Vereinbarung über die Verarbeitung personenbezogener Daten (DPA) - Januar 2026

Zwischen: Dem Kunden, Nutzer der Dienste , handelnd in der Funktion des Verantwortlichen.
Und: Dupraz Informatique Sàrl, Place de la Gare 9, 1260 Nyon, handelnd in der Eigenschaft als Unterauftragnehmer (nachfolgend der Herausgeber).

1. Zweck und Geltungsbereich

Der vorliegende Vertrag legt die Bedingungen fest, unter denen der Anbieter sich verpflichtet, im Namen des Kunden die für die Erbringung des SaaS-Dienstes erforderlichen personenbezogenen Datenverarbeitungsvorgänge durchzuführen.

2. Art und Zweck der Verarbeitung

Die Daten werden ausschliesslich für die folgenden Zwecke verarbeitet:

  • Verwaltung der Patientenakten.
  • Verwaltung der medizinischen Abrechnung und/oder von Dienstleistungen.
  • Online-Terminbuchung und Verwaltung des geschäftlichen Kalenders.
  • Wartung und Optimierung : Technische Datenverarbeitung zur Verbesserung der Servicezuverlässigkeit, zur Optimierung automatisierter Verarbeitungsprozesse (z. B. Dokumentenindexierung und -sortierung) sowie zur Entwicklung neuer Funktionen.

3. Kategorien der verarbeiteten Daten

Der Herausgeber speichert und verarbeitet die folgenden Datenkategorien:

  • Daten des Gesundheitsfachpersonals

    Geschlecht, Name, Vorname, eidgenössische Identifikationsnummern (UID, GLN), Bankverbindung, Vertragsnummern mit Dritten.

  • Patientendaten

    Geschlecht, Name, Vorname, Kontaktdaten, Versicherung, hochsensible Gesundheitsdaten (Diagnosen, Berichte, Bildgebung).

4. Pflichten des Herausgebers (Auftragsverarbeiter)

Der Herausgeber verpflichtet sich zu:

  • Hilfe

    Der Herausgeber unterstützt den Kunden nach Möglichkeit bei der Beantwortung von Anfragen zur Ausübung der Patientenrechte (Auskunft, Berichtigung, Portabilität).

  • Anleitungen

    Daten nur auf Anweisung des Kunden und für die ordnungsgemässe Erbringung der Dienstleistung verarbeiten, einschliesslich der technischen Testphasen, die zur Gewährleistung der Leistung und Sicherheit der Software erforderlich sind.

  • Datenschutz

    Sicherstellen, dass das gesamte Personal, das berechtigt ist, Daten zu bearbeiten, dem strikten Berufsgeheimnis untersteht (Art. 321 des Schweizerischen Strafgesetzbuches).

  • Souveränität

    Das Hosting der Software-Infrastruktur und der medizinischen Datenbanken erfolgt ausschliesslich durch den Herausgeber auf seinen eigenen Servern in der Schweiz.

  • Lokalisierung und Transfers

    Die gesamte Datenspeicherung befindet sich in der Schweiz.
    Für die Ausführung optionaler, vom Kunden aktivierter Funktionen (z. B. SMS, elektronische Rechnungsstellung, Zahlungen) kann der Herausgeber spezialisierte nachgelagerte Unterauftragnehmer beiziehen. Die Liste dieser Partner wird in der Datenschutzerklärung (DSE) aktuell gehalten.

  • Übertragungsschutz

    Der Herausgeber führt keine Übermittlung von Gesundheitsdaten ins Ausland (ausserhalb der Schweiz) durch.
    Die beschränkten Übermittlungen administrativer Daten (z. B. SaaS-Abrechnung, technische Benachrichtigungen) an die unter Punkt 8 der DPD genannten Partner sind durch angemessene Vertraulichkeitsgarantien abgesichert.

5. Technische und organisatorische Massnahmen (TOM)

Gemäss Art. 8 nDSG trifft der Herausgeber folgende Massnahmen:

  • Verschlüsselung

    Gesicherte Datenströme (HTTPS/TLS) und verschlüsselte Daten im Ruhezustand (Encryption at rest).

  • Zugriffstrennung

    Anwendungsmechanismen, die eine strikte Datentrennung zwischen den einzelnen Praxen gewährleisten. Kein Benutzer kann auf die Daten eines anderen Kunden zugreifen, gemäss den Sicherheitsregeln der Software.

  • Verfügbarkeit

    Tägliche Backup-Strategie, repliziert an drei verschiedenen geografischen Standorten in der Schweiz.

  • Zugriffssicherheit

    Starke Authentifizierung (2FA) und Protokollierung der technischen Zugriffe.

  • Ende des Hardware-Lebenszyklus

    Zugang zu den Servern ist nur autorisiertem Personal gestattet.
    Jeder Datenträger (Festplatten, SSDs), der Gesundheitsdaten enthält oder enthielt, wird physisch zerstört, sobald er die aktive Infrastruktur verlässt, sei es aufgrund eines technischen Defekts, Veralterung oder eines präventiven Austauschs. Kein Datenträger wird an den Hersteller zurückgesendet (Garantie «Non-Returnable Disk») oder auf dem Gebrauchtmarkt weiterverkauft.

6. Meldung von Datenschutzverletzungen

Der Herausgeber verpflichtet sich, den Kunden schriftlich über jede Verletzung der Datensicherheit (unbefugter Zugriff, Verlust oder Leck) innerhalb einer Frist von maximal 48 Arbeitsstunden nach Kenntnisnahme zu benachrichtigen. Diese Benachrichtigung muss es dem Kunden ermöglichen, seine eigenen Meldepflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu erfüllen.

7. Verwendung und Aufbewahrung der Daten

Aktivitätszeitraum
Die Daten werden aufbewahrt, solange das Abonnement aktiv ist.

Vertragsende
Bei der Kündigung werden die Patientendaten 10 Jahre lang sicher aufbewahrt (gesetzliche Aufbewahrungsfrist für medizinische Dossiers in der Schweiz), sofern vom Kunden nicht schriftlich eine sofortige Löschung auf eigene Verantwortung verlangt wird.

Rückgabe
Der Kunde kann seine Daten jederzeit über die in der Anwendungsoberfläche bereitgestellten Tools exportieren.

8. Auditrecht

Der Herausgeber ermöglicht die Durchführung von Sicherheitsaudits durch den Kunden oder einen beauftragten Dritten (beschränkt auf ein jährliches Audit, unter Einhaltung einer Frist von 30 Tagen und ausschliesslich auf Kosten des Kunden). Das Audit muss während der Bürozeiten durchgeführt werden und darf den Servicebetrieb für andere Nutzer nicht beeinträchtigen.

9. Anwendbares Recht und Gerichtsstand

Dieser Vertrag untersteht schweizerischem Recht. Im Falle von Streitigkeiten ist der ausschliessliche Gerichtsstand Nyon, Schweiz.

Suchen Sie eine medizinische Beratung? Klicken Sie hier, um zum Verzeichnis zu gelangen.
Copyrights © 2016 - 2026 All Rights Reserved by Dupraz Informatique Sàrl.
AGB / Datenschutz / Unterbeauftragungsvertrag (DPA)