Datenschutz AVV
Technische und organisatorische Maßnahmen (TOMs)
i. S. d. Art. 32 DSGVO
der Organisation HealthyCloud GmbH, Ölweide 18, 39114 Magdeburg
Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HealthyCloud GmbH
Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
- logische Mandantentrennung (softwareseitig)
- Berechtigungskonzept
- Trennung von Produktiv- und Testsystem
Vertraulichkeit und Integrität
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:
- Verschlüsselung mobiler Endgeräte:
- Smartphones und Tablets (iOS und Android)
- Festplattenverschlüsselung bei Notebooks
- Verschlüsseltes Backup
- verschlüsselte Datenübertragung via VPN
„Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
- Nein.
- Alarmanlage
- Chipkarten-/Transponder-Schließsystem
- Manuelles Schließsystem
- Videoüberwachung der Zugänge
- Lichtschranken / Bewegungsmelder
- Schlüsselregelung (Schlüsselausgabe etc.)
- Protokollierung der Besucher
- Sorgfältige Auswahl von Reinigungspersonal
- Sorgfältige Auswahl von Wachpersonal
- Zutrittskonzept / Besucherregelung
- Sonstige: Tragepflicht von Ausweisen bei Gästen
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:
- Zuordnung von Benutzerrechten
- Erstellen von Benutzerprofilen
- Passwortvergabe
- Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
- Zwei-Faktor-Authentifizierung
- Authentifikation mit Benutzername / Passwort
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Verschlüsselung mobiler IT-Systeme
- Verschlüsselung mobiler Datenträger
- Verschlüsselung der Datensicherungssysteme
- Sperren externer Schnittstellen (USB etc.)
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Sorgfältige Auswahl von Reinigungspersonal
- Sorgfältige Auswahl von Wachpersonal
- Tragepflicht von Berechtigungsausweisen
- Einsatz von Intrusion-Detection-Systemen
- Einsatz von Anti-Viren-Software
- Verschlüsselung von Datenträgern in Laptops / Notebooks
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Berechtigungskonzept
- Verschlüsselung von Datenträgern in Laptops / Notebooks
- Verwaltung der Rechte durch Systemadministrator
- regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
- Anzahl der Administratoren ist auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- sichere Aufbewahrung von Datenträgern
- physische Löschung von Datenträgern vor Wiederverwendung
- physikalische Vernichtung von Datenträgern
- Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
- Verschlüsselung von Datenträgern
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis
- Verschlüsselung der E-Mail-Kommunikationswege via TLS
- Verschlüsselung physischer Datenträger bei Transport
- Unterbrechungsfreie Stromversorgung (USV)
- Klimatisierung der Serverräume
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen in Serverräumen
- Feuerlöschgeräte in Serverräumen
- Data Loss Prevention (DLP)
- Erstellen eines Backup- & Recoverykonzepts
- Testen von Datenwiederherstellung
- Erstellen eines Notfallplans
- Serverräume nicht unter sanitären Anlagen
AVV Tabelle:
Auflistung der beauftragten Dienstleistungen
Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden können | EleGuide |
Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden können | Curriculumsverwaltung mit An- und Abwesenheitsverwaltung der Teilnehmer. |
Verwaltung der Aus- und Weiterbildungsgänge | |
Verwaltung des Aus- bzw. Weiterbildungsfortschritts durch die Erfassung aller dafür relevanten Daten, wie Kurstermine, Praktische Tätigkeiten, Patientenbehandlungen, Supervisionstermine und Lehranalyse bzw. Selbsterfahrung | |
Verwaltung der Kooperationspartner, Supervisoren und Lehranalytiker bzw. Selbsterfahrungsleiter des Auftragnehmers | |
Raum- und Terminplanung. Stammdatenverwaltung. Verwaltung von zentralen Dokumentenvorlagen und Dateien in Kursen | |
Wissensdatenbank (Wiki) mit der Dokumentation der zentralen Abläufe des Auftragnehmers | |
Ankündigung und Verwaltung von Neuigkeiten (Nachrichten an das gesamte Institut) des Auftragnehmers | |
Dokumentation der Nutzeraktivität im Audit-Log zur Nachvollziehbarkeit der Vorgänge in der Software. | |
Art und Zweck der Verarbeitung | Entwicklung und Wartung des IT-Systems |
Beantwortung von Nutzerfragen im 1st und 2nd Level Support | |
Unterstützung bei der Installation der Anwendungssoftware Elefant | |
Unterstützung bei Problemen mit Schnittstellensoftware | |
Unterstützung bei Problemen in der Nutzung des Produktes | |
Unterstützung bei der Ursachenfindung bei Systemmeldungen | |
Reparatur und Wartung der Datenbank auf dem IT-System der Auftraggeberin | |
Art der personenbezogenen Daten | Personenstammdaten |
Kontaktdaten | |
Vertragsdaten | |
Kundendaten | |
Zahlungsdaten | |
Gesundheitsdaten | |
Bilddaten | |
Zugangsdaten | |
Standortdaten | |
Kategorien betroffener Personen | Kunden |
Mitarbeiter | |
Mitglieder | |
Aus- und Weiterbildungsteilnehmer / Kursteilnehmer | |
Patienten | |
Psychotherapeuten |
Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte
Name | Sitz der Gesellschaft | Verarbeitungsstandort | EleGuide |
Full Calendar LLC | 662 Bergen St, Unit #1B Brooklyn NY 11238 United States |
Vereinigte Staaten | Aktiv |
IONOS SE | Elgendorfer Str. 57 56410 Montabaur |
Deutschland | Aktiv |
Sendinblue GmbH | Köpenicker Str. 126 10179 Berlin |
Frankreich | Aktiv |
Tiny Technologies Inc. | 2100 Geng Road, Suite 210 Palo Alto, CA 94303 |
Verinigte Staaten | Aktiv |
Widas ID GmbH | Maybachstraße 2 71299 Wimsheim |
Deutschland | Aktiv |
CleverReach GmbH & Co. KG | Schafjückenweg 2 26180 Rastede |
Deutschland, Irland | Aktiv |
Google Cloud EMEA Limited | Gordon House Barrow Street Dublin 4 |
Irland | Aktiv |
Hetzner Online GmbH | Industriestr. 25 91710 Gunzenhausen |
Deutschland | Aktiv |
Laravel Holdings Inc. | 60 Broad Street 24th Floor #1559 New York NY 10004 (USA) |
Vereinigte Staaten | Aktiv |
PingPing.io | Bajuwarenhof 31 85459 Berglern |
Deutschland | Aktiv |
TelemetryDeck GmbH | Von-der-Tann-Str. 54 86159 Augsburg |
Deutschland | Aktiv |
Trackboxx | Dorfstr. 12 22956 Grönwohld |
Zypern | Aktiv |
Usercentrics GmbH | Sendlinger Str. 7 80331 München |
Deutschland | Aktiv |