therapylist

Auftragsverarbeitungsvertrag (AV-Vertrag)

Gemäss Art. 28 DSG / Art. 28 DSGVO

Vertragsparteien

Verantwortlicher (Auftraggeber)Auftragnehmer
NameDie jeweilige Therapeutin / der jeweilige Therapeuttherapylist (siehe Impressum)
AdresseWie in der Therapeuten-Registrierung hinterlegtAdresse siehe Impressum
UIDFalls zutreffendUID siehe Impressum
KontaktWie in der Therapeuten-Registrierung hinterlegtsupport@therapylist.ch

§1 Gegenstand und Dauer

1.1 Gegenstand

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Online-Plattform therapylist (Wartelistenverwaltung, Anfrageannahme und Kommunikation zwischen Therapeutin/Therapeut und Patientinnen/Patienten).

1.2 Dauer

Dieser Vertrag beginnt mit der Erstellung eines Therapeutenkontos auf therapylist und endet mit der vollständigen Löschung des Kontos und aller zugehörigen Daten.

§2 Art und Zweck der Verarbeitung

2.1 Verarbeitungszweck

  • Verwaltung von Wartelisten und Therapieanfragen
  • Statusverfolgung von Patientinnen/Patienten
  • Kommunikationsunterstützung zwischen Therapeutin/Therapeut und Patientinnen/Patienten

2.2 Verarbeitungsarten

Erheben, Speichern, Übermitteln, Bearbeiten und Löschen personenbezogener Daten.

§3 Kategorien betroffener Personen und Daten

3.1 Betroffene Personen

  • Patientinnen und Patienten der Therapeutin/des Therapeuten
  • Angehörige oder Kontaktpersonen, sofern im Rahmen der Anfrage angegeben

3.2 Datenkategorien

  • Name, E-Mail-Adresse, Telefonnummer (optional)
  • Anliegen/Themen, Wartelisten-Status, Dringlichkeit
  • Demografische Angaben (optional, falls vom Therapeuten abgefragt)

Es werden keine medizinischen Diagnosen, Gesundheitsdaten im medizinischen Sinn oder besondere Kategorien personenbezogener Daten verarbeitet, sofern diese nicht ausdrücklich und freiwillig im Rahmen der Anfrage mitgeteilt werden.

§4 Technische und organisatorische Massnahmen (TOM)

MassnahmeUmsetzung
Verschlüsselung bei SpeicherungAES-256-GCM für identifizierende Patientendaten
Verschlüsselung bei ÜbertragungTLS 1.3
ZugangskontrollePasswortlose Authentifizierung per Magic Link
ZugriffskontrolleNur der jeweilige Therapeut kann seine/ihre Patientendaten einsehen
ProtokollierungAudit-Log für Datenzugriffe und Statusänderungen
LöschkonzeptAutomatische Löschung nach 90 Tagen (konfigurierbar)

§5 Unterauftragsverarbeiter

AnbieterZweckStandort
InfomaniakHostingSchweiz
ResendVersand von Transaktions-E-MailsUSA (Datenschutzgarantien gemäss Standardvertragsklauseln)

Neue Unterauftragsverarbeiter werden dem Verantwortlichen rechtzeitig angekündigt.

§6 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Verantwortlichen bei der Umsetzung von Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechten der betroffenen Personen.

§7 Pflichten des Auftragnehmers

  • Daten nur auf Weisung des Verantwortlichen verarbeiten
  • Die vereinbarten Sicherheitsmassnahmen aufrechterhalten
  • Vertraulichkeit wahren
  • Datenschutzverletzungen unverzüglich melden
  • Dem Verantwortlichen bei der Erfüllung seiner Pflichten behilflich sein

§8 Beendigung

Bei Beendigung des Vertragsverhältnisses:

  • Werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht
  • Kann der Verantwortliche vor der Löschung einen vollständigen Datenexport anfordern
  • Erhält der Verantwortliche auf Wunsch eine Löschbestätigung

§9 Schlussbestimmungen

9.1 Anwendbares Recht

Schweizerisches Recht, insbesondere das Bundesgesetz über den Datenschutz (DSG).

9.2 Gerichtsstand

Gerichtsstand ist der Sitz des Auftragnehmers, sofern gesetzlich zulässig.

9.3 Änderungen

Änderungen dieses Vertrags bedürfen der Schriftform.

Unterschriften

Verantwortliche (Therapeutin/Therapeut)Auftragnehmer (therapylist (siehe Impressum))
Ort______________________________________
Datum______________________________________
Unterschrift______________________________________
Name______________________________________

Version 1.0 – Entwurf. Vor Verwendung in der Praxis mit Schweizer Rechtsberatung prüfen.