Daten & Sicherheit

Einführung

autoPatient setzt sich für den Schutz der Privatsphäre unserer Kliniken und ihrer Patienten ein. Wir halten uns über die Entwicklungen der Datenschutzgesetze auf dem Laufenden, um sicherzustellen, dass Sie sich bei der Nutzung unserer Plattform auf Ihre Sicherheit verlassen können.
Auf dieser Seite möchten wir Ihnen erklären, welche Vorschriften gelten, wie sie sich auf Ihre Nutzung der autoPatient-Plattform auswirken und welche Schritte wir unternommen haben, um sie einzuhalten.
Sie sollten dieses Kapitel in Verbindung mit unserer Datenschutzrichtlinie lesen und sich an einen spezialisierten Juristen wenden, wenn Sie weitere Informationen oder Beratung benötigen.

Allgemeine Datenschutzverordnung – DSGVO (GDPR)

Die Verordnung (EU) 2016/679, besser bekannt als Allgemeine Datenschutzverordnung (DSGVO), ist eine EU-Verordnung zur Vereinheitlichung des Datenschutzes und des Rechts auf Privatsphäre in der EU. Die Bestimmungen der DSGVO gelten überall dort, wo es um personenbezogene Daten einer betroffenen Person in der EU geht.
Die DSGVO zielt darauf ab, dem Einzelnen mehr Kontrolle darüber zu geben, wie seine Daten von Unternehmen verwendet werden, und die Erfassung und Verarbeitung von Daten transparenter zu machen.
Die DSGVO wurde nach dem Ende des Brexit-Übergangszeitraums direkt in das britische Recht übernommen, was bedeutet, dass britische Unternehmen die Bestimmungen der DSGVO weiterhin über die „UK GDPR“ einhalten müssen.

Grundlegende Konzepte der DSGVO

Kontrolleur und Bearbeiter
Die Datenschutz-Grundverordnung erlegt einer Person verschiedene Pflichten auf, je nachdem, ob sie für die Verarbeitung personenbezogener Daten verantwortlich ist oder sie verarbeitet.
Ein für die Datenverarbeitung Verantwortlicher ist eine Instanz, die entscheidet, personenbezogene Daten zu verarbeiten, und die Entscheidungen über die Grundlage der Verarbeitung und die zu verwendenden Methoden trifft. Die für die Datenverarbeitung Verantwortlichen haben bestimmte Verpflichtungen in Bezug auf personenbezogene Daten, mit denen Sie sich vertraut machen sollten, bevor Sie personenbezogene Daten von Ihren Kunden sammeln.
Ein Datenbearbeiter ist eine Instanz, die Daten für und im Namen eines für die Datenverarbeitung Verantwortlichen verarbeitet. Er trifft keine eigenständigen Entscheidungen in Bezug auf die Daten oder deren Verarbeitung, da er sie nur im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet und alle Anweisungen des für die Datenverarbeitung Verantwortlichen befolgen muss.
Wenn Sie den autoPatient-Dienst nutzen, sind Sie ein für die Datenverarbeitung Verantwortlicher. Sie haben die Kontrolle darüber, welche Daten Sie in das autoPatient-System hochladen, was Sie mit diesen Daten tun und warum. Folglich sind Sie dafür verantwortlich, dass Sie eine Rechtsgrundlage für die Verarbeitung der Daten haben und dass Sie die Daten nicht länger als nötig aufbewahren.
Sie sollten sicherstellen, dass Sie Ihre Verpflichtungen als für die Datenverarbeitung Verantwortlicher verstehen und Ihre eigenen Systeme und Richtlinien aktualisieren, um die rechtmäßige Übermittlung personenbezogener Daten an autoPatient zu ermöglichen. autoPatient ist ein Datenverarbeiter. Über die autoPatient-Plattform speichern und verwalten wir die Daten, die Sie in Ihrem Auftrag gesammelt haben. Wir werden niemals personenbezogene Daten, die Sie in das autoPatient-System hochgeladen haben, für unsere eigenen Zwecke oder ohne Ihre Anweisung verwenden.

Schritte, die wir unternommen haben, um die Einhaltung der DSGVO/GDPR zu gewährleisten

Wir nehmen unsere Pflichten als Datenverarbeiter sehr ernst. Wir haben eine Reihe von Verfahren eingeführt und Maßnahmen ergriffen, um sicherzustellen, dass wir mit der DSGVO konform bleiben. Dadurch wird gewährleistet, dass Sie in der Lage sind, die von Ihnen erfassten personenbezogenen Daten gesetzeskonform an uns zu senden, z. B.:

• Unsere Datenverarbeitungsvereinbarung verwendet Standardvertragsklauseln, um sicherzustellen, dass Sie uns in den USA rechtmäßig personenbezogene Daten übermitteln können.
• Wir sind in der Lage, Datenschutzverletzungen zu erkennen und unsere Kunden so schnell wie möglich zu informieren.
• Wir sind in der Lage, Auskunftsersuchen und Löschungsanträge zu bearbeiten, und stellen sicher, dass wir Sie informieren, wenn eine betroffene Person einen solchen Antrag an uns gestellt hat.
• Wir haben die von uns in Ihrem Auftrag verarbeiteten personenbezogenen Daten geprüft und dokumentiert.
• Wir haben unsere Sicherheitsvorkehrungen überprüft und wo nötig verbessert, um sicherzustellen, dass sie im Hinblick auf das Risiko einer Datenverletzung angemessen sind.

HIPAA (Health Insurance Portability And Accountability Act)

Was ist HIPAA (Gesetz über die Anwendbarkeit und Rechenschaftspflicht von Krankenversicherungen)?

HIPAA steht für den Health Insurance Portability And Accountability Act von 1996, ein US-amerikanisches Gesetz, das Datenschutz- und Sicherheitsbestimmungen für den Schutz medizinischer Informationen enthält.

Das Gesetz, das am 21. August 1996 von Präsident Bill Clinton unterzeichnet wurde, enthält fünf Abschnitte bzw. Titel:

• Titel I: HIPAA-Krankenversicherungsreform
• Titel II: HIPAA-Verwaltungsvereinfachung
• Titel III: HIPAA Steuerbezogene Gesundheitsbestimmungen
• Titel IV: Anwendung und Durchsetzung der Anforderungen an Gruppen-Krankenversicherungen
• Titel V: Ausgleichszahlungen für Einnahmen

Im Zusammenhang mit dem Online-Marketing meinen die meisten Menschen die Einhaltung des HIPAA-Titels II, wenn sie sich auf die Einhaltung des HIPAA beziehen.

HIPAA Titel II
Titel II, auch bekannt als die Bestimmungen zur Verwaltungsvereinfachung, enthält die folgenden Anforderungen zur Einhaltung des HIPAA:

• Nationaler Anbieterkennungsstandard. Jede Einrichtung des Gesundheitswesens, einschließlich Einzelpersonen, Arbeitgebern, Gesundheitsplänen und Gesundheitsdienstleistern, muss eine eindeutige 10-stellige nationale Anbieterkennungsnummer (National Provider Identifier, NPI) haben.
• Standard für Transaktionen und Codesätze. Organisationen des Gesundheitswesens müssen einen standardisierten Mechanismus für den elektronischen Datenaustausch (EDI) anwenden, um Versicherungsansprüche einzureichen und zu bearbeiten.
• HIPAA-Datenschutzrichtlinie. Offiziell als „Standards for Privacy of Individually Identifiable Health Information“ bekannt, legt diese Regel nationale Standards zum Schutz von Gesundheitsdaten von Patienten fest.
• HIPAA-Sicherheitsvorschrift. Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen setzen Standards für die Sicherheit von Patientendaten.
• HIPAA-Durchsetzungsvorschrift. Diese Vorschrift legt Richtlinien für Untersuchungen von Verstößen gegen die HIPAA-Vorschriften fest.

Die beiden Anforderungen, die für die Beziehung zwischen autoPatient, einer Kundenagentur, und dem Kunden der Agentur (der Praxis) gelten, sind die HIPAA Privacy Rule und die HIPPA Security Rule. Die Einzelheiten zu jeder dieser Regeln finden Sie hier:

• HIPAA-Datenschutzbestimmung
• HIPPA-Sicherheitsvorschrift

autoPatient Konformität

m Verhältnis zwischen autoPatient und seinen Kunden gilt der Kunde (die Praxis) als „HIPAA-abgedeckte Einheit“ und autoPatient und der Kunde als „HIPAA-Business Associates“.

autoPatient hat mit der Beratungsfirma The Compliancy Group zusammengearbeitet, um sicherzustellen, dass wir die HIPAA Privacy Rule und die HIPPA Security Rule vollständig einhalten, so dass wir mit unseren Kunden HIPAA Business Associate Agreements (BAA) abschließen können.