Ein Unternehmen der Opta Data Gruppe
Navigation
instagram

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen als Anlage zur Vereinbarung zur Auftragsverarbeitung.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle
    • Sicherheitstür am Eingang.
    • Elektronisches Türschloss zur Büro-Eingangstüre, zu der jeder Mitarbeiter einen anderen Zugangscode hat. Die Zutritte werden protokolliert.
    • Serverraum mit Codeschloss versehen, Code nur zuständigen Mitarbeitern bekannt.
    • Einbruchmeldeanlage mit Alarm an Sicherheitsdienst.
  •     Zugangskontrolle
    • Einrichtung eines Benutzerstammsatzes pro User.
    • Jeder User hat sein eigenes Kennwort.
    • Automatische Sperrung (z.B. Kennwort oder Pausenschaltung).
    • Verschlüsselung von Datenträgern (insbesondere von Backups).
    • Backup-Datenträger werden in einem feuerfesten Tresor aufbewahrt.
  • Zugriffskontrolle
    • Mehrere Benutzergruppen mit differenzierten Berechtigungen
  • Trennungskontrolle
    • Logische Trennung der einzelnen Services
    • Funktionstrennung (Echtbetrieb / Test)
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
    • Besonders schützenswerte Daten werden durch Verschlüsselung und Pseudonymisierung geschützt

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle
    • Jede Datenübertragung über öffentliche Netze erfolgt verschlüsselt (beim Datenversand an Krankenkassen insbesondere gemäß der Richtlinien des GKV-Spitzenverbandes)
  • Eingabekontrolle
    • Protokollierung aller DV-Aktivitäten auf Vorgangsebene

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle
    • Hochverfügbarkeit: alle Daten liegen lückenlos redundant an verschiedenen Orten (real-time Backup).
    • Datenannahme rund um die Uhr (365d/24h) durch mehrere redundante Annahme-Server an unabhängigen Internet-Backbones mit automatischem Fall-Back.
    • Mehrere Backup-Verfahren, Spiegeln von Festplatten, (RAID-Verfahren), alle relevanten Datenbanken liegen real-time gespiegelt an verschiedenen Orten.
    • Unterbrechungsfreie Stromversorgung (USV) und zusätzliche 72-Stunden-Batteriepufferung der Server-Festplatten.
    • Feuermelder mit Telefon-Alarmierung.
    • Professionelle domain-weite Virenschutz-Lösung / redundante mehrstufige Firewall.
    • Notfallpläne für zentrale Infrastruktur.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutz-Management
    • Regelmäßige Überprüfung und geg. Überarbeitung der Maßnahmen zum Datenschutz
    • Im Rahmen unserer regelmäßigen Auditierung werden die getroffenen Maßnahmen zum Datenschutz zusätzlich durch eine unabhängige Instanz geprüft.
  • Incident-Response-Management
    • Risikomanagement mit jährlicher Aktualisierung und Protokollierung von Ereignissen
  • Auftragskontrolle
    • Eindeutige Vertragsgestaltung (Datenschutz-Standards und einzelne, typisierte Aufträge)
    • Kontrollerechte der Hebamme bzgl. der Vertragsausführung
    • Übertragung dieser Maßnahmen auf eventuelle Unterauftragnehmer