Zu den Dokumentationspflichten des Therapeuty gehört die Führung eines Verzeichnisses der Verarbeitungstätigkeiten.
Findet eine Verarbeitung der Daten “im Auftrag” statt - wie bei lemniscus - dann muss ein Auftragsverarbeitungsvertrag (AVV) zwischen Therapeuty und Dienstleisty abgeschlossen werden.
Was ein AVV ist, haben wir auf unserer Datenschutz-Seite kurz erläutert.
Für lemniscus-Anwendys sind folgende Punkte relevant:
Auftragsverarbeitungsvertrag
Punkt 2, "Zweckbestimmung der Datenerhebung"
Hier muss eingetragen werden, welche Daten in lemniscus gespeichert werden. Typischerweise wird Therapeuty die folgenden Felder in lemniscus erfassen:
Vorname und Nachname
Privatadresse
Telefonnummer
E-Mail-Adresse
Geschlecht
Geburtsdatum / Geburtsort
Gesundheitsdaten
Behinderungsgrad
eventuell die ethnische Herkunft
Punkt 4, unter "Technische und organisatorische Maßnahmen"
Vertraulichkeit: wie melde ich mich in lemniscus an? Benutzername und Kennwort, oder wenn OTP, ein Fidostick oder eine biometrische Erkennung eingesetzt wird, wie genau die Anmeldung konfiguriert wurde und wie die Tokens generiert werden (welche App, welches Smartphone, usw.)
Verfügbarkeit: Verweis auf die TOMs im lemniscus AVV
Authentizität: Verweis auf die TOMs im lemniscus AVV
Transparenz: Verweis auf die TOMs im lemniscus AVV
Technik des Verfahrens
Nutzung der Praxisverwaltung: lemniscus
Anbindung Datenaustausch über: verschlüsselte Verbindung (https)
Sicherung der Daten: extern
Im folgendem Video wird der rechtliche Hintergrund zum Thema Auftragsdatenverarbeitung und Auftragsverarbeitungsvertrag erläutert.