Unternehmen im Gesundheitswesen bearbeiten grosse Mengen an Personendaten, die meist besonders schützenswert sind. Aus diesem Grund besteht ein enormes Risiko, gegen das neue Datenschutzgesetz (nDSG) zu verstossen, sofern sich die Leistungserbringer nicht anpassen. Und es kommt einiges auf sie zu. Nadine Camenzind, Projektleiterin nDSG MediData, führt aus: «Der Aufwand hängt davon ab, ob das Unternehmen aufgrund seiner Tätigkeit besonders betroffen ist und wie weit es sich bereits an das neue Datenschutzgesetz angepasst hat. Unternehmen, die schon DSGVO-konform sind, haben nur geringfügigen Anpassungsbedarf. Wer hingegen ausschliesslich in der Schweiz tätig ist und bis heute nichts unternommen hat, sollte schnellstens aktiv werden, denn am 1. September müssen die verschärften Anforderungen erfüllt sein.

Zu den Aspekten, die speziell fürs Gesundheitswesen relevant sind, gehören:

• die Informationspflicht beim Beschaffen von Personendaten
• die Auskunftserteilung (wobei Rechenschaft abzulegen ist, was denn alles erfasst ist)
• die Konformitätsprüfung von Verträgen
• das Überarbeiten der Datenschutzerklärung
• des Verzeichnisses der Bearbeitungstätigkeit (und zwar bezüglich aller medizinischen wie administrativen Schritte, so auch z.B. im HR-Bereich)
• das Überprüfen der Datenbearbeitung bezüglich der neuen Vorschriften. Das betrifft technische und organisatorische Aspekte (Privacy by design) wie auch mittels geeigneter Voreinstellungen sicherzustellen, dass das Bearbeiten von Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist (Privacy by default).
• Bei neuen Datenbearbeitungen sollen im Voraus die Risiken des Projekts für die Privatsphäre eingeschätzt und minimiert werden. Hier geht es um Datenschutz-Folgeabschätzungen.
• Meldeverfahren bei Datenschutz-Verletzungen
• das Prüfen von Massnahmen zu Data Breaches (Hacking-Gefahren)
• das Schaffen eines internen Datenschutzberaters
• das Schulen der Mitarbeitenden

Der Schutz von Kundendaten ist für MediData seit Jahrzehnten von zentraler Bedeutung. Denn der verantwortungsvolle Umgang mit Informationen und Daten ist ein wesentliches Kriterium für den Geschäftserfolg. Die ganze Firma mit ihren Prozessen, Systemen und Dienstleistungen wird daher regelmässig von einer unabhängigen Zertifizierungsstelle nach ISO 27001 und VDSZ geprüft und bestätigt. Dabei wird nicht nur die rechtliche, sondern auch organisatorische und technische Seite berücksichtigt. «Das heisst, wir befinden uns hinsichtlich des neuen DSG auf einem guten Stand», freut sich Nadine Camenzind. «Weil wir das Thema sehr ernst nehmen, haben wir ein Projektteam gebildet, welches sich dem Anliegen mit höchster Priorität annimmt und mögliche Differenzen bereinigt.» Weiter führt Nadine Camenzind aus: «Uns ist es besonders wichtig, mit gutem Beispiel voranzugehen, damit unsere Kunden einen verlässlichen Partner an ihrer Seite haben, denn sie sind verpflichtet, Daten sicher und konform zu übermitteln. MediData als Teil dieser Lieferkette nimmt diese Verantwortung wahr und ist bestrebt, die Informationssicherheit und den Datenschutz zu gewährleisten. So betreiben wir als solide Basis ein Datenschutzmanagement, das den Anforderungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten vollauf entspricht.»