Sicherheit
Als Akteur im Gesundheitswesen ist Flow Technologies verpflichtet, die Informationssicherheit sehr ernst zu nehmen. Sicherheit ist ständige Arbeit und die Umsetzung ist alles. Wir haben eine Reihe von technischen und organisatorischen Maßnahmen getroffen, um sicherzustellen, dass wir personenbezogene Daten und Gesundheitsdaten sicher und zuverlässig verarbeiten. Diese Seite gibt Ihnen hoffentlich Gewissheit und Antworten darauf, wie wir mit Sicherheit und Datenschutz umgehen. Sollten Sie dennoch Fragen haben, senden Sie bitte eine E-Mail an privacy@flowzone.eu.
Bevor wir in die Tiefe gehen:
- Flow Technologies unterliegt dem GDPR und dem Standard für Informationssicherheit und Datenschutz im Gesundheits- und Pflegesektor (der Standard) und hält diese ein.
- Flow Technologies hat ein Managementsystem eingeführt, das auf dem internationalen Standard für Informationssicherheit ISO27001 basiert.
Daraus folgt unter anderem, dass:
- Flow Technologies hat die Kontrolle darüber, welche Daten wir speichern und wo sie gespeichert werden.
- Flow Technologies führt bei allen Drittanbietern Risikobewertungen durch und hat mit allen Drittanbietern Datenverarbeitungsverträge abgeschlossen, um sicherzustellen, dass auch sie Daten in Übereinstimmung mit den Gesetzen und Vorschriften der Länder verarbeiten, in denen wir tätig sind.
- Flow Technologies hat eine Reihe von technischen und organisatorischen Maßnahmen ergriffen, um den Datenschutz und die Informationssicherheit zu gewährleisten.
- Wir beobachten ständig, was in der Welt vor sich geht, z. B. die Schrems-II-Bewertung, den Transatlantischen Datenschutzrahmen und andere größere oder kleinere Bedrohungen, die den Datenschutz in Frage stellen könnten.
Speicherung von Daten
Alle von Flow Technologies im Auftrag unserer Kunden verarbeiteten Daten werden auf Servern in Europa gespeichert. Die Gesundheitsdaten werden logisch und physisch getrennt pro Kunde gespeichert, und unsere Kunden können den Speicherort dieser Daten wählen. Wenn nicht anders vereinbart, ist dies Frankfurt. Wir verwenden Google Ireland Limited (Google) als unseren Provider. Google erfüllt alle wichtigen Sicherheitsstandards, einschließlich ISO 27001, ISO 27017 und ISO 27018. Wie bei allen anderen Unterauftragnehmern haben wir auch bei Google eine Risikobewertung durchgeführt.
Verschlüsselung
Daten im Transit
Alle übertragenen Daten werden im Transit über HTTPS/Transport Layer Security (TLS) verschlüsselt.
Gespeicherte Daten
Gespeicherte Daten werden mit mindestens AES-256 oder einer höheren Verschlüsselungsstufe verschlüsselt. Flow Technologies fertigt keine Kopien von personenbezogenen Daten und Gesundheitsinformationen an, es sei denn, dies ist für die Erbringung der Dienstleistung oder zu Sicherungszwecken erforderlich.
Sicherheitsmaßnahmen
Flow Technologies hat eine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen eingeführt. Das Prinzip "Sicherheit zuerst" ist in der gesamten Organisation verankert und wird bei allen Prozessen berücksichtigt. Wir bemühen uns nicht nur, unsere Mitarbeiter in Sachen Datenschutz und Sicherheit zu schulen, sondern wir versuchen auch, unseren Kunden und Nutzern den Zugang zu den Informationen zu erleichtern, die sie für ihre Arbeit benötigen, mehr aber auch nicht. Im Folgenden werden einige der technischen und organisatorischen Sicherheitsmaßnahmen beschrieben, die wir getroffen haben. Die Liste ist nicht erschöpfend.
Organisatorische Maßnahmen:
- Monatliche Sicherheitssitzungen
Monatliche Sicherheitssitzungen mit Schulungen für alle Mitarbeiter - Eingeschränkter Zugang
Eingeschränkter Zugang nur zu den Diensten, die für die Ausführung der zu erledigenden Aufgabe erforderlich sind. - Protokoll der Verarbeitungstätigkeiten
Jederzeit Kontrolle darüber, welche Daten wo gespeichert werden. - Risikobewertungen
Risikobewertungen für alle Drittanbieter. - Minimierung der Anzahl von Drittanbietern
Durch die Minimierung der Anzahl von Drittanbietern minimieren wir auch die Anzahl von Angriffsvektoren. - Benachrichtigung überDatenschutz- und Informationssicherheitsverletzungen
Festgelegte Verfahren für das Vorgehen bei vermuteten Datenschutz- und Informationssicherheitsverletzungen, einschließlich der sofortigen Benachrichtigung aller Personen, die von dem Vorfall betroffen sein könnten - Passwortverwaltungssysteme
Verwendet Passwortverwaltungssysteme mit individuellen Passwörtern für jeden Dienst.
Technische Maßnahmen:
- Verschlüsselung
Alle Daten werden bei der Speicherung und bei der Übertragung verschlüsselt. - Aktualisierte Software
Regelmäßige Aktualisierung der Software zur Vermeidung möglicher Sicherheitslücken - Benachrichtigung bei Sicherheitsverletzungen
Wir überwachen unsere Dienste auf unbefugte Versuche, auf Daten zuzugreifen, mit protokollbasierten Erkennungsmechanismen. Jede Verletzung der Privatsphäre und/oder der Sicherheit wird den Betroffenen mitgeteilt. - Protokollierung
Flow Technologies protokolliert alle Zugriffe, Änderungen und Löschungen von Informationen und wer diese durchführt - Pseudonumerisierung
Pseudonymisieren Sie Daten, wo immer es möglich ist, so dass es, selbst wenn die Daten erhalten werden, nicht möglich sein sollte, die Daten mit einer bestimmten Identität zu verknüpfen. - Backup
Mindestens einmal täglich werden kritische Daten gesichert, wobei die Sicherung an einem anderen physischen Ort als die Hauptdaten gespeichert wird. Dadurch ist es möglich, das System bei Bedarf schnell von anderen geografischen Standorten aus in Betrieb zu nehmen. Alle Sicherungsdaten werden verschlüsselt. - Authentifizierung
Wir authentifizieren unsere Nutzer mit anerkannten Technologien und Methoden. - Sicherstellung der Datenintegrität
Kunden und Nutzer haben selbst die Möglichkeit, ihre persönlichen Daten zu aktualisieren, um die Datenintegrität zu gewährleisten. - Schrittweise Einführung
Es ist schwierig, sich zu 100 % gegen alle Fehler abzusichern. Menschliche Fehler können passieren. Deshalb führen wir das System schrittweise ein, damit wir eventuelle Fehler frühzeitig erkennen können.
Lieferanten von Drittanbietern
Um das Risiko zu minimieren, arbeitet Flow Technologies mit der kleinstmöglichen Anzahl von Lieferanten zusammen und beschränkt den Zugang zur Verarbeitung von persönlichen und gesundheitlichen Daten auf ein Minimum. Wir nehmen eine Risikobewertung aller Unterauftragnehmer vor und haben mit allen von ihnen Datenverarbeitungsverträge abgeschlossen.
| Name des Unternehmens |
Adresse |
Dienst |
Verarbeitung |
Rechtsgrundlage |
| Google Irland Limited |
Gordon House Barrow Street Dublin 4, Irland |
Hosting-Dienste und Kernsysteme |
Persönliche Daten von Endnutzern gemäß der Definition im DPA
|
DPA |
| Kopflose Operationen |
Grensen 17, 0159 Oslo, Norwegen |
Hosting-Dienste und Kernsysteme |
Persönliche Daten von Endnutzern gemäß der Definition im DPA
|
DPA |
| Signicat AS |
Gryta 2 B, 7010 Trondheim, Norwegen |
Identifizierung |
Persönlicher Name, Persönliche Kontaktinformationen, Nationale Identität
Nummer
|
DPA |
| Die Raketenwissenschaftliche Gruppe, LLC |
675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA |
Transaktions-E-Mails |
E-Mail-Adresse des Endbenutzers, Persönlicher Name |
DPA/SCC |
| ONLINECITY.IO ApS |
Buchwaldsgade 50, 5000 Odense C, Dänemark |
SMS |
Rufnummer und Inhalt der SMS |
DPA |
| Mixpanel Inc. |
405 Howard Street San Francisco, CA 94105 Vereinigte Staaten |
Analytik |
Pseudonymisierte Nutzungsdaten |
DPA/SCC |
| Segment.io Inc. |
100 California Street Suite 700 San Francisco, CA 94111 Vereinigte Staaten
Vereinigte Staaten
|
Analytik |
Pseudonymisierte Nutzungsdaten |
DPA/SCC |
|
Wenn der für die Datenverarbeitung Verantwortliche Videokonferenzen aktiviert hat:
|
| Wobei AS |
Tor 1 107, 6700 Måløy, Norwegen |
Video-Sitzungen |
Name anzeigen |
DPA |
|
Wenn der für die Datenverarbeitung Verantwortliche die Integration mit Extensor EPR aktiviert hat:
|
| Extensor |
Storgata 60, 8006 Bodø, Norwegen |
EPR |
Persönliche Bewertungsdaten |
DPA |
