VRK – Meine Gesundheits-ID
Datenschutz
Inhaltsverzeichnis
Datenschutzerklärung zur Nutzung der „VRK – Meine Gesundheits-ID“-App der VRK Krankenversicherung AG
Allgemeines
Die Vorgaben zur App VRK - Meine Gesundheits-ID werden durch die gematik unter der Rechtsaufsicht des BMG sowie im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.
Die Umsetzung dieser Vorgaben erfolgt unter strengen Sicherheitsauflagen und sowohl der Entwicklungsprozess selbst, der Programmcode als auch der Betrieb der Lösung werden durch unabhängige, zertifizierte und akkreditierte Stellen im Rahmen einer Zulassung sowie kontinuierlichen Audits geprüft.
Für jede Zulassung ist ein Sicherheitsgutachten erforderlich, das sowohl eine technische als auch eine funktionale Eignung prüft.
Vorbemerkung
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen „Versicherter“ sowie „Vertreter“ ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.
Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
Versicherer im Raum der Kirchen Krankenversicherung AG
Doktorweg 2 – 4
32756 Detmold
Im Folgenden: VKK
Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
Versicherer im Raum der Kirchen Krankenversicherung AG
- Datenschutzbeauftragte -
Doktorweg 2 – 4
32756 Detmold
datenschutz@vrk.de
Zuständige Datenschutzaufsicht
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen App VRK – Meine Gesundheits-ID erforderlich ist.
Die Nutzung der App VRK - Meine Gesundheits-ID ist für unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich gegen die Nutzung der App VRK - Meine Gesundheits-ID entscheiden.
Einbindung von Dritten
Wir übermitteln Daten unserer Versicherten grundsätzlich nicht an Dritte. Wir setzen verschiedene technische Dienstleister ein, um unseren Versicherten die TI-App bereitstellen zu können. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung – hierzu zählen auch Rollen- und Berechtigungskonzepte bei den Dienstleistern. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union findet nicht statt. Alle TI-bezogenen Datenverarbeitungen finden ausschließlich in Deutschland statt.
Download und Installation der App
Um die App downloaden zu können, müssen Sie ggf. zuvor mit einem Drittanbieter (z. B. Google Inc., iTunes SARL, nachfolgend als „Drittanbieter“ bezeichnet) eine Vereinbarung über den Zugang zu einem Portal oder Online-Shop des jeweiligen Drittanbieters (z. B. Google Play Store, iTunes App Store, nachfolgend als „Drittportal“ bezeichnet) abschließen. Die HCK ist nicht Partei einer derartigen Vereinbarung und hat keinen Einfluss auf die Datenverarbeitung durch den Drittanbieter.
Sofern gemäß den anwendbaren Nutzungsbestimmungen des Drittanbieters die HCK Ihr Vertragspartner für den Erwerb der App wird (z. B. im Google Play Store), verarbeitet sie in dem zur Vertragserfüllung notwendigen Umfang die Daten, die ihr der Drittanbieter zur Verfügung stellt. Sofern die HCK nicht Ihr Vertragspartner in Bezug auf den Erwerb der App wird und die App auch nicht vom Server der HUK-COBURG heruntergeladen wird (z. B. im Falle des Erwerbs der App über den iTunes App Store), verarbeitet die HCK im Rahmen des Erwerbs und des Downloads der App durch Sie keine personenbezogenen Daten.
Betroffenenrechte
Unsere Versicherten haben folgende Rechte:
- Das Recht auf Auskunft über die sie betreffenden, bei uns gespeicherten personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
- Das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht und bestimmte Voraussetzungen erfüllt sind.
- Ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben.
- Ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
Löschung von Daten
Wir löschen die Daten unserer Versicherten grundsätzlich dann, wenn kein Speicherungsgrund gemäß DSGVO vorliegt.
Automatisierte Entscheidungsfindung
Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.
Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten bei der unter Ziffer A.3 genannten Aufsichtsbehörde zu beschweren.
Bereitstellung der App
VRK - Meine Gesundheits-ID durch die Versicherer im Raum der Kirchen Krankenversicherung AG
Beschreibung und Umfang der Datenverarbeitung
Die App VRK - Meine Gesundheits-ID wird allen unseren Versicherten zur Verfügung gestellt.
Bei der Bereitstellung der App VRK - Meine Gesundheits-ID werden folgende personenbezogene Daten unseres Versicherten herangezogen:
- Krankenversichertennummer
- Angaben des amtlichen Ausweisdokuments
- Name, Vorname
- Geburtsdatum des Versicherten
- Geburtsort des Versicherten
- Versichertenart (z. B.: Mitglied, Familienversicherter, Rentner)
- Beginn und Ende Versicherungsverhältnis
- IdentDataTime (Zeitstempel für die vollzogene Identifizierung des Versicherten)
- Schutzklasse für die Identifikation
- Identifizierungsverfahren (Online Ausweisfunktion)
- Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer;
- Ende der Registrierung / Ja oder Nein
- Zeitpunkt Registrierungsbeginn
- Titel
- Namenszusatz
- Vorsatzwort (z. B.: „von“, „de“, „van“)
- Geschlecht
- je nach verwendetem Authentisierungsmittel:
ein Pseudonym bei Nutzung der Online-Ausweisfunktion. Dabei ruft der verwendete Anbieter erstmalig alle uns zugänglichen Daten des Personalausweises zum Personenabgleich ab und erzeugt ein Pseudonym. Jedes weitere mal erfolgt der Abgleich durch das vom Anbieter erzeugte Pseudonym
Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Datenverarbeitung innerhalb der App VRK - Meine Gesundheits-ID ist Art. 6 Abs. 1 S. 1 lit. a) DSGVO.
Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Bereitstellung der App VRK - Meine Gesundheits-ID inkl. Gesundheits-ID zur Nutzung von TI-Services.
Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
IAM-Registrierungsprozess
Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind für die Nutzung der App VRK - Meine Gesundheits-ID zwingend erforderlich.
Beschreibung und Umfang der Datenverarbeitung
Für die Nutzung der App VRK - Meine Gesundheits-ID und den damit bereitgestellten Services müssen Verifikationsverfahren durchgeführt werden, um zu überprüfen, ob die Person, welche die App nutzen möchte, auch tatsächlich unser Versicherter ist.
Diese Prozessabläufe sind nachfolgend beschrieben: Im Rahmen des Verifikationsverfahrens werden folgende Daten verarbeitet:
- E-Mailadresse
- Krankenversichertennummer
- Postleitzahl
- individuelles Passwort
- Geburtsdatum
Beim Registrierungsverfahren werden vorstehende Daten temporär gespeichert.
Nach Verifikation der eingegebenen Daten durch die HCK wird der Versicherte als Nutzer der Telematikinfrastruktur angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der HCK.
Erfassung der Daten für einen Fehlerreport
Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss.
Automatisiert übermittelte Daten
Für die App VRK - Meine Gesundheits-ID für IOS und Android wird im Fehlerfall ein Report erstellt und dieser wird automatisch an das Business Service Management (BSM) versendet.
| Daten | Wert | Beispiel |
|---|---|---|
| DEVICE- bezogene Daten | Family Model Architecture Battery Level Orientation Memory Capacity Simulator Boot Time Timezone archs battery_temperature brand charging connection_type language low_memory manufacturer online screen_density screen_dpi screen_height_pixels screen_resolution screen_width_pixels |
Nokia Nokia 4.2 (QKQ1.191008.001) arm64-v8a 100% Portrait Total: 2.8 GB / Free: 1.4 GB Total: 20.2 GB / Free: 17.0 GB False 2021-08-18T07:29:28.162Z Europe/Amsterdam [arm64-v8a, armeabi-v7a, armeabi] 31 C Nokia True Wifi de_DE False HMD Global True 1.875 300 1370 1370x720 720 |
| APP -bezogene Daten | Start Time | 2021-08-18T07:52:25.904Z |
| Bundle ID | com.rise_world.epa.integration.debug | |
| Bundle Name | ePA | |
| Version | 1.2.0 | |
| Build | 123070 | |
| OPERATING SYSTEM | Name | Android |
| Version | 10 (00EEA_2_290) | |
| Kernel Version | 4.9.186-perf+ | |
| Rooted | No |
Manuell übermittelte Daten
Für die App VRK - Meine Gesundheits-ID für IOS und Android wird im Fehlerfall ein Report erstellt. Zusätzlich zu dem automatisiert übermittelten Report können App-Nutzende die folgenden Daten manuell an das Business Service Management (BSM) versenden.
Die folgenden Informationen können zusätzlich im Fehlerfall an das BSM übermittelt werden. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
| Daten | Wert | Beispiel | Erläuterung |
|---|---|---|---|
| USERID bezogene Daten | Die UserId ist eine UUID und wird pro App Session neu generiert. | ||
| TAGS | ID | 66cfbd07-1881-4975-bc2f-41a81f9d0907 | |
| androidSDK | 29 | Android SDK Version | |
| applicationId | com.rise_world.epa.integra tion.debug |
App bundle name | |
| buildJob | epa-android/develop | Gitlab build job | |
| device | Nokia 4.2 | Gerätebezeichnung | |
| device.family | Nokia | Produktgruppe | |
| dist | 123070 | Gitlab-Pipeline-ID | |
| environment | debug | Umgebung | |
| fdvSdk | 1.2.0 | Android SDK | |
| fdvSdkModule | 1.2.2 | C++ SDK | |
| flavor | epaIntegration | App flavor | |
| gitHash | bc5853d | Git Hash | |
| level | error | Loglevel | |
| os Android | 10 | Android Version | |
| os.name | Android | Betriebssystemname | |
| os.rooted | no | Gerootetes Gerät | |
| release | 1.2.0 | App Release Version | |
| supportId | B88G-KDVD-YNEK | Support-Code | |
| user | id:66cfbd07-1881-4975-bc2f-41a81f9d0907 | userId | |
| StackTrace | Umfasst die technische Beschreibung des aufgetretenen Fehlers. | ||
Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für den IDP-Registrierungsprozess und die hierbei verarbeiteten Daten ist Art. 6 Abs. 1 S. 1 lit. a) DSGVO.
Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.
Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
Kontaktvarianten
Beschreibung und Umfang der Datenverarbeitung
In der App VRK - Meine Gesundheits-ID sind diverse Kontaktkanäle enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit uns genutzt werden können.
Vorgangsbearbeitungssystem (ITSM)
Alle Anfragen werden zur weiteren Bearbeitung mit Hilfe eines sog. Vorgangsbearbeitungssystems erfasst und dokumentiert. Diese Anfragen werden persönlich von unseren Supportmitarbeitern bearbeitet. Sollte der Versicherte diesbezüglich einen Rückruf wünschen, muss noch optional eine Telefonnummer angegeben werden. Gegebenenfalls muss zusätzlich noch eine Vorgangsbearbeitungsnummer auf Nachfrage durch den Versicherten angegeben werden; diese wird durch das Vorgangsbearbeitungssystem automatisch erzeugt und dem Versicherten übergeben.
Sollten die gemeldeten Themen nicht durch diese Variante beantwortet werden können, wird ebenfalls automatisiert ein anlassbezogenes internes Bearbeitungsticket erstellt. Je nach Bedarf wird diese Anfrage an einen verantwortlichen Mitarbeiter weitergeleitet und – insofern diese Option durch den Versicherten gewählt wurde – ein Rückruf initiiert.
Nimmt ein Versicherten die Möglichkeit des Rückrufs wahr, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert.
Die folgenden Daten sind durch den Versicherten einzugeben:
- Name, Vorname
- Krankenversicherungsnummer
- E-Mail-Adresse und
- Telefonnummer
- Geburtsdatum
- Meldeadresse: PLZ, Ort; Straße, Hausnummer
Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Versicherten über die ePA erforderlich sind.
Zweck der Datenverarbeitung
Die in diesem Abschnitt beschriebene Verarbeitung personenbezogener Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die ePA mit dem Versicherten durchführen zu können.
Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist in der Regel drei Jahre nach Schließung des Vorgangstickets der Fall.
Speicherorte aller spezifischen Daten der App VRK - Meine Gesundheits-ID
| Betreiber | Anwendung | Datentyp |
|---|---|---|
| RISE RZ Infrastruktur Dienstleister noris network AG mit Standorten Nürnberg/München |
KVS / PKV-Cockpit | Stammdaten des Versicherten / Metadaten der elektronischen Akte |