Erklärung zur Informationspflicht
(Datenschutzerklärung)
Der Schutz Ihrer persönlichen Daten ist mir ein besonderes Anliegen. Ich verarbeite Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informiere ich Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen meiner Website.
Kontakt mit mir
Wenn Sie per E-Mail Kontakt mit mir aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei mir gespeichert. Diese Daten gebe ich nicht ohne Ihre Einwilligung weiter.
Datenspeicherung
Cookies
Meine Webseite verwendet keine Cookies.
Web-Analyse
Meine Webseite verwendet keine Web-Analyse wie Google Analytics.
Ihre Rechte
Ihnen stehen bezüglich Ihrer bei mir gespeicherten Daten grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei mir oder der Datenschutzbehörde beschweren.
Datenschutz-Anpassungsgesetz 2018
Mit 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie wurde bereits am 25. Mai 2016 beschlossen und wird mit einer zweijährigen Übergangsfrist wirksam. Sie dient der Vereinheitlichung des EU Datenschutzrechtes. Da die DSGVO so gut wie jedes Unternehmen betrifft, möchte ich Ihnen hiermit einen Überblick geben bezüglich Neuerungen im Allgemeinen, als auch speziell über die Veränderungen im Umgang mit Gesundheitsdaten. Die Datenschutz-Grundverordnung ist unmittelbar wirksam, d.h. Alle (Betriebe, Behörden, Gerichte) müssen die Bestimmung direkt anwenden. Grundsätzlich gilt die DSGVO für alle Berufsgruppen. Die DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Verzeichnis der Verarbeitungstätigkeiten
Da wir als TherapeutInnen besondere Kategorien von Daten verarbeiten, sind wir verpflichtet ein Verzeichnis über unsere Verarbeitungstätigkeiten zu erstellen. Das Verzeichnis ist schriftlich zu führen, eine elektronische Speicherung ist zulässig. Das Verzeichnis ist auf Verlangen der Aufsichtsbehörde vorzulegen.
Welche Daten werden verarbeitet?
Personenbezogene Daten: Name, Anschrift, Sozialversicherungsnummer, Geburtsdatum, Telefonnummer, Emailadresse, Name gesetzlicher Vertreter Minderjähriger, Erwachsenenvertreter/Sachwalter, verordnender Arzt, interdisziplinärer Austausch mit personenbezogenen behandelnden Kollegen (z.B. PhysiotherapeutInnen, LogopädInnen, PsychologInnen,…), Diagnose, relevante Informationen aus diversen Befunden, die für die ergotherapeutische Behandlung relevant sind
Wie werden die Daten aufgezeichnet/verarbeitet?
Im Rahmen der ergotherapeutischen Erstbefundung werden die oben genannten personenbezogenen Daten erhoben, ein Therapieplan und -ziele erhoben und schriftlich festgehalten, sowie eine Kopie des Verordnungsscheines gespeichert.
Persönliches Verzeichnis:
Namen und die Kontaktdaten des Therapeuten:
Kathrin Habermann, MSc
post@ergotherapie-habermann.at
Zwecke der Verarbeitung: Dokumentation lt. MTD-Gesetz § 11a
Beschreibung der Kategorien betroffener Personen und der Kategorien
Personenbezogene Daten: besondere Kategorien von Daten = Gesundheitsdaten
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten, offengelegt worden sind oder noch offengelegt werden:
Krankenkassen, Verein für ergotherapeutische Versorgung (VEV), gesetzlicher Vertreter Minderjähriger, Erwachsenenvertreter/Sachwalter, Verordnender Arzt, interdisziplinärer Austausch mit personenbezogenen behandelnden Kollegen (z.B. PhysiotherapeutInnen, LogopädInnen, PsychologInnen,…)
Vorgesehenen Fristen für die Löschung: 10 Jahre
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen:
– Benutzer und Berechtigungen: Kathrin Habermann, alleinige Berechtigung, passwortgeschützter Laptop
– Datensicherung einrichten und schützen
– Physischer Schutz: Wandtresor mit Zahlenkombination
– Verschlüsselung vom Laptop
– regelmäßige Aktualisierung des EDV-Systems
– Keine Versendung von sensiblen Daten per E-Mail
– Reparatur / Entsorgung von Computern bzw. Festplatten bei geeignetem Fachpersonal
Informationspflichten:
Name und Kontaktdaten des Verantwortlichen / der TherapeutIn:
Kathrin Habermann
Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen: Dokumentationspflicht, sowie die Rechtsgrundlage der Verarbeitung: MTD-Gesetz
Mögliche Empfänger: Krankenkassen, Verein für ergotherapeutische Versorgung (VEV), gesetzlicher Vertreter Minderjähriger, Sachwalter, Verordnender Arzt, interdisziplinärer Austausch mit personenbezogenen behandelnden Kollegen (z.B. PhysiotherapeutInnen, LogopädInnen, PsychologInnen,…)
Dauer der Datenspeicherung: lt. MTD-Gesetz 10 Jahre
Hinweis auf Betroffenenrechte: Auskunft, Berichtigung, Löschung
Betroffenenrechte:
Die betroffene Person hat eine Vielzahl an Rechten, denen ich als Verantwortlicher im Bedarfsfall nachkommen müssen:
Auskunftspflicht:
Die betroffene Person kann über ihre gespeicherten, personenbezogenen Daten Auskunft verlangen. Ich, als Verantwortliche, muss zum einen die Identität sicherstellen und zum anderen innerhalb eines Monats schriftlich Auskunft erteilen. Die Auskunft muss folgende Punkte umfassen: die konkret verarbeiteten Daten (z.B. E-Mails, Briefe, WhatsApp-Verlauf,…), die Verarbeitungszwecke (Dokumentation und Abrechnung), die Kategorien von Daten, die verarbeitet werden (Gesundheitsdaten fallen unter „besondere Datenkategorien) die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben wurden oder noch weitergegeben werden (z.B. Krankenkasse zur Bewilligung) die geplante Speicherdauer für diese Daten bzw. die Kriterien für die Festlegung dieser Dauer (lt. MTD-Gesetz mindestens 10 Jahre) alle verfügbaren Informationen über die Herkunft der Daten
Diese Auskunftspflicht ist im MTD-Gesetz im § 11 folgend geregelt:
Dokumentation: 11a. (1) Angehörige der gehobenen medizinisch-technischen Dienste haben bei Ausübung ihres Berufes die von ihnen gesetzten Maßnahmen zu dokumentieren.
(2) Auf Verlangen istden betroffenen Patienten(-innen) oder Klienten(-innen), deren gesetzlichen Vertretern(-innen) oder Personen, die von den betroffenen Patienten(-innen) oder Klienten(-innen) bevollmächtigt wurden, Einsicht in die Dokumentation zu gewähren und gegen Kostenersatz die Herstellung von Kopien zu ermöglichen.
(3) Bei freiberuflicher Berufsausübung sowie nach deren Beendigung sind die Aufzeichnungen sowie die sonstigen der Dokumentation dienlichen Unterlagen mindestens zehn Jahre aufzubewahren. Sofern Patienten oder Klienten durch eine andere zur freiberuflichen Ausübung eines entsprechenden gehobenen medizinisch-technischen Dienstes berechtigte Person weiterbetreut werden, kann die Dokumentation mit Zustimmung des Patienten oder Klienten oder deren gesetzlichen Vertretern durch diese weitergeführt werden. Weiters ist die betroffene Person darüber in Kenntnis zu setzen, dass sie ein Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder einen Widerspruch gegen diese Verarbeitung hat, sowie dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.
Recht auf Berichtigung: Die DSGVO räumt der betroffenen Person ein Recht auf Berichtigung, allenfalls Ergänzung über alle zu ihrer Person verarbeiteten Daten ein. Voraussetzung für den Anspruch ist, dass die Daten unrichtig sind, also mit der Wirklichkeit nicht übereinstimmen (z.B. falsches Geburtsdatum) oder dass die Daten unter Berücksichtigung des Zweckes der Verarbeitung, unvollständig sind.
Recht auf Löschung: Die betroffene Person hat ein “Recht auf Vergessenwerden”. Voraussetzung dazu ist, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Sofern Sie die Daten für die gesetzlichen Aufbewahrungsfristen (Rechnungen / Buchhaltungsdaten: 7 Jahre; Aufbewahrung der Patientendokumentation: 10 Jahre; …) nicht mehr benötigen.
Recht auf Einschränkung: Trifft das Recht auf Einschränkung zu, dürfen Sie die Daten der betroffenen Person nur mehr speichern, aber keine sonstigen Verarbeitungsschritte mehr setzen. Sie sind verpflichtet, auf Verlangen der betroffenen Person alle Daten, die Ihnen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Das „Format“ wurde in der DSGVO jedoch noch nicht definiert.
4. Informationspflicht bei Datenschutzverletzung (DSGVO Art. 33)
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Unverzügliche persönliche Information an Betroffenen (bei „hohem Risiko für die persönlichen Rechte und Freiheiten).
Welche Informationen müssen der Aufsichtsbehörde und Betroffenen (soweit möglich) übermittelt werden:
Beschreibung der Art der Verletzung (Aufsichtsbehörde und Betroffene)
Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen
Kategorien und der betroffenen personenbezogenen Datensätze (Aufsichtsbehörde)
Name und Kontaktdaten der TherapeutIn (Aufsichtsbehörde und Betroffene)
Beschreibung der wahrscheinlichen Folgen für Betroffene (Aufsichtsbehörde und
Betroffene)
Beschreibung der ergriffenen Maßnahmen (Aufsichtsbehörde und Betroffene)
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. D.h. der Vorfall muss nachvollziehbar sein.
Unter bestimmten Voraussetzung kann die Informationspflicht an den Betroffenen entfallen: Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung. Dabei muss es sich jedoch um eine „echte“ Verschlüsselung aller Daten handeln – ein Passwortgeschützter Laptop ist nicht ausreichend. Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; Dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine andere Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. Alternativ ist die Aufsichtsbehörde zur Information der Betroffenen berechtigt.
In vielen Artikeln über die neue Datenschutzanpassungsverordnung stolpert man immer wieder über den Begriff der „Folgenabschätzung“. Diese sind von uns als TherapeutInnen nicht zu führen. ARGE- Daten bezieht sich dabei auf die Kerntätigkeit, die ein Unternehmen ausübt. Unsere Kerntätigkeit oder auch die eines niedergelassenen Arztes ist die Behandlung von Patienten und nicht die Datenverarbeitung. Im Gegensatz zu Spitälern, die eine Menge an Daten zu verarbeiten haben.
Es ist auch kein Datenschutzbeauftragter zu nennen. Vielmehr kommt für Gesundheitsberufe das Gesundheitstelematikgesetz zur Anwendung. Das Gesundheitstelematikgesetz (GTelG) wurde im Zuge des Gesundheitsreformgesetzes 2005 verabschiedet und ist seit 1. Jänner 2005 in Kraft. Darin sind „ergänzende Datensicherheitsbestimmungen für den elektronischen Verkehr mit Gesundheitsdaten“ festgelegt.
Im ersten, allgemeinen Abschnitt werden vor allem Begriffe definiert, etwa was unter Gesundheitsdaten zu verstehen ist. In den Abschnitten zwei und drei hingegen werden die Datensicherheit beim elektronischen Austausch sowie das dahinterstehende Informationsmanagement – etwa der eHealth-Verzeichnisdienst (eHVD), der die Rollen und Identität der einzelnen Akteure im Austausch überprüfen und bestätigen soll – geregelt.
Seit 1. Jänner 2009 gilt zusätzlich die Gesundheitstelematikverordnung. Hier wird das GTelG inhaltlich präzisiert, wobei vor allem auf die technischen Verfahren der Übermittlung und Verschlüsselung eingegangen wird. Gesundheitsdaten müssen demnach einer „vollständigen Verschlüsselung“ unterliegen. Eine gesetzliche Ausnahme wurde für die Datenübermittlung per Fax geschaffen; diese trägt der noch nicht gänzlich vollzogenen Umstellung auf EDV-Systeme in allen Bereichen Rechnung. Im Dezember 2012 wurde das Gesundheitstelematikgesetz 2012 erlassen. Es regelt nun nicht nur die Übermittlung von Daten und den eHealth-Verzeichnisdienst, sondern auch die Grundlagen für die Einführung der elektronischen Gesundheitsakte (ELGA).
Informationen zum Datenschutz
Datenschutzerklärung
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie meine Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie meiner unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung auf meiner Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.
Wie erfasse ich Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie mir diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie mir per Email, SMS, Whats App oder telefonisch zukommen lassen.
Wofür nutzen wir Ihre Daten?
Ihre Daten werden nur zum Zweck der Kontaktaufnahme und für den Informationsaustausch verwendet, indem Sie eine Patientenvereinbarung und Datenschutzerklärung, sowie Therapieterminvorschläge vor dem ersten Behandlungstermin per Email, SMS oder Whats App zugesendet bekommen.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter post@ergotherapie-habermann.at an mich wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
2. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Ich behandle Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Ich weise Sie darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail, SMS oder Whats App) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Kathrin Habermann
Telefon: +436642550139
E-Mail: post@ergotherapie-habermann.at
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an mich. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist die Österreichische Datenschutzbehörde.
Die Datenschutzbehörde ist unter der folgenden Adresse erreichbar:
An die
Österreichische Datenschutzbehörde
Wickenburggasse 8
1080 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die ich auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeite, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
Auskunft, Sperrung, Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit persönlich an mich wenden.