DSGVO - lemniscus-Nutzung dokumentieren

Zu den Dokumentationspflichten des Therapeuty gehört die Führung eines Verzeichnisses der Verarbeitungstätigkeiten.

Findet eine Verarbeitung der Daten “im Auftrag” statt - wie bei lemniscus - dann muss ein Auftragsverarbeitungsvertrag (AVV) zwischen Therapeuty und Dienstleisty abgeschlossen werden.

Was ein AVV ist, haben wir auf unserer Datenschutz-Seite kurz erläutert.

In Bezug auf die bereitgestellten Formulare aus dem DSGVO-Komplettpaket (siehe DSGVO-Seite), sind für lemniscus-Anwendys folgende Punkte relevant:

 

Auftragsverarbeitungsvertrag

Punkt 2, "Zweckbestimmung der Datenerhebung"

Hier muss eingetragen werden, welche Daten in lemniscus gespeichert werden. Typischerweise wird Therapeuty die folgenden Felder in lemniscus erfassen:

  • Vorname und Nachname
  • Privatadresse
  • Telefonnummer
  • E-Mail-Adresse
  • Geschlecht
  • Geburtsdatum / Geburtsort
  • Gesundheitsdaten
  • Behinderungsgrad
  • eventuell die ethnische Herkunft

Punkt 4, unter "Technische und organisatorische Maßnahmen"

  • Vertraulichkeit: wie melde ich mich in lemniscus an? Benutzername und Kennwort, oder wenn OTP, ein Fidostick oder eine biometrische Erkennung eingesetzt wird, wie genau die Anmeldung konfiguriert wurde und wie die Tokens generiert werden (welche App, welches Smartphone, usw.)

  • Verfügbarkeit: Verweis auf die TOMs im lemniscus AVV

  • Authentizität: Verweis auf die TOMs im lemniscus AVV

  • Transparenz: Verweis auf die TOMs im lemniscus AVV

  • Technik des Verfahrens

    • Nutzung der Praxisverwaltung: lemniscus

    • Anbindung Datenaustausch über: verschlüsselte Verbindung (https)

    • Sicherung der Daten: extern

Im folgendem Video wird der rechtliche Hintergrund zum Thema Auftragsdatenverarbeitung und Auftragsverarbeitungsvertrag erläutert.