«Das neue Gesetz gewährt Schweizer Bürger:innen besseren Schutz bei der Erfassung und der Verwendung ihrer persönlicher Daten – umgekehrt nimmt es auch Unternehmen gegenüber ihren Angestellten und Kund:innen strenger in die Pflicht», fasst Nadine Camenzind das neue Gesetz zusammen. Obwohl MediData zertifizierte Vorreiterin bezüglich Datenschutz ist, musste man auch hier akribisch über die Bücher. «Wir machten 12 wichtige Punkte aus, die wir einerseits überprüfen und, falls notwendig, hinsichtlich des nDSG anpassen mussten.» Folgende Themen wurden untersucht und bearbeitet:

Informationspflichten
Um den Informationspflichten als Verantwortliche nachzukommen, hat MediData ihre Datenschutzerklärung komplett überarbeitet. Darin informiert MediData transparent über die Beschaffung und Bearbeitung ihrer Personendaten.

Betroffenenrechte
Die im nDSG aufgeführten Betroffenenrechte hat MediData intern sowohl prozessual als auch technisch geprüft und Anpassungen vorgenommen. So hat MediData beispielsweise das Auskunftsrecht neu in der Firma geschult.

Verträge
MediData hat alle Verträge auf nDSG-Konformität geprüft und überarbeitet. Weiter wurde der Auftragsverarbeitungsvertrag AVV für die Versicherer angepasst und für die Leistungserbringer wurde ein neuer AVV erstellt. Die Verträge folgender Kundensegmente wurden angepasst:

• 18‘680 Leistungserbringer
• 22 Versicherungen
• 90 SWH
• 19 Konzentratoren
• Demnächst 16 Trustcenter
   

Meldepflichten
Bei einer Verletzung der Datensicherheit braucht es eine Meldung an den EDÖB, sofern ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht. MediData hat dazu ihre Prozesse auf ihre Konformität geprüft. Aufgrund der Zertifizierungen ist MediData bereits konform unterwegs.

Auftragsbearbeiter
Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung an einen Auftragsbearbeiter übertragen werden. MediData hat eruiert, bei welchen Dienstleistungen und Services sie eine Auftragsbearbeitung erbringt und hat diese im Auftragsbearbeitungsvertrag und der Datenschutzerklärung beschrieben.

Privacy by design
MediData hat geprüft, ob technische und organisatorische Vorkehrungen zur Einhaltung des Datenschutzes getroffen sind und somit die Technikgestaltung auf dem neusten Stand und konform ist. Wo Handlungsbedarf war, hat MediData dies umgesetzt (z.B. interne Weisungen, Vermeidung von Personendaten beim Applikationsdesign, etc.).

Privacy by default
Für die Sicherstellung einer durchgängigen datenschutzfreundlichen Voreinstellung hat MediData die Dienstleistungen und Services geprüft. MediData hat aufgrund der Zertifizierung bereits vorgängig Massnahmen dazu eingeleitet.

Datensicherheit
MediData hat Aktualitätsprüfungen hinsichtlich der technischen und organisatorischen Massnahmen zum Schutz der Personendaten durchgeführt. Diese werden im Auftragsverarbeitungsvertrag aufgeführt. Aufgrund der Zertifizierungen ist MediData bereits konform unterwegs.

Bearbeitungsverzeichnis
Mit der Erarbeitung des Bearbeitungsverzeichnisses, identifiziert MediData alle Verfahren mit personenbezogenen Daten. Mit diesem geforderten Bearbeitungsverzeichnis profitiert MediData gleich mit. MediData erhält eine Übersicht und eine Durchgängigkeit der Prozesse und kann deshalb die Qualität der Produkte noch besser gestalten.

DSFA
Mit der Datenschutzfolgeabschätzung DSFA kann MediData die Risiken der Datenbearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen bewerten und die Massnahmen zu deren Schutz aufzeigen.

Datenschutzberaterin
MediData hat eine Datenschutzberaterin eruiert und diese beim EDÖB gemeldet. Die Datenschutzberaterin ist Anlaufstelle für die betroffenen Personen und für die Behörden.

«Kleines» Geschäftsgeheimnis 
Die Mitarbeitenden der MediData sind geschult über den Umgang mit Informationen, welche dem Geschäftsgeheimnis oder dem Datenschutz unterliegen. Zusätzlich unterzeichnen sie eine Einverständniserklärung dazu.