Datenschutz und IT-Sicherheit bei inveox

Datenschutz bei inveox

Im Zuge der Digitalisierung im Gesundheitssektor ist der Umgang mit sensiblen und schutzbedürftigen Gesundheitsdaten einmal mehr ein aktuelles und wichtiges Thema. Primär geht es darum, zu verhindern, dass gar persönliche Daten ungewollt in die Öffentlichkeit gelangen, was eine erhebliche Verletzung der grundlegenden Rechte und Freiheiten der Patienten oder auch anderer betroffener Personen bedeuten würde. Ein wirksamer Datenschutz ist essenziell, denn er erhält und stärkt das Vertrauen im Health-Bereich.

Deshalb ist auch inveox als Organisation – unter Einbindung der Automatisierungslösungen und der Software von inveox – bestrebt, sämtliche Datenschutzvorschriften wie die DSGVO, das BDSG oder spezifische für den Gesundheitssektor einschlägige Gesetze anzuwenden und umzusetzen.

Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig und deshalb auch ein wesentlicher Bestandteil nicht nur unserer Produkte und Dienstleistungen, sondern auch der gesamten Organisation von inveox. Wir haben daher sowohl technische als auch organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung implementiert, welche wir kontinuierlich weiterentwickeln und dem aktuellen Stand der Technik anpassen.

Wie stellt inveox sicher, dass mit der Auftragsverarbeitung betraute Mitarbeiter mit den gesetzlichen Bestimmungen zum Datenschutz vertraut sind?
Die Mitarbeiter von inveox werden zur Vertraulichkeit bzw. zum Datenschutz im Allgemeinen verpflichtet. Zudem werden sie über die entsprechenden Konsequenzen im Falle eines Verstoßes aufgeklärt. Es werden regelmäßig Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und Datenschutz durchgeführt. Dabei wird auch auf gesetzliche Neuerungen wie die Datenschutz-Grundverordnung der europäischen Union (DSGVO) eingegangen.

Was unternimmt inveox auf organisatorischer Ebene, um den Schutz der personenbezogenen Daten und die Sicherheit der IT-Systeme zu gewährleisten?
inveox strebt kontinuierlich die Verbesserung von Prozessen und Strukturen in Bezug auf Informationssicherheit und Datenschutz an. Dabei orientiert inveox sich an den Vorgaben der ISO/IEC 27001. Selbstverständlich hat inveox einen Datenschutzbeauftragten bestellt. Im Rahmen eines Datenschutzkonzepts werden alle Mitarbeiter regelmäßig in Schulungen für dieses Thema sensibilisiert.

Können Sie einen Auftragsverarbeitungsvertrag mit inveox schließen?
Ja, der Abschluss eines Auftragsverarbeitungsvertrages (AVV) im Sinne von Art. 28 Abs. 3 DSGVO mit Ihnen könnte notwendig sein, sofern die individuelle Vertragskonstellation dies erfordert.

Was passiert, wenn es zu einer Datenpanne kommt?
Sollte es unerwartet zu einer Datenpanne kommen, bei der personenbezogene Daten betroffen sind und die Verletzung zu einem Risiko für die Rechte und Freiheiten der Mitarbeiter des Kunden führt, wird inveox dies entsprechend den gesetzlichen und vertraglichen Verpflichtungen unverzüglich dembetroffenen Kunden mitteilen. Dieser kann im Anschluss seinen gesetzlichen Mitteilungspflichten an die Aufsichtsbehörde sowie an Betroffene nachkommen. Für solche Vorfälle hat inveox zudem ein Konzept entwickelt, nach dem die Datenpanne ausführlich und unverzüglich intern analysiert wird.

IT-Sicherheit bei inveox

Viele Krankenhäuser und Praxen sind vor Cyberangriffen nicht besonders gut geschützt;es bestehen immer wieder Defizite.Deshalb rückt die IT-Sicherheit bei Einrichtungen im Gesundheitswesen immer mehr in den Fokus. inveox legt Wert auf einen umfassenden Schutz Ihrer Daten, sodass Cyberattacken abgewehrt und ein stabiler Betrieb der IT-Infrastruktur gewährleistet werden. Des Weiteren ist inveox die Umsetzung folgender Schutzziele wichtig:

Verschlüsselung und Pseudonymisierung
Werden Patienten- und Kundendaten verschlüsselt gespeichert?

Auf allen genutzten Datenbanken von inveox wird eine Verschlüsselung „at Rest“ nach dem aktuellen Stand der Technik eingesetzt. Die Daten aus der Datenbank können nur nach ordnungsgemäßer Authentifizierung am jeweiligen Datenbank-System gelesen werden.

Erfolgt die Übertragung von Patienten- und Kundendaten verschlüsselt?
inveox verschlüsselt den gesamten Datenverkehr zwischen den Kunden und den Servern vollständig. Die SQL-Datenbank wird standardmäßig durch die Verwendung von serviceverwalteter transparenter Datenverschlüsselung verschlüsselt.

Vertraulichkeit und Integrität

Wo werden die Daten gespeichert?
inveox setzt beim Hosting der Software auf die Dienste der im EWR liegenden Server von Microsoft (Azure).Die genutzten Rechenzentren erfüllen somit die hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

Alle Daten, die den Betrieb aufrecht halten, werden von Ihnen gesteuert. Das folgt dem wichtigsten Prinzip von inveox: Die Kunden bleiben Besitzer der Daten. inveox verwendet diese keinesfalls für Marketing- oder Werbezwecke.

Die strenge Prüfung von Microsoft umfasste die Maßnahmen, die Microsoft zum Schutz vertraulicher und personenbezogener Daten ergriffen hat. Dazu gehören folgende Punkte:

– die Zertifizierung ISO/IEC 27001:2013 Information Security Management von Microsoft Cloud Services, deren Compliance jährlich geprüft wird;
– ein hohes Datenschutzniveau durch die Einhaltung der DSGVO und des ISO/IEC 27018 Code of Practice forProtecting Personal Data in the Cloud.
Zudem erfüllt MicrosoftAzure viele externe Datenschutzstandards, Gesetze und Vorschriften, einschließlich: DSGVO, ISO 27001, ISO 27018, Standardvertragsklauseln der Europäischen Union, HIPAA, HITRUST, FERPA, My Number Act (Japan), PIPEDA (Kanada), LOPD (Spanien) und DPA (Argentinien).

Wer kann bei inveox und seinen Dienstleistern auf Kundendaten sowie Patientendaten zugreifen?
Es haben weder die Mitarbeiter in den Rechenzentren noch Mitarbeiter bei Microsoft Zugriff auf jegliche Daten. Serverseitig haben bei inveox nur das InfrastrukturTeam sowie Produktverantwortliche und die Mitarbeiter des Customer Success Teams anlassbezogenen Zugriff. Dies ist unbedingt notwendig, um bei der initialen Einrichtung von Accounts sowie bei der Bearbeitung gestellter Serviceanfragen zu unterstützen. Ein Berechtigungskonzept bestimmt die interne Vergabe von Zugriffsrechten. Dabei erfolgt die Vergabe von Zugriffrechten protokolliert und nach dem “Need-to-Know”-Prinzip, und auch der zusätzliche Zugriff auf Kundensysteme wird protokolliert. Des Weiteren werden entsprechende Mitarbeiter regelmäßig zum Umgang mit besonders schützenswerten Daten (Patientendaten) geschult.

Wie stellt inveox sicher, dass keine Unbefugten auf die Systeme des Kunden zugreifen?
Serverseitig setzt inveox ein host-basiertes Angriffserkennungssystem zur Überwachung von Parametern wie auffälligen Log-Einträgen, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device-File-System, oder klassischen Bruteforce-Angriffen ein. Diese Parameter unterliegen einer regelmäßigen Prüfung nach Auffälligkeiten, und im Falle einer Auffälligkeit werden die zuständigen Mitarbeiter in Betrieb und Entwicklung unverzüglich informiert, um entsprechende Gegenmaßnahmen zu ergreifen. Anwendungsseitig werden Aktivitäten (insbesondere Change-, Delete- und Update-Operationen) protokolliert, um unautorisierte Zugriffe und Veränderungen an Daten und Anfragen nachweisen zu können.

Wie erfolgt die Benutzerauthentifizierung?
Personalisierte Benutzeraccounts werden eindeutig einer Person zugeordnet. Zugänge erfolgen immer durch die Anmeldung mit dem Benutzernamen und einem Passwort. Dieses Passwort muss nach dem erstmaligen Login entsprechend der implementierten Passwort-Richtlinie geändert werden.

Wer auf Seite des Kunden hat Zugriff auf welche Daten?
Zugriffsrechte der inveox Anwendungen sind per se so konzipiert, dass die Anforderung des Art. 24 DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Das bedeutet, dass für neu angelegte Mitarbeiteraccounts von Ihnen„per default“ nur Rechte für die Bearbeitung des jeweiligen Profils vergeben werden. Unsere Kunden haben die Möglichkeit, die Rechtevergabe auf Grundlage ihres eigenen Berechtigungskonzepts individuell zu gestalten.

Verfügbarkeit und Belastbarkeit
Welche Mechanismen setzt inveox ein, um die dauerhafte Verfügbarkeit der Software zu gewährleisten?

Hierbei setzt inveox besonders auf die geo-redundante Auslegung der Server-Infrastruktur in Bezug auf Produktivdaten und Backups sowie die physische Sicherheit der Rechenzentren (z. B. unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage usw.), soweit dies mit den datenschutzrechtlichen Vorschriften im Einklang ist. Zudem betreibt inveox ein kontinuierliches Kapazitätsmanagement zur Überwachung der genutzten und zur Verteilung der notwendigen Ressourcen.

Wiederherstellbarkeit
Werden regelmäßige Backups durchgeführt, oder müssen Kunden ihre Daten selbst sichern?

Damit inveox eine angemessene Verfügbarkeit der Datenbank gewährleisten kann, setzt inveox ein Backup-Konzept um, welches sowohl die gespeicherten Daten des Auftraggebers als auch das Speichermedium mit entsprechenden gesicherten Dokumenten nach dem Stand der Technik sichert.

Was geschieht mit den Kundendaten, wenn es zu einem Totalausfall unseres Systems kommt, etwa aufgrund einer Naturkatastrophe oder eines ähnlichen Ereignisses?
inveox achtet darauf, dass selbst bei einem Totalausfall des Systems durch die redundante Auslegung der Rechenzentren sichergestellt ist, dass Ihre Daten nicht verlorengehen. Bei einem solchen Fall wird inveox sein Möglichstes tun, um eine schnelle Wiederherstellung sicherzustellen.

Zweckbindung
Wem gehören die Daten?

Sie als Kunde verfügen über die Daten und bleiben die verantwortliche Stelle im Sinne des Art. 24 EU-DSGVO. Somit sind Sie als Kunde auch für die Wahrung der Betroffenenrechte verantwortlich. inveox fungiert als Auftragsverarbeiter und verarbeitet die Daten ausschließlich auf Ihre Weisung hin und zu den im Vertrag zur Auftragsverarbeitung bestimmten Zwecken.

Für Sie bedeutet das konkret, dass inveox keinesfalls Daten an Dritte verkauft oder weitergibt. Ausgenommen ist die Weitergabe an beauftragte Unterauftragnehmer, die im Rahmen des Vertrags zur Auftragsverarbeitung mit Ihnen geregelt ist.

Was passiert mit den Daten, wenn der Kunde den Vertrag beendet oder inveox den Geschäftsbetrieb einstellt?
Nach Beendigung der Geschäftsbeziehung können weisungsberechtigte Personen auf Kundenseite die Herausgabe der Daten in einem maschinenlesbaren Format beantragen. Zudem werden die Daten nach Ablauf der vertraglich bestimmten Frist unwiederbringlich gelöscht. Im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebsdurch inveox ergibt sich keine Abweichung hiervon. Der Kunde ist und bleibt „Eigentümer der Daten“.Da inveox nur Auftragsverarbeiter ist, kann und wird inveox über die personenbezogenen Daten nicht anderweitig verfügen.

Weiterführende Informationen

Für weiterführende Informationen oder Rückfragen zu den Inhalten der Seite kontaktieren Sie gerne Ihren persönlichen Ansprechpartner bei inveox oder unser Datenschutz- und Informationssicherheitsteam unter datenschutz@inveox.com.

Bei sicherheitsrelevanten Anliegen wenden Sie sich direkt an datenschutz@inveox.com.

Weitere Dokumente zum Thema Datenschutz und IT-Sicherheit

Technische und organisatorische Maßnahmen (auf Anfrage bei Ihrem inveox Ansprechpartner)

Datenschutz- und IT-Sicherheitsrichtlinie (auf Anfrage bei Ihrem inveox Ansprechpartner)