Skip to main content

Datenschutz AVV

Technische und organisatorische Maßnahmen (TOMs)
i. S. d. Art. 32 DSGVO

der Organisation HealthyCloud GmbH, Ölweide 18, 39114 Magdeburg
Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HealthyCloud GmbH

Zweckbindung und Trennbarkeit 
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • logische Mandantentrennung (softwareseitig)
  • Berechtigungskonzept
  • Trennung von Produktiv- und Testsystem

Vertraulichkeit und Integrität 
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:

1. Verschlüsselung
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:
  • Verschlüsselung mobiler Endgeräte:
  • Smartphones und Tablets (iOS und Android)
  • Festplattenverschlüsselung bei Notebooks
  • Verschlüsseltes Backup
  • verschlüsselte Datenübertragung via VPN
2. Pseudonymisierung
„Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
  •  Nein.
3. Zutrittskontrolle 
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:
  • Alarmanlage
  • Chipkarten-/Transponder-Schließsystem
  • Manuelles Schließsystem
  • Videoüberwachung der Zugänge
  • Lichtschranken / Bewegungsmelder
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Protokollierung der Besucher
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Wachpersonal
  • Zutrittskonzept / Besucherregelung
  • Sonstige: Tragepflicht von Ausweisen bei Gästen
4. Zugangskontrolle
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:
  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Passwortvergabe
  • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
  • Zwei-Faktor-Authentifizierung
  • Authentifikation mit Benutzername / Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Verschlüsselung mobiler IT-Systeme
  • Verschlüsselung mobiler Datenträger
  • Verschlüsselung der Datensicherungssysteme
  • Sperren externer Schnittstellen (USB etc.)
  • Sicherheitsschlösser
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Wachpersonal
  • Tragepflicht von Berechtigungsausweisen
  • Einsatz von Intrusion-Detection-Systemen
  • Einsatz von Anti-Viren-Software
  • Verschlüsselung von Datenträgern in Laptops / Notebooks
  • Einsatz einer Hardware-Firewall
  • Einsatz einer Software-Firewall
5. Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
  • Berechtigungskonzept
  • Verschlüsselung von Datenträgern in Laptops / Notebooks
  • Verwaltung der Rechte durch Systemadministrator
  • regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
  • Anzahl der Administratoren ist auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • sichere Aufbewahrung von Datenträgern
  • physische Löschung von Datenträgern vor Wiederverwendung
  • physikalische Vernichtung von Datenträgern
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Verschlüsselung von Datenträgern
6. Eingabekontrolle
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
7. Auftragskontrolle 
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
  • Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
  • Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis
8. Transport- bzw. Weitergabekontrolle 
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:
  • Verschlüsselung der E-Mail-Kommunikationswege via TLS
  • Verschlüsselung physischer Datenträger bei Transport
9. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme 
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimatisierung der Serverräume
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Feuer- und Rauchmeldeanlagen in Serverräumen
  • Feuerlöschgeräte in Serverräumen
  • Data Loss Prevention (DLP)
  • Erstellen eines Backup- & Recoverykonzepts
  • Testen von Datenwiederherstellung
  • Erstellen eines Notfallplans
  • Serverräume nicht unter sanitären Anlagen

AVV Tabelle:

Auflistung der beauftragten Dienstleistungen

Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden können EleGuide
Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden können Curriculumsverwaltung mit An- und Abwesenheitsverwaltung der Teilnehmer.
Verwaltung der Aus- und Weiterbildungsgänge
Verwaltung des Aus- bzw. Weiterbildungsfortschritts durch die Erfassung aller dafür relevanten Daten, wie Kurstermine, Praktische Tätigkeiten, Patientenbehandlungen, Supervisionstermine und Lehranalyse bzw. Selbsterfahrung
Verwaltung der Kooperationspartner, Supervisoren und Lehranalytiker bzw. Selbsterfahrungsleiter des Auftragnehmers
Raum- und Terminplanung. Stammdatenverwaltung. Verwaltung von zentralen Dokumentenvorlagen und Dateien in Kursen
Wissensdatenbank (Wiki) mit der Dokumentation der zentralen Abläufe des Auftragnehmers
Ankündigung und Verwaltung von Neuigkeiten (Nachrichten an das gesamte Institut) des Auftragnehmers
Dokumentation der Nutzeraktivität im Audit-Log zur Nachvollziehbarkeit der Vorgänge in der Software.
Art und Zweck der Verarbeitung Entwicklung und Wartung des IT-Systems
Beantwortung von Nutzerfragen im 1st und 2nd Level Support
Unterstützung bei der Installation der Anwendungssoftware Elefant
Unterstützung bei Problemen mit Schnittstellensoftware
Unterstützung bei Problemen in der Nutzung des Produktes
Unterstützung bei der Ursachenfindung bei Systemmeldungen
Reparatur und Wartung der Datenbank auf dem IT-System der Auftraggeberin
Art der personenbezogenen Daten Personenstammdaten
Kontaktdaten
Vertragsdaten
Kundendaten
Zahlungsdaten
Gesundheitsdaten
Bilddaten
Zugangsdaten
Standortdaten
Kategorien betroffener Personen Kunden
Mitarbeiter
Mitglieder
Aus- und Weiterbildungsteilnehmer / Kursteilnehmer
Patienten
Psychotherapeuten

 

Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte

Name Sitz der Gesellschaft Verarbeitungsstandort EleGuide
Full Calendar LLC 662 Bergen St, Unit #1B Brooklyn
NY 11238 United States
Vereinigte Staaten Aktiv
IONOS SE Elgendorfer Str. 57
56410 Montabaur
Deutschland Aktiv
Sendinblue GmbH Köpenicker Str. 126
10179 Berlin
Frankreich Aktiv
Tiny Technologies Inc. 2100 Geng Road, Suite 210
Palo Alto, CA 94303
Verinigte Staaten Aktiv
Widas ID GmbH Maybachstraße 2
71299 Wimsheim
Deutschland Aktiv
CleverReach GmbH & Co. KG Schafjückenweg 2
26180 Rastede
Deutschland, Irland Aktiv
Google Cloud EMEA Limited Gordon House
Barrow Street
Dublin 4
Irland Aktiv
Hetzner Online GmbH Industriestr. 25
91710 Gunzenhausen
Deutschland Aktiv
Laravel Holdings Inc. 60 Broad Street
24th Floor #1559 New York
NY 10004 (USA)
Vereinigte Staaten Aktiv
PingPing.io Bajuwarenhof 31
85459 Berglern
Deutschland Aktiv
TelemetryDeck GmbH Von-der-Tann-Str. 54
86159 Augsburg
Deutschland Aktiv
Trackboxx Dorfstr. 12
22956 Grönwohld
Zypern Aktiv
Usercentrics GmbH Sendlinger Str. 7
80331 München
Deutschland Aktiv

 

AVV Vertrag herunterladen

Bitte klicken Sie mit der rechten Maustaste auf den Download-Button und wählen Sie ‚Ziel speichern unter…‘, um die Datei herunterzuladen.

HealthyCloud GmbH
Ölweide 18
39114 Magdeburg

© 2024 HealthyCloud GmbH