elektronische Patientenakte (ePA)
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
· „Versicherter“
· „Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.
A. Allgemeines
Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes ausführlich beschrieben.
1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
BKK exklusiv
vertreten durch den Vorstand
Zum Blauen See 7
31275 Lehrte
Telefon: +49 (0)5132/5001-0
Telefax: +49 (0)5132/5001-12
Mail: info@bkkexklusiv.de
2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
BKK exklusiv
Der Datenschutzbeauftragte
Zum Blauen See 7
31275 Lehrte
Telefon: +49 (0)5132/5001-0
Telefax: +49 (0)5132/5001-12
Mail: datenschutz@bkkexklusiv.de
3 Zuständige Datenschutzaufsicht
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorferstraße 153
53117 Bonn
Telefon: +49 (0)228/997799-0
Telefax: +49 (0)228/997799-5550
E-Mail: poststelle@bfdi.bund.de
4 Zuständige Rechtsaufsicht
Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38
53113 Bonn
Telefon: +49 (0)228/619-0
Telefax: +49 (0)228/619-1870
5 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem Sozialgesetzbuch 5. Buch (SGB V). Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten freiwillig. Unseren Versicherten entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden
6 Einbindung von Dritten
Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen gleichwohl verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich um Unternehmen der BITMARCK Unternehmensgruppe. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
7 Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union durch uns findet nicht statt.
8 Betroffenenrechte
Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
9 Löschung von Daten
Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unseren Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
10 Automatisierte Entscheidungsfindung
Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.
11 Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer der in Ziff. 3 und 4 benannten Aufsichtsbehörden zu beschweren.
12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Schriftlich oder zur Niederschrift bei der BKK exklusiv, Zum Blauen See 7, 31275 Lehrte oder auf elektronischem Weg über die ePA-App ohne Angabe von Gründen..
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
B. Bereitstellung der ePA
1. Beschreibung und Umfang der Datenverarbeitung
Nach Erteilung der ausdrücklichen schriftlichen oder elektronischen (über die ePA-App) Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in seiner ePA eine oder mehrere vertretende Personen, hinzufügen, siehe hierzu Kapitel D2.
Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
• Art und Nummer eines amtlichen Ausweisdokuments:
- Aufenthaltstitel
- oder Personalausweis
- oder Reisepass
• Anzahl der aktiven elektronischen Gesundheitskarten (eGK). Die Anzahl der aktiven eGK, die dem identifizierten Versicherten im eGK-System zugeordnet sind. Eine Karte gilt dabei im eGK-System als aktiv, wenn sie weder gesperrt oder logisch gelöscht ist. In der Regel ist immer nur eine eGK aktiv.
• Name, Vorname
• Geburtsdatum des Versicherten
• Versichertenart (zum Beispiel: Mitglied, Familienversicherter, Rentner)
• Beginn und Ende Versicherungsverhältnis
• IdentDataTime (Zeitstempel für die vollzogene Identifizierung des Versicherten)
• Schutzklasse für die Identifikation (mit oder ohne eGK)
• Identifizierungsverfahren (zum Beispiel in der Filiale oder Postident)
• Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer;
• Ende der Registrierung / Ja oder Nein
• Zeitpunkt Registrierungsbeginn
• Titel
• Namenszusatz
• Vorsatzwort (zum Beispiel: „von“, „de“, „van“)
• Geschlecht
• VIP – Kennzeichen
• ICCSN (Kartenkennnummer auf der Rückseite der eGK)
• istNfcEgk (Dieser Wert gibt an, ob die im Aufruf bezeichnete eGK für „Near Field Communication“ (NFC) ausgerüstet ist.)
• istPinBriefVersandt (Dieser Wert gibt an, ob zu der im Aufruf bezeichneten eGK ein PIN-Brief versandt wurde.)
• pinBriefVersandDatum (Zeitpunkt zu dem der PIN-Brief-Versand dem KAMS (Kartenanwendungsmanagementsystem) gemeldet wurde.)
Diese Daten benötigen wir für die Einrichtung der persönlichen ePA Akte des berechtigten Nutzers.
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
3. Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß den gesetzlichen Vorgaben nach SGB V. In diesem Zusammenhang bedarf es die Zuordnung einer konkreten ePA zu unserem Versicherten.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
5. Widerrufsmöglichkeit für die Nutzung der ePA
Unser Versicherter kann seine Einwilligung zur Bereitstellung der ePA jederzeit widerrufen und gegenüber der BKK exklusiv die Löschung der ePA verlangen. Der Versicherte erklärt den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder persönlich in einer unserer Geschäftsstellen.
C. IAM Registrierungsprozess für die ePA
1. Beschreibung und Umfang der Datenverarbeitung
Zur rechtssicheren Einrichtung für die Bereitstellung einer ePA für unseren Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Diese Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der Versicherte installiert die ePA App und startet diese.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Los geht`s“ an.
3. Schritt: Der Versicherte klickt, wenn bereits ein Benutzerkonto besteht,
auf „Anmelden bei der BKK exklusiv“, oder muss sich zuerst
über den Funktionsbutton „Registrieren“ ein Benutzerkonto anlegen.
4. Schritt: Um mit der Registrierung zu starten, klickt der Kunde auf
„Jetzt loslegen“
5. Schritt: Der Versicherte gibt die folgenden Daten, gemäß der
vorgegebenen Felder ein:
- E-Mail-Adresse
- Versichertennummer
- PLZ
- Auswahl eines individuellen Passwortes
- Passwort Wiederholung
- Eingabe der letzten 6 Stellen der Kennnummer der eGK
(ICCSN)
6. Schritt: Der Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen IAM sowie die Akzeptanz der Einwilligung
IAM, um die Registrierung abzuschließen.
7. Schritt Der Versicherte muss die E-Mail-Adresse bestätigen und muss
dafür in der versendeten E-Mail den Link aufrufen, um fortfahren
zu können.
8. Schritt Der Versicherte legt einen App-Code als weiteres
Sicherheitsmerkmal fest.
9. Schritt Der Versicherte kann die biometrische Anmeldung aktivieren.
10. Schritt Es wird die Identität überprüft mit einem der zur Verfügung
gestellten Verfahren.
11. Schritt Patientenakte einrichten
- Ohne meine Gesundheitskarte
- Mit meiner Gesundheitskarte
12. Schritt Gerät und App verknüpfen
- Eine Gerätebindung, das heißt die App mit dem Gerät zu verknüpfen, ist entsprechend der Sicherheitsvorgaben notwendig.
13. Schritt Im Anschluss wird dem Versicherten die Freigabe zur Nutzung
angezeigt und damit sind die Voraussetzungen für die Einrichtung der ePA abgeschlossen.
Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert.
Nach Verifikation der eingegebenen Daten durch die BKK exklusiv wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der BKK exklusiv.
2. Erfassung der Daten für einen Fehlerreport
Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss. Die Erfassung der Daten für einen Fehlerreport können Sie in Anhang 1 einsehen.
3. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
4. Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.
5. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde.
5. Widerrufsmöglichkeiten für die Registrierung in der ePA
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrierung der ePA gleichwohl jederzeit widerrufen und gegenüber der BKK exklusiv die Löschung der ePA verlangen. Hierzu muss unser Versicherter Versicherte in der ePA-App seine Einwilligung widerrufen oder den Widerruf schriftlich an uns senden.
D. Nutzung der elektronischen Patientenakte / Datenspeicher über die App
1. Beschreibung und Umfang der Datenverarbeitung für den Versicherten
1.1 Start mit Login Maske
Der Versicherte startet die App, nach erfolgter Registrierung und Identifizierung. Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versichertennummer und Passwort sowie App-Code) eingibt.
1.2 Nutzung der ePA.
Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über seine Patientenakte.
Auf der „Willkommen“-Seite kann der Versicherte seine Patientenakte öffnen, zudem kann er über „Weitere Patientenakten“ für seine Patientenakte ihn vertretende Personen, das heißt einen oder mehrere Vertreter, benennen und diese freischalten.
In der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
1. Bereich Dokumente
2. Bereich Berechtigungen
3. Bereich Aktivitäten
Nach der Erläuterung zu „Profil“ werden die Bereiche in den Kapiteln D1.4 bis D1.6 kurz dargestellt. Der Versicherte kann in jedem Bereich verschiedene Aktionen durchführen.
1.3 Profil
Über das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine Einstellungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem kann er unter Informationen auf die folgenden Menüpunkte zugreifen
a. Über die ePA
b. Interaktive App-Demo