Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Ähnliche Dokumente
Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technische und organisatorische Maßnahmen

Leitlinie zur Informationssicherheit

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:


Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

MUSTER 4 Technische und organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Technisch-organisatorische Maßnahmen

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Technische und organisatorische Maßnahmen

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Auftragsdatenverarbeitung

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Technische und organisatorische Maÿnahmen

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Auftragsdatenverarbeitung. vom

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Grasenhiller GmbH Sachsenstraße Neumarkt

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

VEREINBARUNG. über eine. Auftragsverarbeitung nach Art 28 DSGVO

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Darstellung der technischen und organisatorischen Maßnahmen

Anlage. Praxis Datenschutz - Technische und organisatorische Maßnahmen. Hinweise zur Benutzung des Musters

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Technische und organisatorische Maßnahmen der KONTENT GmbH

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

DATEN SCHUTZ MASS NAHMEN

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Datenschutz und Systemsicherheit

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

Kassenzahnärztliche Vereinigung Bayerns

Wichtige Hinweise zur Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Technische und organisatorische Maßnahmen Anlage 2

Checkliste: Technische und organisatorische Maßnahmen

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Newsletter EU-Datenschutz-Grundverordnung Nr. 12

Auftragsverarbeitervereinbarung

Newsletter EU-Datenschutz- Grundverordnung Nr. 13 Datenschutz für Existenzgründer

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Technische und organisatorische Maßnahmen (TOM)

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Vereinbarung zur Auftragsverarbeitung

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Checkliste: Technische und organisatorische Maßnahmen

Vereinbarung für den Remote-Zugriff auf die Software OpTra Dent

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Datenschutz Management System

Kundeninformation Köln, Verzeichnis der Datenverarbeitungstätigkeit Der Firma Der Kölner GassiKönig

Bestimmungen zur Datenverarbeitung im Auftrag

DATENSCHUTZ UND DATENSICHERHEIT BEI COSMO CONSULT

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Auftragsverarbeitung personenbezogener Daten gemäß 11 BDSG (Stand )

Behörde / öffentliche Stelle

Maßnahmen des Auftragnehmers gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung)

Bestellschein Vereins-ID: Aktionscode:

Verfahrensverzeichnis

Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit (nach Art. 32 DSGVO)

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Transkript:

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen Die Firma tetrateam trifft als Verantwortliche folgende technisch-organisatorische Maßnahmen, um die Sicherheits- und Schutzanforderungen bei der Verarbeitung personenbezogener Daten zu gewährleisten. 1 Vertraulichkeit Die Sicherstellung der Vertraulichkeit von Daten ist eine der wesentlichen Schutzziele der DSGVO. Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit sind unter anderem Zutritts-, Zugangs- oder Zugriffskontrollen. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, insbesondere des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Unsere Maßnahmen zur Sicherstellung der Vertraulichkeit: Vertraulichkeitsvereinbarungen mit internen und externen Mitarbeiter*innen Vertraulichkeitsvereinbarungen mit externen Dienstleister*innen Festlegung und Kontrolle der Nutzung zugelassener Ressourcen bzw. Kommunikationskanäle Schutz vor äußeren Einflüssen durch Antivirensoftware (Programm-, Geräte- und Webkontrolle) Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen beispielsweise bei Kontaktformularen (Privacy by Design, Privacy by Default) Sorgfältige Auswahl der Personalkräfte hinsichtlich Fachlichkeit, geordneter Lebens- und Vermögensverhältnisse und Zuverlässigkeit sowie möglicher Interessenskonflikte Schutzbedarfsklassifizierung von personenbezogenen Daten Zutrittskontrolle (siehe Ziffer 1.1.) Zugangskontrolle (siehe Ziffer 1.2.) Zugriffskontrolle (siehe Ziffer 1.3.) Einsatz von Verschlüsselungsmechanismen (siehe Ziffer 1.4.) Trennungskontrolle (siehe Ziffer 1.5.) 1.1. Zutrittskontrolle Damit sind Maßnahmen gemeint, die Unbefugten den Zutritt zu den Büroräumen verwehren, in denen personenbezogene Daten verarbeitet werden. Unsere Maßnahmen zur Verwehrung des Zutritts zu Datenverarbeitungsanlagen für Unbefugte: Festlegung raumspezifischer Zutrittsberechtigungen

Zutrittsregelung / Vertraulichkeitsvereinbarungen unter Büronutzer*innen und mit externen Dienstleistern Restriktive Schlüsselregelungen / Sicherheitsschlösser Besucheraufenthalte in Räumen mit Rechnern nur in Begleitung von Berater*innen Besondere Sicherung nicht straßenseitig einsehbarer Fensterbereiche Nachbarschaftliche Vereinbarung zur Meldung verdächtiger bzw. problematischer Ereignisse Datensicherungen auf portablen Sicherungsmedien (z.b. externe Laufwerke) sind verschlüsselt und zusätzlich zutrittsgesichert 1.2. Zugangskontrolle Damit sind Maßnahmen gemeint, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und verfahren benutzen. Hierzu gehören bspw. geeignete Passwortregeln. Unsere Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungssysteme nutzen: Die Zugänge zu den Datenverarbeitungssystemen sind durch Benutzername und Passwort geschützt Die Passworte für die Datenverarbeitungssysteme haben eine Mindestkomplexität (Sonderzeichen, Zahlen & Ziffern, Groß & klein, Anzahl der Zeichen) Verbot der externen Weitergabe von Benutzernamen und Passworten Verschlüsselung aller gespeicherten Passwort-Daten Automatische Sperrung des Bildschirms bei Inaktivität nach Zeit Die Rechner sind durch Anti-Viren-Software geschützt (Programm-, Geräte- und Webkontrolle) 1.3. Zugriffskontrolle Damit sind Maßnahmen gemeint, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Unsere Maßnahmen zum Schutz gegen Zugriff auf personenbezogene Daten durch Unbefugte: Verwendung von benutzerbezogenen und individualisierten Anmeldeinformationen Die Passworte haben eine Mindestkomplexität (Sonderzeichen, Anzahl der Zeichen)

Es bestehen auf Applikations- und Datenebene differenzierte Berechtigungsstufen Für eventuelle (Fern-)Wartungsmaßnahmen sind Sicherheitsregeln in Kraft Es erfolgt eine Verschlüsselung der auf den Arbeitsrechnern gespeicherten Passwort-Daten, sowie sämtlicher Daten, die auf mobilen Backup-Medien (z.b. externe Laufwerke) gespeichert sind Datenschutzkonforme Vernichtung von Daten, Datenträgern und Ausdrucken Verbot des Einsatzes privater Datenträger (beispielsweise USB-Sticks) 1.4. Verschlüsselung Die Verschlüsselung von personenbezogenen Daten, sowie Passworten, die den Zugriff zu personenbezogenen Daten ermöglichen ist eine Möglichkeit diese gegen die Kenntnisnahme durch Unbefugte zu schützen. Unter Verschlüsselung ist ein Verfahren zu verstehen, durch das eine klar lesbare Information in eine nicht lesbare bzw. interpretierbare Zeichenabfolge umgewandelt wird. Unsere Maßnahmen in Zusammenhang mit der Verschlüsselung von Daten: Auswahl eines geeigneten kryptographischen Verfahrens (z.b. VeraCrypt) erfolgt unter Berücksichtigung des aktuellen Stands der Technik Insbesondere verschlüsselt werden leicht mobil zu entfernende personenbezogene Daten (z.b.: auf externen Laufwerken) sowie sämtliche abgespeicherte Passworte. Regelmäßige Prüfung der Verschlüsselungsverfahren (insb. auf Sicherheitslücken) und Anpassung dieser an die aktuellen technischen Entwicklungen (insb. Aktualisierung der eingesetzten Software) 1.5. Trennungskontrolle Damit sind Maßnahmen gemeint, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Unsere Maßnahmen zur Trennungskontrolle: Logische bzw. technische Trennung von Daten Benutzerprofile / Trennung von Mandantenakten Definierung von Zugriffsberechtigungen Speicherung in unterschiedlichen Speicherbereichen (Einzelrechner, interner Server, extern)

2 Integrität Die Sicherstellung der Integrität bezieht sich insbesondere auf Eingabe und Weitergabe von personenbezogenen Daten sowie alle Maßnahmen, die generell zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Zerstörung oder unbeabsichtigter Schädigung und zur Gewährleistung der Aktualität der Daten beitragen. Maßnahmen zur Sicherstellung der Integrität: Einsatz von Verschlüsselungstechniken (SSL) im Bereich Internet- und E-Mail-Verkehr Spezifische Zuweisung von Berechtigungen hinsichtlich: Physische Akten, Rechner, interner Server, externe Datensysteme, bzw. -sammlungen Prozesse zur Aufrechterhaltung der Aktualität von Daten Dokumentierung des Hard- und Softwarebestandes und Führung eines Bestandsverzeichnisses Anonymisierung von personenbezogenen Daten (siehe Ziffer 2.1.) Weitergabekontrolle (siehe Ziffer 2.2.) Eingabekontrollen (siehe Ziffer 2.3.) 2.1. Anonymisierung Anonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Unsere Maßnahmen in Zusammenhang mit der Anonymisierung personenbezogener Daten: Anonymisierungsgebot ist Bestandteil im Rahmen des s des Unternehmens. Insbesondere erfolgen gemeinsame Fallbesprechungen der Berater*innen zur Qualitätssicherung grundsätzlich mit anonymisierten Daten. Anonymisierung von Daten entsprechend unterschiedlicher Schutzbedarfskategorien von Daten. 2.2. Weitergabekontrolle Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Unsere Maßnahmen zum Schutz bei Datenübertragungen:

Verschlüsselung von Daten und Datenträgern in Abhängigkeit von deren Schutzbedürftigkeit und Risikopotenzial (mobile Datenspeicher) insbesondere mittels Datei- und Festplattenverschlüsselung auf Hard- oder Softwarebasis (z.b. VeraCrypt) Verschlüsselung der Übertragung von Daten (SSL) bei der Übertragung über öffentliche Netze Ggfls. Sorgfältige Auswahl von Transportdienstleistern 2.3. Eingabe- und Verarbeitungskontrolle Damit sind Maßnahmen gemeint, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-Systemen bzw. -Anwendungen eingegeben, verändert oder entfernt worden sind. Unsere Maßnahmen zur Überprüfung von Eingaben, Änderungen und Löschungen: Festlegung der Befugnisse für die Eingabe und der Bearbeitung von Daten Aufzeichnung / Protokollierung von entsprechenden, an Systemen durchgeführten Aktionen (Logfiles) Einsatz von Protokollierungs- und Protokollauswertungssysteme durch externe Dienstleister 3. Sicherstellung und Wiederherstellung der Verfügbarkeit Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Diese Maßnahmen müssen so ausgelegt sein, dass sie die Verfügbarkeit auf Dauer gewährleisten. Unsere Maßnahmen zur Sicherstellung der Verfügbarkeit auf Dauer: Beschaffung von geprüfter Hardware Einsatz geprüfter Standardsoftware aus sicheren Quellen Regelmäßige Durchführung von Datensicherungen Getrennte Aufbewahrung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden oder die zu unterschiedlichen Schutzbedarfskategorien gehören Büro-Inhaltsversicherung zur Finanzierung der Wiederherstellung im Zerstörungsfall Betreuung der IT durch qualifizierten Dienstleister Regelmäßiges Testen der Datenwiederherstellung

4 Überprüfung und Evaluierung der Datensicherheit Maßnahmen um die getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit laufend aktuell zu halten und kritisch zu begutachten. Diese Pflicht erstreckt sich auf alle technischen und organisatorischen Maßnahmen (Ziff. 1 bis 3). Unsere Maßnahmen zur regelmäßigen Überprüfung und Evaluierung: Es ist ein vorhanden welches mindestens einmal jährlich überprüft wird Das wird an sich ändernde Bedingungen angepasst Es gibt ein Konzept zum Umgang mit bzw. Melden von Datenpannen Alle Beschäftigten bzw. Berater*innen werden regelmäßig mindestens einmal jährlich geschult Wenigstens einmal jährlich findet eine Konsultation mit einem externen IT-Spezialisten statt 5 Auftragskontrolle Damit sind Maßnahmen gemeint, die gewährleisten, dass personenbezogene Daten, die in unserem Auftrag von Dritten verarbeitet werden, entsprechend den datenschutzrechtlichen Bestimmungen behandelt werden. Unsere Maßnahmen zur Auftragskontrolle: Es sind Kriterien zur Auswahl der Auftragnehmer festgelegt (Referenzen, Zertifizierungen) Es gibt detaillierte schriftliche Regelungen der Auftragsverhältnisse Auftragnehmer haben mindestens eine/n Datenschutzbeauftragte/n bestellt Soweit für die vereinbarte Auftragsverarbeitung externe Server und/oder Cloud-Lösungen eingesetzt werden müssen sich die genutzten Rechenzentren in der EU befinden und die Standorte bzw. Länder hinsichtlich Datensicherheit nicht als kritisch eingestuft sein. Die Datenkommunikation mit Auftragsdienstleistern hat auf jeden Fall verschlüsselt zu erfolgen.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback