Sicherheit
Als Akteur im Gesundheitswesen verpflichtet sich Flow Technologies,
den Datenschutz und die Informationssicherheit sehr ernst zu nehmen.
Wir haben eine Reihe von technischen und organisatorischen Maßnahmen
ergriffen, um sicherzustellen, dass wir personenbezogene Daten und
Gesundheitsdaten sicher und zuverlässig verarbeiten. Dieses Dokument
beschreibt, wie wir mit Sicherheit und Datenschutz umgehen. Sollten
Sie weitere Fragen haben, senden Sie bitte eine E-Mail an
privacy@flowzone.eu.
Auf einen Blick:
-
Flow Technologies unterliegt der DSGVO und befolgt diese, sowie
die Normen für Informationssicherheit und den Schutz
personenbezogener Daten im Gesundheits- und Pflegesektor.
-
Flow Technologies hat ein Managementsystem eingeführt, das auf dem
internationalen Standard für Informationssicherheit ISO27001
basiert.
Daraus folgt:
-
Flow Technologies hat Kontrolle darüber, welche Daten wir
speichern und wo sie gespeichert werden.
-
Flow Technologies führt Risikobewertungen aller Drittanbieter
durch und hat außerdem Datenverarbeitungsverträge mit allen
Drittanbietern abgeschlossen, um sicherzustellen, dass diese Daten
in Übereinstimmung mit Gesetzen und Vorschriften der Länder
verarbeiten, in denen wir tätig sind.
-
Flow Technologies hat eine Reihe von technischen und
organisatorischen Maßnahmen ergriffen, um die Sicherheit
personenbezogener Daten und Informationen zu gewährleisten.
-
Wir verfolgen laufend, was in der Welt geschieht, z. B.
Bewertungen zu Schrems II, dem Trans-Atlantic Data Privacy
Framework sowie aktuellen Entwicklungen und Gegebenheiten, die für
die Sicherheit personenbezogener Daten relevant sind.
Speicherung von Daten
Alle Informationen, die von Flow Technologies im Auftrag unserer
Kunden verarbeitet werden, werden auf Servern in Europa gespeichert.
Gesundheitsdaten werden logisch, physisch und getrennt nach Kunden
gespeichert. Unsere Kunden können den Speicherort für diese Daten
selber wählen. Falls nicht anders vereinbart, ist dies Frankfurt.
Wir nutzen Google Ireland Limited (Google) als Anbieter. Google
folgt allen wichtigen Sicherheitsstandards, einschließlich ISO
27001, ISO 27017 und ISO 27018, und ihre Rechenzentren sind nach ISO
22301, BS EN ISO 22301 sowie BSI C5 zertifiziert. Daten werden
niemals außerhalb der EU gespeichert, jedoch kann Google bei
technischer Wartung und in Kundenservice-Fällen Daten an anderen
Orten weltweit verarbeiten, wenn hierfür Zustimmung vorliegt.
Googles Subunternehmer unterliegen der DSGVO wie folgt: i) Bei in
der EU verarbeiteten Daten unterliegt man automatisch der DSGVO. ii)
Bei in den USA verarbeiteten Daten unterliegt man dem EU-U.S. Data
Privacy Framework (DPF), das kürzlich von der EU verabschiedet
wurde. iii) Bei Datenverarbeitung außerhalb der EU und den USA sind
die Subunternehmer durch unterzeichnete SCCs reguliert, die sie
verpflichten, Daten gemäß den Gesetzen und Vorschriften der DSGVO zu
behandeln. Wie bei allen anderen Subunternehmern haben wir auch eine
Risikobewertung von Google durchgeführt.
Verschlüsselung
Daten im Transit
Daten im
Transit Alle übertragenen Daten werden während des Transports über
HTTPS/Transport Layer Security (TLS 1.3) verschlüsselt.
Gespeicherte Daten
Gespeicherte Daten Die gespeicherten Daten werden mindestens mit
AES-256 oder einer höheren Verschlüsselungsstufe verschlüsselt. Flow
Technologies fertigt keine Kopien von personenbezogenen Daten und
Gesundheitsdaten an, es sei denn, dies ist für die Erbringung der
Dienstleistung oder für Sicherungszwecke erforderlich.
Sicherheit
Flow Technologies hat eine Reihe von technischen und
organisatorischen Sicherheitsmaßnahmen getroffen. Sicherheit steht
in der gesamten Organisation an erster Stelle und wird bei allen
Prozessen in die Bewertung einbezogen. Wir bemühen uns nicht nur
darum, dass alle Mitarbeiter des Unternehmens in Sachen Sicherheit
geschult werden, sondern auch darum, dass unsere Kunden und Nutzer
einfachen Zugang zu den Informationen haben, die sie für ihre Arbeit
benötigen. Nachfolgend finden Sie einige technische und
organisatorische Sicherheitsmaßnahmen, die wir getroffen haben.
Organisatorische Maßnahmen:
-
Monatliche Sicherheitssitzungen
Monatliche Sicherheitssitzungen Monatliche Sicherheitssitzungen
mit Schulungen für alle Mitarbeiter
-
Eingeschränkter Zugang
Eingeschränkter Zugang zu nur den Diensten, die für die
Ausführung der jeweiligen Aufgabe erforderlich sind
-
Protokoll der Verarbeitungstätigkeiten
Protokoll der Verarbeitungstätigkeiten Kontrolle darüber, welche
Daten wo gespeichert werden.
-
Risikobewertungen
Risikobewertungen Risikobewertungen für alle Drittanbieter.
-
Minimierung der Anzahl von Drittanbietern
Minimierung der Anzahl von Drittanbietern Durch die Minimierung
der Anzahl von Drittanbietern minimieren wir auch die Anzahl von
Angriffsvektoren.
-
Warnungen im Falle einer Verletzung von personenbezogenen Daten
oder der Informationssicherheit
Integrierte Verfahren für das Vorgehen bei einem vermuteten
Verstoß gegen den Datenschutz und die Informationssicherheit, bei
denen wir unverzüglich alle Personen informieren, die von dem
Vorfall betroffen sein könnten
-
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung Erfordert mindestens eine
Zwei-Faktor-Authentifizierung für den Zugang zu allen Diensten,
die personenbezogene Daten verarbeiten.
-
Passwortverwaltungssysteme
Passwortverwaltungssysteme Verwendet Passwortverwaltungssysteme
mit individuellen Passwörtern für jeden Dienst.
Technische Maßnahmen:
-
Verschlüsselung
Verschlüsselung Alle Daten werden bei der Speicherung und bei der
Übertragung verschlüsselt.
-
Aktualisierte Software
Aktualisierte Software Regelmäßige Aktualisierung der Software
zur Vermeidung möglicher Sicherheitslücken
-
Erkennung von Sicherheitsverletzungen
Erkennung von Sicherheitsverletzungen Wir überwachen unsere
Dienste mithilfe von protokollbasierten Erkennungsmechanismen, um
unbefugte Zugriffe zu erkennen. Alle Verstöße gegen den
Datenschutz und/oder die Sicherheit werden den Betroffenen
mitgeteilt.
-
Protokollierung
Protokollierung Flow Technologies protokolliert alle Zugriffe,
Änderungen und Löschungen von Informationen und wer diese
durchführt
-
Pseudonumerisierung
Pseudonumerisierung Pseudonymisierung von Daten, wo immer dies
möglich ist, so dass, selbst wenn unbefugte Zugriff auf Daten
erhalten, es nicht möglich ist, die Daten mit einer bestimmten
Identität zu verknüpfen.
-
Backup
Sicherung
kritischer Daten mindestens einmal täglich, wobei die Sicherung an
einem anderen physischen Ort als die Hauptdaten gespeichert wird.
Dadurch ist es möglich, das System bei Bedarf schnell von anderen
geografischen Standorten aus in Betrieb zu nehmen. Alle
Sicherungsdaten sind verschlüsselt.
-
Authentifizierung
Wir
authentifizieren unsere Nutzer mit anerkannten Technologien und
Methoden.
-
Sicherstellung der Datenintegrität
Sicherstellung der Datenintegrität Kunden und Nutzer haben selbst
die Möglichkeit, ihre persönlichen Daten zu aktualisieren, um die
Datenintegrität zu gewährleisten.
-
Schrittweise Einführung
Schrittweise Einführung Um eine maximale Absicherung gegen Fehler
zu gewährleisten, implementieren wir Updates und Neuerungen
schrittweise. Dies ermöglicht es uns, potenzielle Fehler
frühzeitig zu identifizieren und zu beheben.
Drittanbieter
Um Risiko zu minimieren, arbeitet Flow Technologies mit der
kleinstmöglichen Anzahl von Lieferanten zusammen und beschränkt den
Zugang zur Verarbeitung von persönlichen und gesundheitlichen Daten
auf ein Minimum. Wir nehmen eine Risikobewertung aller
Unterauftragnehmer vor und haben mit allen Anbietern
Datenverarbeitungsverträge abgeschlossen.
Name des Unternehmens |
Adresse |
Dienst |
Verarbeitung |
Rechtsgrundlage |
Google Ireland Limited |
Gordon House Barrow Street Dublin 4, Ireland |
Hosting-Dienste und Kernsysteme |
Persönliche Daten von Endnutzern gemäß der Definition im DPA
|
DPA |
Signicat AS |
Gryta 2 B, 7010 Trondheim, Norway |
Identifizierung |
Persönlicher Name, Persönliche Kontaktinformationen, Nationale
Identität Nummer
|
DPA |
The Rocket Science Group, LLC |
675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA
|
Transaktions-E-Mails |
E-Mail-Adresse des Endbenutzers, Persönlicher Name |
DPA/SCC |
ONLINECITY.IO ApS |
Buchwaldsgade 50, 5000 Odense C, Denmark |
SMS |
Rufnummer und Inhalt der SMS |
DPA |
Wenn der Datenverantwortliche Video-Meetings aktiviert hat:
|
Whereby AS |
Gate 1 107, 6700 Måløy, Norway |
Video-Sitzungen |
Name anzeigen |
DPA |
Wenn der Datenverantwortliche die Integration mit Extensor EPR
aktiviert hat:
|
Extensor |
Storgata 60, 8006 Bodø, Norway |
EPR |
Persönliche Bewertungsdaten |
DPA |