Die folgenden Empfehlungen dienen als Hilfe im Umgang mit dem neuen Datenschutzgesetz per 01.09.2023. Die Informationen wurden anhand aktuellem Wissen zusammengestellt. Wir übernehmen keine Gewähr oder Haftung der nachfolgenden Empfehlungen.
Bei Unklarheiten und Unsicherheiten empfehlen wir grundsätzlich den Rat einer Fachperson.
Überarbeitung Datenschutzbestimmungen & Verantwortlichkeit
Überarbeiten Sie ihre Datenschutzänderungen mittels Onlinedienst wie einem Datenschutzgenerator, zum Beispiel: https://www.datenschutzpartner.ch/oder über ihre Rechtsberatung und passen Sie diese an die neuen Bestimmungen an.
Jede Berater:in, jeder Berater ist selbst dafür verantwortlich, dass eine auf die eigenen Bedingungen passend Datenschutzerklärung vorhanden ist.
Weisen Sie ihre Klienten auf die neue Datenschutzerklärung hin und lassen Sie diese unterschreiben (neue Klienten und bestehende Klienten).
Vermerken Sie einen Datenschutzverantwortliche Person, welche für die Datensammlung verantwortlich ist und als Ansprechperson bei Fragen dient.
Platzieren Sie die Datenschutzbestimmung gut ersichtlich auf Ihrer Webseite.
Zustimmung zur Datenerfassung
Lassen Sie sich die Zustimmung geben, dass die Klientendaten von Ihnen erfasst werden und wenn für die Ausübung Ihrer Arbeit nötig auch an dritte weiter gegeben werden können oder durch dritte bearbeitet werden können. Aufführung dieser Dritten in der Datenschutzerklärung.
Führen eines Bearbeitungsverzeichnis
Gesundheitsdaten gelten als besonders schützenswert, daher ist es für Therapeut:innen und Berater:innen zu empfehlen ein Bearbeitungsverzeichnis zu führen. Für eine übliche Praxis reicht eine Liste darüber, welche Daten durch welche Person und für welchen Zweck gesammelt und weitergegeben werden.
Daten in Cloudlösungen und Einsicht von Dritten
Bei allen Daten, die nicht schriftlich oder auf der eigenen Festplatte gespeichert sind, sondern in der Cloud eines Anbieters muss die Therapeut:in sicherstellen, dass die DSG-Richtlinien eingehalten werden. Prüfen Sie daher die Datenschutzbestimmungen der Drittpersonen welche Einsicht auf die Klientendaten haben und verweisen Sie auf dessen Datenschutzerklärung.
In einer Gruppenpraxis sind die Zugangsrechte auf die Daten der selber betreuten Klient:innen zu beschränken
Elektronisch abgelegte und übermittelte Daten
Die Datensicherheit muss z.B. durch Firewalls und Zugangsbeschränkungen (Passwortschutz für PC/Laptop) gewährleistet sein. Alternativen für den Transfer von Daten in unsichere Drittstaaten sind zu prüfen, d.h. nach Möglichkeit andere Anbieter für Standort Server/Cloud wechseln (Datenablage im Ausland durch Speicher-Anbieter in die Schweiz wechseln).
Falls Personendaten per E-Mail versendet werden, ist ein System zu verwenden, welches die Verschlüsselung vornimmt. Ist dies nicht möglich, lassen Sie sich das Einverständnis der betroffenen Person geben, dass die Übermittlung unverschlüsselt stattfinden darf.
Schriftlich abgelegte Personendaten
Stellen Sie sicher, dass physische Daten gesichert und vor Unbefugten geschützt aufbewahrt werden (abgeschlossener Raum und oder Schrank).
Auskunftsrecht und Informationspflicht
Die Datenschutzerklärung muss auf der Webseite ersichtlich sein oder wenn nicht vorhanden empfiehlt sich diese in ausgedruckter Form den Klienten auszuhändigen.
Verletzung der Datensicherheit
Grundsätzlich gilt, sollten Personendaten verloren gehen und dadurch durch dritte eingesehen werden können muss dies dem EDÖB gemeldet werden. Bitte informieren Sie sich darüber, in welchen Fällen Sie eine Meldung machen müssen.
Aufbewahrungsfrist und Datenlöschung
Informieren Sie sich anhand der Angaben im Obligationenrecht und Bestimmungen des Kantons, in dem Sie tätig sind über die Aufbewahrungsfrist von Daten. Ist die angegebene Aufbewahrungsfrist abgelaufen, gilt es die elektronischen und physischen Daten zu löschen
Zürich, 10.10.2023