Bereit für die DSGVO?

   .

   .

 

Vertrag über die Datenverarbeitung mit Doctena unterzeichnen

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) rückt nahe. Mit ihr werden an den Schutz der Privatsphäre von natürlichen Personen in der EU hohe Maßstäbe angelegt. Doctena hat einen umfangreichen Sicherheitsplan erarbeitet, um die Voraussetzungen für eine höhere allgemeine Sicherheit der geschäftlichen Aktivitäten zu schaffen. Mit dem vorliegenden Dokument wollen wir Sie über unseren aktuellen Stand in Sachen DSGVO unterrichten.

Die Datenschutz-Grundverordnung (DSGVO) ist die neue europäische Verordnung zum Schutz von personenbezogenen Daten und gilt für alle Organisationen (auch Arztpraxen), die innerhalb der EU tätig sind (sowie für Nicht-EU-Organisationen mit Kunden, bei denen es sich um in der EU ansässige natürliche Personen handelt). In der DSGVO sind personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Der Zweck der DSGVO besteht darin, die Datenschutzgesetze in allen EU-Mitgliedstaaten zu harmonisieren, um den Schutz von natürlichen Personen zu stärken. Die DSGVO tritt am 25. Mai 2018 in Kraft.

Die DSGVO gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter. Der Verantwortliche ist die Partei, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Demgegenüber ist der Auftragsverarbeiter ein Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

 

Was bedeutet dies?

In Bezug auf Daten ist Doctena ein Verantwortlicher und ein Auftragsverarbeiter.

  1. Als Anbieter von Cloud-Kalenderdiensten für Ärzte/Heilberufler agiert Doctena in der Hauptsache als Auftragsverarbeiter. Wir verarbeiten Daten im Auftrag des Arztes/Heilberuflers, der festlegt, was mit diesen Daten geschieht (Änderung, Entfernung, Übertragung usw.).
  2. Gegenüber Patienten, die sich für die Einrichtung eines Doctena-Kontos entscheiden, nimmt Doctena die Rolle des Verantwortlichen wahr, indem Profildaten (Präferenzen, Name, Adresse, Telefonnummer, E-Mail-Adresse, Anschrift, Bewertungen usw.) gespeichert werden, um die Verwaltung ihrer Termine zu erleichtern. Im Prinzip kopieren wir die Daten aus dem Doctena-Konto in das Arzt-Patienten-Konto. Des Weiteren kontrolliert Doctena eine logische Verbindung zwischen dem Doctena-Konto und den Arztterminen. Hierdurch können Patienten den Status ihres Termins verfolgen.

 

 

Was unternimmt Doctena?

Wir arbeiten zurzeit daran, die Einhaltung der Verordnung rechtzeitig sicherzustellen. Dazu haben wir ein eigenes Projekt ins Leben gerufen.

Für Sie bedeutet das konkret:  Wir aktualisieren gerade unsere Nutzungsbedingungen und unsere Datenschutzerklärung, um sicherzustellen, dass diese Vereinbarung jedermanns Rechte achtet. Gleichzeitig prüfen wir erneut, dass unser ohnehin schon hohes Sicherheitsniveau den Anforderungen entspricht. Informationen hierüber werden wir an alle unsere Kunden verschicken, sobald dieser Prozess abgeschlossen ist (das wird vor dem 25. Mai sein).

Des Weiteren haben wir eine spezifische Datenverarbeitungsvereinbarung (DVV) vorbereitet, die Sie als Ärzt/Heilberufler (Verantwortliche) unterschreiben können, wenn sie mit Doctena als Auftragsverarbeiter arbeiten, um die einschlägigen Vorschriften zu erfüllen. Parallel sorgt Doctena auch dafür, dass eine ähnliche DVV für die eigenen Auftragsverarbeiter von Doctena, die an der gesamten Datenverarbeitung beteiligt sind, vorhanden ist. So soll gewährleistet werden, dass die Verarbeitung von personenbezogenen Daten in jedem Fall der DSGVO entspricht. Die DVV beschreibt die Rollen, Grundlagen und Pflichten bei der Datenverarbeitung.

Vertrag über die Datenverarbeitung mit Doctena unterzeichnen 

Download Muster-PDF für Datenverarbeitungsvertrag mit Doctena

 

Wie geht Doctena mit Ihren Daten um?

Wir bei Doctena nehmen Sicherheit und Datenschutz sehr ernst und verpflichten uns zur Einhaltung lokaler/nationaler Vorschriften. Der Schutz der Daten unserer Kunden und deren Patienten hat für uns oberste Priorität. Als Unternehmen haben wir eine Reihe von Maßnahmen eingeführt, die dafür sorgen, dass Ihre Daten sicher sind!

Sicherheit ist nicht nur ein Wort für uns, sondern ein Konzept, das tagtäglich verinnerlicht und umgesetzt werden muss. Deswegen gehen wir an das Thema Sicherheit aus mehreren Blickwinkeln heran:

Fest zugeordnete Mitarbeiter und Verantwortlichkeiten

Doctena verfügt über einen eigenen Chief Information Security Officer (CISO) und unabhängige externe Datenschutzbeauftragte im Sinne der DSGVO.

Unser CISO ist ein erfahrener Mitarbeiter mit einem Master-Abschluss im Fachbereich Sicherheit und verfügt über berufliche Erfahrungen im Bereich Computersicherheit. Seine Rolle ist es, dafür zu sorgen, dass Sicherheit einen alltäglichen Schwerpunkt darstellt. Dies geschieht, indem er Prozesse und Technologien einführt sowie die verschiedenen Teams und Geschäftseinheiten rund um das Thema Sicherheit koordiniert. Er berichtet direkt an unseren Chief Information Officer (CIO) und auch an unseren Chief Executive Officer (CEO) als Gewähr dafür, dass die Fokussierung auf Sicherheit auf allerhöchster Managementebene beginnt.

Security by Design

Wann immer wir Innovationen schaffen und an neuen Produkten und Funktionen arbeiten, steht „Sicherheit“ ganz oben auf der Checkliste. Auf diese Weise können wir sicher sein, schon bei der Entwicklung unserer Produkte auf Sicherheit zu achten und die technologischen und architektonischen Entscheidungen zu treffen, die zu einer sicheren Umsetzung führen.

Kontrolle und Überwachung

Wir nutzen drei hinreichend bekannte, dem Industriestandard entsprechende Lösungen, um unsere Plattformen fortlaufend zu kontrollieren und gegen mögliche Sicherheitsprobleme zu schützen:

  • eine Web Application Firewall: Das ist unsere erste Verteidigungslinie gegen verbreitete Bedrohungen wie verteilte Denial-of-Service-Attacken (DoS) und böswillige Web-Anfragen. Hierzu gehört auch die automatische Sperre von Geräten/Tools im Internet, deren schlechter Ruf hinreichend bekannt ist.
  • permanente Penetrationstests: Unsere Plattformen werden rund um die Uhr und an sieben Tagen in der Woche durchforstet. Unsere Entwicklungsteams werden benachrichtigt, wann immer ein potenzielles neues Sicherheitsrisiko auftritt, so dass wir umgehend Korrekturmaßnahmen ergreifen können.
  • ein System zur Erkennung von Angriffen: Das System benachrichtigt uns, sobald verdächtige Aktivitäten auf der Plattform erkannt werden, und liefert Einzelheiten, wie diese Aktivität gestoppt werden kann.

Derartige Dienste haben ihren Preis, und Doctena wendet einen erheblichen Teil seines IT-Budgets für diese Sicherheitsinstrumente auf.

Automatisierte Sicherheits-Updates

Als Teil unseres fortlaufenden Implementierungssystems liefern wir Sicherheits-Updates für alle unsere Systeme auf wöchentlicher Basis, bei den meisten sogar täglich.

Sicherheitsaudits

Einmal im Jahr werden unsere Plattformen von einem renommierten IT-Sicherheitsunternehmen auditiert, das auch bei komplexen Banksystemen die Sicherheit und Widerstandsfähigkeit zertifiziert. Die Ergebnisse dieser Audits werden analysiert und von unseren IT-Teams zur Ableitung von Maßnahmen genutzt. So kann uns das Auditunternehmen ein Zeugnis als Nachweis für unsere hohen Sicherheitsstandards erteilen.

Verschlüsselung

Die vertraulichen Daten, die wir in unseren Datenbanken speichern, werden nach dem als Industriestandard geltenden 256-Bit-AES-Algorithmus verschlüsselt. Auch die Laptops unserer Mitarbeiter sind verschlüsselt. Außerdem schreiben wir hierbei strenge Sicherheitsprotokolle vor.

Auf unseren Plattformen wird außerdem die Industriestandard-Verschlüsselung für „Daten während der Übertragung“ implementiert. Das stellt sicher, dass Dritte die Kommunikation zwischen unserer Plattform und dem Web-Browser des Benutzers bei der Nutzung der Plattform nicht abfangen können.

Partnerauswahlprozess

Wenn wir mit externen Partnern oder Unterauftragnehmern arbeiten, verlangen wir von ihnen, zumindest die gleichen Sicherheitsstandards wie bei uns anzuwenden. Wenn es um die Sicherheit geht, wollen wir keine schwachen Glieder in unseren Produktions- und Betriebsketten haben.

Ort der Datenverarbeitung und -speicherung

Die Server-Infrastruktur von Doctena ist auf Amazon Web Services gehostet. Sie nutzt ausschließlich Rechenzentren in der Region Frankfurt (eu-central-1-Region), um sicherzustellen, dass die Daten niemals die EU verlassen. Amazon Web Services erfüllt alle Anforderungen der DGSVO. Weitere Informationen hierzu können Sie hier finden:

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

 

Hohe Verfügbarkeit

Alle unsere Applikationsdatenbanken sind mit einer hohen Verfügbarkeit ausgelegt, so dass alle Daten zu jeder Zeit mindestens in zwei geografisch voneinander getrennten Rechenzentren gespeichert werden. Von diesen Datenbanken wird täglich eine automatisierte Momentaufnahme zusammen mit anderen Sicherheitskopien für die Wiederherstellung im Katastrophenfall erstellt. Diese werden in einer hochgradig abgesicherten und verschlüsselten Speicherlösung in einem luxemburgischen Rechenzentrum gespeichert.

DSGVO und ISO 27001

Im Laufe von 2018 wird Doctena im Zuge der EU-DSGVO an der Erlangung der Zertifizierung nach der ISO-Norm 27001 arbeiten.

ISO/IEC 27001:2013 (ISO 27001) ist die internationale Norm, die die besten Verfahrensweisen für ein ISMS (Informationssicherheits-Managementsystem) beschreibt. Der Erhalt einer akkreditierten Zertifizierung nach ISO 27001 belegt, dass Ihr Unternehmen die besten Verfahrensweisen im Bereich Informationssicherheit befolgt, und stellt eine unabhängige sachkundige Überprüfung dar, dass das Management der Informationssicherheit im Einklang mit besten internationalen Verfahrensweisen und Unternehmenszielsetzungen erfolgt. Die ISO 27001 wird durch den Leitfaden für Informationssicherheitsmaßnahmen ISO/IEC 27002:2013 unterstützt.

Erfolgsbilanz

Seit der Unternehmensgründung ist es bei Doctena noch niemals zu irgendwelchen Sicherheitsverletzungen gekommen!

Weitere Informationen

Wenn Sie Fragen zur DSGVO und Ihrer Nutzung von Doctena haben, können Sie sich gerne per E-Mail an uns wenden:

support+gdpr@doctena.com

Bitte beachten Sie, dass diese Mitteilung ausschließlich zu Informationszwecken erfolgt und nicht als Rechtsberatung aufzufassen ist.

 

Links

https://dsgvo-gesetz.de/