Datenschutz- und Archivierungsreglement der Klinik Arlesheim (DSAR)

  1. Zweck, Geltungsbereich und Grundlagen
    1. Zweck
      1. Das Datenschutz- und Archivierungsreglement der Klinik Arlesheim (DSAR) dient dem Schutz der Patientinnen und Patienten, den durch die Klinik Arlesheim betreuten Personen sowie der Mitarbeitenden vor missbräuchlicher Bearbeitung ihrer Personendaten.
      2. Das DSAR hält fest, wie mit Personen- und Geschäftsdaten in der Klinik Arlesheim umzugehen ist, welche Zuständigkeiten im Bereich Datenschutz gelten, wie die Daten archiviert und Verstösse sanktioniert werden können.
    2. Geltungsbereich
      1. Das DSAR gilt für alle Mitarbeitenden der Klinik Arlesheim ungeachtet ihres Standorts und ihrer Funktion. Es regelt jegliche Bearbeitung und Verwendung von Personen- und Geschäftsdaten in allen Bereichen und für alle Mitarbeitenden der Klinik Arlesheim.
      2. Das DSAR gilt ebenso für mandatierte externe Personen und Firmen. Durch entsprechende Vereinbarungen stellt die Klinik Arlesheim sicher, dass auch mandatierte externe Personen und Firmen diese Bestimmungen beachten.
      3. Diese Bestimmungen sind anwendbar auf alle Personen- und Geschäftsdaten in der Klinik Arlesheim, unabhängig von deren Datenträger (Papier, Tonband oder Mikrofilm, CD, DVD, Speicherbänder, interne oder externe Speichermedien usw.).
    3. Rechtliche Grundlagen des Datenschutzes
      Insbesondere folgende Normen bilden die rechtliche Grundlage:
      • Kantonale Normen
        • Gesetz über die Information und den Datenschutz vom 10.02.2011 (Informations- und Datenschutzgesetz, IDG)
        • Gesundheitsgesetz vom 21.02.2008 (GesG)
        • Verordnung zum Gesetz über die Information und den Datenschutz (Information und Datenschutzverordnung, IDV) vom 04.12.2012
        • Gesetz über die Information und den Datenschutz vom 09.06.2010 (Informations- und Datenschutzgesetz, IDG)
        • Gesundheitsgesetz vom 21. September 2011 (GesG)
      • Nationale Normen
        • Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Datenschutzgesetz des Bundes, DSG)
        • Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (StGB, insbes. Artikel 320, 321 und 321bis)
        • Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (Datenschutzverordnung Bund, VDSG)

          Diese Aufzählung ist nicht abschliessend.
    4. Begriffe
      Archivieren von Daten Daten, welche für den laufenden Betrieb nicht mehr gebraucht werden, werden (wenn sie nicht zu vernichten sind) archiviert.
      Bearbeitung von
      Personendaten      		 Als Bearbeiten von Personendaten wird die Erhebung der Daten, das Verändern, Archivieren oder Löschen der Daten, aber auch das Einsicht nehmen in die Datensammlungen verstanden.
      Behandlungsdokumentation alle Informationen über eine Patientin oder einen Patienten in der Klinik Arlesheim, alle administrativen Daten (Namen, Wohnort, Krankenkasse, Zivilstand, etc.) und Daten über ihren, resp. seinen Gesundheitszustand (Krankengeschichte, Pflegedokumentation, Laboruntersuchungen, Bilder, Berichte usw.)
      Behandlungsteam Zum Behandlungsteam zählen sämtliche Personen, welche im Behandlungsprozess der Patientin oder des Patienten in der Klinik Arlesheim eine Aufgabe erfüllen, ungeachtet davon, ob sie in der Klinik Arlesheim angestellt oder durch sie beauftragt sind
      Bekanntgabe von Daten das Zugänglichmachen von Personendaten durch ein aktives Tun (z.B. Einsichtsgewährung, Auskunftserteilung oder Veröffentlichung) oder durch ein passives Verhalten (Datenzugang gewähren, Behandlungsunterlagen herumliegen lassen)
      Besonders schützenswerte
      Personendaten      		 Als besonders schützenswert gelten u.a. alle Personendaten, welche die Gesundheit oder Persönlichkeitsprofile (wie sie aus Personalakten erstellt werden können) betreffen. Somit sind alle Patientinnen- und Patienten- und auch Personaldaten besonders schützenswerte Personendaten.
      Erheben von Daten das Aufnehmen von Daten mittels Befragung (z.B. beim Eintritt, Empfang etc.), Übernehmen von Daten von Dritten (z.B. von der zuweisenden Person)
      Geschäftsdaten Informationen zu der Klinik Arlesheim, welche (noch) nicht öffentlich zugänglich sind
      Informatikgeräte Sämtliche Geräte, welche eine elektronische Bearbeitung von Personendaten für geschäftliche Zwecke zulassen (wie Computer, Laptops, Tablets, (internetfähige) Smartphones)
      Löschen von Daten siehe Vernichten von Daten
      Personaldaten Personendaten, welche sich auf Mitarbeitende der Klinik Arlesheim beziehen
      Personendaten Personendaten sind Angaben über eine bestimmte oder bestimmbare Person. Hierbei ist es unerheblich, in welcher Art die Daten vorliegen (z.B. Information in den Behandlungsunterlagen, in einem Klinikinformationssystem, als Bild- oder Tonaufnahme,
      als Fragebogen, aus einem Telefongespräch oder als Feststellung, wenn eine Person auf dem Areal gesehen wird).
      Nicht Volljährige Personen, welche das 18. Lebensjahr noch nicht vollendet haben
      Urteilsunfähige Patientin /
      urteilsunfähiger Patient      		 Eine Patientin oder ein Patient, die / der nicht in der Lage ist, vernunftgesteuert zu entscheiden, weil sie / er z.B. zu jung ist oder bewusstlos ist, eine psychische Störung aufweist oder unter dem Einfluss von Alkohol oder Drogen steht.
      Verändern von Daten Das Abändern von Personendaten, ungeachtet des Datenträgers
      (Änderungen auf dem Papier, in einer Datei, eines Eintrags, in einem IT-System, etc.). Das Verändern von Daten ist eine Unterart der Bearbeitung von Daten.
      Vernichtung von Daten Daten, welche für den laufenden Betrieb nicht mehr gebraucht werden und für welche keine Archivierungs- oder Aufbewahrungspflicht besteht, werden vernichtet. Elektronische Daten werden durch ihre Löschung vernichtet.
      Weitergabe von Daten das Weiterleiten von Personendaten von einer Person an eine andere
  2. Berufsgeheimnis
    1. Berufsgeheimnis gemäss Art. 321 StGB
      1. Mitarbeitende und Beauftragte dürfen kein Geheimnis offenbaren, das ihnen in ihrer Eigenschaft als Mitarbeiterin oder Mitarbeiter resp. Beauftragte der Klinik Arlesheim anvertraut worden ist oder das sie in Erfüllung einer Aufgabe für die Klinik Arlesheim wahrgenommen haben.
      2. Bereits der Umstand, dass eine Person Patientin in der Klinik Arlesheim ist, ist ein durch das Berufsgeheimnis geschütztes Geheimnis, das nicht preisgegeben werden darf.
      3. Zum Behandlungsteam zählen sämtliche Personen, welche im medizinischen oder administrativen Behandlungsprozess der Patientin oder des Patienten eine Aufgabe erfüllen. In diesem Team dürfen Informationen über die Patientin oder über den Patienten ausgetauscht werden (die Einwilligung der Patientin oder des Patienten wird vermutet). Ausgetauscht werden dürfen jedoch nur diejenigen Daten, welche eine Person zur Erfüllung ihrer Aufgabe benötigt.
      4. Nicht zum Behandlungsteam zählen folglich:
        • Fachpersonen, welche nicht an der Behandlung beteiligt sind
        • Angehörige
        • Arbeitgeber der Patientinnen und Patienten
        • Behörden
        • Polizei
        • Versicherungen
        • etc.
      5. Personen ausserhalb des Behandlungsteams dürfen nur unter den in Ziffer 4.4 erwähnten Gründen Kenntnis der Personendaten erhalten.
      6. Externe, welche im Auftrag der Klinik Arlesheim Arbeiten ausführen und hierbei Zugang zu Patienten-, Personaldaten oder Daten von betreuten Personen erhalten, unterstehen denselben Vorgaben wie Mitarbeitende der Klinik Arlesheim.
      7. Die Entbindung vom Berufsgeheimnis erfolgt durch die Patientin oder den Patienten oder durch die Gesundheitsdirektion (BL) (für die Klinik Arlesheim) bzw. das Gesundheitsdepartement (BS) (für das Ita Wegman Ambulatorium). Das genaue Vorgehen ist in Ziffer 4.4.7 geregelt.
    2. Dauer des Berufsgeheimnisses
      1. Die Mitarbeitenden sind sowohl während ihrer Anstellung als auch nach dem Austritt aus der Klinik Arlesheim an das Berufsgeheimnis gebunden.
      2. Das Berufsgeheimnis dauert auch über den Tod der betroffenen Person hinaus.
    3. Informationen über verstorbene Personen
      Verstirbt eine Patientin oder ein Patient, gilt der Grundsatz, dass keine Informationen weitergegeben werden dürfen. Konkret richtet sich die Datenweitergabe nach Ziffer 4.4.
  3. Grundsätze des Datenschutzes
    1. Rechtmässigkeit
      Es dürfen nur diejenigen Daten erhoben werden, für welche die Klinik Arlesheim eine gesetzliche Rechtfertigung hat. Eine gesetzliche Rechtfertigung liegt vor für sämtliche Daten, welche zur Erfüllung der Aufgaben der Klinik Arlesheim notwendig sind.
    2. Verhältnismässigkeit
      Es dürfen nur diejenigen Daten bearbeitet werden, welche zur Erfüllung der Aufgaben notwendig und erforderlich sind. Das bedeutet, dass:
      • nicht zu viele Daten erhoben oder weitergegeben werden dürfen;
      • der Zugriff nur auf diejenigen Daten zu erteilen ist, welche für die Erfüllung der Aufgabe notwendig sind;
      • nur diejenigen Daten beim Eintritt erhoben werden, welche für die Behandlung und Administrierung notwendig sind;
      • nur auf die Daten zugegriffen wird, welche für die Erfüllung der Aufgabe notwendig sind (auch wenn die Technik einen weitergehenden Zugriff zuliesse).
    3. Zweckbindung
      Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Somit dürfen die für die Behandlung erhobenen Daten nur für die Behandlung verwendet werden.
    4. Richtigkeit
      1. Die Personendaten bearbeitende Person stellt sicher, dass die Daten richtig sind. Personendaten sind dann richtig, wenn sie die Umstände und Tatsachen, bezogen auf die betroffene Person, sachgerecht wiedergeben.
      2. Die Personendaten müssen zudem aktuell und vollständig sein.
    5. Korrekte Beschaffung
      1. Es ist den Patientinnen und Patienten sowie dem Personal klar darzulegen, warum die Personendaten erhoben werden und für welchen Zweck die Daten verwendet werden.
      2. Die Personendaten werden wenn immer möglich bei der betroffenen und nicht bei einer anderen privaten Person beschafft.
      3. Um Doppelspurigkeiten zu verhindern und eine optimale Patientenversorgung zu gewährleisten, werden die Daten bei den vorher behandelnden Ärztinnen oder Ärzten eingeholt. Widerspricht die urteilsfähige Patientin oder der urteilsfähige Patient, wird darauf verzichtet.
      4. Informationen zu den Patientinnen und Patienten werden nur dann bei Angehörigen oder bei sonstigen Vertrauenspersonen der Patientin oder des Patienten beschafft, wenn dies für die optimale Patientenversorgung notwendig ist. Widerspricht die urteilsfähige Patientin oder der urteilsfähige Patient, wird darauf verzichtet.
      5. Informationen über Stellenbewerberinnen und –bewerber werden ausschliesslich bei ihnen oder bei den von ihnen angegebenen Referenzpersonen eingeholt. Vgl. auch Ziffer 5.
  4. Bearbeitung von Daten von Patientinnen und Patienten
    1. Voraussetzung für die Bearbeitung
      1. Personendaten von Patientinnen und Patienten dürfen nur soweit bearbeitet werden, als
        dies für die fachgerechte medizinische oder administrative Betreuung der Patientinnen und
        Patienten notwendig ist.
      2. Die Konsultation von Behandlungsdokumentationen (in Papierform oder elektronisch) ist
        nur gestattet, wenn sie der Behandlung der Patientinnen und Patienten dient. Die Möglichkeit
        eines Zugriffs legitimiert den Zugriff nicht.
      3. Personendaten von betreuten Personen dürfen nur soweit bearbeitet werden, als dies für
        ihre fachgerechte Betreuung notwendig ist.
    2. Einsicht in die Behandlungsunterlagen durch die Behandelnden
      1. In die Behandlungsdokumentation dürfen nur diejenigen Behandelnden Einsicht nehmen,
        welche dies für die jeweilige Aufgabenerfüllung benötigen.
      2. Eine berechtigte Person darf nur in dem Umfang in die Behandlungsdokumentation Einsicht
        nehmen, wie dies für die Erfüllung ihrer Aufgaben notwendig ist.
      3. Mittels Zugriffsreglementen werden Voraussetzung und Umfang des Zugriffs auf die
        elektronischen Patienteninformationen geregelt.
      4. Jede Einsichtnahme in die elektronischen Patienteninformationen wird registriert.
      5. Die Behandlungsdokumentationen müssen in einer Form aufbewahrt werden, die Unbefugten
        die Einsicht verwehrt.
    3. Einsicht in die Behandlungsunterlagen durch die Patientinnen und
      Patienten in sie betreffende Unterlagen
      Jeder Patient und jede Patientin hat das Recht auf Einsicht in seine resp. ihre Behandlungsunterlagen.
      Dieses Einsichtsrecht wird in Ziffer 6.2 detailliert geregelt.
    4. Weitergabe von Patientendaten
      1. Patientendaten werden ausschliesslich in folgenden Fällen an Personen ausserhalb des Behandlungsteams weitergegeben:
        • mit Einwilligung der betroffenen Person oder
        • aufgrund einer Entbindung vom Berufsgeheimnis durch die Aufsichtsbehörde (vgl. entsprechendes Formular «Entbindung von Schweigepflicht» im DMS) oder
        • aufgrund einer gesetzlichen Bestimmung, welche die Weitergabe zulässt oder vorschreibt.
      2. Bei der urteilsunfähigen Patientin oder dem urteilsunfähigen Patienten werden die Daten gemäss ihrem mutmasslichen Willen weitergegeben. Dies bedeutet, dass Angehörige, welche mit dem Patienten oder der Patientin unter einem Dach leben, über den Aufenthalt informiert werden, ausser es liegen Hinweise vor (u.a. in einer Patientenverfügung), dass dies die Patientin oder der Patient nicht wünscht.
      3. Auskünfte an Dritte über Patientinnen und Patienten dürfen nur mit deren ausdrücklicher Zustimmung erteilt werden.
      4. Sofern aus den Umständen nicht auf einen Geheimhaltungswillen der Patientin oder des Patienten geschlossen werden muss, wird die Zustimmung vermutet für:
        • Auskünfte an Bezugspersonen (in PV genannten Personen, Lebenspartner oder nächste Verwandte)
        • medizinisch notwendige Auskünfte an die zuweisenden und nachbehandelnden Ärztinnen und Ärzte sowie an andere Fachpersonen, welche die Behandlung und Betreuung unmittelbar übernehmen (z.B. Spitex, Heime)
      5. Mit Ausnahme der medizinisch notwendigen Auskünfte gemäss 4.4.4 b) werden Dritten Kopien aus der Patientenakte nur bei Vorliegen einer schriftlichen Einwilligung des Patienten1 - oder im Streitfall bzw. bei Urteilsunfähigkeit/Tod des Patienten aufgrund einer Entbindung vom Berufsgeheimnis durch die Aufsichtsbehörde (Formular «Entbindung von beruflichen Schweigepflicht» im DMS) - ausgehändigt.
      6. Kann die Patientin resp. der Patient nicht mehr selber entscheiden und hat sie resp. er in einer Patientenverfügung oder in einem Vorsorgeauftrag eine Vertretung in medizinischen Angelegenheiten bestimmt, wird diese kontaktiert, und sie entscheidet über das weitere Vorgehen.
      7. Mittels Gesuch um Entbindung vom Berufsgeheimnis kann die schweigepflichtige Person beantragen, dass sie Informationen über die Patientin oder den Patienten Dritten weitergeben darf. In der Klinik Arlesheim ist das Gesuch von der für die Behandlung hauptverantwortlichen Oberärztin resp. dem Oberarzt zu stellen.
      8. Das Stellen des Gesuchs setzt voraus, dass die Patientin oder der Patient nicht einwilligen kann (z.B. Urteilsunfähigkeit oder Tod) oder ungerechtfertigterweise nicht einwilligen will.
      9. In folgenden Fällen müssen Informationen der jeweiligen Behörde gemeldet werden:
        • Aussergewöhnliche Todesfälle (Unfall, Selbstmord, evtl. med. Fehlbehandlungen) oder schwere Körperverletzungen müssen der Staatsanwaltschaft gemeldet werden.
        • Die zur Identifikation nötigen Informationen zu mit übertragbaren Krankheiten infizierten resp. exponierte Personen sind den Kantonalen Behörden zu melden;
        • Pflichtvergessene Eltern (ihr Verhalten gegenüber ihrem Kind ist strafrechtsrelevant) müssen der Kindes- und Erwachsenenschutzbehörde gemeldet werden.
        • Fälle von vorliegenden oder drohenden suchtbedingten Störungen bei nicht volljährigen Personen müssen den Eltern mitgeteilt werden, sofern nicht wichtige Gründe dagegensprechen.
      10. In folgenden Fällen darf eine Meldung erfolgen:
        • Verbrechen und Vergehen gegen Leib und Leben, gegen die öffentliche Sicherheit oder die sexuelle Integrität dürfen den Strafverfolgungsbehörden gemeldet werden.
        • Die Feststellung einer Gemeingefährlichkeit während des Straf- oder Massnahmevollzugs oder der fürsorgerischen Unterbringung darf den Strafvollzugsbehörden resp. den Kindes- und Erwachsenenschutzbehörden gemeldet werden.
        • Körperliche oder geistige Gebrechen und Krankheiten resp. Süchte, welche das Lenken eines Fahrzeugs beeinträchtigen, dürfen dem Strassenverkehrs- und Schifffahrtsamt, sowie dem Kantonsarztamt gemeldet werden.
        • Strafbare Handlungen gegen nicht Volljährige, wenn es in deren Interesse ist, dürfen den zuständigen Kindes- und Erwachsenenschutzbehörden gemeldet werden.
        • Fälle von vorliegenden oder drohenden suchtbedingten Störungen, namentlich bei Kindern und Jugendlichen können den zuständigen Behandlungs- oder Sozialhilfestellen gemeldet werden.
      11. Eine Drohung oder eine Nötigung, auch gegenüber Mitarbeitenden der Klinik Arlesheim, darf somit nicht ohne Entbindung vom Berufsgeheimnis durch die Aufsichtsbehörde angezeigt werden (es sind beides Verbrechen gegen die Freiheit). Ebenso wenig die Tätlichkeit und die sexuellen Belästigungen, welche lediglich Übertretungen darstellen.
      12. Stehen namentlich Leib und Leben vor einer unmittelbaren, nicht anders abwendbaren Gefahr, darf unter Berufung auf das Notwehr- und Notstandsrecht und ohne Entbindung vom Berufsgeheimnis die Polizei kontaktiert werden.
      13. Bei unklaren Fällen muss vorgängig der interne Rechtsdienst oder die kantonale Gesundheitsdirektion kontaktiert werden.
    5. Patientendaten zu Forschungszwecken
      Die Nutzung von Patientendaten zu Forschungszwecken richtet sich nach den einschlägigen Bestimmungen des Humanforschungsgesetzes und seiner Verordnungen.
    6. Umgang mit Informatikmitteln
      1. Alle Passwörter sind persönlich und müssen zur Sicherheit der Daten regelmässig geändert werden. Es ist verboten, Passwörter weiterzugeben.
      2. In den Klinik-Informationssystemen dürfen nur Daten aufgerufen werden, welche zur Erfüllung der Tätigkeit benötigt werden. Jegliche aufgerufenen Informationen sind streng vertraulich.
      3. Geschäftliche Daten jeglicher Art dürfen ausschliesslich auf klinikeigenen Geräten bearbeitet werden. Ein Fernzugriff (VPN) kann via direkten Vorgesetzten bei der IT beantragt werden. Die Berechtigten sind dafür verantwortlich, dass die Daten nicht unberechtigten Dritten zugänglich sind. Sie haften persönlich für daraus entstehende Datenschutzverletzungen und Schadenersatzansprüche.
      4. Es ist strikt untersagt, jegliche Geräte (private PCs, Tablets, Smartphones, USB-Sticks oder andere Massenspeicher), welche nicht von der Klinik Arlesheim autorisiert sind, mit dem Kliniknetzwerk oder Arbeitsplatzcomputern zu verbinden. Erlaubt ist, mittels einer von der Klinik zur Verfügung gestellten VPN-Verbindung sich von einem privaten Gerät in die Klinik zu verbinden. Für private mobile Geräte darf das WLAN für Mitarbeitende verwendet werden.
      5. Der Transportweg Fax nutzt ein verschlüsseltes Protokoll; ein Versand per Fax gilt als sicherer Versand. Vor dem Versand von besonders schützenswerten Personendaten muss geklärt werden, dass das Faxgerät des Empfängers nicht allgemein zugänglich ist.
      6. Per unverschlüsselter E-Mail dürfen keine Patientendaten an Dritte verschickt werden. Für den elektronischen Versand wird die verschlüsselte HIN-Plattform verwendet. Eine Ausnahme bildet die Korrespondenz mit Patienten. Sie werden informiert, dass unverschlüsseltes E-Mail genutzt wird, wenn sie nicht schriftlich angeben, dass sie dies nicht wünschen.
  5. Bearbeitung von Personal- und Geschäftsdaten
    1. Voraussetzungen für die Bearbeitung
      1. Personendaten von Stellenbewerberinnen und -bewerbern dürfen in dem Umfang erhoben werden, wie dies die Stellenbewerbung bedingt und im Hinblick auf den ordnungsgemässen Abschluss des Arbeitsvertrages erforderlich ist.
      2. Über Mitarbeitende werden im Personaldossier lediglich die Daten festgehalten, welche für die Anstellung notwendig sind.
      3. Referenzauskünfte werden nur mit der vorherigen Zustimmung der betroffenen Person eingeholt. Sie werden protokolliert und auf Wunsch offengelegt.
    2. Personaldossier
      1. Personendaten von Mitarbeitenden werden in einem Personaldossier beim Personalwesen aufbewahrt.
      2. Die Vorgesetzten dürfen von denjenigen Unterlagen des Personaldossiers Kopien bei sich aufbewahren, welche sie für ihre Führungsaufgabe benötigen. Sie haben diese sicher aufzubewahren.
      3. Andere Unterlagen als die im offiziellen Personaldossier dürfen weder bei den Vorgesetzten noch im Personalwesen geführt werden (Verbot von sog. Schattendossiers).
    3. Einsicht in die Personaldaten
      Das Einsichtsrecht wird gemäss Ziffer 6.2 gewährt.
    4. Weitergabe von Geschäftsdaten
      1. Geschäftsdaten, welche der breiten Öffentlichkeit nicht oder noch nicht bekannt sind, dürfen nur mit Einwilligung der Klinikleitung oder aufgrund einer gesetzlichen Grundlage Dritten bekanntgegeben werden.
      2. Die Prüfung der gesetzlichen Grundlage ist vor der ersten Datenweitergabe vom internen Rechtsdienst vorzunehmen.
    5. Aufbewahrung
      1. Die Aufbewahrung richtet sich nach Ziffer 7.4.
      2. Die Unterlagen einer Stellenbewerberin oder eines Stellenbewerbers werden nach Abschluss des Bewerbungsverfahrens, wenn es nicht zur Anstellung kommt, umgehend, spätestens aber nach Ablauf von 3 Monaten, retourniert. Vorbehalten bleibt die Aufbewahrung für einen späteren Zeitpunkt in Absprache mit der Bewerberin/ dem Bewerber.
  6. Rechte der betroffenen Personen
    1. Information der Betroffenen
      1. Patientinnen und Patienten werden in der Patientenwegleitung über ihre Rechte informiert.
      2. Auf Gesuch wird den Patientinnen und Patienten auch das vorliegende DSAR abgegeben.
      3. Den Mitarbeitenden der Klinik Arlesheim wird dieses DSAR zur Kenntnis gebracht und somit auch ihre Rechte gemäss kantonalem Datenschutzgesetz.
      4. Die Mitarbeitenden und die Patientinnen und Patienten können sich an den Datenschutzbeauftragten der Klinik Arlesheim (datenschutz@klinik-arlesheim.ch) wenden und sich über ihre Rechte informieren.
      5. Die von einer Datenbearbeitung betroffenen Mitarbeitenden können mit Fragen oder Rügen an den Datenschutzbeauftragten der Klinik Arlesheim (datenschutz@klinikarlesheim. ch) gelangen.
      6. Die gesetzlich garantierten Beschwerderechte der von der Datenbearbeitung Betroffenen bleiben davon unberührt.
    2. Auskunfts- und Einsichtsrecht / Zugang zu den eigenen Daten
      1. Die Patientinnen und Patienten erhalten auf Verlangen Einsicht in und Auskunft über ihre Behandlungsunterlagen. Sie müssen ihr Begehren nicht begründen. Zur Dateneinsicht durch Dritte vgl. 4.4.
      2. Der Antrag für eine Kopie der Patientenakte hat schriftlich zu erfolgen. Der behandelnde Arzt betreut den Vorgang (gemäss Prozess «Akteneinsicht») und weist das Sekretariat an.
      3. Ein Einsichts- oder Auskunftsgesuch wird möglichst rasch und sicherlich innerhalb von 30 Tagen behandelt.
      4. Nach Ablauf der Aufbewahrungspflicht gemäss 7.4.5 und 7.4.6 kann der Patient die Herausgabe oder die Vernichtung der Originalakte verlangen, wenn sie nicht bereits vernichtet wurde.
      5. Die Auskunft erfolgt in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie in der Regel kostenlos. Eine Aufwandsentschädigung wird nur erhoben, wenn das Gesuch zeitlich nahe zu einem früheren Auskunftsbegehren gestellt wird. Die Gesuchstellerin oder der Gesuchsteller ist vorab über die Erhebung einer Aufwandsentschädigung in Kenntnis zu setzen.
      6. Aussagen von Dritten werden in den Unterlagen geschwärzt oder nicht herausgegeben, wenn ihre schützenswerten Interessen den Interessen der Patientin oder des Patienten vorgehen.
      7. In persönliche Notizen der Behandelnden muss keine Einsicht gewährt werden. Als persönliche Notizen gelten jedoch nur Hilfsmittel, Notizen, niedergeschriebene Gedanken, welche ausschliesslich für den Eigengebrauch erstellt wurden und nicht behandlungsrelevant sind. Sie gehören daher nicht in den IDV. Sie können im InesKIS im Ordner «Sensitive Daten» unter Anamnese abgelegt werden.
      8. Die Mitarbeitenden haben ein Einsichtsrecht in ihr Personaldossier.
      9. Zum Schutz der Auskunft verlangenden Person kann die Auskunftspflicht durch eine von ihr bezeichnete Ärztin erfolgen.
      10. Der Empfang von herausgegebenen Kopien wird bei Abholung mit einer unterschriebenen Empfangsbestätigung quittiert, welche in der Akte abgelegt wird. Eine Übermittlung per Post erfolgt per Einschreiben.
    3. Berichtigungsrecht und Bestreitungsvermerk
      1. Werden Personendaten rechtswidrig bearbeitet, können Patientinnen oder Patienten, Mitarbeitende oder betreute Personen verlangen, dass das weitere Bearbeiten unterlassen wird oder in einer rechtmässigen Form erfolgt.
      2. Jede betroffene Person hat das Recht, Einschätzungen der Behandelnden in den Behandlungsunterlagen mit einem Bestreitungsvermerk versehen zu lassen.
  7. Organisatorische Massnahmen für den Datenschutz
    1. Datenschutzgruppe
      1. Die Klinikleitung ernennt einen fachlich qualifizierten Datenschutzbeauftragten, welcher den Datenschutz klinikintern bearbeitet, betreut und überwacht sowie eine interne Datenschutzgruppe, welche den Datenschutzbeauftragten unterstützt. Der Datenschutzbeauftragte übernimmt den Vorsitz der Datenschutzgruppe. Jedes Mitglied der Datenschutzgruppe übernimmt ein konkretes Aufgaben- und Verantwortlichkeitsgebiet. Diese sind im Aufgabenprofil der Datenschutzgruppe geregelt. (Im DMS unter Dokumenten- Datenmanagement/Datenschutz)
      2. In der Datenschutzgruppe werden die wichtigen Fragen des Datenschutzes in der Klinik Arlesheim diskutiert. Insbesondere muss die Datenschutzgruppe zu allen neuen internen Datenschutzregelungen oder Informationsschriften Stellung nehmen und über schwere Datenschutzverletzungen beraten.
      3. Die Datenschutzgruppe trifft sich, wenn es die Geschäfte erfordern, mindestens jedoch zwei Mal pro Jahr. Über die Sitzungen wird Protokoll geführt.
      4. Die Datenschutzgruppe ist direkt der Klinikleitung unterstellt und übt ihre Aufgaben unabhängig und ohne Sanktionsdruck aus.
      5. Für die Aufgaben der Datenschutzgruppe werden ausreichende Ressourcen zur Verfügung gestellt.
      6. Den Mitgliedern der Datenschutzgruppe steht der Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die zur Erfüllung der Aufgabe nötig sind, offen.
      7. Der Datenschutzbeauftragte ist erster Ansprechpartner/in für Datenschutzfragen. Sie resp. er informiert sich über den Stand des Datenschutzes in der Klinik Arlesheim, sorgt für die Schulung der Mitarbeitenden, prüft und kontrolliert die Bearbeitung und Archivierung der Personendaten und empfiehlt der Klinikleitung der Klinik Arlesheim nach vorgängiger Konsultation der Datenschutzgruppe Korrekturmassnahmen.
      8. Die Datenschutzgruppe berichtet der Klinikleitung regelmässig über den Stand des Datenschutzes im Betrieb und über allfällige Verstösse.
    2. Interne Zuständigkeit und Verantwortung
      Für die interne Organisation der Massnahmen zum Datenschutz gelten die folgenden Verantwortlichkeiten. Ist hier nichts Besonderes erwähnt, ist der Leiter des entsprechenden Bereichs /Abteilung verantwortlich.
      1. Ambulante Patientendaten: In erster Linie ist jeder behandelnde Arzt für seine Patientendaten verantwortlich. Ansprechpartner für übergreifende Themen sowie die administrative Organisation und Abwicklung ist die Leitung Sekretariate.
      2. Stationäre Patientendaten: In erster Linie ist jeder behandelnde Arzt für seine Patientendaten verantwortlich. Ansprechpartner für übergreifende Themen ist der
        Vorgesetzte der Assistenzärzte.
      3. Patientendaten Medizinisches Labor: Leitung Med. Labor
      4. Patientendaten Diagnostik: Leitung Diagnostik
      5. Patientenadministration (Korrespondenzen mit Krankenkassen): Leitung Stationäre Aufnahme & Patientenadministration
      6. Stationäre Aufnahme (Korrespondenz mit Krankenkassen und zuweisenden Ärzten) Leitung Stationäre Aufnahme & Patientenadministration
      7. Codierung: Leitung Medizin Controlling
      8. Personaldaten/ Personaldossiers: Leitung Personal
      9. Für die Forschungsdaten: Leitung Forschung
    3. Schulungen
      Die Mitarbeitenden der Klinik Arlesheim werden im Datenschutz geschult. Ihnen werden die nötigen Unterlagen zur Verfügung gestellt.
    4. Aufbewahrung und Archivierung
      1. Die gesamten Personendaten werden archiviert.
      2. Die Patientendaten vor 2016 werden in Papierform in Aktenschränken im Archiv, die Patientenakten ab 2016 in elektronischer Form mittels einer revisionssicheren Archivierungssoftware archiviert. Für die Systeme der elektronischen Archivierung ist der Leiter ICT verantwortlich.
      3. Rechnungen werden ab Mitte 2019 elektronisch abgelegt. Zuständig ist die Buchhaltung.
      4. Die Dauer der Aufbewahrung der Daten richtet sich nach der Art der Personen- oder Geschäftsdaten und den relevanten gesetzlichen Vorgaben:
      5. Das Gesundheitsgesetz des Kantons Baselland, die Verordnung über die Berufe im Gesundheitswesen des Kantons Baselland, aber auch die Verordnung über
        mikrobiologische Laboratorien und Haftungsregeln machen Vorgaben für die Aufbewahrung der Patientendaten. Gestützt auf diese Bestimmungen bewahrt die Klinik Arlesheim die Behandlungsunterlagen 20 Jahre ab dem letzten Eintrag auf. Verantwortlich für die ambulanten Patientendaten ist die Leitung Arztsekretariate; für die stationären Patientendaten der Vorgesetzte der Assistenzärzte.
      6. Für Organisationseinheiten, welche sich im Kanton Basel-Stadt befinden (Ita Wegman Ambulatorium), gilt gestützt auf die jeweiligen Regelungen des Kantons Basel-Stadt und die nationalen Haftungsregelungen ebenfalls eine Frist von 20 Jahren. Verantwortlich ist die Leitung Ita Wegman Ambulatorium.
      7. Belege, Daten und Dateiträger über die Verschreibung und den Verkehr mit kontrollierten Substanzen (z.B. Betäubungsmittel-Blöcke (BMT-Blöcke) werden gemäss Art. 62 Abs. 3 BemtKV 10 Jahre aufbewahrt.
      8. Alle Unterlagen und Aufzeichnungen, welche im Rahmen des Qualitätsmanagementsystems der Vigilance im Bereich Medizinprodukte erstellt worden sind, werden gemäss MepV Art. 67 Abs. 3 mindestens 15 Jahre aufbewahrt.
      9. Personalakten werden während 10 Jahren nach Austritt der jeweiligen Person aufbewahrt. Die Lohnbuchhaltung wird 10 Jahre nach Abschluss des Geschäftsjahres aufbewahrt. Verantwortlich ist die Leitung Personal.
      10. Akten des Personalarztes werden während einer Dauer von 40 Jahren ab dem letzten Eintrag in die Akte aufbewahrt. Verantwortlich ist der Personalarzt.
      11. Daten der Sterilisationsprozesse (Temperatur, Druck, Zyklusdauer) sowie der Validierungsbericht müssen dokumentiert und während 12 Jahren aufbewahrt werden.
      12. Rechnungen werden elektronisch abgelegt. Gewöhnliche Geschäftsunterlagen werden mind. 10 Jahre nach Abschluss des Geschäftsjahres aufbewahrt. (Bilanz und Erfolgsrechnung unterschrieben und im Original) Mind. 25 Jahre aufbewahrt werden Bauunterlagen und steuerrelevante Unterlagen (inkl.
        Mehrwertsteuer) zu Immobilien. Die Unterlagen der Patientenadministration und der Codierung werden 10 Jahre aufbewahrt. Zuständig für die Akten der Buchhaltung, der Patientenadministration und der Codierung ist die Leitung Finanzen. Für Unterlagen der Klinikleitung die Klinikleitung.
      13. Die Verträge der Klinik Arlesheim mit Dritten werden vom Rechtsdienst archiviert. Aufbewahrungsdauer: Verträge des normalen Geschäftsganges mind. 10 Jahre nach Ablauf. Verträge zu Grundstücksgeschäften und Unternehmenstransaktionen mind. 25 Jahre nach Ablauf. Zuständig ist die Leitung Rechtsdienst.
      14. Die Aufbewahrung der Daten der Forschung richtet sich nach den entsprechenden gesetzlichen Grundlagen. Verantwortlich ist der Leiter Forschung.
      15. Historische Dokumente der Klinik Arlesheim werden von der Klinikleitung gesammelt und aufbewahrt. Zuständig ist die Assistenz der KL.
    5. Verhaltensanweisungen an die Mitarbeitenden
      1. Der Arbeitsplatz ist „aufgeräumt“ zu hinterlassen, so dass Unbefugte keinen Zugriff auf Personendaten erhalten. Hierzu sind Räume – sofern möglich – zu verschliessen.
      2. Geschäftliche Daten müssen zwingend auf dem Netzwerk gesichert werden. Es ist nicht zulässig, Speicherungen lediglich auf lokalen oder auf externen Datenträgern (USB-Stick, externe Harddisks, CD, DVD etc.) vorzunehmen.
      3. Nicht durch die IT der Klinik Arlesheim zur Verfügung gestellte Cloud-Dienste wie „icloud“ oder „dropbox“ dürfen nicht genutzt werden. Solche Speicherungs- und Back-up- Möglichkeiten können die geltenden Datenschutzstandards nicht gewährleisten.
      4. In Bereichen mit Publikumsverkehr sind Laptops, Tablets, Monitore, Drucker und Faxgeräte so aufzustellen, dass das Risiko der Einsichtnahme durch Dritte möglichst ausgeschlossen wird.
      5. Schränke mit gesammelten Personendaten sind verschlossen zu halten.
      6. Beim Verlassen des Arbeitsplatzes ist der Zugriff auf Informatikgeräte mittels Passwort zu schützen oder die Geräte sind auszuschalten.
      7. Passwörter dürfen nicht an Dritte weitergegeben werden oder für Dritte zugänglich (z.B. unter der Tastatur oder dem Mousepad) aufbewahrt werden. Sie sind regelmässig zu ändern.
      8. Besteht der begründete Verdacht, dass das persönliche Passwort Dritten bekannt ist, ist es umgehend zu ändern.
      9. Besteht der begründete Verdacht, dass das persönliche Passwort durch Dritte genutzt wurde, ist der Vertreter IT der Datenschutzgruppe umgehend davon in Kenntnis zu setzen.
    6. Meldung von Datensammlungen
      1. Die in der Klinik Arlesheim genutzten und erstellten Datensammlungen werden intern erfasst.
      2. Neue Datensammlungen sind unter Angabe des Verwendungszwecks, der Herkunft der Daten, der Anzahl der Zugriffsberechtigten sowie der Anzahl der in der Datensammlung geführten Personen der Datenschutzgruppe (Datenschutzbeauftragter) zu melden.
  8. Technische Massnahmen für den Datenschutz
    1. Allgemeine Massnahmen
      Die Klinik Arlesheim setzt die kantonalen Vorgaben zur Informationssicherheit und Datenschutz (ISDS) beim Einsatz von Informations- und Telekommunikationstechnologie um.
    2. Spezielle Massnahmen
      1. Die relevanten Daten der Klinik Arlesheim werden regelmässig gesichert und sind geschützt vor:
        • unbefugtem oder zufälligem Vernichten
        • zufälligem Verlust
        • technischen Fehlern
        • Fälschung, Diebstahl oder widerrechtlicher Verwendung und
        • unbefugtem Ändern, Kopieren, Zugreifen oder anderen Bearbeitungen
      2. Der Zugriff auf Arbeitsstationen (Computer) und Daten wird mit dem persönlichen Passwort des Benutzers oder der Benutzerin geschützt.
      3. Nach einer bestimmten Anzahl von Fehlversuchen bei der Passworteingabe wird das Konto gesperrt.
      4. Durch entsprechende technische, bauliche und organisatorische Massnahmen ist gewährleistet, dass Unbefugte keinen Zugang zu den Datenverarbeitungsanlagen erhalten.
      5. Jede Aktivität in den Klinikinformationssystemen wird geloggt und kann nachverfolgt werden. Der Arbeitgeber behält sich vor - bei Verdacht, aber auch strichprobenmässig - Überprüfungen vorzunehmen.
      6. Für die Datensicherung der elektronisch archivierten Daten ist die Leitung IT verantwortlich.
  9. Verantwortlichkeiten
    1. Betriebliche Verantwortlichkeit
      1. Die Klinik Arlesheim unternimmt das betrieblich Mögliche, um Verletzungen des Datenschutzes zu verhindern.
      2. Mit technischen und organisatorischen Massnahmen unterstützen sie die Mitarbeitenden bei ihrer datenschutzkonformen Arbeit.
    2. Verantwortung des Personals
      1. Die Verantwortung für das datenschutzkonforme Arbeiten liegt bei jeder Mitarbeiterin und jedem Mitarbeiter der Klinik Arlesheim.
      2. Für die Geheimhaltung des persönlichen Passwortes ist jede Mitarbeiterin und jeder Mitarbeiter selber verantwortlich.
  10. Mitarbeit bei der Verbesserung des Datenschutzes
    1. Mitwirkung
      1. Jede Mitarbeiterin und jeder Mitarbeiter hat bei der Verbesserung des Datenschutzes mitzuwirken.
      2. Die Mitarbeitenden sind verpflichtet, die Datenschutzgruppe bei ihrer Aufgabenerfüllung zu unterstützen. Insbesondere sind ihr die nötigen Auskünfte zu erteilen.
    2. Meldung von Datenschutzverletzungen
      1. Die Mitarbeitenden werden gebeten, Datenschutzverletzungen dem Datenschutzbeauftragten (datenschutz@klinik-arlesheim.ch) zu melden (Melderecht). In Ausnahmefällen kann dies auch anonym erfolgen.
      2. Schwere Datenschutzverletzungen (betreffen eine Vielzahl von Personendaten, oder die Datenschutzverletzung wiederholt sich regelmässig) müssen dem Datenschutzbeauftragten (datenschutz@klinik-arlesheim.ch) gemeldet werden (Meldepflicht).
      3. Der Missbrauch eines Passwortes ist zu melden.
  11. Strafbestimmungen
    Verstösse gegen die Datenschutzvorgaben der Klinik Arlesheim können personalrechtlich geahndet werden.
  12. Inkraftsetzung
    1. Das vorliegende Datenschutzreglement wurde am 24.10.2017 von der Klinikleitung der Klinik Arlesheim verabschiedet und auf den 1.1.2018 in Kraft gesetzt.
    2. Es ersetzt die Richtlinien zum Datenschutz in der Klinik Arlesheim vom 29.11.2012 und das Archivierungsreglement vom 1.11.2016.

Revisionen:

Teilrevision 20.4.2021