Datenschutzbestimmungen

Name der Zahnarztpraxis: Pro-tand
Praxisadresse: Hovenstraat 135, 6374 EM Landgraaf
E-Mail-Adresse: info@pro-tand.eu
Telefonnummer: 045-5333355

Artikel 1. Allgemeines
Die Zahnarztpraxis sorgt für einen sorgfältigen Umgang mit (besonderen) personenbezogenen Daten von Patienten. Wir halten uns an die geltenden Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung. Mit diesen Datenschutzbestimmungen möchten wir Sie näher über unsere Richtlinien informieren.

Artikel 2. Definitionen

Zur Klarheit geben wir kurz an, was wir mit bestimmten Begriffen meinen:

1. Personenbezogene Daten: alle Daten, durch die der Patient identifiziert werden kann.
2. Verantwortlicher: der Verantwortliche im Sinne von Artikel 4 Absatz 7 der Verordnung. Für diese Datenschutzbestimmungen die Zahnarztpraxis.
3. Verarbeitung/Verarbeiten: eine Bearbeitung von personenbezogenen Daten, die al dan niet über automatisierte Verfahren erfolgt, wie das Erheben, Erfassen, Ordnen, Speichern, Aktualisieren, Verändern, Abfragen, Abrufen, Verwenden, Bereitstellen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Zusammenführen, miteinander in Verbindung bringen sowie das Einschränken, Löschen oder Vernichten von personenbezogenen Daten.
4. Verarbeiter: derjenige, der im Auftrag der Zahnarztpraxis für die Verarbeitung von personenbezogenen Daten sorgt, ohne ihrer direkten Aufsicht zu unterliegen, wie Hilfspersonen, die vom Verantwortlichen beauftragt wurden.
5. Betroffene Person: diejenige, auf die sich die personenbezogenen Daten beziehen, im Allgemeinen der Patient.
6. Ausführungsgesetz: das Ausführungsgesetz zur Datenschutz-Grundverordnung.
7. Verordnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. EU 2016, L 119).
8. Datenschutzbestimmungen: dieses Dokument.

9. Pseudonymisierte Daten: Personenbezogene Daten, die ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen werden so aufbewahrt, dass sie nicht mit einer zu identifizierenden Person in Verbindung gebracht werden können.

Artikel 3. Wie erhalten wir die Daten?

Personenbezogene Daten stammen aus oder sind abgeleitet von Daten, die mündlich und schriftlich von der betroffenen Person oder ihrem gesetzlichen Vertreter bereitgestellt werden. Personenbezogene Daten können darüber hinaus von der Krankenkasse, dem Hausarzt, anderen Behandlern, Spezialisten, Helfern oder anderen als den vorgenannten Personen oder Stellen bereitgestellt werden.

Artikel 4. Wie und warum verarbeiten wir Daten?

1. Die Verarbeitung erfolgt in einer Weise, die in Bezug auf die betroffene Person rechtmäßig, ordnungsgemäß und transparent ist. Darüber hinaus erfolgt die Erhebung von personenbezogenen Daten für bestimmte, ausdrücklich festgelegte und berechtigte Zwecke. Die Verarbeitung erfolgt nicht in einer Weise, die mit diesen Zwecken unvereinbar ist.
2. Die Verarbeitung zu Archivzwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt nicht als unvereinbar mit den ursprünglichen Zwecken.
3. Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens eine der folgenden Bedingungen erfüllt ist:
   1. Einwilligung der betroffenen Person;
   2. Das Eingehen und Ausführen eines Behandlungsvertrags;
   3. Das Schützen eines lebenswichtigen Interesses der betroffenen Person, wie Notfälle;
   4. Die Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten (beispielsweise die Betriebskontinuität);
   5. Notwendigkeit, einer gesetzlichen Verpflichtung oder einer Vereinbarung mit der betroffenen Person nachzukommen.
   6. Personenbezogene Daten werden nur verarbeitet, soweit sie angesichts der Zwecke, für die sie verarbeitet werden, angemessen, relevant und auf das notwendige Maß beschränkt sind.
4. Die Zahnarztpraxis verarbeitet personenbezogene Daten für die folgenden Zwecke:
   1. Behandlung der betroffenen Person;
   2. Information und Kontaktaufnahme mit der/den betroffenen Person(en);
   3. Finanzverwaltung;
   4. Gutes Funktionieren der Website.

Artikel 5. Bedingungen für die Einwilligung

1. Der Verantwortliche kann nachweisen, dass die betroffene Person in die Verarbeitung eingewilligt hat.
2. Die betroffene Person kann eine erteilte Einwilligung jederzeit widerrufen.

Artikel 6. Andere Daten

Anonymisierte Daten fallen nicht unter die Geltung dieser Datenschutzbestimmungen.

Artikel 7. Um welche Daten handelt es sich?

Die Verarbeitung kann sich auf die folgenden Datenkategorien beziehen:

1. Name, Vornamen, Initialen, Titel, Geschlecht, Geburtsdatum, Adresse, Postleitzahl, Wohnort, Telefonnummer und ähnliche für die Kommunikation benötigte Daten sowie Zahlungsdaten der betroffenen Person;
2. Eine Verwaltungsnummer, die keine anderen Informationen als unter 1 enthält;
3. Daten wie unter 1 genannt, der Eltern, Vormunde oder Betreuer minderjähriger betroffener Personen;
4. Daten wie unter 1 genannt, der Familien- oder Familienmitglieder der betroffenen Person sowie anderer, die über das Wohlergehen und die Gesundheit der betroffenen Person informiert werden;
5. Informationen über den Gesundheitszustand der betroffenen Person und im Falle von Erbkrankheiten deren Familien- und Familienmitglieder;
6. Andere besondere personenbezogene Daten im Hinblick auf die gute Behandlung oder Versorgung der betroffenen Person;
7. Informationen über die erfolgte und zu erfolgende Behandlung der betroffenen Person sowie die verabreichten Medikamente oder Einrichtungen;
8. Informationen über die Berechnung, Erfassung und Einziehung der Vergütung;
9. Informationen über die Versicherung der betroffenen Person;
10. Andere Daten, die für die Behandlung notwendig sind.

Artikel 8. Informationspflicht

Bevor der Verantwortliche personenbezogene Daten verarbeitet, teilt er der betroffenen Person und/oder ihrem gesetzlichen Vertreter mit:

1. 1. Wer für die Verarbeitung mit Kontaktdaten verantwortlich ist;
   2. Warum bestimmte, konkrete personenbezogene Daten verarbeitet werden;
   3. Falls zutreffend, die Kontaktdaten des Datenschutzbeauftragten;
   4. Auf welche Weise die personenbezogenen Daten verarbeitet werden;
   5. Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums;
   6. Alle anderen Informationen, die im Hinblick auf die Sorgfaltspflicht bereitgestellt werden müssen. Das bedeutet auch: Je sensibler die personenbezogenen Daten sind, die der Verantwortliche verarbeiten möchte, desto gründlicher muss informiert werden.

Wenn personenbezogene Daten über einen Dritten angefordert oder an einen Dritten geliefert werden, wird auf die gleiche Weise der Informationspflicht nachgekommen, bevor die personenbezogenen Daten erhalten oder geliefert werden, es sei denn, dies kann nur mit einem unverhältnismäßigen Aufwand erfolgen.

Artikel 9. Recht auf Einsicht

1. Die betroffene Person hat das Recht, ihre personenbezogenen Daten einzusehen und kann die folgenden Daten abfragen:
   1. Eine Beschreibung des Zwecks oder der Zwecke der Verarbeitung von personenbezogenen Daten;
   2. Alle verfügbaren Daten über die Herkunft der personenbezogenen Daten;
   3. Die Kategorien von Daten, auf die sich die Verarbeitung bezieht;
   4. Eine Übersicht über Empfänger oder Kategorien von Empfängern, die die personenbezogenen Daten erhalten haben;
   5. Wenn möglich, der Zeitraum, für den die personenbezogenen Daten voraussichtlich gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums;

1. Ein Antrag auf Einsicht kann aus den folgenden Gründen abgelehnt werden:
   1. Der Antragsteller ist keine betroffene Person oder sein/ihr Antrag bezieht sich nicht auf Daten, die sich nur auf den Antragsteller beziehen;
   2. Der Antragsteller hat das 18. Lebensjahr noch nicht vollendet und/oder steht unter Vormundschaft. In diesem Fall kann nur der gesetzliche Vertreter den Antrag stellen;
   3. Der Verantwortliche hat einem vergleichbaren Antrag desselben Antragstellers bereits vor kurzem stattgegeben;
   4. Schutz der betroffenen Person oder der Rechte und Freiheiten anderer;
2. Aufgrund der Sicherheit des Staates und/oder der Verhütung, Aufdeckung und Verfolgung von Straftaten.

Artikel 10. Sonstige Rechte

1. Die betroffene Person hat jederzeit das Recht, Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten einzulegen. Die Verarbeitung wird im Falle eines Widerspruchs von dem Verantwortlichen eingestellt.
2. Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
3. Die betroffene Person hat das Recht, von dem Verantwortlichen ohne unangemessene Verzögerung die Löschung sie betreffender personenbezogener Daten zu verlangen.

Darüber hinaus ist der Verantwortliche verpflichtet, Daten ohne unangemessene Verzögerung zu löschen, wenn die betroffene Person ihre Einwilligung widerrufen hat oder der Verantwortliche die personenbezogenen Daten nicht länger für die Zwecke benötigt, für die sie erhoben wurden.

1. Die betroffene Person hat, wenn die Richtigkeit der personenbezogenen Daten von ihr bestritten wird, das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
2. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Artikel 11. Die Ausübung von Rechten durch die betroffene Person

Der Verantwortliche trifft geeignete Maßnahmen, um sicherzustellen, dass die betroffene Person die Kommunikation oder Informationen über die Rechte, wie in dieser Datenschutzerklärung beschrieben, in einer prägnanten, transparenten und zugänglichen Weise und in klaren Worten erhält.

Artikel 12. Zugang zu und Empfänger von personenbezogenen Daten

1. Zugang zu personenbezogenen Daten haben grundsätzlich nur diejenigen, die direkt an der Durchführung der Behandlung der betroffenen Person beteiligt sind, sofern dieser Zugang für ihre Tätigkeit erforderlich ist.
2. Wenn eine Verarbeitung im Namen des Verantwortlichen durchgeführt wird, greift der Verantwortliche ausschließlich auf Auftragsverarbeiter zurück, die hinreichende Garantien dafür bieten, dass die personenbezogenen Daten gemäß der Verordnung, dem Ausführungsgesetz oder darauf basierenden Vorschriften verarbeitet werden.
3. Im Übrigen kann den folgenden Personen und Stellen Zugang gewährt/personenbezogene Daten bereitgestellt werden:
4. Forscher im Sinne von Artikel 7:458 des Bürgerlichen Gesetzbuches;
5. Krankenversicherer, soweit dies im Hinblick auf die Verpflichtungen aus dem Versicherungsvertrag erforderlich ist;
6. Dritte, die mit dem Einzug von Forderungen beauftragt sind, sofern der Zugang/die Bereitstellung erforderlich ist und es sich nicht um medizinische Daten handelt;
7. Andere, wenn die Grundlage der verarbeiteten Daten ist:
   • Einwilligung der betroffenen Person;
   • Eine Notwendigkeit zur Erfüllung einer gesetzlichen Verpflichtung;
   • Die Wahrung eines lebenswichtigen Interesses der betroffenen Person.
8. Andere, wenn die weitere Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken erfolgt, sofern der Verantwortliche die notwendigen Maßnahmen getroffen hat, um sicherzustellen, dass die weitere Verarbeitung ausschließlich für diese Zwecke erfolgt.

Artikel 13. Register

Der Verantwortliche führt ein Register der Verarbeitungstätigkeiten, die unter seiner Verantwortung stattfinden. Dieses Register enthält die folgenden Angaben:

1. Der Name und die Kontaktdaten des Verantwortlichen und, falls zutreffend, des Datenschutzbeauftragten;
2. Die Verarbeitungszwecke;
3. Die Kategorien von Daten, auf die sich die Verarbeitung bezieht;
4. Die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden;
5. Falls möglich, die voraussichtliche Frist, innerhalb derer die personenbezogenen Daten gelöscht werden müssen;
6. Falls möglich, eine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen.

Artikel 14. Meldung von Verstößen

1. Wenn eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat, teilt der Verantwortliche dies – falls und soweit gesetzlich erforderlich – so schnell wie möglich, nachdem er davon Kenntnis erlangt hat, der betroffenen Person und der Aufsichtsbehörde mit.
2. Die im ersten Absatz genannte Meldung enthält mindestens:
   1. Die Art der Verletzung;
   2. Die wahrscheinlichen Folgen der Verletzung;
   3. Die Maßnahmen, die der Verantwortliche infolge der Verletzung getroffen hat;
   4. Ein Kontaktpunkt für weitere Informationen.

Artikel 15. Aufbewahrungsfristen

1. Medizinische Daten, die zur Eingehung oder Erfüllung eines Behandlungsvertrags erhoben wurden, werden 20 Jahre lang aufbewahrt. Der Verantwortliche ist nicht zu längeren Aufbewahrungsfristen verpflichtet, als dies gesetzlich, insbesondere gemäß Artikel 7:454 Absatz 3 des Bürgerlichen Gesetzbuches, vorgeschrieben ist.
2. Andere personenbezogene Daten werden nicht länger aufbewahrt, als dies für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Wenn diese personenbezogenen Daten nicht mehr benötigt werden, werden sie gelöscht.

Artikel 16. Geheimhaltung

1. Der Verantwortliche, der Auftragsverarbeiter und jeder, der unter der Aufsicht des Verantwortlichen Zugang zu personenbezogenen Daten hat, ist zur Geheimhaltung der personenbezogenen Daten verpflichtet.
2. Daten in Bezug auf die Gesundheit der betroffenen Person(en) werden als „besondere personenbezogene Daten“ eingestuft. Für die Verarbeitung besonderer personenbezogener Daten gilt, dass jeder, der sie verarbeitet, einer Geheimhaltungspflicht unterliegt. Diese ergibt sich aus dem Amt, dem Beruf oder dem Arbeitsvertrag der betreffenden Person.

Artikel 17. Sicherheit

1. Der Verantwortliche muss für geeignete technische und organisatorische Maßnahmen sorgen, um personenbezogene Daten zu schützen.
2. „Geeignet“ bedeutet, dass die getroffenen Sicherheitsmaßnahmen dem Risiko entsprechen, dass die personenbezogenen Daten unachtsam oder unrechtmäßig (weiter) verarbeitet werden und dem Schaden, der daraus entstehen würde. Die getroffenen Maßnahmen müssen sicherstellen, dass:
   1. Ausschließlich befugte Personen Zugang zu personenbezogenen Daten haben;
   2. Die personenbezogenen Daten korrekt sind und nicht verloren gehen;
   3. Die personenbezogenen Daten ohne Behinderung für die rechtmäßige Verarbeitung gemäß den Vereinbarungen innerhalb der Organisation verfügbar sind.
   4. In allen Fällen trägt der Verantwortliche Sorge für die Informationssicherheitspolitik und trägt diese Politik innerhalb der Zahnarztpraxis aus.

Artikel 18. Schlussbestimmungen

1. Der Verantwortliche übernimmt keine weitergehenden Verpflichtungen als diejenigen, zu denen er aufgrund des Gesetzes verpflichtet ist, es sei denn, es wurde schriftlich etwas anderes mit der betroffenen Person vereinbart.
2. Die betroffene Person hat das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen.
3. Änderungen in dieser Datenschutzerklärung werden von dem Verantwortlichen vorgenommen. Die Änderungen in der Datenschutzerklärung treten gegenüber der/den betroffenen Person(en) in Kraft, nachdem die/der betroffene Person(en) über die Änderung informiert wurde(n).
4. Diese Datenschutzerklärung ist am 25.05.2018 in Kraft getreten und kann in der Zahnarztpraxis eingesehen werden.

Für Fragen oder die Ausübung der Rechte der betroffenen Person können Sie sich an den Datenschutzbeauftragten von pro-tand unter info@pro-tand.eu wenden.