Datenschutz-
Der Schutz Ihrer persönlichen Daten ist mir ein besonderes Anliegen. Ich verarbeite Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informiere ich Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen meiner Website.
EU-Datenschutz-Grundverordnung (DSGVO)
Mit 25. Mai 2018 trat die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie wurde bereits am 25. Mai 2016 beschlossen und mit einer zweijährigen Übergangsfrist wirksam. Sie dient der Vereinheitlichung des EU Datenschutzrechtes. Da die DSGVO so gut wie jedes Unternehmen betrifft, möchte ich Ihnen hiermit einen Überblick geben bezüglich Neuerungen im Allgemeinen, als auch speziell über die Veränderungen im Umgang mit Gesundheitsdaten. Die Datenschutz-Grundverordnung ist unmittelbar wirksam, d.h. alle (Betriebe, Behörden, Gerichte) müssen die Bestimmung direkt anwenden. Grundsätzlich gilt die DSGVO für alle Berufsgruppen. Die DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Verzeichnis der Verarbeitungstätigkeiten
Da ich als Ergotherapeut mit sensiblen personenbezogenen Daten arbeite (=Gesundheitsdaten) bin ich verpflichtet ein schriftliches Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Dieses Verzeichnis ist auf Verlangen der Aufsichtsbehörde vorzulegen.
1 Welche Daten werden verarbeitet?
Personenbezogene Daten: Name, Anschrift, Sozialversicherungsnummer, Geburtsdatum, Telefonnummer, Emailadresse, Name gesetzlicher Vertreter, verordnender Arzt, interdisziplinärer Austausch mit personenbezogenen behandelnden KollegInnen (z.B. PhysiotherapeutInnen, LogopädInnen, PsychologInnen, etc.), Diagnose, relevante Informationen aus diversen Befunden, die für die ergotherapeutische Behandlung relevant sind, Terminkoordination, Dokumentation der Therapieeinheiten
2 Wie werden die Daten aufgezeichnet/verarbeitet?
Im Rahmen des Erstkontakts (telefonisch, per Mail oder über das Kontaktformular meiner Homepage) bzw. des ergotherapeutischen Erstgesprächs werden die oben genannten personenbezogenen Daten erhoben und schriftlich festgehalten. Nach Ende jedes Therapieblocks wird der Originalverordnungsschein gemeinsam mit der Honorarnote persönlich ausgehändigt oder postalisch an die Klientin/den Klienten übermittelt.
Eine Einwilligungserklärung zum Datenschutz und ein Datenschutzinformationsblatt werden nach Kontaktaufnahme auf Wunsch des Klienten vorab per Email zugesendet oder beim Erstkontakt innerhalb der ersten Therapieeinheit ausgehändigt und unterzeichnet. Die unterzeichneten Unterlagen werden abgelegt und nach Therapieabschluss 10 Jahre im versperrten Aktenschrank aufbewahrt.
Bei KlientInnen, die über den „Integrierten Patientenpfad/Behandlungspfad Schlaganfall“ behandelt und abgerechnet werden, findet der komplette Ablauf über die vom Projekt zur Verfügung gestellte Plattform strokenet (https://strokenet.tirol-kliniken.at/) statt. Sämtliche Dokumente sind dort in digitaler Form abgelegt und verbleiben nach Abschluss der Therapie dort. Es findet keine weitere Dokumentation oder Aufzeichnung über den Therapieverlauf etc. in Papier oder digital statt.
Die Abrechnung erfolgt digital über das Unternehmensserviceportal/ die Vertragspartnerabrechnung online der Sozialversicherungspartner (https://www.elda.at/cdscontent/?contentid=10007.838925&portal=eldaportal) bzw. postalisch mit den jeweiligen Krankenkassen.
3 Persönliches Verzeichnis
3.1 Name und Kontaktdaten des Therapeuten
Christoph Jungmann
Klammstraße 7c
A-6250 Kundl
+43 681 81776995
ergotherapie@jungmann.tirol
3.2 Zwecke der Verarbeitung
Dokumentation lt. MTD-Gesetz § 11a
3.3 Beschreibung der Kategorien betroffener Personen und Empfänger
Personenbezogene Daten: besondere Kategorien von Daten (=Gesundheitsdaten)
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten, offengelegt worden sind bzw. noch offengelegt werden:
Krankenkassen, Integrierter Patientenpfad/Behandlungspfad Schlaganfall, Plattform strokenet (https://strokenet.tirol-kliniken.at/), gesetzliche Vertreter der Klientin/des Klienten, verordnende ÄrztInnen, ggf. interdisziplinär behandelnde KollegInnen (z.B. Physiotherapie, Logopädie, Klinisch psychologische Behandlung o.Ä.)
3.4 Vorgesehenen Fristen für die Löschung
Die Daten der PatientInnen/KlientInnen sind gemäß § 11a Abs 3 MTD-G mindestens 10 Jahre hindurch aufzubewahren.
3.5 Allgemeine Beschreibung der technischen, organisatorischen und informationstechnologischen Maßnahmen zum Datenschutz
Benutzer und Berechtigungen: Christoph Jungmann, alleinige Berechtigung zur Nutzung des passwortgeschützten Laptops. Es findet eine regelmäßige Aktualisierung des EDV-Systems und der Antiviren-Software statt.
- Datensicherung: passwortgeschützte externe Festplatten
- Physischer Schutz: versperrter Aktenschrank
- Es findet keine Versendung von sensiblen Daten unverschlüsselt per E-Mail durch Christoph Jungmann statt.
- Die Reparatur oder Entsorgung von Computern bzw. Festplatten findet durch geeignetes Fachpersonal statt.
3.6 Informationspflicht
Sämtliche Informationen zum Verantwortlichen, zum Zweck und der Dauer der Datenverarbeitung sowie zu möglichen EmpfängerInnen Ihrer Daten finden Sie obenstehend.
Ihnen steht das Recht auf Auskunft, Berichtigung und Löschung der Daten zu.
3.6.1 Auskunft
Angehörige der gehobenen medizinisch-technischen Dienste haben bei Ausübung ihres Berufes die von ihnen gesetzten Maßnahmen zu dokumentieren.
Auf Verlangen ist
- den betroffenen Patienten(-innen) oder Klienten(-innen),
- deren gesetzlichen Vertretern(-innen) oder
- Personen, die von den betroffenen Patienten(-innen) oder Klienten(-innen) bevollmächtigt
wurden, Einsicht in die Dokumentation zu gewähren und gegen Kostenersatz die Herstellung von Kopien zu ermöglichen.
Bei freiberuflicher Berufsausübung sowie nach deren Beendigung sind die Aufzeichnungen sowie die sonstigen der Dokumentation dienlichen Unterlagen mindestens zehn Jahre aufzubewahren.
Sofern Patienten oder Klienten durch eine andere zur freiberuflichen Ausübung eines entsprechenden gehobenen medizinisch-technischen Dienstes berechtigte Person weiterbetreut werden, kann die Dokumentation mit Zustimmung des Patienten oder Klienten oder deren gesetzlichen Vertretern durch diese weitergeführt werden.
Weiters ist die betroffene Person darüber in Kenntnis zu setzen, dass sie ein Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder einen Widerspruch gegen diese Verarbeitung hat, sowie dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.
3.6.2 Berichtigung
Die DSGVO räumt der betroffenen Person ein Recht auf Berichtigung, allenfalls Ergänzung über alle zu ihrer Person verarbeiteten Daten ein. Voraussetzung für den Anspruch ist, dass die Daten unrichtig sind, also mit der Wirklichkeit nicht übereinstimmen (z.B. falsches Geburtsdatum) oder dass die Daten unter Berücksichtigung des Zweckes der Verarbeitung, unvollständig sind.
3.6.3 Löschung
Die betroffene Person hat ein “Recht auf Vergessen werden”. Voraussetzung dazu ist, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind bzw. dass Sie die Daten für die gesetzlichen Aufbewahrungsfristen (Rechnungen/Buchhaltungsdaten: 7 Jahre, Aufbewahrung der Patientendokumentation: 10 Jahre) nicht mehr benötigen.
3.6.4 Einschränkung
Trifft das Recht auf Einschränkung zu, dürfen Sie die Daten der betroffenen Person nur mehr speichern, aber keine sonstigen Verarbeitungsschritte mehr setzen. Sie sind verpflichtet, auf Verlangen der betroffenen Person alle Daten, die Ihnen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Das „Format“ wurde in der DSGVO jedoch noch nicht definiert.
3.7 Informationspflicht bei Datenschutzverletzung (DSGVO Art. 33)
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Unverzügliche persönliche Information an die Betroffene/den Betroffenen (bei „hohem Risiko für die persönlichen Rechte und Freiheiten).
Welche Informationen müssen der Aufsichtsbehörde und Betroffenen (soweit möglich) übermittelt werden:
- Beschreibung der Art der Verletzung (Aufsichtsbehörde und Betroffene)
- Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen personenbezogenen Datensätze (Aufsichtsbehörde)
- Name und Kontaktdaten des Therapeuten (Aufsichtsbehörde und Betroffene)
- Beschreibung der wahrscheinlichen Folgen für Betroffene (Aufsichtsbehörde und Betroffene)
- Beschreibung der ergriffenen Maßnahmen (Aufsichtsbehörde und Betroffene)
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der*die Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.