Auftragsverarbeitungsvertrag (AVV)
Vertragsparteien
Verantwortlicher (Gesundheitspraxis)
Auftragsverarbeiter (Widmann Vox AI)
Gegenstand und Dauer der Verarbeitung
Verarbeitungstätigkeit
Der Auftragsverarbeiter erbringt folgende Dienstleistungen im Auftrag des Verantwortlichen:
- • Entgegennahme und strukturierte Verarbeitung von Patientenanrufen
- • Erfassung von Patientendaten gemäss medizinischer Anweisung
- • Beantwortung organisatorischer Standardfragen
- • Erstellung und Übermittlung von Anrufzusammenfassungen
- • Durchführung von administrativen Triage-Prozessen
Vertragsdauer
Art und Zweck der Verarbeitung
Verarbeitete Datenkategorien
- • Identifikationsdaten (Name, Geburtsdatum)
- • Kontaktdaten (Telefon, Email)
- • Anliegen des Patienten
- • Administrative Daten (Terminwünsche, Dringlichkeit)
- • Verarbeitungsmetadaten (Zeitstempel, Dauer)
Verarbeitungszwecke
- • Verbesserung der Erreichbarkeit der Praxis
- • Entlastung des Praxispersonals
- • Strukturierte Aufnahme von Patientenanliegen
- • Optimierung von Praxisabläufen
- • Verbesserung der Patientenerfahrung
Keine medizinische Beratung
Der Auftragsverarbeiter erbringt keine medizinische Beratung, Diagnose oder Therapieempfehlungen. Alle medizinischen Entscheidungen liegen beim Verantwortlichen.
Pflichten des Auftragsverarbeiters (Widmann Vox AI)
Verarbeitung gemäss Anweisung
- • Verarbeitung ausschliesslich nach schriftlicher Anweisung des Verantwortlichen
- • Keine eigenständige Zweckbestimmung der Daten
- • Keine Weitergabe an Dritte ohne ausdrückliche Genehmigung
- • Dokumentation aller Verarbeitungstätigkeiten
Vertraulichkeit und Sicherheit
- • Verpflichtung zur Verschwiegenheit aller Mitarbeiter
- • Implementierung geeigneter technischer und organisatorischer Massnahmen
- • Regelmässige Sicherheitsaudits und Schulungen
- • Meldung von Datenschutzverletzungen innerhalb von 24 Stunden
Unterstützungspflicht
- • Unterstützung bei der Erfüllung von Auskunftsersuchen
- • Hilfe bei der Durchführung von Datenschutz-Folgenabschätzungen
- • Mitarbeit bei Behördenanfragen und Kontrollen
- • Bereitstellung von Verarbeitungsverzeichnissen
Löschung und Rückgabe
- • Automatische Löschung nach Ablauf der Speicherfrist (direkt / vom Kunde bestimmt)
- • Rückgabe aller Daten bei Vertragsende
- • Vernichtung aller vorhandenen Kopien nach Rückgabe
- • Bestätigung der vollständigen Löschung
Technische und organisatorische Massnahmen (TOMs)
Technische Massnahmen
- • Ende-zu-Ende Verschlüsselung (AES-256)
- • TLS 1.3 für alle Datenübertragungen
- • Zwei-Faktor-Authentifizierung
- • Rollenbasierte Zugriffskontrolle (RBAC)
- • Regelmässige Sicherheitsupdates
- • Backup-Verschlüsselung
Organisatorische Massnahmen
- • Vertraulichkeitsverpflichtung aller Mitarbeiter
- • Regelmässige Datenschutz-Schulungen
- • Zugangskontrolle zu Serverräumen
- • Clean-Desk-Policy
- • Incident-Response-Verfahren
- • Regelmässige interne Audits
Einsatz von Subunternehmern
Genehmigungspflicht
Der Einsatz von Subunternehmern erfolgt nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen. Folgende Subunternehmer sind aktuell eingesetzt:
- • Cloud-Infrastruktur-Provider (Schweiz/EU)
- • Telekommunikationsdienstleister
- • IT-Support-Dienstleister (nur auf Anfrage)
Vertragsverhältnisse
Mit allen Subunternehmern bestehen entsprechende AVV-Verträge, die den gleichen Datenschutzanforderungen unterliegen wie dieser Vertrag.
Kontrollrechte und Audits
Kontrollrechte des Verantwortlichen
- • Recht auf Information über alle Verarbeitungstätigkeiten
- • Recht auf Inspektion der technischen und organisatorischen Massnahmen
- • Recht auf Einsicht in Dokumentationen und Verfahren
- • Recht auf Überprüfung der Einhaltung der Vertragsbedingungen
Audit-Verfahren
Der Verantwortliche kann Audits durchführen oder von Dritten durchführen lassen:
- • Vorankündigung mindestens 30 Tage im Voraus
- • Durchführung während der üblichen Geschäftszeiten
- • Begrenzung auf maximal 1 Audit pro Jahr
- • Vertraulichkeitsverpflichtung der Auditoren
Meldepflichten bei Datenschutzverletzungen
Meldung an den Verantwortlichen
Der Auftragsverarbeiter meldet jede Datenschutzverletzung unverzüglich, spätestens innerhalb von 24 Stunden, an den Verantwortlichen.
Meldung an Aufsichtsbehörden
Der Verantwortliche entscheidet über die Meldung an die zuständige Aufsichtsbehörde. Der Auftragsverarbeiter unterstützt bei der Erstellung der Meldung.
Dokumentation
Der Auftragsverarbeiter dokumentiert alle Datenschutzverletzungen einschliesslich der daraus resultierenden Massnahmen in einem Vorfallsprotokoll.
Vertragsende und Datenrückgabe
Vertragsbeendigung
Dieser Vertrag endet automatisch mit der Beendigung des Hauptvertrags zwischen den Parteien.
Datenrückgabe
Bei Vertragsende wird der Auftragsverarbeiter:
- • Alle verarbeiteten Daten an den Verantwortlichen zurückgeben
- • Alle vorhandenen Kopien und Backups löschen
- • Eine schriftliche Bestätigung der vollständigen Löschung ausstellen
- • Alle physischen Datenträger vernichten oder zurückgeben
Automatische Löschung
Unabhängig vom Vertragsende werden Patientendaten automatisch nach 30 Tagen gelöscht.
Schlussbestimmungen
Änderungen und Ergänzungen
Änderungen dieses Vertrags bedürfen der Schriftform und der Unterzeichnung durch beide Parteien. Mündliche Nebenabreden sind unwirksam.
Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.
Gerichtsstand
Gerichtsstand ist Zürich, Schweiz. Es gilt ausschliesslich schweizerisches Recht unter Berücksichtigung der EU-DSGVO.
Kontakt bei Fragen
Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder zum Datenschutz wenden Sie sich bitte an:
Datenschutzbeauftragter
8966 Oberwil-Lieli, Schweiz