Informationen zur Auftragsdatenverarbeitung

Subunternehmerliste

Auflistung der beauftragten Dienstleistungen

Verarbeitung der personenbezogenen Daten

Elefant (Praxissoftware)

Gegenstand der Dienstleistung

  • Telefonischer Support und Support per Fernwartungstool im Rahmen der Praxissoftware Elefant

Art und Zweck der Verarbeitung

  • Verarbeitung Entwicklung und Wartung des IT-Systems
  • Beantwortung von Nutzerfragen im 1st und 2nd Level Support
  • Unterstützung bei
    • der Installation der Anwendungssoftware Elefant
    • Problemen mit Schnittstellensoftware
    • Problemen in der Nutzung des Produktes
  • Reparatur und Wartung der Datenbank auf dem IT-System des Auftraggebenden

Art der personenbezogenen Daten

  • Patientenliste und Inhalte der Patientenakten
  • Terminplan der Praxis
  • Abrechnungsdaten und Statistiken der Praxis

Kategorien betroffener Personen

  • Therapeut bzw. Arzt
  • Patienten
  • Bezugspersonen des Patienten

PraxisProtect (Firewall)

Gegenstand der Dienstleistung

  • Wartung und Betrieb der Hardware für die Telematikinfrastruktur-Anbindung von Praxen

Art und Zweck der Verarbeitung

  • Übermittlung der Daten zu Abrechnungszwecken

Art der personenbezogenen Daten

  • Name, Vorname und Versicherten Nr. von Patienten

Kategorien betroffener Personen

  • Therapeut bzw. Arzt
  • Patienten
  • Bezugspersonen des Patienten

Praxis PC (Managed Workplace)

Gegenstand der Dienstleistung

  • Telefonischer Support und Support per Fernwartungstool im Rahmen des Managed Workplace Services (Elefant)

Art und Zweck der Verarbeitung

  • Probleme mit der automatischen Datensicherung
  • Wartung des IT-Systems und Praxisnetzwerks
  • Wartung Endpoint Protection (Antivirenschutz)

Art der personenbezogenen Daten

  • Patientenlisten und Inhalte der Patientenakten
  • Terminplan der Praxis
  • Abrechnungsdaten und Statistiken der Praxis
  • Adminpasswort (Superadmin Account)

Kategorien betroffener Personen

  • Therapeut bzw. Arzt
  • Patienten
  • Bezugspersonen des Patienten

Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte

Die aufgeführten IT-Dienstleister werden nur einzeln beauftragt

ck sales Vertriebsgesellschaft mbH

Sitz der Gesellschaft:

Dorfstraße 69a, 39217 Schönebeck / OT Ranies

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Computer Horizonte

Anja Kopp

Sitz der Gesellschaft:

Bevenser Str. 3,28329 Bremen

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Computer-Service Göttingen

Sitz der Gesellschaft:

Breite Straße 4, 37127 Dransfeld OT Bördel

Verarbeitungsstandort:

lokal im Firmensitz & bei Drittanbietern (Cloud, AVV liegt vor)

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

daten-strom.Medical-IT-Services e. K.

Sitz der Gesellschaft:

Georg-Schaeffler-Str. 4, 42499 Hückeswagen

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

EDV-Support & Handel

Sitz der Gesellschaft:

Kageneckstr. 1, 79252 Stegen

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Emden EDV

Sitz der Gesellschaft:

Leonhardyweg 86, 12101 Berlin

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Erhardt IT Solutions GmbH

Sitz der Gesellschaft:

Bottwartalstr. 4,71642 Ludwigsburg

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

HASOMED Tech GmbH

Sitz der Gesellschaft:

Paul-Ecke-Str. 3, 39114 Magdeburg

Verarbeitungsstandort:

Deutschland (Amazon Web Services, Frankfurt, AVV liegt vor)

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

IKST

Sitz der Gesellschaft:

Hösle-Keller-Weg 14, 88239 Wangen

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Intermac Systems

Sitz der Gesellschaft:

Sendnicher Str. 58a, 56072 Koblenz

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

ITCOS GmbH

Sitz der Gesellschaft:

Paul-Ecke-Str. 3, 39114 Magdeburg

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

IT- und EDV-Dienstleistungen

Jörn Hoffmann

Sitz der Gesellschaft:

Rüschkamp 1, 24161 Altenholz

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

LOOMA GmbH

Sitz der Gesellschaft:

Kleiner Werder 10b, 39114 Magdeburg

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

MM – Beratung und Training

Marion Munde

Sitz der Gesellschaft:

Imstedt 10, 22083 Hamburg

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

MW – Computer

Sitz der Gesellschaft:

Weidenhäuser Str. 6, 35037 Marburg

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

PC-Officium

Sitz der Gesellschaft:

Burgherrenstr. 7, 12101 Berlin

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

PC Service

Sitz der Gesellschaft:

Orber Str. 2, 14193 Berlin

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

PC-Support Berlin

Sitz der Gesellschaft:

Beymestr. 13A, 12167 Berlin

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Pia Kehl

Sitz der Gesellschaft:

Mellinweg 5, 66280 Sulzbach/Saar

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojekteberatung GmbH

Sitz der Gesellschaft:

Concorde Business Park F, 2320 Schwechat (Österreich)

Verarbeitungsstandort:

Österreich

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

SAMHAMMER AG

Sitz der Gesellschaft:

Zur Kesselschmiede 3, 92637 Weiden

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Softbyte ITK & Healthcare

Sitz der Gesellschaft:

Haardstr. 17, 67161 Gönnheim

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Tecont GmbH Leipzig

Sitz der Gesellschaft:

Apelsteinallee 12-14, 04416 Wachau

Verarbeitungsstandort:

Deutschland

Praxissoftware Elefant:

Nicht Aktiv

Aktiv

Protektor:

Nicht Aktiv

Aktiv

Zum Einsatz eines Cloud-Dienstleisters im Gesundheitswesen

Die Auftragsdatenverarbeitung findet unter den besonderen gesetzlichen Anforderungen für das Gesundheitswesen statt:

  • Zertifizierung nach ISO/IEC 27001 für “Entwicklung und Bereitstellung von webbasierten Softwarelösungen im Bereich des Gesundheitswesens und digitaler Gesundheitsanwendungen (DiGA)”
  • Berücksichtigung von § 393 SGB V – Cloud-Einsatz im Gesundheitswesen
  • Datenverarbeitende Stelle im Inland (Frankfurt)
  • C5-Testat für die datenverarbeitende Stelle liegt vor

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HASOMED GmbH

 

Zweckbindung und Trennbarkeit

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Logische Mandantentrennung (softwareseitig)
  • Berechtigungskonzept
  • Trennung von Produktiv- und Testsystem

Vertraulichkeit und Integrität

Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:

Verschlüsselung

Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:

  • Verschlüsselung mobiler Endgeräte (Smartphones, Laptops)
  • Verschlüsseltes Backup
  • verschlüsselte Datenübertragung

Zutrittskontrolle

Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Daten-verarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:

  • Alarmanlage
  • Automatisches Zugangskontrollsystem
  • Chipkarten-/Transponder-Schließsystem
  • Manuelles Schließsystem
  • Videoüberwachung der Zugänge
  • Sicherheitsschlösser
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Personenkontrolle beim Pförtner / Empfang
  • Protokollierung der Besucher
  • Sorgfältige Auswahl von Reinigungspersonal
  • Sorgfältige Auswahl von Wachpersonal
  • Zutrittskonzept / Besucherregelung

Zugangskontrolle

Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Passwortvergabe
  • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
  • Zwei-Faktor-Authentifizierung
  • Authentifikation mit Benutzername / Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • physische Sicherung z.B. Gehäuseverriegelungen
  • Einsatz von VPN-Technologie bei der Übertragung von Daten
  • Verschlüsselung mobiler IT-Systeme
  • Verschlüsselung mobiler Datenträger
  • Verschlüsselung der Datensicherungssysteme
  • Sperren externer Schnittstellen (USB etc.)
  • Einsatz von Intrusion-Detection-Systemen
  • Einsatz von Anti-Viren-Software
  • Verschlüsselung von Datenträgern in Laptops / Notebooks
  • Einsatz einer Hardware-Firewall
  • Einsatz einer Software-Firewall

Zugriffskontrolle

Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Berechtigungskonzept Verschlüsselung von Datenträgern in Laptops / Notebooks
  • Verwaltung der Rechte durch Systemadministrator
  • Anzahl der Administratoren ist auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Sichere Aufbewahrung von Datenträgern
  • physische Löschung von Datenträgern vor Wiederverwendung
  • physikalische Vernichtung von Datenträgern
  • ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Protokollierung der Vernichtung
  • Verschlüsselung von Datenträgern

Eingabeprotokoll

Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Auftragskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
  • Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis
  • Benennung eines Datenschutzbeauftragten beim Auftragsverarbeiter
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Sonstige: Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz

Transport- bzw. Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:

  • Einsatz von VPN-Tunneln
  • Verschlüsselung der E-Mail-Kommunikationswege via TLS
  • Verschlüsselung physischer Datenträger bei Transport

Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimatisierung der Serverräume
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Feuer- und Rauchmeldeanlagen in Serverräumen
  • Feuerlöschgeräte in Serverräumen
  • Data Loss Prevention (DLP)
  • Erstellen eines Backup- & Recoverykonzepts
  • Testen von Datenwiederherstellung
  • Erstellen eines Notfallplans
  • Serverräume nicht unter sanitären Anlagen
  • In Hochwassergebieten: Serverräume über der Wassergrenze
  • belastbares Datensicherungs- und Wiederherstellungskonzept vorhanden