Datensicherheit und Nachvollziehbarkeit
Seit dem 01.09.2023 ist das Datenschutzgesetz in Kraft. Das E-Clinic-Patientendossier erfüllt die Anforderungen in Bezug auf:
- Grundsatz «Privacy by Design»
- Grundsatz «Privacy by Default»
- Nachvollziehbarkeit der Daten
- Kontrolle der Zugriffsprofile
- Ausdruck der vollständigen Dossierdaten
- Passwortsicherheit
Berechtigungsverwaltung und Änderungsnachverfolgung
E-Clinic ermöglicht die Erstellung von Profilen für jede Benutzergruppe. Für jedes Profil kann der Zugriff auf jedes einzelne Menü und jeden Ausdruck definiert werden. Für jede Datenart kann festgelegt werden, ob Benutzer dieses Profils Daten anzeigen, bearbeiten, erfassen, löschen oder auf die Änderungshistorie zugreifen dürfen. Das E-Clinic-System ermöglicht zudem, genau zu definieren, was den verschiedenen konfigurierten Profilen erlaubt ist.
Einschränkung des Zugriffs auf einzelne Fälle
Für jedes Profil (Gruppe von Benutzern mit ähnlichen Aufgaben) ermöglicht E-Clinic die Definition von allgemeinen Berechtigungen und spezifischen Berechtigungen, mit denen der Zugriff auf bestimmte Fälle erlaubt oder verhindert werden kann. Ein Fall ist typischerweise ein stationärer Aufenthalt, kann aber auch ein Fall auf der Warteliste oder ein ambulanter Fall sein.
Passwortsicherheit
In E-Clinic ist ein Passwortsystem vorhanden, das durch die Verwaltung bestimmter Vorgaben wie Mindest-/Maximallänge, Zeichen, Zeichentypen, Gültigkeit und Erneuerung einen sicheren Zugang zur Software gewährleistet.
Lückenlose Überwachung der Aktivitäten
Das E-Clinic-Patientendossier ermöglicht über die Funktion Aktivitätsmonitor die Anzeige und Einsicht in alle im Dossier erfassten Aktivitäten. Diese Filter können anschliessend auf die verschiedenen im Dossier vorhandenen Aktivitäten angewendet werden. Zudem steht ein praktischer Zeitfilter zur Verfügung, mit dem sich diese Liste über einen bestimmten Zeitraum anzeigen lässt.
Das neue Bundesgesetz über den Datenschutz (DSG), gültig seit September 2023
Das neue Bundesgesetz über den Datenschutz (DSG), das seit dem 1. September 2023 offiziell in Kraft ist, überarbeitet die Regeln für die Bearbeitung und den Schutz personenbezogener Daten, die bisher durch das frühere Gesetz von 1992 geregelt waren, grundlegend. Mit der Revision des Bundesgesetzes über den Datenschutz ändern sich einige wichtige Bestimmungen zur Bearbeitung personenbezogener Daten. Unternehmen müssen künftig strengere Regeln einhalten und sollten deshalb ihre bestehenden Datenschutzrichtlinien und Datenschutzerklärungen anpassen.
Die Neuerungen des neuen Bundesgesetzes über den Datenschutz (DSG)
ANWENDUNGSBEREICH
Künftig werden nur noch Daten natürlicher Personen geschützt, nicht mehr jene juristischer Personen. Genetische und biometrische Daten zählen neu zu den besonders schützenswerten Personendaten.
EINFÜHRUNG DER GRUNDSÄTZE «PRIVACY BY DESIGN» UND «PRIVACY BY DEFAULT»
Wie der Name sagt, bedeutet der Grundsatz «Privacy by Design» (Datenschutz durch Technikgestaltung), dass Entwickler den Schutz und die Wahrung der Privatsphäre der Benutzer bereits in die Struktur des Produkts oder der Dienstleistung integrieren, mit dem bzw. der Personendaten erhoben werden. Der Grundsatz «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) gewährleistet bereits beim Inverkehrbringen des Produkts oder der Dienstleistung das höchstmögliche Sicherheitsniveau, indem alle für den Schutz der Daten und die Einschränkung ihrer Nutzung erforderlichen Massnahmen automatisch, also ohne Zutun der Benutzer, aktiviert werden. Mit anderen Worten: Sämtliche Software, Hardware und Dienstleistungen müssen so konfiguriert sein, dass sie die Daten schützen und die Privatsphäre der Benutzer respektieren.
DATENSCHUTZ-FOLGENABSCHÄTZUNG
Bei einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen müssen Datenschutz-Folgenabschätzungen durchgeführt werden. Unternehmen können Datenschutzrisiken mithilfe einer Datenschutz-Folgenabschätzung erkennen und beurteilen. Sie sind verpflichtet, diese Analyse durchzuführen, wenn die Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte oder die Grundrechte der betroffenen Personen mit sich bringt.
VERZEICHNIS DER BEARBEITUNGSTÄTIGKEITEN
Die Führung eines Verzeichnisses der Bearbeitungstätigkeiten wird obligatorisch.
ERWEITERTE INFORMATIONSPFLICHT
Die Informationspflicht wird erweitert: Die Erhebung aller Personendaten – und nicht mehr nur der sogenannten sensiblen Daten – muss der betroffenen Person im Voraus mitgeteilt werden. Die Informationspflicht wird im Vergleich zum bisherigen DSG deutlich ausgeweitet. Sobald Unternehmen Personendaten erheben, müssen sie dies kommunizieren. Die betroffenen Personen müssen alle relevanten Informationen erhalten, damit sie ihre aus dem DSG abgeleiteten Rechte ausüben können und eine transparente Datenbearbeitung gewährleistet ist.
MELDEPFLICHT BEI VERLETZUNGEN DER DATENSICHERHEIT
Erforderlich ist eine rasche Meldung bei einer Verletzung der Datensicherheit, also bei versehentlichem oder widerrechtlichem Verlust, Löschen, Vernichten oder Verändern von Personendaten oder bei einer Bekanntgabe bzw. Gewährung des Zugangs an unbefugte Personen. Eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist vorzunehmen, wenn daraus voraussichtlich ein hohes Risiko für die betroffenen Personen resultiert.
PROFILING
Der Begriff des Profilings (d. h. der automatisierten Bearbeitung personenbezogener Daten) wird in das Gesetz aufgenommen und dort geregelt. Eine Verletzung der Datensicherheit kann voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Ist dies der Fall, müssen Unternehmen eine solche Verletzung unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Sie müssen auch die betroffenen Personen informieren, wenn dies zu deren Schutz erforderlich ist oder wenn der EDÖB es verlangt. Eine Verletzung der Datensicherheit liegt beispielsweise vor, wenn Daten gestohlen, gehackt oder unbefugt im Unternehmen bekannt gegeben oder zugänglich gemacht werden.