Auflistung der beauftragten Dienstleistungen

Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden könnenPraxissoftware ElefantProtektor
Gegenstand der Dienstleistung, bei der personenbezogene Daten verarbeitet werden könnenTelefonischer Support und Support per Fernwartungstool im Rahmen derWartung und Betrieb der Hardware für die Telematikinfrastruktur-Anbindung von Praxen
Praxissoftware Elefant
Art und Zweck der VerarbeitungEntwicklung und Wartung des IT-SystemsÜbermittlung der Daten zu Abrechnungszwecken
Beantwortung von Nutzerfragen im 1st und 2nd Level Support
Unterstützung bei der Installation der Anwendungssoftware Elefant
Unterstützung bei Problemen mit Schnittstellensoftware
Unterstützung bei Problemen in der Nutzung des Produktes
Unterstützung bei der Ursachenfindung bei Systemmeldungen
Reparatur und Wartung der Datenbank auf dem IT-System der Auftraggeberin
Art der personenbezogenen DatenPatientenliste und Inhalte der PatientenaktenName, Vorname und Versicherten Nr. von Patienten
Terminplan der Praxis
Abrechnungsdaten und Statistiken der Praxis
Kategorien betroffener PersonenTherapeut bzw. ArztTherapeut bzw. Arzt
PatientenPatienten
Bezugspersonen des Patienten

Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte

Die aufgeführten IT-Dienstleister werden nur einzeln beauftragt

NameSitz der GesellschaftVerarbeitungsstandortPraxissoftware ElefantProtektor
IT- und EDV-Dienstleistungen
Jörn Hoffmann		Rüschkamp 1, 24161 AltenholzDeutschlandAktivNicht aktiv
MM – Beratung und Training
Marion Munde		Imstedt 10, 22083 HamburgDeutschlandAktivNicht aktiv
Computer Horizonte
Anja Kopp		Bevenser Str. 3,28329 BremenDeutschlandAktivNicht aktiv
Hoenicke Systembetreuung GmbHLindenallee 29, 18519 Sundhagen OT ReinbergDeutschlandAktivNicht aktiv
Computer-Service GöttingenBreite Straße 4, 37127 Dransfeld OT Bördellokal im Firmensitz & bei Drittanbietern
(Cloud, AVV liegt vor)		AktivNicht aktiv
PC-Support BerlinBeymestr. 13A, 12167 BerlinDeutschlandAktivNicht aktiv
PC ServiceOrber Str. 2, 14193 BerlinDeutschlandAktivNicht aktiv
Emden EDVLeonhardyweg 86, 12101 BerlinDeutschlandAktivNicht aktiv
PC-OfficiumBurgherrenstr. 7, 12101 BerlinDeutschlandAktivNicht aktiv
PIP-ErwitteKirchplatz 5, 59597 ErwitteDeutschlandAktivNicht aktiv
daten-strom. Medical-IT-Services e. K.Georg-Schaeffler-Str. 4, 42499 HückeswagenDeutschlandAktivNicht aktiv
Krischke IT-ServiceOppener Str. 149, 52146 WürselenDeutschlandAktivNicht aktiv
MW – ComputerWeidenhäuser Str. 6, 35037 MarburgDeutschlandAktivNicht aktiv
IKST MainzNackstr. 44, 55118 MainzDeutschlandAktivNicht aktiv
Softbyte ITK & HealthcareHaardstr. 17, 67161 GönnheimDeutschlandAktivNicht aktiv
Tecont GmbH LeipzigApelsteinallee 12-14, 04416 WachauDeutschlandAktivNicht aktiv
Intermac SystemsSendnicher Str. 58a, 56072 KoblenzDeutschlandAktivNicht aktiv
Pia KehlMellinweg 5, 66280 Sulzbach/SaarDeutschlandAktivNicht aktiv
EDV-Support & HandelKageneckstr. 1, 79252 StegenDeutschlandAktivNicht aktiv
Erhardt IT Solutions GmbHBottwartalstr. 4,71642 LudwigsburgDeutschlandAktivNicht aktiv
LOOMA GmbHKleiner Werder 10b, 39114 MagdeburgDeutschlandNicht aktivAktiv
ck sales Vertriebsgesellschaft mbHDorfstraße 69a, 39217 Schönebeck / OT RaniesDeutschlandAktivNicht aktiv
Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojekteberatung GmbHConcorde Business Park F, 2320 Schwechat (Österreich)ÖsterreichNicht aktivAktiv
ITCOS GmbHPaul-Ecke-Str. 3, 39114 MagdeburgDeutschlandAktivAktiv
SAMHAMMER AGZur Kesselschmiede 3, 92637 WeidenDeutschlandAktivAktiv
HASOMED Tech GmbHPaul-Ecke-Str. 3, 39114 MagdeburgDeutschland (Amazon Web Services, Frankfurt, AVV liegt vor)AktivNicht aktiv

Zum Einsatz eines Cloud-Dienstleisters im Gesundheitswesen

Die Auftragsdatenverarbeitung findet unter den besonderen gesetzlichen Anforderungen für das Gesundheitswesen statt:

  • Zertifizierung nach ISO/IEC 27001 für “Entwicklung und Bereitstellung von webbasierten Softwarelösungen im Bereich des Gesundheitswesens und digitaler Gesundheitsanwendungen (DiGA)”
  • Berücksichtigung von § 393 SGB V – Cloud-Einsatz im Gesundheitswesen
  • Datenverarbeitende Stelle im Inland (Frankfurt)
  • C5-Testat für die datenverarbeitende Stelle liegt vor

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HASOMED GmbH

Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden: 

·         Logische Mandantentrennung (softwareseitig)

·         Berechtigungskonzept 

·         Trennung von Produktiv- und Testsystem 

 

Vertraulichkeit und Integrität 
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: 

Verschlüsselung

Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:

·         Verschlüsselung mobiler Endgeräte (Smartphones, Laptops)

·         Verschlüsseltes Backup

·         verschlüsselte Datenübertragung

 

Zutrittskontrolle

Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Daten-verarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern: 

·         Alarmanlage 

·         Automatisches Zugangskontrollsystem

·         Chipkarten-/Transponder-Schließsystem

·         Manuelles Schließsystem 

·         Videoüberwachung der Zugänge 

·         Sicherheitsschlösser 

·         Schlüsselregelung (Schlüsselausgabe etc.) 

·         Personenkontrolle beim Pförtner / Empfang

·         Protokollierung der Besucher

·         Sorgfältige Auswahl von Reinigungspersonal

·         Sorgfältige Auswahl von Wachpersonal

·         Zutrittskonzept / Besucherregelung

 

Zugangskontrolle

Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern: 
·         Zuordnung von Benutzerrechten

·         Erstellen von Benutzerprofilen 

·         Passwortvergabe 

·         Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)

·         Zwei-Faktor-Authentifizierung

·         Authentifikation mit Benutzername / Passwort

·         Zuordnung von Benutzerprofilen zu IT-Systemen 

·         physische Sicherung z.B. Gehäuseverriegelungen

·         Einsatz von VPN-Technologie bei der Übertragung von Daten

·         Verschlüsselung mobiler IT-Systeme

·         Verschlüsselung mobiler Datenträger

·         Verschlüsselung der Datensicherungssysteme 

·         Sperren externer Schnittstellen (USB etc.) 

·         Einsatz von Intrusion-Detection-Systemen 

·         Einsatz von Anti-Viren-Software 

·         Verschlüsselung von Datenträgern in Laptops / Notebooks 

·         Einsatz einer Hardware-Firewall 

·         Einsatz einer Software-Firewall 

 

Zugriffskontrolle

Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden 
können: 
·         Berechtigungskonzept Verschlüsselung von Datenträgern in Laptops / Notebooks

·         Verwaltung der Rechte durch Systemadministrator 

·         Anzahl der Administratoren ist auf das „Notwendigste“ reduziert 

·         Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel 

·         Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten 

·         Sichere Aufbewahrung von Datenträgern 

·         physische Löschung von Datenträgern vor Wiederverwendung 

·         physikalische Vernichtung von Datenträgern 

·         ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) 

·         Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) 

·         Protokollierung der Vernichtung 

·         Verschlüsselung von Datenträgern 

 

Eingabeprotokoll

Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: 
·         Protokollierung der Eingabe, Änderung und Löschung von Daten 

·         Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 

 

Auftragskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: 
·         Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) 

·         schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag) 

·         Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis 

·         Benennung eines Datenschutzbeauftragten beim Auftragsverarbeiter 

·         Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags 

·         Sonstige: Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz

 

Transport- bzw. Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können: 
·         Einsatz von VPN-Tunneln 

·         Verschlüsselung der E-Mail-Kommunikationswege via TLS 

·         Verschlüsselung physischer Datenträger bei Transport 

 

Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: 
·         Unterbrechungsfreie Stromversorgung (USV) 

·         Klimatisierung der Serverräume 

·         Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen 

·         Schutzsteckdosenleisten in Serverräumen 

·         Feuer- und Rauchmeldeanlagen in Serverräumen 

·         Feuerlöschgeräte in Serverräumen 

·         Data Loss Prevention (DLP)

·         Erstellen eines Backup- & Recoverykonzepts 

·         Testen von Datenwiederherstellung 

·         Erstellen eines Notfallplans 

·         Serverräume nicht unter sanitären Anlagen 

·         In Hochwassergebieten: Serverräume über der Wassergrenze 

·         belastbares Datensicherungs- und Wiederherstellungskonzept vorhanden