1. Auftragsdatenverarbeitung
1.1 Anwendungsbereich ADV
Von der Auftragsverarbeitung betroffen sind Personen-Stammdaten, die der Kunde gemäss seiner Wahl auf der von hospital-pool für die Leistungserbringung eingesetzten Infrastruktur speichert. Dabei handelt es sich insbesondere um personenbezogene Daten, welche bei der Einrichtung eines Benutzer-Accounts erhoben werden.
Weiter betrifft es Daten von Personen, denen der Kunde Zugriff auf Teile von hospital-pool gewährt (z.B. Personalvermittlern).
Es handelt es sich ferner um Daten, welche beim Aufrufen bzw. Ausführen und der Nutzung der SaaS-Dienste erhoben werden. Dazu gehören Protokolldaten, die bei der informatorischen Nutzung automatisiert erhoben werden (z.B. die IP-Adresse und das Betriebssystem des Geräts des Nutzers sowie das Datum und die Zugriffszeit des Browsers), vom Nutzer eingegebene Daten sowie vom Kunden erhobene Nutzungsdaten mit Personenbezug.
2. Zuständigkeiten
Der Kunde ist für die Verarbeitung der Personen-Stammdaten nach anwendbaren Datenschutzgesetzen verantwortlich. Der Kunde nimmt somit die Rolle des Verantwortlichen ein.
Mit der Nutzung der Software hospital-pool werden persönliche Daten von Mitarbeitenden an hospital-pool übermittelt. Der Kunde ist zuständig für die Information seiner Mitarbeitenden über die Datenspeicherung, -nutzung und -bearbeitung durch hospital-pool gemäss den Richtlinien in dieser Auftragsdatenverarbeitungs-Vereinbarung. Der Kunde ist verantwortlich für die Löschung der jeweiligen Daten seiner Mitarbeitenden in hospital-pool, wenn diese mit der Datenverarbeitung nicht einverstanden sind.
3. Pflichten von hospital-pool
hospital-pool verpflichtet sich, Personen-Stammdaten nur zur Erbringung der SaaS-Dienstleistungen gemäss Leistungsbeschrieb, sowie gemäss dieser ADV-Vereinbarung zu verarbeiten.
hospital-pool ist berechtigt, die Personen-Stammdaten des Kunden zu verarbeiten, um die Erfüllung der Pflichten aus der Vereinbarung zu gewährleisten. hospital-pool ist bereit, weitergehende Weisungen des Kunden umzusetzen, sofern sie innerhalb der vereinbarten Dienstleistungen umsetzbar sind und nicht zu einem Mehraufwand oder einem geänderten Leistungsumfang führen. Vorbehalten sind gesetzliche und regulatorische Verpflichtungen, welchen hospital-pool unterliegt.
hospital-pool verpflichtet seine Mitarbeitenden und andere für hospital-pool tätige Personen, auch über die Dauer ihrer Tätigkeiten für hospital-pool hinaus zur Einhaltung dieser ADV und zur Wahrung der Vertraulichkeit.
hospital-pool verpflichtet sich die Daten Datenschutzerklärung mit geeigneten technischen und organisatorischen Massnahmen zu schützen. Dies wird durch Zugangskontrollen, regelmässige Auswertungen der Zugriffe und die Nutzung von zeitabhängigen Token-Links gewährleistet.
4. Pflichten des Kunden
Der Kunde ist verantwortlich für die Rechtmässigkeit und die Zulässigkeit der Verarbeitung der Kunden- und Personen-Stammdaten (inkl. Auftrags- und Unter-Auftragsverarbeitung).
Der Kunde trifft in seinem Verantwortungsbereich (z.B. auf seinen eigenen Systemen und Applikationen) selbstständig angemessene technische und organisatorische Massnahmen zum Schutz der Kunden- und Personen-Stammdaten.
Der Kunde verpflichtet sich zur unverzüglichen Information von hospital-pool, wenn Verletzungen von anwendbaren Datenschutzgesetzen festgestellt werden, welche hospital-pool betreffen.
5. Informations- und Prüfungsrechte
hospital-pool ermöglicht dem Kunden, die Einhaltung dieser ADV-Vereinbarung durch hospital-pool zu prüfen. Vorbehalten bleiben das Verhältnismässigkeitsgebot und die Wahrung von schutzwürdigen Interessen z.B. Sicherheit und Geheimhaltung.
Die Kosten einer Prüfung (inkl. nachgewiesener Aufwand von hospital-pool) trägt der Kunde.
Allfällige Korrekturmassnahmen sind durch hospital-pool kostenlos durchzuführen.
Letztmals aktualisiert: September 2023
Auftragsdatenverarbeitung als PDF