Rechte der Versicherten

Veröffentlichung auf der Website https://dina4u.de

Verantwortlicher der verarbeitenden Stelle

Verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO ist

vital.services GmbH
Dittrichring 4
04109 Leipzig

Telefon 0341 5656510
E-Mail: datenschutz@vital-services.de

Zweck und Dauer der Datenverarbeitung

Die mit DiNa4u erhobenen personenbezogenen Daten werden nur für das Erreichen der Ziele verarbeitet:

Rehabilitationserfolg dauerhaft mittels wohnortunabhängiger, engmaschiger und kontinuierlicher Betreuung der Patient:innen sichern

• Aktive Nutzung der Software durch die Teilnehmenden (Jugendliche, Eltern ggf. Geschwister)
• Kontinuierliche fachliche Betreuung der Teilnehmenden durch die Therapeut:innen
• Dauerhafte Sicherung des Rehabilitationserfolgs

Verknüpfung von Patient:inneneninformationen und Zugangsdaten ermöglichen durch die angebotenen Informationen und Hilfestellungen eine individualisierte Bedarfsorientierung und Leistungserbringung

• Wirksamkeit der Maßnahme für alle Personen gleichermaßen gewährleistet
• Individualisierbarkeit
• Anwenderfreundlichkeit

Verzahnung von medizinischer Rehabilitation und Nachsorge als Leistung desselben Leistungserbringers (Rehaklinik)

• Nahtloser Übergang zwischen Rehabilitation und Nachsorge
• Übertragbarkeit der Anwendung auf andere Kliniken

Eine weitere Verarbeitung der personenbezogenen Daten ist nur zulässig, wenn die Rechtsgrundlagen der Verarbeitung erfüllt sind.

Während der zwölfmonatigen Telenachsorgemaßnahme werden personenbezogene Gesundheitsdaten von Teilnehmenden erhoben, erfasst und verarbeitet, gegebenenfalls auch über den Maßnahmezeitraum hinaus, sofern die App weitergenutzt werden kann und soll und die Betroffenen einer weiteren Nutzung explizit zugestimmt haben. Die Verarbeitung der personenbezogenen Daten dient therapeutischen Zwecken und wird unabhängig von der Forschung der wissenschaftlichen Begleitung durchgeführt.

Zum Zwecke der Dokumentation, Bewilligung, Verordnung und Bescheidung der Rehabilitationsmaßnahme können personenbezogene Daten (Sozialdaten) von Versicherten bzw. Patient:innen zwischen den Rehabilitationskliniken und den Trägern der Deutschen Rentenversicherung übermittelt werden. Dies erfolgt nach den Maßgaben und gesetzlichen Grundlagen des Regelgeschäftes nach § 38 SGB IX. Die Rehabilitationskliniken erhalten diese Sozialdaten zweckgebunden zur Durchführung der Rehabilitationsmaßnahme. Bei den Daten, die während der Behandlung in der Klinik erzeugt werden, handelt es sich nicht um Sozialdaten. Erst dann, wenn die Daten in den Verfügungsbereich der Träger der deutschen Rentenversicherung gelangen (z. B. im Entlassungsbericht), werden diese als Sozialdaten angesehen.

Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage für die Datenspeicherung und -verarbeitung erfolgt auf Basis der freiwilligen Einwilligung gemäß Art. 6.1a, der EU-Datenschutz-Grundverordnung. Die Erhebung, Speicherung und Verarbeitung Ihrer Daten erfolgt ausschließlich nach einer informierten, schriftlichen Einwilligung.

Die Rechtsgrundlage zur Nutzung der erhobenen Patientendaten zur Patientenversorgung, Forschung und Qualitätssicherung bilden die nachfolgend genannten Gesetze.

Datenschutzgrundverordnung (DS-GVO)

Bundesdatenschutzgesetz (BDSG)

Landesdatenschutzgesetz Baden-Württemberg vom 12. Juni 2018 (LDSG)

Hessisches Datenschutz- und Informationsfreiheitsgesetz (HEBIS)

Bayerisches Datenschutzgesetz (BayDSG)

Landeskrankenhausgesetz (KHG) Baden-Württemberg

Sozialgesetzbuch (SGB) insbesondere § 38 SGB IX

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

Heimgesetz (HG)

Postgesetz (PostG)

Strafgesetzbuch (StGB)

Gesetz über Medizinprodukte (MPG)

Recht auf Benachrichtigung über die Datenerhebung

Die informierte Einwilligung ist Rechtsgrundlage der Datenverarbeitung. Mit der Einwilligung erklärt sich der Patient insbesondere dazu bereit, dass

• seine identifizierenden Daten an das Identitätsmanagement übermittelt und dort gespeichert werden,
• Versorgungsdaten sowie Daten, die der Patient selbst bereitstellt, in der Fallakte erfasst werden und zum Versorgungsmanagement genutzt werden,
• medizinische und soziale Daten, sowie Daten, die der Patient selbst bereitstellt, aus der Fallakte mit einem Exportpseudonym in eine Studiendatenbank transferiert und zur Qualitätssicherung verarbeitet sowie für Forschungszwecke an externe Forscher übermittelt werden (Forschungsdaten).

Im Bedarfsfall kann die Einwilligungserklärung im Verlauf der Behandlung auf Wunsch des Patienten auf weitere Leistungserbringer erweitert werden. Patienten können jederzeit ebenfalls über die App DiNa4u den Status der Zugriffsberechtigungen einsehen und falls nötig Korrekturen veranlassen oder Zugriffsmöglichkeiten an bestimmte Leistungserbringer verweigern.

Macht ein Patient von seinem Auskunftsrecht nach Art. 15 EU-DSGVO oder Korrektur oder Widerspruchsrecht nach Art. 16 und Art. 21 EU-DSGVO Gebrauch, so erfolgt eine Bearbeitung innerhalb von 14 Tagen.

Recht auf Auskunft

Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Die verantwortliche Stelle stellt sicher, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Patienten verfügen über einen, wie im Erwägungsgrund Nr. 63 zur EU-DSGVO empfohlenen, direkten Zugang zu seinen personenbezogenen Daten. Über diesen Zugang erhält der Patient ausführliche Informationen über:

• Verarbeitungszweck,
• personenbezogene Daten, die verarbeitet werden,
• Empfänger denen die personenbezogenen Daten offengelegt werden
• geplante Speicherdauer,
• Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
• über das Beschwerderecht bei der Aufsichtsbehörde,
• sowie über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden.

Recht auf Aushändigung einer Kopie der Daten

Patient:innen haben das Recht auf die Aushändigung einer Kopie ihrer Daten. Der entsprechende Antrag nach §630g Abs. 2 BGB ist schriftlich an die verantwortliche Stelle zu stellen. Die verantwortliche Stelle führt den Export durch und erzeugt einen Ausdruck, der dem Patient:innen bereitgestellt wird. Die entstandenen Kosten sind bis zu einer Höchstgrenze von 15,00 EUR zu erstatten.

Recht auf Datenportabilität

Interoperabilität ist für uns aufgrund der Vielzahl von eingesetzten IT-Systemen ein wesentlicher Faktor und wird aktiv durch die verantwortliche Stelle zur Vermeidung von sogenannten „Lock-in-Effekten“ gefördert.

Aus diesem Grund und unter Berücksichtigung von Art. 20 EU-DSGVO stellen wir Patient:innen auf Wunsch die im Rahmen des Versorgungsangebotes gespeicherten und verarbeiten Daten aus der elektronischen Fallakte ohne Kosten oder Behinderung zur Verfügung. Die Datenmigration erfolgt auf Basis von FHIR-Ressourcen und wird über eine API direkt oder als strukturierte maschinenlesbare Datensätze auf einer CD-R gespeichert und in einem versiegelten Umschlag dem Patienten bereitgestellt.

Zur Förderung der Interoperabilität stehen die im GerontoNet genutzten Profile, Erweiterungen, Valuesets, Dictionaries, Mappings usw. unter Gerontonet - SIMPLIFIER.NET in der offiziellen FHIR-Registry öffentlich zur Verfügung.

Recht zum Widerspruch bzgl. der Datennutzung

Patienten haben das Recht, die Einwilligung in die Verarbeitung ihrer Daten zu widersprechen. Der Widerspruch ist schriftlich an die verantwortliche Stelle zu richten. Mit der Bestätigung des Widerspruchs werden die technischen Routinen zur Auflösung der elektronischen Fallakte und der vollständigen Löschung der darin gespeicherten Versorgungsdaten ausgelöst.

Recht auf Berichtigung, Sperrung oder Löschung

Patient:innen haben das Recht auf die Berichtigung, Sperrung oder Löschung Ihrer Daten. Zur Berichtigung von Daten wenden Sie sich an Ihren Fallmanager. Gemeinsam stellen Sie den Korrekturbedarf fest und die entsprechenden Berichtigungen werden vorgenommen.

Zudem können Sie jederzeit den in der Versorgung beteiligten Akteuren das Zugriffsrecht auf Ihre personenbezogenen Daten ohne Angabe von Gründen entziehen. Patient:innen wird nach der Sperrung bzw. Eingrenzung von Zugriffsrechten eine Übersicht erstellt, in der alle zugriffsberechtigten Akteure aufgeführt sind.

Im Falle einer Löschung werden alle Ihnen zugeordneten Datensätze im Master-Patienten-Index und der Versorgungsdatenbank gelöscht. Ausgenommen von der Löschung sind Daten in der Studiendatenbank.

Der Abschluss der Löschung wird Ihnen schriftlich bestätigt.

Recht auf Information über erfolgte Angriffe

Nach Art. 33 Abs. 5 EU-DSGVO ist jede Datenschutzverletzung unverzüglich binnen 72 Stunden, nachdem die Verletzung bekannt wurde der zuständigen Aufsichtsbehörde zu melden, es sei denn, die Verletzung des Schutzes personenbezogener Daten führte voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Zur Abwägung, ob für den Betroffenen ein Risiko gegeben ist, wird der Risikokatalog des Erwägungsgrundes 75 EU-DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen) berücksichtigt und entsprechend dokumentiert.

Bei einem hohen Risiko informieren wir Sie nach Art. 34 EU-DSGVO unverzüglich

• in verständlicher Sprache,
• mit einer Beschreibung, was genau passiert ist,
• was als Gegenmaßnahme getan wurde
• und wie nun reagiert werden soll, um Schlimmeres zu verhindern.

Anspruch auf Anrufung der Datenschutzkontrollinstanz

Wenn Sie der Ansicht sind, dass gegen datenschutzrechtliche Bestimmungen verstoßen wurde, können Sie sich an die zuständige Kontrollstelle den sächsischen Datenschutz- und Transparenzbeauftragte in wenden:

Sächsische Datenschutz- und Transparenzbeauftragte
Devrientstraße 5
01067 Dresden

Telefon: +49 351 85471-101
Telefax: +49 351 85471-109

E-Mail: post@sdtb.sachsen.de
Homepage: Website der Sächsischen Datenschutzbeauftragten.

Dieser muss der Beschwerde nachgehen und Sie über den Ausgang unterrichten.