverschlüsselt zu versenden, da deren genügender Schutz in diesem Fall nicht gewährleistet ist. Möchten Sie E-Mails sicher an Patienten oder andere Empfänger ohne HIN versenden, können Sie die Option HIN Mail Global von HIN Mail nutzen. Mehr Informationen dazu finden Sie in unserem Blog.
Muss man für jede Kategorie externer Partner (z.B. Versicherungen, Röntgeninstitute, Psychotherapeuten) eine separate Einwilligung des Patienten einholen oder darf man sie unter «nachbehandelnde Gesundheitsfachpersonen» zusammenfassen?
Ja, man darf sie zusammenfassen. Stellen Sie jedoch sicher, dass der Patient weiss, worum es geht. Zudem gilt: Nehmen Sie von einem Patienten Blut und sagen ihm «Wir senden das ans Labor zur Analyse» ist aus dieser Tatsache bereits klar, dass Sie die Daten an Dritte, sprich das Labor, weitergeben. In solchen Fällen benötigen Sie keine gesonderte Einwilligung.
Müssen meine Bank oder mein Treuhänder auch Geheimhaltungserkärungen unterschreiben?
Theoretisch möglicherweise ja. Bei der Bank lässt sich das wohl schwer umsetzen, sie ist jedoch durch ein eigenes Gesetz an die Geheimhaltung gebunden. Sie werden wohl kaum je Probleme bekommen, wenn Sie Ihre Bank keine Geheimhaltungserklärung unterzeichnen lassen. Mit Ihrem Treuhänder hingegen benötigen Sie eine Geheimhaltungserklärung und sinnvollerweise auch vertragliche Bestimmungen über Datenschutz und Datensicherheit (Auftragsbearbeitung).
Wenn eine MPA als Datenschutzverantwortliche eingesetzt wird, kann sie dann unmittelbar strafrechtlich verfolgt werden?
Ja, das kann sie. Es stellt sich jedoch die Frage, ob die MPA wirklich diejenige ist, die entscheidet, wie der Datenschutz umgesetzt und gelebt wird in einer Praxis. Als Datenschutzverantwortliche(r) muss die Person aufgeführt werden, welche datenschutzspezifische Entscheidungen trifft. Das kann eine MPA sein. Ist dies der Fall, braucht diese jedoch auch die Durchsetzungskraft etwas zu ändern, wenn sie mögliche Datenschutzverletzungen oder einen unsorgfältigen Umgang mit dem Datenschutz feststellt.
Müssen alle bestehenden Patienten per 1.9.2023 eine neue Einwilligung unterschreiben?
Ich empfehle, dass Sie per 1.9. das neue Einwilligungsformular verwenden. Dieses sollten Sie neuen Patienten vorlegen ebenso wie bestehenden Patienten bei deren nächstem Besuch bei Ihnen. Es ist jedoch nicht nötig, dass Sie Patienten, die aktuell keinen Arztbesuch bei Ihnen haben, das Formular per Post oder Mail zur Unterschrift senden.
Muss der Datenschutzverantwortliche auf der Homepage der Praxis ersichtlich sein? Oder wo sonst?
Nein, es reicht, eine klare Verantwortung darzulegen – also beispielswese die Praxisanschrift – sowie die notwendige Telefonnummer und eine E-Mail-Adresse aufzuführen.
Müssen Patienten schriftlich einwilligen, dass ein anderer in derselben Praxis arbeitenden Arzt ihre Daten anschauen darf?
Ich würde das empfehlen. Sie können dies jedoch auch in Ihre Datenschutzerklärung schreiben und dann in Ihr Anmeldeformular aufnehmen, dass sich die Patienten mit der Datenschutzerklärung einverstanden erklären. Grundsätzlich deckt der Behandlungsvertrag nur die Beziehung des Arztes (sowie der direkt involvierten Hilfspersonen) mit dem Patienten. Dies exkludiert nicht mit dem Fall betraute Partnerärzte.
Müssen wir eine Einwilligung der Patienten einholen zur Datenverarbeitung durch die MPAs?
Nein, der Patient muss davon ausgehen, dass zwingend am Fall beteiligte Personen auch Einblick in Ihre Daten haben. Dazu gehören die Hilfspersonen des Arztes.
Datenschutz leben im Arbeitsalltag
Darf mit Patienten über WhatsApp kommuniziert werden?Ja, das ist möglich. Jedoch braucht es hierfür eine Einwilligung und eine klare Information an den Patienten. Denn: WhatsApp ist kein datenschutzkonformer, sicherer Kanal. Möchten Sie über WhatsApp kommunizieren, sollten Sie diesen Bereich in der Einverständniserklärung aufnehmen, welche die Patienten unterschreiben.
Darf man Plattformen wie OneDrive oder iCloud nutzen, um Patientendaten zu speichern oder auszutauschen?
Mit Einwilligung des Patienten ist dies möglich. Ohne Einwilligung besteht juristische Uneinigkeit. Beide Systeme lassen heute aber stärkere Sicherheitsmassnahmen im System zu, welche den Möglichkeiten des Datenschutzes Rechnung tragen. Immer möglich wäre, die Speicherung von Vaults – verschlüsselten Ordnern – auf diesen Systemen, da der Schlüssel nicht mitgespeichert wird.
Darf in einer Gemeinschaftspraxis eine gemeinsame elektronische Patientenakte geführt werden, auf die alle Ärztinnen und Ärzte Zugriff haben?
Das ist möglich. Jedoch muss auch hierfür die Einwilligung des Patienten eingeholt werden. Steht im Vertrag mit dem Patienten, dass Stellvertretungen bei Abwesenheiten des behandelnden Arztes möglich sind, reicht dies bereits aus. Dann besteht aus diesem Vertrag bereits eine Einwilligung. Kurz gesagt: Stellen Sie sicher, dass die Patienten informiert sind und ihre Zustimmung geben.
Bin ich verpflichtet, eine elektronische Krankengeschichte zu führen oder kann ich weiterhin handschriftlich dokumentieren?
Derzeit besteht noch keine Pflicht für eine digitale Krankengeschichte.
Sind in einer kleinen Einzelpraxis separate Passwort-geschützte Zugänge für jede MPA nötig?
Die Nachvollziehbarkeit muss gegeben sein. Gesetzlich vorgesehen ist, dass Sie wissen, wer welche Datenbearbeitung macht. Dies kann nicht gewährleistet werden, wenn alle MPA dasselbe Passwort verwenden. Wie gravierend dies nun ist und ob dies auch anders herausgefunden werden kann, bleibt offen. Es sollte sicher Ihr Ziel sein, dass jede MPA einen eigenen Zugang hat.
Medizinische Daten / Patientengeschichten müssen 20 Jahren aufbewahrt werden. Gilt das für alle Kantone? Und für alle Arten von Gesundheitsfachpersonen?
Die Aufbewahrungsfrist ergibt sich aus Art. 60 Abs. 1 OR, welcher bei Tötung und Körperverletzung 20 Jahre vorsieht. Daraus kann ein Verteidigungsrecht abgeleitet werden, so dass man sich als Arzt auch nach 19 Jahren noch gegen eine behauptete Körperverletzung wehren kann. Dies gilt im Übrigen auch für andere Gesundheitssektoren. Daher gilt eine Aufbewahrungspflicht von 20 Jahren für die gesamte Schweiz. Einige Kantone verpflichten aber die Ärzte ohnehin zur Aufbewahrung.
Muss die Krankengeschichte eines Patienten nach 20 Jahren zwingend gelöscht werden?
Ja, es sei denn, der Patient willigt ein oder wünscht sogar deren Nichtlöschung.
Braucht es eine schriftliche Einwilligung des Patienten, dass man ihn überweisen und somit seine Untersuchungsresultate weitergeben darf?
Nein, es ist keine Schriftlichkeit nötig. Das Gespräch und die Verlaufsdokumentation reichen als Einverständnis aus.
Ist es ausreichend Patienten am Telefon zu identifizieren mittels deren vollständigem Namen und Geburtsdatum?
Grundsätzlich ist eine solche Identifikation wohl eher knapp. Sinnvollerweise wäre noch etwas dazu zunehmen wie beispielsweise den letzten Termin oder eine andere Information, die nicht aus dem Internet ersichtlich ist.
Darf ich die Namen und Telefonnummern meiner Klienten in meiner Handykontaktliste speichern?
Sofern Ihr Handy entsprechend gesichert ist (verschlüsselt und geschützt) und niemand anders auf die Daten Zugriff hat, spricht nichts dagegen.
Darf man Patientendaten im Outlook-Kalender führen?
Wenn die Patienten ihre Einwilligung dafür geben, ist das kein Problem. Achten Sie jedoch darauf, dass dieser Outlook-Kalender nur auf Geräten abrufbar ist, die mit einem Passwort / Code geschützt sind. Auch muss das Gerät grundsätzlich verschlüsselt sein. Dies kann bei allen handelsüblichen System-Softwares heute eingestellt werden, ohne zusätzliche Software. Das gilt für Computer und Notebooks ebenso wie für Smartphones.
Was tun, wenn jemand möchte, dass seine Daten vor Ablauf der gesetzlichen Frist gelöscht werden?
Die Daten dürfen Sie dennoch nicht vor Ablauf der gesetzlichen Ablauffrist löschen. Sie müssen auch gegen den Willen des Patienten aufbewahrt werden und haben dafür einen gesetzlich zwingenden Rechtfertigungsgrund.
Muss der Patient über die Nutzung von Microsoft-Technologien wie Word zur Berichterstellung, Team-Viewer und ähnlicher Programme informiert werden?
Sie sind verpflichtet, Ihre Patienten zu informieren, dass deren Daten an Dritte wie beispielsweise IT-Dienstleister, Cloud-Services etc. weitergegeben werden können. Wie genau dies geschieht und welche Programm Sie dafür nutzen, müssen Sie jedoch nicht im Detail erklären. Die Information kann also auf einer sehr hohen Ebene erfolgen und schliesst dann die ganzen Software-Daten mit ein. Sinnvollerweise weisen Sie Ihre Patienten auf die Kommunikation mittels unverschlüsselter Applikationen separat hin – so beispielsweise für den Versand unverschlüsselter E-Mails oder für die Nutzung von WhatsApp.
Wenn ein Patient eine Anfrage via Kontaktformular macht, schlussendlich mit ihm aber kein Behandlungsvertrag zustande kommt – z.B. bei Psychotherapie – müssen seine Daten dann dennoch gespeichert und aufbewahrt werden?
Nein, solange kein Vertrag zustande kommt, handelt es sich zwar um sensitive Daten, jedoch nicht um Patientendaten, da die Person noch kein Patient ist. Die Daten dürften (nach Absprache mit dem Anfragenden) gelöscht werden.
Mailverschlüsselung und HIN
Dürfen Patientendaten per Mail unverschlüsselt an Patienten verschickt werden, sofern die Patienten vorher schriftlich einwilligen?Ja, wenn die Patienten schriftlich einwilligen, ist dies kein Problem.
Muss ich Rezepte und Verordnungen verschlüsselt an den Patienten schicken?
Ja, der Versand muss verschlüsselt erfolgen – sofern der Patient nicht vorher eingewilligt hat, dass er mit einem Versand via regulärer E-Mails (z.B. Gmx, Gmail, etc.) einverstanden ist.
Wie können wir Patientendaten sicher an Empfänger ohne HIN, z.B. Patienten, versenden?
Werden E-Mails von einer HIN Mailadresse an eine andere HIN Mailadresse gesendet, ist der Versand automatisch sicher und datenschutzkonform. Hat der Empfänger jedoch kein HIN, müssen Sie im Betreff «(vertraulich)» schreiben, damit die E-Mail verschlüsselt versendet wird. Mehr Informationen dazu finden Sie im HIN Blog.
Müssen E-Mail an Patienten immer mit HIN Mail Global versendet werden?
Enthalten E-Mails an Patienten sensible Informationen, müssen diese beim Versand per E-Mail zwingend verschlüsselt werden. Dies ist möglich mit HIN Mail Global. Enthalten E-Mails keine sensiblen Daten, können sie via reguläre E-Mails versendet werden, z.B. auch an Empfänger mit Domänen wie Gmx, Gmail oder Bluewin. Mehr Informationen zu HIN Mail Global.
Müssen E-Mails verschlüsselt übermittelt werden oder reicht es aus, die per E-Mail übermittelten Anhänge mit einem Passwort zu schützen?
Bereits der Besuch eines Patienten beim Arzt untersteht der Geheimhaltung. Schon eine Information in einer unverschlüsselten E-Mail wie «Besten Dank für Ihren gestrigen Besuch. Im Anhang finden Sie die Resultate.» stellt folglich eine Datenschutzverletzung dar. Es ist deshalb empfehlenswert, E-Mails nur verschlüsselt zu versenden oder ansonsten bei Ihren Patienten eine Einwilligung einzuholen, dass diese mit dem Versand ihrer Daten per «Standardmail» einverstanden sind.