Dieser Vertrag formalisiert gemäss Art. 28 DSGVO die Rolle von My Data My Care als Auftragsverarbeiter im Auftrag der Gesundheitsfachpersonen und -einrichtungen, die als Verantwortliche tätig sind. Major-Releases lösen eine ausdrückliche erneute Einwilligung aus.
Aktuelle Version
Aktuelle Version wird geladen…
1. Gegenstand
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch My Data My Care (Auftragsverarbeiter) im Auftrag des Verantwortlichen (Gesundheitsfachperson, Praxis, Klinik, Krankenkasse oder Labor). Er ergänzt die professionellen AGB und hat Vorrang vor entgegenstehenden Datenschutzbestimmungen.
2. Parteien & Rollen
Der Verantwortliche bestimmt Zweck und Mittel der Verarbeitung. My Data My Care handelt ausschliesslich auf dokumentierte Weisung, ohne Verarbeitung zu eigenen Zwecken. Unsere Kontaktdaten und jene des DSB sind unten aufgeführt.
3. Zwecke & dokumentierte Weisungen
Die Verarbeitungen sind beschränkt auf: verschlüsselte Speicherung, sichere Freigabe, FHIR-R4-Portabilität, Kommunikation innerhalb des Behandlungsteams, Backup. Jede Erweiterung des Zwecks erfordert einen Vertragsnachtrag. Keine Daten werden verkauft, abgetreten oder monetarisiert.
4. Dauer & Verbleib der Daten
Die Verarbeitungsdauer ist an die Laufzeit des Hauptvertrags und die anwendbaren gesetzlichen Aufbewahrungspflichten gekoppelt (Patientenakte: 10 Jahre nach letzter Behandlung, § 630f BGB; Sicherheits-Logs: 12 Monate). Nach Vertragsende: Rückgabe in FHIR R4 + Löschung innert 90 Tagen, mit Zeitstempelnachweis.
5. Sicherheitsmassnahmen
HDS-zertifiziertes Hosting in Frankreich (ISO 27001 + HDS), AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 im Transport, clientseitige E2E-Verschlüsselung für sensible Daten, obligatorische MFA, unveränderliches Logging, jährliche Penetrationstests, SOC-2-Type-2-Review. Unterauftragsverarbeiter sind öffentlich gelistet, die Liste wird bei jeder Änderung aktualisiert.
6. Übermittlungen ausserhalb der EU
Keine produktive Übermittlung ausserhalb der Europäischen Union. Eventuelle Unterauftragsverarbeiter in UK/US (ausserhalb des kritischen Gesundheitspfads) sind durch Standardvertragsklauseln (SCC 2021) und zusätzliche Massnahmen (Verschlüsselung, Pseudonymisierung) abgesichert.
7. Unterstützung bei Betroffenenrechten
Wir unterstützen den Verantwortlichen bei der Beantwortung von Anfragen auf Auskunft, Berichtigung, Löschung, Portabilität, Einschränkung und Widerspruch (Art. 15-22 DSGVO) innerhalb von höchstens 15 Werktagen. Integrierte Patientenwerkzeuge (/einstellungen/agb, /export) ermöglichen Self-Service-Bearbeitung in den meisten Fällen.
8. Kontakt & Meldungen
Für jede AVV-Anfrage, Vorfall oder Audit: dpo@mydatamycare.com. Vertragliche Frist für Vorfallmeldungen: 24h (Art. 33 DSGVO).