suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

update

Browse Source
This commit is contained in:
suro
2026-04-22 22:33:46 +02:00
parent 7bf1e0dbb2
commit d4822fc8dc
5156 changed files with 829337 additions and 44 deletions
Download Patch File Download Diff File Expand all files Collapse all files

175
AzA march 2026 - Kopie (18)/legal/ai_consent.md Normal file
View File

@@ -0,0 +1,175 @@
EINWILLIGUNGSERKLAERUNG ZUR KI-GESTUETZTEN DATENVERARBEITUNG
AZA / MedWork Medizinische Praxissoftware
Stand: Februar 2026
=====================================================================
PATIENTENINFORMATION UND EINWILLIGUNG
Was ist AZA MedWork?
AZA MedWork ist eine medizinische Praxissoftware, die Ihre Aerztin /
Ihren Arzt bei der Dokumentation und Verwaltung medizinischer
Informationen unterstuetzt. Die Software verwendet an bestimmten
Stellen Kuenstliche Intelligenz (KI).
=====================================================================
1. EINSATZ VON KUENSTLICHER INTELLIGENZ
In dieser Praxis wird KI fuer folgende Zwecke eingesetzt:
1.1 Sprache-zu-Text-Umwandlung (Transkription)
Aerztliche Diktate werden mit Hilfe eines KI-Sprachmodells
(OpenAI, Modell: GPT-4o-mini-transcribe) automatisch in Text
umgewandelt. Dabei werden Audioaufnahmen des aerztlichen Diktats
an den Dienst von OpenAI uebermittelt.
1.2 Erstellung von Krankengeschichten
Aus dem transkribierten Diktattext erstellt ein KI-Textmodell
(OpenAI, Modelle: GPT-5.2 / GPT-5-mini / GPT-5-nano) einen
strukturierten Entwurf der Krankengeschichte. Dabei werden
medizinische Textfragmente aus dem Diktat an OpenAI uebermittelt.
1.3 Medikamenten-Interaktionspruefung
Die Software kann eine KI-gestuetzte Pruefung moeglicher
Wechselwirkungen zwischen Medikamenten durchfuehren. Dabei werden
Medikamentennamen an OpenAI uebermittelt.
1.4 Textpruefung und Diskussion
Die Software bietet KI-gestuetztes Korrekturlesen und die
Moeglichkeit, medizinische Texte mit einem KI-Modell zu
diskutieren. Dabei werden medizinische Texte an OpenAI
uebermittelt.
=====================================================================
2. WELCHE DATEN WERDEN AN DIE KI UEBERMITTELT?
Transkription: Audioaufnahme des aerztlichen Diktats
KG-Erstellung: Transkribierter Text des Diktats
Interaktionspruefung: Medikamentennamen
Textpruefung: Medizinische Textfragmente
Die Daten werden ueber eine verschluesselte Verbindung (TLS)
an die API von OpenAI uebermittelt.
OpenAI erklaert in seinen API-Nutzungsbedingungen, dass ueber die
API gesendete Daten nicht zum Training von KI-Modellen verwendet
werden. Die Daten werden gemaess OpenAI fuer maximal 30 Tage
gespeichert (zur Missbrauchserkennung) und danach geloescht.
Der KI-Anbieter hat seinen Sitz in den USA. Es handelt sich
um eine Datenuebermittlung in ein Drittland. Die Uebermittlung ist
durch Standardvertragsklauseln (SCCs) abgesichert.
=====================================================================
3. WAS WIRD NICHT AUTOMATISIERT ENTSCHIEDEN
Die KI trifft keine eigenstaendigen medizinischen Entscheidungen.
Im Einzelnen:
- Die KI stellt keine Diagnosen
- Die KI verordnet keine Therapien oder Medikamente
- Die KI trifft keine Behandlungsentscheidungen
- Die KI erstellt keine rechtsverbindlichen Dokumente
Alle KI-generierten Texte sind Entwuerfe, die von der behandelnden
Aerztin / dem behandelnden Arzt geprueft, korrigiert und freigegeben
werden muessen, bevor sie in die Krankengeschichte uebernommen werden.
=====================================================================
4. AERZTLICHE VERANTWORTUNG
Die medizinische Verantwortung fuer alle Inhalte der
Krankengeschichte, Diagnosen, Therapieentscheidungen und
Verordnungen liegt ausschliesslich bei der behandelnden Aerztin /
dem behandelnden Arzt.
Die KI ist ein Hilfsmittel zur Effizienzsteigerung bei der
Dokumentation. Sie ersetzt weder die aerztliche Beurteilung noch
die aerztliche Sorgfaltspflicht.
=====================================================================
5. FREIWILLIGKEIT UND WIDERRUFSRECHT
Die Nutzung der KI-Funktionen ist freiwillig. Sie haben das
Recht, Ihre Einwilligung jederzeit zu widerrufen. Ein Widerruf
hat keine Auswirkungen auf Ihre medizinische Behandlung.
Bei Widerruf:
- Zukuenftige Diktate werden nicht mehr KI-gestuetzt transkribiert
- Die Krankengeschichte wird manuell erstellt
- Bereits verarbeitete Daten koennen nicht bei OpenAI zurueckgerufen
werden (Loeschung gemaess OpenAI-Richtlinien nach max. 30 Tagen)
- Die Qualitaet der Dokumentation wird nicht beeintraechtigt
Widerruf richten an:
Die behandelnde Praxis (siehe Kontaktdaten der Datenschutzerklaerung)
oder muendlich bei der naechsten Konsultation.
=====================================================================
6. DOKUMENTATIONSPFLICHT
Diese Einwilligung wird in der Patientenakte dokumentiert.
Die Praxis ist verpflichtet, den Einsatz von KI-Werkzeugen
in der medizinischen Dokumentation nachvollziehbar zu machen.
=====================================================================
EINWILLIGUNGSERKLAERUNG
Ich wurde ueber den Einsatz von Kuenstlicher Intelligenz in der
Praxissoftware AZA MedWork informiert. Ich habe die vorstehenden
Erlaeuterungen gelesen und verstanden.
Insbesondere wurde ich darueber informiert, dass:
[ ] Audioaufnahmen und medizinische Textdaten an den KI-Dienst
OpenAI (USA) uebermittelt werden
[ ] Die KI keine eigenstaendigen medizinischen Entscheidungen trifft
[ ] Die aerztliche Verantwortung vollstaendig bei der behandelnden
Aerztin / dem behandelnden Arzt verbleibt
[ ] Ich diese Einwilligung jederzeit widerrufen kann, ohne dass
mir daraus Nachteile fuer die Behandlung entstehen
Ich willige in die beschriebene KI-gestuetzte Verarbeitung
meiner Daten ein.
Ort, Datum: ___________________________
Unterschrift Patient/in: ___________________________
Name in Druckschrift: ___________________________
=====================================================================
BEI WIDERRUF:
Ich widerrufe hiermit meine Einwilligung zur KI-gestuetzten
Verarbeitung meiner Daten mit Wirkung fuer die Zukunft.
Ort, Datum: ___________________________
Unterschrift Patient/in: ___________________________
=====================================================================
Dieses Dokument ist ein Entwurf und muss vor dem Produktiveinsatz
durch eine rechtskundige Person geprueft werden. Die Einwilligung
muss in Papierform oder elektronisch mit qualifizierter Signatur
eingeholt werden.

226
AzA march 2026 - Kopie (18)/legal/privacy_policy.md Normal file
View File

@@ -0,0 +1,226 @@
DATENSCHUTZERKLAERUNG
AZA / MedWork Medizinische Praxissoftware
Stand: Februar 2026
Gueltig fuer: AZA MedWork Desktop-Anwendung, E-Mail-Modul, Arbeitsplanungs-Modul
=====================================================================
1. VERANTWORTLICHER
Verantwortlich fuer die Datenverarbeitung im Sinne des Schweizer
Datenschutzgesetzes (DSG) und der EU-Datenschutz-Grundverordnung
(DSGVO) ist:
[Name der Praxis / des Praxisinhabers]
[Adresse]
[PLZ Ort]
[E-Mail-Adresse fuer Datenschutzanfragen]
Hinweis: Dieses Feld muss vor Produktiveinsatz mit den tatsaechlichen
Angaben der verantwortlichen Praxis ausgefuellt werden.
=====================================================================
2. ZWECK DER VERARBEITUNG
AZA MedWork verarbeitet personenbezogene Daten ausschliesslich
fuer folgende Zwecke:
2.1 Medizinische Dokumentation
- Aufnahme und Transkription aerztlicher Diktate (Spracherkennung)
- Erstellung und Verwaltung von Krankengeschichten (KG)
- Pruefung und Zusammenfassung medizinischer Notizen
2.2 Praxiskommunikation
- Empfang und Versand von E-Mails ueber das integrierte E-Mail-Modul
- Verwaltung von Praxiskontakten
2.3 Praxisorganisation
- Verwaltung von Mitarbeiterdaten (Name, Rolle, Abteilung)
- Abwesenheits- und Arbeitsplanung
- Aufgabenverwaltung (Todo-Listen)
2.4 KI-gestuetzte Analyse
- Automatische Transkription von Audiodiktaten
- KI-gestuetzte Erstellung von Krankengeschichten aus Diktattext
- KI-gestuetzte Medikamenten-Interaktionspruefung
- KI-gestuetztes Korrekturlesen und Diskussion medizinischer Texte
=====================================================================
3. ARTEN DER VERARBEITETEN DATEN
3.1 Besonders schuetzenswerte Personendaten (Art. 5 lit. c DSG)
Gesundheitsdaten: Krankengeschichten, Diagnosen, Medikationslisten,
aerztliche Befunde, medizinische Diktate (Audio und Text).
Diese Daten unterliegen einem erhoehten Schutz gemaess DSG Art. 5
lit. c und DSGVO Art. 9.
3.2 Personendaten der Patienten
- Patientennamen (sofern im Diktat erwaehnt)
- Medizinische Befunde und Diagnosen
- Medikationsinformationen
3.3 Personendaten der Mitarbeiter
- Name, E-Mail-Adresse, Abteilung, Rolle
- Abwesenheiten und Arbeitszeiten
- Anmeldeinformationen (Passwort-Hash, nicht das Passwort selbst)
3.4 Technische Daten
- E-Mail-Kontodaten (Serverkonfiguration, E-Mail-Adresse)
- Anwendungseinstellungen und Fensterpositionen
- Token-Nutzungsstatistiken (KI-Verbrauch)
=====================================================================
4. RECHTSGRUNDLAGE
Schweizer DSG:
- Art. 31 Abs. 1 DSG: Verarbeitung von Gesundheitsdaten gestuetzt
auf die ausdrueckliche Einwilligung der betroffenen Person.
- Art. 31 Abs. 2 lit. a DSG: Verarbeitung, die fuer die
Gesundheitsversorgung erforderlich ist, durch Personen, die dem
Berufsgeheimnis unterstehen.
DSGVO (soweit anwendbar):
- Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung fuer Zwecke der
Gesundheitsversorgung durch Fachpersonal mit Schweigepflicht.
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung fuer die KI-gestuetzte
Verarbeitung.
=====================================================================
5. SPEICHERORT UND SPEICHERDAUER
5.1 Lokale Speicherung
Der Grossteil der Daten wird lokal auf dem Praxisrechner gespeichert:
- Krankengeschichten (JSON-Dateien)
- Benutzerprofil und Einstellungen (JSON-Dateien)
- Mitarbeiterdaten und Arbeitsplanung (SQLite-Datenbank)
- E-Mail-Konfiguration (JSON-Datei, ohne Passwoerter)
- Audiodateien (temporaer, waehrend der Transkription)
5.2 Cloud-Speicherung
Supabase (Cloud-Synchronisation): Ausgewaehlte Daten koennen
optional in die Cloud synchronisiert werden. Supabase-Server
befinden sich in der EU (AWS eu-central-1).
5.3 Speicherdauer
- Medizinische Daten: Gemaess kantonalem Recht (typisch 10-20 Jahre
nach letzter Behandlung)
- Mitarbeiterdaten: Waehrend der Anstellungsdauer und gemaess
arbeitsrechtlichen Aufbewahrungsfristen
- Technische Daten: Bis zur Loeschung durch den Benutzer
- Audiodateien: Werden nach der Transkription geloescht
=====================================================================
6. AUFTRAGSVERARBEITER UND DRITTLANDUEBERTRAGUNG
6.1 OpenAI (KI-Verarbeitung)
Anbieter: OpenAI, LLC
Sitz: San Francisco, USA
Zweck: Spracherkennung (Transkription),
Textgenerierung (KG), Interaktionspruefung
Modelle: GPT-4o-mini-transcribe (Transkription),
GPT-5.2 / GPT-5-mini / GPT-5-nano (Text)
Uebermittelte Daten: Audiodiktate, medizinische Textfragmente
Drittlanduebertragung: Ja USA
Rechtsgrundlage: Standardvertragsklauseln (SCCs)
API-Modus: API-Nutzung (keine Trainingsdaten-Verwendung
gemaess OpenAI API Terms)
Wichtiger Hinweis: OpenAI erklaert in seinen API-Nutzungsbedingungen,
dass ueber die API gesendete Daten nicht zum Training von Modellen
verwendet werden. Die tatsaechliche Einhaltung liegt in der
Verantwortung von OpenAI.
6.2 Supabase (Cloud-Synchronisation)
Anbieter: Supabase, Inc.
Sitz: San Francisco, USA
Hosting: AWS eu-central-1 (Frankfurt, Deutschland)
Zweck: Optionale Cloud-Synchronisation
Drittlanduebertragung: Daten in EU gespeichert; Unternehmenssitz USA
Rechtsgrundlage: Standardvertragsklauseln (SCCs)
6.3 E-Mail-Provider
Der konfigurierte E-Mail-Provider (IMAP/SMTP-Server) verarbeitet
E-Mail-Daten gemaess dessen eigener Datenschutzerklaerung. Die
Auswahl und Konfiguration des Providers liegt in der Verantwortung
der Praxis.
=====================================================================
7. SICHERHEITSMASSNAHMEN
Folgende technische Massnahmen sind implementiert:
- Passwort-geschuetzter Zugang mit bcrypt-Hashing (cost=12)
- Optionale Zwei-Faktor-Authentifizierung (TOTP)
- TLS-Verschluesselung (>= 1.2) fuer alle Backend-Dienste
- Verschluesselte E-Mail-Uebertragung (IMAP SSL, SMTP STARTTLS)
- Keine Speicherung von Passwoertern in Konfigurationsdateien
- Validierung und Fail-Start bei fehlenden Sicherheitskonfigurationen
- Rollenbasierte Zugriffskontrolle im Arbeitsplanungsmodul
Eine vollstaendige Auflistung der technischen und organisatorischen
Massnahmen ist im internen TOMs-Dokument dokumentiert.
=====================================================================
8. RECHTE DER BETROFFENEN PERSONEN
Gemaess DSG (Schweiz):
- Auskunftsrecht (Art. 25 DSG): Sie koennen Auskunft darueber
verlangen, ob und welche Daten ueber Sie verarbeitet werden.
- Recht auf Berichtigung (Art. 32 Abs. 1 DSG): Sie koennen die
Berichtigung unrichtiger Daten verlangen.
- Recht auf Loeschung (Art. 32 Abs. 2 DSG): Sie koennen die
Loeschung Ihrer Daten verlangen, soweit keine gesetzlichen
Aufbewahrungspflichten entgegenstehen.
- Recht auf Datenherausgabe (Art. 28 DSG): Sie koennen die
Herausgabe Ihrer Daten in einem gaengigen Format verlangen.
Gemaess DSGVO (soweit anwendbar):
- Recht auf Auskunft (Art. 15), Berichtigung (Art. 16),
Loeschung (Art. 17), Einschraenkung (Art. 18),
Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21)
Beschwerderecht:
- Schweiz: Eidgenoessischer Datenschutz- und Oeffentlichkeits-
beauftragter (EDOEB), Feldeggweg 1, 3003 Bern,
www.edoeb.admin.ch
- EU: Zustaendige Aufsichtsbehoerde des Wohnsitzlandes
=====================================================================
9. KONTAKTSTELLE FUER DATENSCHUTZANFRAGEN
Anfragen zu Ihren Daten richten Sie bitte an:
[E-Mail-Adresse fuer Datenschutz]
oder schriftlich an die unter Punkt 1 genannte Adresse.
Wir beantworten Anfragen innert 30 Tagen (DSG Art. 25 Abs. 6).
=====================================================================
10. AENDERUNGEN
Diese Datenschutzerklaerung kann bei Aenderungen der
Datenverarbeitung oder der Rechtslage angepasst werden.
Die aktuelle Version ist in der Anwendung einsehbar.
=====================================================================
Dieses Dokument ist ein Entwurf und muss vor dem Produktiveinsatz
durch eine rechtskundige Person geprueft und mit den konkreten
Angaben der verantwortlichen Praxis ergaenzt werden.