Sicherheit

Als Akteur im Gesundheitswesen verpflichtet sich Flow Technologies, den Datenschutz und die Informationssicherheit sehr ernst zu nehmen. Wir haben eine Reihe von technischen und organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass wir personenbezogene Daten und Gesundheitsdaten sicher und zuverlässig verarbeiten. Dieses Dokument beschreibt, wie wir mit Sicherheit und Datenschutz umgehen. Sollten Sie weitere Fragen haben, senden Sie bitte eine E-Mail an privacy@flowzone.eu.

Auf einen Blick: 

• Flow Technologies unterliegt der DSGVO und befolgt diese, sowie die Normen für Informationssicherheit und den Schutz personenbezogener Daten im Gesundheits- und Pflegesektor.
• Flow Technologies hat ein Managementsystem eingeführt, das auf dem internationalen Standard für Informationssicherheit ISO27001 basiert.

Daraus folgt:

• Flow Technologies hat Kontrolle darüber, welche Daten wir speichern und wo sie gespeichert werden.
• Flow Technologies führt Risikobewertungen aller Drittanbieter durch und hat außerdem Datenverarbeitungsverträge mit allen Drittanbietern abgeschlossen, um sicherzustellen, dass diese Daten in Übereinstimmung mit Gesetzen und Vorschriften der Länder verarbeiten, in denen wir tätig sind.
• Flow Technologies hat eine Reihe von technischen und organisatorischen Maßnahmen ergriffen, um die Sicherheit personenbezogener Daten und Informationen zu gewährleisten. 
• Wir verfolgen laufend, was in der Welt geschieht, z. B. Bewertungen zu Schrems II, dem Trans-Atlantic Data Privacy Framework sowie aktuellen Entwicklungen und Gegebenheiten, die für die Sicherheit personenbezogener Daten relevant sind.  

Speicherung von Daten

Alle Informationen, die von Flow Technologies im Auftrag unserer Kunden verarbeitet werden, werden auf Servern in Europa gespeichert. Gesundheitsdaten werden logisch, physisch und getrennt nach Kunden gespeichert. Unsere Kunden können den Speicherort für diese Daten selber wählen. Falls nicht anders vereinbart, ist dies Frankfurt. Wir nutzen Google Ireland Limited (Google) als Anbieter. Google folgt allen wichtigen Sicherheitsstandards, einschließlich ISO 27001, ISO 27017 und ISO 27018, und ihre Rechenzentren sind nach ISO 2230 und BS EN ISO 22301 zertifiziert. Daten werden niemals außerhalb der EU gespeichert, jedoch kann Google bei technischer Wartung und in Kundenservice-Fällen Daten an anderen Orten weltweit verarbeiten, wenn hierfür Zustimmung vorliegt. Googles Subunternehmer unterliegen der DSGVO wie folgt: i) Bei in der EU verarbeiteten Daten unterliegt man automatisch der DSGVO. ii) Bei in den USA verarbeiteten Daten unterliegt man dem EU-U.S. Data Privacy Framework (DPF), das kürzlich von der EU verabschiedet wurde. iii) Bei Datenverarbeitung außerhalb der EU und den USA sind die Subunternehmer durch unterzeichnete SCCs reguliert, die sie verpflichten, Daten gemäß den Gesetzen und Vorschriften der DSGVO zu behandeln. Wie bei allen anderen Subunternehmern haben wir auch eine Risikobewertung von Google durchgeführt.

Verschlüsselung

Daten im Transit
Alle übertragenen Daten werden während des Transports über HTTPS/Transport Layer Security (TLS 1.3) verschlüsselt.

Gespeicherte Daten
Die gespeicherten Daten werden mindestens mit AES-256 oder einer höheren Verschlüsselungsstufe verschlüsselt. Flow Technologies fertigt keine Kopien von personenbezogenen Daten und Gesundheitsdaten an, es sei denn, dies ist für die Erbringung der Dienstleistung oder für Sicherungszwecke erforderlich.

Sicherheit

Flow Technologies hat eine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen getroffen. Sicherheit steht in der gesamten Organisation an erster Stelle und wird bei allen Prozessen in die Bewertung einbezogen. Wir bemühen uns nicht nur darum, dass alle Mitarbeiter des Unternehmens in Sachen Sicherheit geschult werden, sondern auch darum, dass unsere Kunden und Nutzer einfachen Zugang zu den Informationen haben, die sie für ihre Arbeit benötigen. Nachfolgend finden Sie einige technische und organisatorische Sicherheitsmaßnahmen, die wir getroffen haben.

Organisatorische Maßnahmen:

• Monatliche Sicherheitssitzungen
  Monatliche Sicherheitssitzungen mit Schulungen für alle Mitarbeiter
• Eingeschränkter Zugang
  Eingeschränkter Zugang zu nur den Diensten, die für die Ausführung der jeweiligen Aufgabe erforderlich sind 
• Protokoll der Verarbeitungstätigkeiten
  Kontrolle darüber, welche Daten wo gespeichert werden.
• Risikobewertungen
  Risikobewertungen für alle Drittanbieter. 
• Minimierung der Anzahl von Drittanbietern
  Durch die Minimierung der Anzahl von Drittanbietern minimieren wir auch die Anzahl von Angriffsvektoren. 
• Warnungen im Falle einer Verletzung von personenbezogenen Daten oder der Informationssicherheit 
  Integrierte Verfahren für das Vorgehen bei einem vermuteten Verstoß gegen den Datenschutz und die Informationssicherheit, bei denen wir unverzüglich alle Personen informieren, die von dem Vorfall betroffen sein könnten
• Multi-Faktor-Authentifizierung
  Erfordert mindestens eine Zwei-Faktor-Authentifizierung für den Zugang zu allen Diensten, die personenbezogene Daten verarbeiten.
• Passwortverwaltungssysteme
  Verwendet Passwortverwaltungssysteme mit individuellen Passwörtern für jeden Dienst. 

Technische Maßnahmen:

• Verschlüsselung
  Alle Daten werden bei der Speicherung und bei der Übertragung verschlüsselt. 
• Aktualisierte Software
  Regelmäßige Aktualisierung der Software zur Vermeidung möglicher Sicherheitslücken
• Erkennung von Sicherheitsverletzungen
  Wir überwachen unsere Dienste mithilfe von protokollbasierten Erkennungsmechanismen, um unbefugte Zugriffe zu erkennen. Alle Verstöße gegen den Datenschutz und/oder die Sicherheit werden den Betroffenen mitgeteilt. 
• Protokollierung
  Flow Technologies protokolliert alle Zugriffe, Änderungen und Löschungen von Informationen und wer diese durchführt
• Pseudonumerisierung
  Pseudonymisierung von Daten, wo immer dies möglich ist, so dass, selbst wenn wir die Daten erhalten, es nicht möglich sein sollte, die Daten mit einer bestimmten Identität zu verknüpfen. 
• Backup
  Sicherung kritischer Daten mindestens einmal täglich, wobei die Sicherung an einem anderen physischen Ort als die Hauptdaten gespeichert wird. Dadurch ist es möglich, das System bei Bedarf schnell von anderen geografischen Standorten aus in Betrieb zu nehmen. Alle Sicherungsdaten sind verschlüsselt. 
• Authentifizierung
  Wir authentifizieren unsere Nutzer mit anerkannten Technologien und Methoden.
• Sicherstellung der Datenintegrität
  Kunden und Nutzer haben selbst die Möglichkeit, ihre persönlichen Daten zu aktualisieren, um die Datenintegrität zu gewährleisten.
• Schrittweise Einführung
  Um eine maximale Absicherung gegen Fehler zu gewährleisten, implementieren wir Updates und Neuerungen in einem schrittweisen Prozess. Dies ermöglicht es uns, potenzielle Fehler frühzeitig zu identifizieren und zu beheben.
  

Lieferanten von Drittanbietern

Um das Risiko zu minimieren, arbeitet Flow Technologies mit der kleinstmöglichen Anzahl von Lieferanten zusammen und beschränkt den Zugang zur Verarbeitung von persönlichen und gesundheitlichen Daten auf ein Minimum. Wir nehmen eine Risikobewertung aller Unterauftragnehmer vor und haben mit allen von ihnen Datenverarbeitungsverträge abgeschlossen.