Technische und organisatorische Maßnahmen

als Anlage zur Vereinbarung zur Auftragsverarbeitung:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle
    - Sicherheitstür am Eingang.
    - Elektronisches Türschloss zur Büro-Eingangstüre, zu der jeder Mitarbeiter einen anderen Zugangscode hat. Die Zutritte werden protokolliert.
    - Serverraum mit Codeschloss versehen, Code nur zuständigen Mitarbeitern bekannt.
    - Einbruchmeldeanlage mit Alarm an Sicherheitsdienst.
  • Zugangskontrolle
    - Einrichtung eines Benutzerstammsatzes pro User.
    - Jeder User hat sein eigenes Kennwort.
    - Automatische Sperrung (z.B. Kennwort oder Pausenschaltung).
    - Verschlüsselung von Datenträgern (insbesondere von Backups).
    - Backup-Datenträger werden in einem feuerfesten Tresor aufbewahrt.

  • Zugriffskontrolle
    - Mehrere Benutzergruppen mit differenzierten Berechtigungen

  • Trennungskontrolle
    - Logische Trennung der einzelnen Services
    - Funktionstrennung (Echtbetrieb / Test)

  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
    - Besonders schützenswerte Daten werden durch Verschlüsselung und Pseudonymisierung geschützt

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle
    - Jede Datenübertragung über öffentliche Netze erfolgt verschlüsselt (beim Datenversand an Krankenkassen insbesondere gemäß der Richtlinien des GKV-Spitzenverbandes)

  • Eingabekontrolle
    - Protokollierung aller DV-Aktivitäten auf Vorgangsebene

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle
    - Hochverfügbarkeit: alle Daten liegen lückenlos redundant an verschiedenen Orten (real-time Backup).
    - Datenannahme rund um die Uhr (365d/24h) durch mehrere redundante Annahme-Server an unabhängigen Internet-Backbones mit automatischem Fall-Back.
    - Mehrere Backup-Verfahren, Spiegeln von Festplatten, (RAID-Verfahren), alle relevanten Datenbanken liegen real-time gespiegelt an verschiedenen Orten.
    - Unterbrechungsfreie Stromversorgung (USV) und zusätzliche 72-Stunden-Batteriepufferung der Server-Festplatten.
    - Feuermelder mit Telefon-Alarmierung.
    - Professionelle domain-weite Virenschutz-Lösung / redundante mehrstufige Firewall.
    - Notfallpläne für zentrale Infrastruktur.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutz-Management
    - Regelmäßige Überprüfung und geg. Überarbeitung der Maßnahmen zum Datenschutz
    - Im Rahmen unserer regelmäßigen Auditierung werden die getroffenen Maßnahmen zum Datenschutz zusätzlich durch eine unabhängige Instanz geprüft.

  • Incident-Response-Management
    - Risikomanagement mit jährlicher Aktualisierung und Protokollierung von Ereignissen

  • Auftragskontrolle
    - Eindeutige Vertragsgestaltung (Datenschutz-Standards und einzelne, typisierte Aufträge)
    - Kontrollerechte der Hebamme bzgl. der Vertragsausführung
    - Übertragung dieser Maßnahmen auf eventuelle Unterauftragnehmer