Diese Vereinbarung formalisiert gemäss nDSG (Schweiz) und Art. 28 DSGVO für EU-Übermittlungen die Rolle von My Data My Care als Auftragsbearbeiter im Auftrag der Gesundheitsfachpersonen und -einrichtungen, die als Verantwortliche tätig sind. Major-Releases lösen eine ausdrückliche erneute Einwilligung aus.
Aktuelle Version
Aktuelle Version wird geladen…
1. Gegenstand
Diese DPA regelt die Bearbeitung von Personendaten durch My Data My Care (Auftragsbearbeiter) im Auftrag des Verantwortlichen (Gesundheitsfachperson, Praxis, Spital, Krankenkasse oder Labor). Sie ergänzt die professionellen AGB und hat Vorrang vor entgegenstehenden Datenschutzbestimmungen, gemäss nDSG und DSGVO.
2. Parteien & Rollen
Der Verantwortliche bestimmt Zweck und Mittel der Bearbeitung. My Data My Care handelt ausschliesslich auf dokumentierte Weisung, ohne Bearbeitung zu eigenen Zwecken. Unsere Kontaktdaten und jene des DSB sind unten aufgeführt. Zuständige Aufsichtsbehörde in der Schweiz ist der EDÖB (Eidg. Datenschutz- und Öffentlichkeitsbeauftragter).
3. Zwecke & dokumentierte Weisungen
Die Bearbeitungen sind beschränkt auf: verschlüsselte Speicherung, sichere Freigabe, FHIR-R4-Portabilität, Kommunikation innerhalb des Behandlungsteams, Backup. Jede Erweiterung des Zwecks erfordert einen Vertragsnachtrag. Keine Daten werden verkauft, abgetreten oder monetarisiert.
4. Dauer & Verbleib der Daten
Die Bearbeitungsdauer ist an die Laufzeit des Hauptvertrags und die anwendbaren schweizerischen Aufbewahrungspflichten gekoppelt (Krankengeschichte: 10 Jahre nach letzter Konsultation gemäss kantonaler Vorschrift, Art. 80 MedBG; Sicherheits-Logs: 12 Monate). Nach Vertragsende: Rückgabe in FHIR R4 + Löschung innert 90 Tagen, mit Zeitstempelnachweis.
5. Sicherheitsmassnahmen
ISO-27001-zertifiziertes Hosting (EU und optional Schweiz), AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 im Transport, clientseitige E2E-Verschlüsselung für sensible Daten, obligatorische MFA, unveränderliches Logging, jährliche Penetrationstests, SOC-2-Type-2-Review. Unterauftragsbearbeiter sind öffentlich gelistet, die Liste wird bei jeder Änderung aktualisiert.
6. Übermittlungen ausserhalb der Schweiz / der EU
Übermittlungen in die EU profitieren vom durch den Bundesrat anerkannten Angemessenheitsbeschluss. Keine produktive Übermittlung ausserhalb EU/Schweiz. Eventuelle Unterauftragsbearbeiter in UK/US (ausserhalb des kritischen Gesundheitspfads) sind durch Standardvertragsklauseln (EU-SCC 2021 + EDÖB-Zusätze) und zusätzliche Massnahmen (Verschlüsselung, Pseudonymisierung) abgesichert.
7. Unterstützung bei Betroffenenrechten
Wir unterstützen den Verantwortlichen bei der Beantwortung von Anfragen auf Auskunft, Berichtigung, Löschung, Portabilität, Einschränkung und Widerspruch (Art. 25-32 nDSG; Art. 15-22 DSGVO) innerhalb von höchstens 15 Werktagen. Integrierte Patientenwerkzeuge (/einstellungen/agb, /export) ermöglichen Self-Service-Bearbeitung in den meisten Fällen.
8. Kontakt & Meldungen
Für jede DPA-Anfrage, Vorfall oder Audit: dpo@mydatamycare.com. Vertragliche Frist für Vorfallmeldungen: 24h (Art. 33 DSGVO; Art. 24 nDSG an EDÖB).