Skip to main content

Technische und organisatorische Maßnahmen (TOMs) für azuma mimoto gemäß Art. 32 DSGVO

Präambel

Zur Gewährleistung der Sicherheit und Vertraulichkeit von Daten wird azuma alle erforderlichen technischen und organisatorischen Maßnahmen, insbesondere die durch die einschlägigen anwendbaren, rechtlichen Rahmenbedingungen festgelegten Maßnahmen treffen und aufrechterhalten. Die technischen und organisatorischen Maßnahmen beziehen sich auf die in §5 genannten Datenkategorien:

  • Daten im Webtoken (Identitätsdaten des Endnutzers): Diese Daten werden von azuma nicht gespeichert, sondern nach erfolgtem Login umgehend gelöscht
  • Meta Daten zum Prozess des Token Handling: Diese Daten werden von azuma im Rahmen der Vertragslaufzeit gespeichert zum Zweck der Abrechnung
  • Zugangsdaten für Mitarbeitende des Verantwortlichen: Diese Daten werden von azuma im Rahmen der Vertragslaufzeit gespeichert zum Zweck der Konfiguration von azuam mimoto durch den Kunden.

Daten im Webtoken und Meta Daten werden beim Starten des Login-Prozesses mit der GesundheitsID durch den Endnutzer bis zum Abschluss des Login-Prozesses an azuma und Unterauftragsverarbeiter übertragen. Zugangsdaten werden nach Anmeldung des Mitarbeitenden des Verantwortlichen am azuma mimoto Portal bis zum Zeitpunkt der Abmeldung an azuma und Unterauftragsverarbeiter übertragen.

Die Maßnahmen von azuma beinhalten im Besonderen:

§ 1 Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, zu verwehren. azuma gewährleistet die Zutrittskontrolle durch den Einsatz folgender Maßnahmen:

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

Es werden keine eigenen physischen Datenverarbeitungsanlagen oder Server-Infrastrukturen genutzt Speicherung von personenbezogenen Daten erfolgt nur in Cloud Applikationen und Systemen (Richtlinie dazu vorhanden) Alle autorisierten Zugänge zu den Räumlichkeiten der Organisation müssen kontrolliert werden. Informationen, physische Akten/Papiere und Geräte müssen in sicheren und abschließbaren Bereichen aufbewahrt werden. Bei der Arbeit im Home Office müssen Akten/Papiere in einem abschließbaren Behälter aufbewahrt werden

§ 2 Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. azuma gewährleistet die Zugangskontrolle durch den Einsatz folgender Maßnahmen:

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Zugang zu Cloud-Diensten, Cloud Applikationen und Daten/Dokumenten darin nur über Account basierte, freigegebene Zugänge umgesetzt mit regelmäßiger Überprüfung
  • Verwendung von Passwörtern nach Richtlinie von azuma allen Mitarbeitenden verpflichtend vorgegeben. Die Richtlinie orientiert sich am BSI Basisschutz für sichere Passwörter. Sie folgt der Strategie "kurze, dafür komplexe Passwörter", die aus acht bis zwölf Zeichen bestehen und mindestens vier verschiedene Zeichenarten enthalten sollten. Dies umfasst eine zufällige Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Der konsequente Einsatz von Verfahren zur Zwei-Faktor-Authentifizierung für Administratoren- und Nutzerkonten ist bei Informationssystemen, die personenbezogene Daten verarbeiten, verpflichtend
  • Vergabe separater Passwörter für die Betriebssystems-, Applikations- und Datenbank-Ebene
  • Innerhalb des Datenbanksystems ist die entsprechende Datenbank selbst durch Passwörter geschützt
  • Antivirus-Software (Norton) bei Clients und Firewall-Systeme (Microsoft WAF V2) bei Cloud-Software sind installiert

§ 3 Zugriffskontrolle

Es ist dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können. azuma gewährleistet die Zugriffkontrolle durch den Einsatz folgender Maßnahmen:

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Es sind keine Administratorkennungen für Nutzer erlaubt, die keine administrativen Tätigkeiten ausführen
  • Grundsätzlich dürfen Zugänge zu den verwendeten Cloud Applikationen oder zu Dokumenten nur Account basiert vergeben werden, so dass nur berechtigte Mitarbeitende Zugang zu Informationen und Daten haben
  • Es dürfen keine Daten auf mobilen Datenspeichern gespeichert werden, sondern nur abgesicherte Cloud Speicher und Cloud Applikationen sind erlaubt. Alle Mitarbeitenden sind per Richtlinie zur Einhaltung verpflichtet
  • Es findet eine Verschlüsselung an allen API Endpunkten statt. Die API Endpunkte sind durch den Einsatz von OAuth 2.0, OIDC und OIDC Federation Standards abgesichert
  • Einsatz von sicheren Verschlüsselungsverfahren zur Datenbankverschlüsselung (256-bit AES-basiert)
  • Trennung aller azuma Produktumgebungen (s. §6)

§ 4 Weitergabekontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten vorgesehen ist. azuma gewährleistet die Weitergabekontrolle durch den Einsatz folgender Maßnahmen:

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Verbindungen werden ausschließlich per TLS 1.2 mit ausschließlicher Nutzung sicherer Cipher-Suites, oder per TLS 1.3 abgesichert
  • Es werden die Vorgaben der BSI TR-03161 beachtet und es wird ausschließlich Empfehlungen der BSI TR-02102-2 für TLS und Schlüssel gefolgt
  • Public Keys werden manipulationssicher bei einem Vertrauensanker gespeichert
  • Fernzugang zu Webservern ist nur mit verschlüsselter Verbindung (https) und Zwei-Faktor-Authentifizierung erlaubt
  • Kryptographische Verfahren (256-bit AES) der Anbieter der genutzten Cloud-Dienste werden verwendet. Schlüsselmanagement durch den Cloud-Anbieter gewährleistet
  • Alle Domänen-Zertifikate werden bei einer vertrauenswürdigen Zertifizeirungsstelle (Let’s Encrypt) mit automatisierter Zertifikatserneuerung bezogen

Für die Datenkategorien Meta Daten und Zugangsdaten (gemäß §5 Abs. 2 und 3 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Personenbezogene Daten werden nicht dauerhaft gespeichert und nach Löschkonzept gelöscht

Für die Datenkategorie Web Token Daten (gemäß §5 Abs. 1 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (1) – (3) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Personenbezogene Daten werden nicht gepseichert und nach Löschkonzept gelöscht
  • Personbebezogene Daten werden mit selbst-verwalteten Schlüsseln (256-bit AES) zusätzlich abgesichert

§ 5 Verfügbarkeitskontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. azuma gewährleistet die Einhaltung der Verfügbarkeitskontrolle durch den Einsatz folgender Maßnahmen.

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Speicherung von personenbezogenen Daten erfolgt nur in Cloud Applikationen und Systemen mit entsprechenden Failover- und Backup-Funktionen (Richtlinie dazu vorhanden). Backups werden mindestens einmal täglich (Snapshot) und bei Verfügbarkeit zusätzlich transaktionsbasiert durchgeführt
  • Einhaltung der Verfügbarkeitskontrolle mittels einer Notfallplanung zur Prävention und Bewältigung von Notfällen
  • Die Belastbarkeit der Services wird durch eine Autoskalierung der Services (mindestens zwei Instanzen) und eine Mindestverfügbarkeit der Infrastruktur (mindestens zwei Zonen) sichergestellt

Für die Datenkategorien Meta Daten und Zugangsdaten (gemäß §5 Abs. 2 und 3 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Backups passieren ausschließlich durch die Mechanismen der genutzten Cloud-Dienste und Cloud Applikationen
  • Backups sind durch die Anbieter der genutzten Cloud-Dienste vor Verschlüsselung durch Ransomware geschützt (256-bit AES)
  • Backups und Archivierung müssen ausschließlich in ISO27017/ISO27018/C5 zertifizierten Cloud-Diensten und Cloud Applikationen umgesetzt werden
  • Zugang und Verfügbarkeit von Backups wird sichergestellt durch die Nutzung von mindestens drei Availability Zones. Backups werden in allen Availability Zones redundant gespeichert
  • Jede genutzte Availability Zone ist physikalisch voneinander getrennt mit eigener Stromversorgung, Kühlung und Netzanbindung

§ 6 Trennungskontrolle

Es ist dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. azuma gewährleistet die Einhaltung der Trennungskontrolle durch den Einsatz folgender Maßnahmen:

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Trennung aller azuma Produktumgebungen
  • Umsetzung von Multimandantenfähigkeit und Trennung der Mandanten auf Datenbankebene
  • Trennung aller azuma Services in unterschiedliche Laufzeitumgebungen (containerbasiert)

azuma wird insbesondere sicherstellen, dass Daten gegen unberechtigte oder versehentliche Zerstörung, versehentlichen Verlust, technische Mängel, Verfälschung, Diebstahl, unberechtigte Nutzung, unberechtigte Veränderung oder Vervielfältigung sowie andere Formen von unberechtigtem Zugang und unberechtigter Nutzung geschützt werden.

Darüber hinaus liegen folgende Maßnahmen ebenfalls in der Verantwortung von azuma:

§ 7 Pseudonymisierung

Für die Datenkategorie Meta Daten (gemäß §5 Abs. 2 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Daten werden vom Auftraggeber nur in pseudonymisierter Form zur Verfügung gestellt und von azuma nur in pseudonymisierter Form verarbeitet.
  • Die Web Token Daten (gemäß §5 Abs. 1 der Vereinbarung zur Auftragsverarbeitung), mit den darin enthaltenen Identitätsdaten der Endnutzer werden nicht gespeichert.

§ 8 Auftragskontrolle/Eingabekontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten (alle Datenarten gemäß § 5 der Vereinbarung zur Auftragsverarbeitung), die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers bzw. rein zweckgebunden von azuma verarbeitet werden können. azuma gewährleistet die Einhaltung der Auftragskontrolle durch den Einsatz folgender Maßnahmen.

Für die Datenkategorie Web Token Daten (gemäß §5 Abs. 1 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (1) – (3) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Übertragung der Daten erfolgt automatisiert nur, wenn der Verantwortliche die Integration mit azuma mimoto dementsprechend konfiguriert hat
  • Löschung der Daten erfolgt automatisch nach jedem Login-Prozess

Für die Datenkategorie Meta Daten (gemäß §5 Abs. 2 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Übertragung und Speicherung der Daten erfolgt automatisiert nur, wenn der Verantwortliche die Integration mit azuma mimoto dementsprechend konfiguriert hat
  • Löschung der Daten erfolgt auf Anfrage oder automatisiert nach Vertragsende. Eine Bestätigung der Löschung wird dem Verantwortlichen zur Verfügung gestellt

Für die Datenkategorie Zugangsdaten (gemäß §5 Abs. 3 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Übertragung und Speicherung der Daten erfolgt automatisiert nur, wenn sich Mitarbeitende des Verantwortlichen per Self-Service für das azuma mimoto Portal registrieren und anmelden
  • Löschung der Daten erfolgt auf Anfrage oder automatisiert nach Vertragsende. Eine Bestätigung der Löschung wird dem Verantwortlichen zur Verfügung gestellt

Der Zugang zu Backend und Konfigurationssystemen ist auf die notwendigen Mitarbeitenden beschränkt und folgt dem Erforderlichkeitsprinzip. Der Zugang zu Konfigurationssystemen durch Mitarbeitende des Auftragsgebers, kann durch den Auftraggeber gesteuert werden und dient unter anderem dem Zweck die Verarbeitung durch azuma zu kontrollieren.

§ 9 Verfahrensverzeichnis

azuma führt ein Verzeichnis der Verfahren gem. Art. 30 DSGVO. Dieses Verzeichnis enthält u.a. die Prozesse und die Zwecke der Datenverarbeitung, sowie ein Löschkonzept. Neben der Geschäftsführung zeigen sich die mit Mitarbeitenden verantwortlich für die Umsetzung der Verfahren und die Wahrung der Betroffenenrechte, die für die Entwicklung und den Kundensupport der azuma Produkte verantwortlich sind. Andere Mitarbeitende haben keinen Zugriff auf die verarbeiteten Daten. Als zentrale E-Mail-Adresse steht für Anfragen privacy@azuma.health zur Verfügung. Das Verfahrensverzeichnis wird regelmäßig überprüft und ggf. an technische oder organisatorische Änderungen angepasst.

Dies gilt für alle Datenarten gemäß § 5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke.

§ 10 Datenschutzkonzept

Maßnahmen zum Datenschutz werden regelmäßig auf Sicherheit und Zweckerfüllung im Hinblick auf den jeweiligen Stand der Technik überprüft. azuma definiert in Richtlinien, den Umgang mit personenbezogenen Daten. Ein Datenschutzbeauftragter ist bestellt und es findet eine regelmäßige Überprüfung der getroffenen Maßnahmen und des Verfahrensverzeichnis statt. Es wird einmal jährlich ein Datenschutz-Audit mit Audit-Bericht durchgeführt. Bei Änderungen der Prozesse, wird der externe Datenschutzbeauftragte in der Planung einbezogen, so dass eine DSGVO-konforme Ausgestaltung gewährleistet ist.

Dies gilt für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke.

azuma legt einen sehr hohen Stellenwert darauf, dass die internen Prozesse mit den Anforderungen an Informationssicherheit und Datenschutz übereinstimmen. Hierfür werden weitere Maßnahmen umgesetzt, um die Themen in der Organisation und vor allem in Produktentwicklung zu verankern. Diese Maßnahmen umfassen im Besonderen:

§ 11 Management, Organisation und Awareness der Informationssicherheit

Es ist maßgeblich, dass die Wichtigkeit von Informationssicherheit und Datenschutz von der Geschäftsführung und den Mitarbeitenden verstanden und durch das Handeln der Verantwortlichen Personen unterstützt wird. azuma gewährleistet dies durch die folgenden Maßnahmen:

  • Eine geeignete Organisationstruktur für Informationssicherheit ist vorhanden und die Informationssicherheit ist in die organisationsweiten Prozesse und Abläufe integriert
  • Sicherheitsricht- und -leitlinien sind definiert, von der Geschäftsführung genehmigt und dem Personal kommuniziert
  • Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS), nach ISO27001 (noch nicht zertifiziert)
  • Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt
  • Vorhandensein von Eskalationsprozessen bei Sicherheitsverletzungen
  • Konsequente Dokumentation bei Sicherheitsvorkommnissen (Security Reporting)
  • Allen beteiligten Personen der Organisation wurde die Wichtigkeit von Informationssicherheit und Datenschutz bewusst gemacht
  • Alle relevanten Richtlinien zur Informationssicherheit und zum korrekten Umgang mit IT-Systemen sind vorhanden und sind jedem Mitarbeitenden zugänglich und bekannt
  • Alle notwendigen Mitarbeitenden kennen die internen Prozesse zum Umgang mit Informationssicherheit und möglichen Verletzungen

Dies gilt für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke.

§ 12 Entwicklung und Auswahl von Software

Es ist maßgeblich, dass bei der Entwicklung eigener Produkte und bei der Auswahl von Software Informationssicherheit und Datenschutz als wichtige Faktoren berücksichtigt werden, um bei den Kunden aus dem Gesundheitswesen bestmöglich Vertrauen aufzubauen. azuma gewährleistet dies durch die folgenden Maßnahmen:

  • Relevante Mitarbeitende sind darüber geschult, dass Security-by-Design (Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität) als Teilmenge von Data-Protection-By-Design eine gesetzliche Datenschutzanforderung ist und Einfluss auf zentrale Designentscheidungen hat (Produktauswahl, zentral vs. dezentral, Pseudonymisierung, Verschlüsselung, Land eines Dienstleisters, SSL-Zertifikate). Die Anforderungen für Mitarbeitende sind in der Secure Development Richtlinie und die Schulung beim Onboarding der Mitarbeitenden in der ISMS Awareness Richtlinie von azuma festgelegt
  • Es findet eine Trennung von Produktivsystem zu Entwicklungs-/Testsystem statt
  • Der Zugang zum Source-Code bei der Entwicklung von Software ist beschränkt
  • Der Zugang zu Test/Produktivsystemen ist beschränkt
  • Es werden keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abgelegt
  • System- und Sicherheitstests (Unit-Tests, Integrationstest) werden durchgeführt
  • Fortlaufende Inventur der Versionen von Software oder Komponenten (z. B. Frameworks, Bibliotheken) sowie deren Abhängigkeiten
  • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen
  • Es muss sichergestellt werden, dass ein fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Softwareanwendung besteht
  • Die Umsetzung der Regelungen zur sicheren Softwareentwicklung ist in einer Richtlinie verpflichtend vorgegeben

Dies gilt für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke.

§ 13 Umgang mit Lieferanten und Auftragsverarbeitern

Es ist maßgeblich, dass für azuma eine besondere Sorgfaltspflicht bei der Auswahl von Lieferanten und Auftragsverarbeitern besteht. Wichtig ist vor allem dem Schutz personenbezogener Daten auch über die Lieferkette hinweg nachkommen zu können. azuma gewährleistet dies durch die folgenden Maßnahmen:

Für die Datenkategorien Meta Daten und Web Token Daten (gemäß §5 Abs. 1 und 2 der Vereinbarung zur Auftragsverarbeitung) zur Erfüllung in §3 (4) der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Es werden nur Lieferanten verwendet, die Garantien zur Umsetzung von DSGVO-konformen Datenschutz und Informationssicherheit (in Form von Dokumenten) zur Verfügung stellen
  • Die Wirksamkeit der Garantien müssen durch geeignete Zertifizierungen nachgewiesen werden. Maßgeblich sind für azuma C5/ISO27017/ISO27018 Zertifizierungen
  • Auflistungen von Unterauftragsverarbeitern der Auftragsverarbeiter von azuma werden regelmäßig überprüft

Für alle Datenarten gemäß §5 der Vereinbarung zur Auftragsverarbeitung zur Erfüllung aller in §3 der Vereinbarung zur Auftragsverarbeitung genannten Zwecke gilt:

  • Informationsicherheitspraktiken werden mindestens einmal jährlich auf Dokumentenebene überprüft
  • Eine Richtlinie für Informationssicherheit im Umgang mit Lieferanten ist umgesetzt

Anlagenverzeichnis

Anlage 1 Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung

Last updated on