Als Akteur im Gesundheitswesen ist Flow Technologies verpflichtet, die Informationssicherheit sehr ernst zu nehmen. Sicherheit ist ständige Arbeit und die Umsetzung ist alles. Wir haben eine Reihe von technischen und organisatorischen Maßnahmen getroffen, um sicherzustellen, dass wir personenbezogene Daten und Gesundheitsdaten sicher und zuverlässig verarbeiten. Diese Seite gibt Ihnen hoffentlich Gewissheit und Antworten darauf, wie wir mit Sicherheit und Datenschutz umgehen. Sollten Sie dennoch Fragen haben, senden Sie bitte eine E-Mail an privacy@flowzone.eu.

Bevor wir in die Tiefe gehen: 

  • Flow Technologies unterliegt dem GDPR und dem Standard für Informationssicherheit und Datenschutz im Gesundheits- und Pflegesektor (der Standard) und hält diese ein.
  • Flow Technologies hat ein Managementsystem eingeführt, das auf dem internationalen Standard für Informationssicherheit ISO27001 basiert.

Daraus folgt unter anderem, dass:

  • Flow Technologies hat die Kontrolle darüber, welche Daten wir speichern und wo sie gespeichert werden.
  • Flow Technologies führt bei allen Drittanbietern Risikobewertungen durch und hat mit allen Drittanbietern Datenverarbeitungsverträge abgeschlossen, um sicherzustellen, dass auch sie Daten in Übereinstimmung mit den Gesetzen und Vorschriften der Länder verarbeiten, in denen wir tätig sind.
  • Flow Technologies hat eine Reihe von technischen und organisatorischen Maßnahmen ergriffen, um den Datenschutz und die Informationssicherheit zu gewährleisten. 
  • Wir beobachten ständig, was in der Welt vor sich geht, z. B. die Schrems-II-Bewertung, den Transatlantischen Datenschutzrahmen und andere größere oder kleinere Bedrohungen, die den Datenschutz in Frage stellen könnten. 

Speicherung von Daten

Alle von Flow Technologies im Auftrag unserer Kunden verarbeiteten Daten werden auf Servern in Europa gespeichert. Die Gesundheitsdaten werden logisch und physisch getrennt pro Kunde gespeichert, und unsere Kunden können den Speicherort dieser Daten wählen. Wenn nicht anders vereinbart, ist dies Frankfurt. Wir verwenden Google Ireland Limited (Google) als unseren Provider. Google erfüllt alle wichtigen Sicherheitsstandards, einschließlich ISO 27001, ISO 27017 und ISO 27018. Wie bei allen anderen Unterauftragnehmern haben wir auch bei Google eine Risikobewertung durchgeführt.

Verschlüsselung

Daten im Transit
Alle übertragenen Daten werden im Transit über HTTPS/Transport Layer Security (TLS) verschlüsselt.

Gespeicherte Daten
Gespeicherte Daten werden mit mindestens AES-256 oder einer höheren Verschlüsselungsstufe verschlüsselt. Flow Technologies fertigt keine Kopien von personenbezogenen Daten und Gesundheitsinformationen an, es sei denn, dies ist für die Erbringung der Dienstleistung oder zu Sicherungszwecken erforderlich.

Sicherheitsmaßnahmen

Flow Technologies hat eine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen eingeführt. Das Prinzip "Sicherheit zuerst" ist in der gesamten Organisation verankert und wird bei allen Prozessen berücksichtigt. Wir bemühen uns nicht nur, unsere Mitarbeiter in Sachen Datenschutz und Sicherheit zu schulen, sondern wir versuchen auch, unseren Kunden und Nutzern den Zugang zu den Informationen zu erleichtern, die sie für ihre Arbeit benötigen, mehr aber auch nicht. Im Folgenden werden einige der technischen und organisatorischen Sicherheitsmaßnahmen beschrieben, die wir getroffen haben. Die Liste ist nicht erschöpfend.

Organisatorische Maßnahmen:

  • Monatliche Sicherheitssitzungen
    Monatliche Sicherheitssitzungen mit Schulungen für alle Mitarbeiter
  • Eingeschränkter Zugang
    Eingeschränkter Zugang nur zu den Diensten, die für die Ausführung der zu erledigenden Aufgabe erforderlich sind.
     
  • Protokoll der Verarbeitungstätigkeiten
    Jederzeit Kontrolle darüber, welche Daten wo gespeichert werden.
  • Risikobewertungen
    Risikobewertungen für alle Drittanbieter. 
  • Minimierung der Anzahl von Drittanbietern
    Durch die Minimierung der Anzahl von Drittanbietern minimieren wir auch die Anzahl von Angriffsvektoren. 
  • Benachrichtigung überDatenschutz- und Informationssicherheitsverletzungen
    Festgelegte Verfahren für das Vorgehen bei vermuteten Datenschutz- und Informationssicherheitsverletzungen, einschließlich der sofortigen Benachrichtigung aller Personen, die von dem Vorfall betroffen sein könnten
  • Passwortverwaltungssysteme
    Verwendet Passwortverwaltungssysteme mit individuellen Passwörtern für jeden Dienst. 

Technische Maßnahmen:

  • Verschlüsselung
    Alle Daten werden bei der Speicherung und bei der Übertragung verschlüsselt. 
  • Aktualisierte Software
    Regelmäßige Aktualisierung der Software zur Vermeidung möglicher Sicherheitslücken
  • Benachrichtigung bei Sicherheitsverletzungen
    Wir überwachen unsere Dienste auf unbefugte Versuche, auf Daten zuzugreifen, mit protokollbasierten Erkennungsmechanismen. Jede Verletzung der Privatsphäre und/oder der Sicherheit wird den Betroffenen mitgeteilt. 
  • Protokollierung
    Flow Technologies protokolliert alle Zugriffe, Änderungen und Löschungen von Informationen und wer diese durchführt
  • Pseudonumerisierung
    Pseudonymisieren Sie Daten, wo immer es möglich ist, so dass es, selbst wenn die Daten erhalten werden, nicht möglich sein sollte, die Daten mit einer bestimmten Identität zu verknüpfen. 
  • Backup
    Mindestens einmal täglich werden kritische Daten gesichert, wobei die Sicherung an einem anderen physischen Ort als die Hauptdaten gespeichert wird. Dadurch ist es möglich, das System bei Bedarf schnell von anderen geografischen Standorten aus in Betrieb zu nehmen. Alle Sicherungsdaten werden verschlüsselt. 
  • Authentifizierung
    Wir authentifizieren unsere Nutzer mit anerkannten Technologien und Methoden.
  • Sicherstellung der Datenintegrität
    Kunden und Nutzer haben selbst die Möglichkeit, ihre persönlichen Daten zu aktualisieren, um die Datenintegrität zu gewährleisten.
  • Schrittweise Einführung
    Es ist schwierig, sich zu 100 % gegen alle Fehler abzusichern. Menschliche Fehler können passieren. Deshalb führen wir das System schrittweise ein, damit wir eventuelle Fehler frühzeitig erkennen können.

Lieferanten von Drittanbietern

Um das Risiko zu minimieren, arbeitet Flow Technologies mit der kleinstmöglichen Anzahl von Lieferanten zusammen und beschränkt den Zugang zur Verarbeitung von persönlichen und gesundheitlichen Daten auf ein Minimum. Wir nehmen eine Risikobewertung aller Unterauftragnehmer vor und haben mit allen von ihnen Datenverarbeitungsverträge abgeschlossen. 

Name des Unternehmens Adresse Dienst Verarbeitung Rechtsgrundlage
Google Irland Limited Gordon House Barrow Street Dublin 4, Irland Hosting-Dienste und Kernsysteme Persönliche Daten von Endnutzern gemäß der Definition im DPA DPA
Kopflose Operationen Grensen 17, 0159 Oslo, Norwegen Hosting-Dienste und Kernsysteme Persönliche Daten von Endnutzern gemäß der Definition im DPA DPA
Signicat AS Gryta 2 B, 7010 Trondheim, Norwegen Identifizierung Persönlicher Name, Persönliche Kontaktinformationen, Nationale Identität Nummer DPA
Die Raketenwissenschaftliche Gruppe, LLC 675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA Transaktions-E-Mails E-Mail-Adresse des Endbenutzers, Persönlicher Name DPA/SCC
ONLINECITY.IO ApS Buchwaldsgade 50, 5000 Odense C, Dänemark SMS Rufnummer und Inhalt der SMS DPA
Mixpanel Inc. 405 Howard Street San Francisco, CA 94105 Vereinigte Staaten Analytik Pseudonymisierte Nutzungsdaten DPA/SCC
Segment.io Inc. 100 California Street Suite 700 San Francisco, CA 94111 Vereinigte Staaten Vereinigte Staaten Analytik Pseudonymisierte Nutzungsdaten DPA/SCC
Wenn der für die Datenverarbeitung Verantwortliche Videokonferenzen aktiviert hat:
Wobei AS Tor 1 107, 6700 Måløy, Norwegen Video-Sitzungen Name anzeigen DPA
Wenn der für die Datenverarbeitung Verantwortliche die Integration mit Extensor EPR aktiviert hat:
Extensor Storgata 60, 8006 Bodø, Norwegen EPR Persönliche Bewertungsdaten DPA