Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

Ähnliche Dokumente
Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Leitlinie zur Informationssicherheit

Technische und organisatorische Maßnahmen

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

MUSTER 4 Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG


Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Mustervorlage technische und organisatorische Maßnahmen (TOM)

Maßnahmen des Auftragnehmers gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung)

Technische und organisatorische Maÿnahmen

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Vereinbarung zur Auftragsdatenverarbeitung

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Auftragsverarbeitervereinbarung

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Anhang I Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Grasenhiller GmbH Sachsenstraße Neumarkt

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

EU-DATENSCHUTZ-GRUNDVERORDNUNG. Vereinbarung. Auftragsverarbeitung nach Art 28 DSGVO

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Checkliste: Technische und organisatorische Maßnahmen

Auftragsdatenverarbeitung. vom

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Technische und organisatorische Maßnahmen der KONTENT GmbH

Darstellung der technischen und organisatorischen Maßnahmen

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNG

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Technische und organisatorische Maßnahmen gem. Art. 32 Abs. 1 DSGVO Verantwortliche Stelle: Krämer IT Solutions GmbH, Koßmannstr.

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNGSVERTRAG NACH ART 28 DSGVO

Anlage. Praxis Datenschutz - Technische und organisatorische Maßnahmen. Hinweise zur Benutzung des Musters

Vereinbarung. zwischen. nachstehend Auftraggeber genannt. und. cometis AG nachstehend Auftragnehmer genannt

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Auftragsdatenverarbeitung

VEREINBARUNG. über eine. Auftragsverarbeitung nach Art 28 DSGVO

IV. Der technisch-organisatorische Datenschutz

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

Datensicherheit. Vorlesung 6: Wintersemester 2018/2019 h_da. Heiko Weber, Lehrbeauftragter

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

DATEN SCHUTZ MASS NAHMEN

Wichtige Hinweise zur Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz- und Datensicherheitskonzept

V e r e i n barung über eine Auftragsverarbeitung nach Art 28 DSGVO

Checkliste: Kontrollpflichten im Datenschutz Stand: Bearbeiter: Tim Brettschneider

Anhang I Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Auftragsverarbeitung nach Art 28 DSGVO

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Anlage 3 Technische und organisatorische Maßnahmen des Auftragnehmers

Erklärung zur Datensicherheit

Transkript:

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs) Auftragnehmer Universitätsklinikum Heidelberg Abteilung Allgemeinmedizin und Versorgungsforschung Im Neuenheimer Feld 130.3 69120 Heidelberg Ansprechpartner: Prof. Dr. Joachim Szecsenyi (Zum Zeitpunkt der Unterzeichnung) Durch den Auftragnehmer realisierte technisch-organisatorische Maßnahmen Der Auftragnehmer hat die von ihm getroffenen technischen und organisatorischen Maßnahmen darzustellen, mit deren Hilfe er die gemäß Art. 32 DSGVO definierten Schutzziele im Rahmen seiner Leistungserbringung die gemäß 8a BSIG für kritische Infrastrukturen geforderte Einhaltung von IT-Sicherheit nach dem Stand der Technik erfüllen und deren Angemessenheit belegen und überprüfen kann. Hierbei dienen die Angaben in diesem Nachweis als Grundlage für Risikoanalysen der jeweiligen konkreten Verarbeitungstätigkeit. Diese erfolgen zur Sicherstellung der Schutzziele Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Ergänzend ist in angemessenem Umfang unter Berücksichtigung der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere von Risiken ein Sicherheitskonzept zu allen Aspekten der konkreten Verarbeitungstätigkeit vorzulegen. 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO; 8a (1) BSI-Gesetz) 1.1 Zutrittskontrolle Unbefugten Personen ist der (räumliche) Zutritt zu IT-Systemen, Netzwerkkomponenten, Speichereinrichtungen und sowie der Zugriff auf sonstige Datenträger (z. B. PCs, USB- Sticks, CDs, Aktenordner) zu verwehren. Festlegung der zugangsberechtigten Personen (z. B. mittels Transponder, biometrische Anlagen, Schlüssel, Magnet- oder Chipkarten, Einsatz von Werkschutz, Pförtner) Einsatz von Alarmanlagen Videoüberwachung der Eingänge Schließberechtigungen und Schlüsselmanagement (z. B. Vergabeprozesse für und Dokumentation der Transponder oder Schlüsselinhaber) Verschließen von Räumen bei Nicht-Nutzung Zugangsregelungen für betriebsfremde Personen (z. B. Regelung zum Umgang mit Besuchern) Sorgfältige Auswahl und Verpflichtung von Wach-/Reinigungspersonal Seite 1 von 6

1.2 Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass IT-Systeme von Unbefugten genutzt werden können. Login mit Benutzername + Passwort Starke Authentisierung oder biometrische Verfahren für administrative Zugänge Malwareschutz auf Server-Systemen Malwareschutz auf Client-Systemen Malwareschutz auf mobilen Geräten Zentrale Überwachung des Malwareschutzes Segmentierung des Netzwerkes durch Firewalls Einsatz VPN bei Remote-Zugriffen Verschlüsselung von Datenträgern mit sensiblen Daten auf Servern Verschlüsselung von Notebooks/Tablets Verschlüsselung von Datenträgern mit sensiblen Daten auf sonstigen mobilen Geräten Sperre externer Schnittstellen (z. B. USB) Automatische Desktopsperre Zentrale Verwaltung von Benutzeraccounts Vorgaben für sichere Passworte 1.3 Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können Zentrales Benutzer-/Berechtigungs-Management nach dem Need to have Prinzip für Benutzer Zentrales Benutzer-/Berechtigungs-Management nach dem Need to have Prinzip für Administratoren Regelmäßige Überprüfung und Anpassung vergebener Berechtigungen Zeitnaher Entzug von Berechtigungen bei Ausscheiden 1.4 Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Physikalische Trennung von Produktiv- und Testumgebungen (Systeme/Datenbanken/Datenträger) Logische Trennung von Produktiv- und Testumgebungen sowohl für die Anwendungen als auch Datenbanken Mandantenfähigkeit relevanter Anwendungen Bereitstellung von Berechtigungskonzepten zur Sicherstellung der Trennung von Produktivund Testdaten Seite 2 von 6

1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen mehr spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen. Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen Verschlüsselte Ablage der Zuordnungsdaten 2 Integrität (Art. 32 Abs. 1 lit. b DSGVO; 8a (1) BSI-Gesetz) 2.1 Weitergabekontrolle Maßnahmen, welche ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport verhindern Einsatz von VPNs beim Transport von Daten Sensible Daten in E-Mails werden verschlüsselt Verfahren für eine elektronische Signatur beim Versand von Daten Protokollierung der Datenübermittlung auf Seiten des Auftragnehmers Protokollierung der Datenübermittlung auf Seiten des Auftraggebers Verschlüsselung von Datenträgern, welche für einen physischen Transport eingesetzt werden Absicherung der Bereiche, in welche Datenträger für den Transport aufbewahrt werden Sicherung des Übertragungs- und Transportweges (verschlossene/versiegelte Umschläge oder Behälter, Kurier/Bote) Maßnahmen gegen unbefugtes Entfernen von Datenträgern Sichere Entsorgung mehr benötigter Datenträger (verschlossene Sammelcontainer, Aktenschredder) 2.2 Eingabekontrolle Gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Manuelle oder automatisierte Kontrolle der Protokolle Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch personalisierte Benutzer Seite 3 von 6

3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO; 8a (1) BSI-Gesetz) 3.1 Verfügbarkeitskontrolle Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind Feuer- und Rauchmeldeanlagen in allen IT-Räumen (Serverraum, Verteilerräume, etc.) Klimatisierung aller IT-Räume (Serverraum, Verteilerräume, etc.) Unterbrechungsfreie Stromversorgung sowie Notstromversorgung in zentralen Serverräumen Überwachung der Temperatur und Feuchtigkeit in zentralen Serverräumen Redundanz in verschiedenen Serverräumen möglich (Server, Storage) Redundanz in Daten-Speichern (Hardware, RAID) vorhanden Formalisiertes und überwachtes Backup-Konzept Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse Räumlich getrennte Aufbewahrung der erstellten Datensicherungen Schutz gegen unberechtigten Systemzugang von Extern (Firewall) Vermeidung wasserführender Leitungen in den IT-Räumen Überwachung der Verfügbarkeit von Systemen und Anwendungen Vorhandene Notfallpläne bei IT-Havarien 4 Regelmäßige Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO; 8a (1) BSIG) 4.1 Datenschutz- und Informationssicherheits-Management Verfahren zum strukturierten Management der Anforderungen des Datenschutzes, der Informationssicherheit und allgemeiner Vertraulichkeitsanforderungen Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf/Berechtigung Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz, ISAE 3402. Sonstige Zertifizierungen: Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt Mitarbeiter werden regelmäßig geschult und auf Vertraulichkeit verpflichtet Ein Datenschutzbeauftragter ist bestellt Ein Informationssicherheits-Beauftragter ist bestellt Die Datenschutz-Folgenabschätzung (DSFA) wird nach festgelegten Verfahren durchgeführt Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden Seite 4 von 6

4.2 Incident-Response-Management Unterstützung bei der Reaktion auf Sicherheitsverletzungen Einsatz eines Intrusion Detection oder Prevention Systems (IDS/IPS) Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen Verfahren zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen Verfahren zur Meldung von Sicherheitsvorfällen/Datenpannen an Aufsichtsbehörden Einbindung des Datenschutzbeauftragten in die Bewertung und Bearbeitung von Sicherheitsvorfällen & Datenpannen Dokumentation von Sicherheitsvorfällen und Datenpannen (z. B. in Ticketsystemen) Sicherheitsrelevante Schwachstellen werden systematisch identifiziert Es sind Vorkehrungen getroffen und Kommunikationswege etabliert um sicherheitsrelevante Vorfälle an das Uniklinikum zu melden. 4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1, 2 DSGVO) Privacy by Design/Default/Datenschutzfreundliche Voreinstellungen Es werden mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck sind Nutzung von verfügbaren Konfigurationseinstellungen zur Verbesserung von Datenschutz und IT-Sicherheit 4.4 Auftragskontrolle (im Rahmen von Outsourcing an Dritte/Unterauftragnehmer) Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unterauftragnehmer vorhanden (folgende Punkte von 4.4 nur bei vorhandenen Unterauftragnehmern relevant) Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (in Bezug auf Datenschutz und Informationssicherheit) Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung bzw. EU Standard- Vertragsklauseln Schriftliche Weisungen an den Auftragnehmer Vereinbarung mit Auftragnehmer zur Verpflichtung seiner Mitarbeiter in Hinblick auf Vertraulichkeit und Aspekte des Datenschutzes Vereinbarung wirksamer Kontrollrechte mit dem Auftragnehmer Festlegung von Regelungen zum Einsatz weiterer Subunternehmer Sicherstellung der Verung von Daten nach Beendigung des Auftrags Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus Seite 5 von 6

5 Technik 5.1 Allgemeines Nachweis von Maßnahmen Maßnahmen zur Sicherstellung eines adäquaten Stand der Technik Produkte, welche durch Lieferanten bereitgestellt werden, müssen auf vom jeweiligen Hersteller unterstützten Umgebungen (z. B. Betriebssystem, Firmware) jederzeit betreibbar sein. Verbindungen, über welche Wartungsarbeiten am Uniklinikum ausgeführt werden, sind durch geeignete Verschlüsselungsverfahren und Authentifizierungs-Mechanismen abgesichert. Es werden aktuelle Schutzmaßnahmen gegen Schadcode, Viren und Malware eingesetzt Es gibt nachvollziehbare Verfahren (Change-Management) bei der Anpassung von Systemen und anderen administrativen Änderungen. Es wird eine angemessene Methodik zur Aufrechterhaltung der Aktualität der bereitgestellten Verfahren, Betriebssysteme und sonstigen Software-Bestandteilen bereitgestellt Bei Bekanntwerden IT-sicherheitstechnischer Mängel stellt der externe Dienstleister in angemessener Zeit Lösungen zur Behebung bereit. Datum: 04.10.2018 Unterschrift Prof. Dr. Szecsenyi Uniklinik Heidelberg, Abt. Allgemeinmedizin und Versorgungsforschung (Auftragnehmer) Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback