Digitsole-Compliance-Zentrum

VEREINBARUNG ÜBER ZERTIFIZIERTE DATENVERARBEITUNG UND HOSTING FÜR PODOSMART ODER DIGITSOLE PRO SERVICE

Diese Vereinbarung gilt nur im Zusammenhang mit dem Angebot von PodoSmart oder Digitsole Pro oder Digitsole Pro Lösungsprodukten und Dienstleistungen. 

Der Unterzeichner der Vereinbarung wird aufgefordert, diesen Vertrag in seinen Unterlagen aufzubewahren, um seine Übereinstimmung mit den Vorschriften über die Verarbeitung personenbezogener Daten (DSGVO) nachzuweisen. 

Vereinbarung 

Die Vereinbarung über die Datenverarbeitung (im Folgenden als „Vereinbarung“ oder „Anlage“ bezeichnet) hat den Wert eines Vertrages zwischen den Parteien. Sie wird am Tag ihrer Annahme auf elektronischem Wege genehmigt und bildet einen integralen Bestandteil der Allgemeinen Geschäftsbedingungen des PodoSmart oder Digitsole Pro -Lösungsprodukt- und Dienstleistungsangebots in ihrer neuesten Fassung (im Folgenden der „Hauptvertrag“).

 

Zwischen:


„der Kunde“

(im Folgenden der „Datenverantwortliche“, Unterzeichner des Hauptvertrags)

UND

DIGITSOLE SAS ,

Ein französisches Unternehmen mit Sitz in 13, rue Héré - Place Stanislas, 54000 NANCY, FRANKREICH (im Folgenden als „Auftragsverarbeiter“ bezeichnet), Anbieter der PodoSmart oder Digitsole Pro  Lösungsprodukte und Dienstleistungen,

Nachfolgend als "Auftragsverarbeiter" bezeichnet

Zusammen als "die Parteien" bezeichnet

Artikel 1 – Zweck 

Zweck dieser Vereinbarung ist es, die Bedingungen festzulegen, unter denen sich der Auftragsverarbeiter verpflichtet, im Auftrag des Datenverantwortlichen die unten aufgeführten Datenverarbeitungsvorgänge im Rahmen der Produkte und Dienstleistungen der PodoSmart oder Digitsole Pro -Lösung durchzuführen.

Die Parteien verpflichten sich im Rahmen ihres Vertragsverhältnisses zur Einhaltung der geltenden Rechtsvorschriften zum Schutz personenbezogener Daten, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DSGVO“).

Diese Vereinbarung bietet dem Datenverantwortlichen, dem medizinischen Fachpersonal und den von der Datenverarbeitung betroffenen Personen auch die Garantien der Anwendung der französischen Vorschriften über das zertifizierte Hosting von Gesundheitsdaten (HDS; Gesetz Nr. 2002-303 vom 4. März 2002, Artikel L1111-8 und R. 1111-11 des Gesetzes über das öffentliche Gesundheitswesen)

Artikel 2 – Definitionen

In dieser Vereinbarung haben die folgenden Begriffe die nachstehend angegebene Bedeutung und alle Formulierungen der Vereinbarung beinhalten ihre Bedeutung.

 

Die folgenden Begriffe haben die Bedeutung der Definitionen der DSGVO: 

 

„Verarbeitung“, „Datenverantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Gesundheitsdaten“, „Verarbeitungstätigkeiten“, „Datenschutzverletzung“, „Empfänger“, „Dritter“, „Einwilligung“.

 

Die folgenden Begriffe haben die spezifische Bedeutung ihrer Anwendung in dieser Vereinbarung:

 

„Rahmenvertrag“ bezeichnet die Nutzbedingungen für die PodoSmart oder Digitsole Pro-Lösung und der Dienste

„Dritte“ bezeichnet jede andere Partei als den Auftragsverarbeiter, den Datenverantwortlichen und die medizinische Fachkraft, die betroffene Person oder den Vertriebspartner.

„Patienten“ sind Relevante Personen, die Nutzer des PodoSmart oder Digitsole Pro -Lösungsprodukt- und Dienstleistungsangebots sind und in einer Beziehung zu einer medizinischen Fachkraft stehen.

„Fachkraft im Gesundheitswesen“ bezeichnet eine Fachkraft im Gesundheitswesen, die vom Datenverantwortlichen als kompetent und befugt erachtet wird, das PodoSmart oder Digitsole Pro -Lösungsprodukt- und Dienstleistungsangebot zu nutzen.

„Vertriebspartner“ bezeichnet eine andere Partei als eine von Digitsole zur Vermarktung der Produkte autorisierte Drittpartei, die direkt vom Datenverantwortlichen oder der medizinischen Fachkraft angefragt wird, um ein Angebot zur Nutzung der Dienste zu abonnieren und während der Nutzung von der persönlichen Unterstützung des Vertriebspartners zu profitieren.

„EU“ bedeutet die Europäische Union.

„EWR“ bedeutet der Europäische Wirtschaftsraum.

„HDS“ bezeichnet den zertifizierten Health Data Hosting Service (französische Gesetzgebung zum Hosting von Gesundheitsdaten auf digitalen Medien; Gesetz Nr. 2002-303 vom 4. März 2002, Artikel L1111-8 und R. 1111-11 des Gesetzes über das öffentliche Gesundheitswesen), den der Auftragsverarbeiter dem Datenverantwortlichen und dem Angehörigen der Gesundheitsberufe für die Speicherung und Verarbeitung von Daten zur Verfügung stellt, die während der Präventions-, Diagnose- und Pflegetätigkeiten im Hinblick auf ihre Hinterlegung in den Systemen des Unterauftragnehmers während der Nutzung des Produkt- und Dienstleistungsangebots der PodoSmart oder Digitsole Pro-Lösung  gesammelt oder erzeugt wurden. Der Host HDS darf die Daten nicht für andere Zwecke verwenden und nicht an andere als die in dieser Vereinbarung genannten Empfänger weitergeben.

„Produkte“: PodoSmart® Einlegesohlen und/oder Zubehör.

„Dienstleistungen“: bezeichnet alle Dienstleistungen im Zusammenhang mit dem Produkt Podosmart®

„Konto“: Ein Benutzerkonto besteht aus einem Benutzernamen, einem Passwort und allen Benutzerinformationen, die für den Zugriff auf die Dienste erforderlich sind

„Drittland“ jedes Land außerhalb der EU/des EWR, das keine der DSGVO gleichwertige Regelung hat, mit Ausnahme von Ländern, die einem Angemessenheitsbeschluss der Europäischen Kommission für die Übermittlung personenbezogener Daten in Drittländer unterliegen.

„PGSSI-S“ Allgemeine Richtlinie für die Sicherheit von Gesundheitsinformationssystemen, definiert von den französischen Behörden.


Artikel 3 – Inkrafttreten und Dauer der Vereinbarung

Diese Vereinbarung tritt mit seiner entmaterialisierten Freigabe und Unterzeichnung (nachfolgend „Datum des Inkrafttretens des Vertrages“) in Kraft, solange das Produkt im Rahmen eines gültigen Hauptvertrages für ein Angebot von Produkten und Dienstleistungen der PodoSmart oder Digitsole Pro-Lösung  verwendet wird. 

Artikel 4 – Verarbeitung aufgrund der Vereinbarung

Die vom Auftragsverarbeiter durchgeführte Verarbeitung personenbezogener Daten wird durchgeführt, um dem Angehörigen der Heilberufe biomedizinische Informationen in Bezug auf die Nutzung der Produkte und Dienstleistungen durch die betroffenen Personen, insbesondere deren Gehprofil, zu liefern.

Artikel 5 – Beschreibung der Verarbeitung 

Der Datenverantwortliche hat den Auftragsverarbeiter beauftragt, ihm Verarbeitungsvorgänge zur Verfügung zu stellen, die es ihm ermöglichen, die folgenden Zwecke zu erreichen, und nur die in diesem Zusammenhang erforderlichen Verarbeitungsvorgänge durchzuführen:

      i.        Verwaltung von Daten, die im Zusammenhang mit der Nutzung des Produkt- und Dienstleistungsangebots der PodoSmart oder Digitsole Pro-Lösung  erzeugt werden, an welcher der Datenverantwortliche, eine medizinische Fachkraft und ein Patient beteiligt sind;

     ii.        Verwaltung der biomedizinischen Parameter im Zusammenhang mit der Mobilität des Patienten;

    iii.        Verwaltung der vom Patienten angegebenen medizinischen Daten (Pathologie) im Zusammenhang mit seiner Mobilität.

Art der Maßnahmen, die auf der Grundlage der Daten durchgeführt werden, um die Zwecke (i), (ii) und (iii) zu erreichen:

 

·         Sammlung, Aufzeichnung, Änderung, Aktualisierung und Löschung aller Informationen im Zusammenhang mit der Nutzung der Dienste und der Verwaltung der Kundenbeziehung;

·         Erfassung, Aufzeichnung, Änderung, Aktualisierung und Löschung von Informationen durch die medizinische Fachkraft bei der Nutzung der Dienste;

·         Bereitstellung einer Schnittstelle zur Abfrage des Patientenprofils durch vom Datenverantwortlichen autorisierte Personen;

·        Bereitstellung eines Geräts zum Importieren von strukturierten Daten, die vom Angehörigen der Heilberufe oder dem Datenverantwortlichen bereitgestellt werden, in die Dienste;

·        Anonyme Verwertung von biomedizinischen Daten zur statistischen Nutzung und Verbesserung des Produkt- und Serviceangebots der PodoSmart oder Digitsole Pro-Lösung ;

. Bereitstellung minimierter Daten durch den Vertriebspartner, um dem Datenverantwortlichen oder dem medizinischen Fachpersonal eine personalisierte Unterstützung bei der Verwendung der Produkte zu ermöglichen.

·         Schutz der Vertraulichkeit und Integrität der Daten, der Verfügbarkeit des Dienstes und der Konten sowie der zugehörigen Informationen in Anwendung der DSGVO und der mit dem HDS-Hosting verbundenen Vorschriften.

 

Die von der Verarbeitung betroffenen Kategorien von Personen sind die folgenden: Patienten, medizinisches Fachpersonal, Datenverantwortlicher.

Um die oben in den Punkten (i), (ii) und (iii) genannten Dienstleistungen im Auftrag des Datenverantwortlichen zu erbringen, ist der Auftragsverarbeiter berechtigt, die folgenden notwendigen Informationen zu verarbeiten, die ihm vom Datenverantwortlichen, der medizinischen Fachkraft und/oder der von der Verarbeitung betroffenen Person zur Verfügung gestellt werden:

Persönliche Daten des Patienten:: Name, Vorname,  Titel, Geschlecht, Geburtsdatum, Gewicht, Größe, E-Mail, Anschrift, Telefonnummern (mobil, privat, beruflich), vom Datenverantwortlichen oder vom medizinischen Fachpersonal zugewiesene Kennung;

Identifikationsdaten von offiziellen Stellen: z. B. eine nationale Identifikationsnummer

Gesundheitsdaten: Pathologie, biomedizinische Messungen und Parameter, die als Ergebnis der Nutzung von Produkten und Diensten gesammelt werden

Daten zur Identifizierung des Berufsangehörigen: Name, Vorname, Art der Tätigkeit, Berufsbezeichnung, Anschrift, berufliche Telefonnummer, berufliche E-Mail

Elektronische Daten: IP-Adressen und Verbindungsdaten, Cookies, elektronische Signaturen;

 

Artikel 6 – Pflichten des Datenverantwortlichen

Der Datenverantwortliche hat im Rahmen dieser Vereinbarung die vertragliche Kontrolle über die vom Auftragsverarbeiter durchgeführte Verarbeitung, die sich aus den Bestimmungen des Artuikels 28 Absatz 3 der DSGVO ergibt, und muss vor allem in dieser Hinsicht Folgendes sicherstellen:

·        dem Auftragsverarbeiter die in diesem Dokument genannten Daten sowie alle Daten, die für die Durchführung der Dienstleistungen erforderlich sind, zur Verfügung zu stellen, wobei die Daten in Übereinstimmung mit den geltenden Gesetzen erhoben worden sein müssen;

·         dem Auftragsverarbeiter alle dokumentierten Anweisungen in Bezug auf die vom Auftragsverarbeiter durchzuführende Bearbeitung zur Verdfügung zu stellen;

·         dem Auftragsverarbeiter die für die Durchführung dieser Vereinbarung erforderlichen Daten zur Verfügung zu stellen;

·         das von der DSGVO vorgeschriebene Register der Verarbeitungstätigkeiten zu führen;

·       bei seiner Tätigkeit alle organisatorischen und technischen Maßnahmen, insbesondere in Bezug auf die Sicherheit, umzusetzen, um das von der DSGVO vorgeschriebene Schutzniveau bei der Nutzung der vom Auftragsverarbeiter erbrachten Leistungen zu gewährleisten;

·         vor und während der Nutzung der Dienste sicherzustellen, dass diese den Bestimmungen der DSGVO entsprechen;

·         die Rechte der von der Verarbeitung betroffenen Personen zu respektieren;

.          eine medizinische Fachkraft zu bestimmen, welche die Wahrung des Gesundheitsdatengeheimnisses, den Schutz der Privatsphäre der betroffenen Personen und die Umsetzung ihrer Rechte sicherstellt;

·         den Auftragsverarbeiter über alle Sicherheitsvorfälle oder Datenverletzungen zu benachrichtigen;

·         die Überwachung der Verarbeitung, einschließlich, falls erforderlich, die Durchführung von Audits und Inspektionen mit dem Auftragsverarbeiter sicherzustellen;

·         die aktuellen Kontaktinformationen für das Konto zu pflegen; 

·         alle angemessenen Schutzmaßnahmen zu ergreifen, um unbefugten Zugriff auf das Konto, die Daten und die Dienste zu verhindern;

·         die Verpflichtungen der DSGVO in Bezug auf Information und Einholung der Zustimmung von Einzelpersonen zu erfüllen.


Der Datenverantwortliche ist verpflichtet, die Übereinstimmung seiner Tätigkeit mit allen Vorschriften, die sich auf den Schutz der personenbezogenen Daten beziehen, sowie mit den vertraglichen Bestimmungen, die ihn an den Auftragsverarbeiter oder einen Dritten binden, zu überprüfen.

Artikel 7 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich im Rahmen dieser Vereinbarung gegenüber dem Datenverantwortlichen zur Einhaltung der für die Datenverarbeitung geltenden Vorschriften, insbesondere im Hinblick auf Artikel 28 der DSGVO, sowie der Vorschriften über das zertifizierte Hosting von Gesundheitsdaten:

7.1 Anpassung an die geltenden Vorschriften 

Der Auftragsverarbeiter verpflichtet sich, alle auf seine Tätigkeit anwendbaren Bestimmungen der DSGVO sowie alle anderen anwendbaren Vorschriften zum Datenschutz einzuhalten. 

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem 

·         Die Daten nur für den (die) alleinigen Zweck(e) zu verarbeiten, der (die) Gegenstand der Unterauftragsvergabe ist (sind);

·         Die Daten gemäß den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen zu verarbeiten. Ist der Auftragsverarbeiter der Ansicht, dass eine Anweisung einen Verstoß gegen die Europäische Datenschutzverordnung oder eine andere datenschutzrechtliche Bestimmung der Union oder eines Mitgliedstaats darstellt, so hat er den für die Verarbeitung Verantwortlichen unverzüglich zu unterrichten. 

·         Die Vertraulichkeit der im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten zu gewährleisten;

·         Sicherstellen, dass die zur Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags befugten Personen:

o    Sich zur Wahrung der Vertraulichkeit verpflichten oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen 

o    Die erforderliche Schulung zum Schutz personenbezogener Daten erhalten

·         Bei ihren Werkzeugen, Produkten, Anwendungen oder Dienstleistungen die Grundsätze des Datenschutzes durch Technik und des Datenschutzes durch Voreinstellungen zu berücksichtigen

7.2 Einholen von behördlichen Genehmigungen und Zertifizierungen

Der Auftragsverarbeiter verpflichtet sich, die behördlichen Genehmigungen und Zertifizierungen einzuholen, die für die Ausübung seiner Tätigkeit in den Ländern, in denen die Produkte und Dienstleistungen geliefert werden, erforderlich sein können. Der Auftragsverarbeiter hat ein Zertifizierungsverfahren mit dem französischen Staat abgeschlossen, das den Angehörigen der Gesundheitsberufe oder Einrichtungen des Gesundheitswesens oder der betroffenen Person erlaubt, personenbezogene Gesundheitsdaten, die im Rahmen von Präventions-, Diagnose- oder Pflegetätigkeiten erhoben oder erstellt wurden, bei dafür zugelassenen Personen zu hinterlegen.

Der Auftragsverarbeiter hat eine Zertifizierung erhalten, die es ihm erlaubt, die Tätigkeit eines zertifizierten Hosts von Gesundheitsdaten gemäß dem Gesetzbuch des öffentlichen Gesundheitswesens (Gesetz Nr. 2002-303 vom 4. März 2002, Artikel L1111-8 und R. 1111-11 des französischen Gesundheitswesens) im Rahmen der Zertifizierung für einen Dienst des Hostings und der Verarbeitung von persönlichen Gesundheitsdaten auszuüben, die durch die Dienste mit dem Namen Podosmart oder Digitsole Pro für die folgenden Tätigkeiten gesammelt wurden:

3. Bereitstellung und Aufrechterhaltung des Betriebszustandes der Hosting-Plattform der Anwendungen des Informationssystems;

4. die Bereitstellung und Aufrechterhaltung des Betriebszustandes der virtuellen Infrastruktur des für die Verarbeitung von Gesundheitsdaten verwendeten Informationssystems;

5. die Verwaltung und den Betrieb des Informationssystems, das die Gesundheitsdaten enthält;

6. die Sicherung von Gesundheitsdaten.

 

Dem Auftragsverarbeiter ist es in diesem Zusammenhang als HDS-zertifiziertem Host untersagt, die gehosteten Gesundheitsdaten für andere Zwecke als die Durchführung der Gesundheitsdaten-Hosting-Aktivität zu nutzen.

Die vom Auftragsverarbeiter erhaltene Konformitätsbescheinigung sowie die Daten der Ausstellung und Erneuerung sind im Compliance Centre zugänglich:

https://compliance.digitsole.com/certifications

Der Auftragsverarbeiter wird auf erste Anfrage die vom Zertifizierer durchgeführten HDS-Auditberichte über unser Online-Formular mitteilen:

https://compliance.digitsole.com/data-subject-requests


 

7.3 Ort der Aktivität und der Aufnahmeorte  

Der Auftragsverarbeiter verpflichtet sich, den Datenverantwortlichen auf transparente Weise über den Ort seiner Tätigkeit und die Orte, an denen die Verarbeitung und die Daten gehostet werden, zu informieren.

Der Standort der Niederlassung des Auftragsverarbeiter befindet sich in Frankreich. Die Datenverarbeitung findet innerhalb der EU statt. Im Falle von Änderungen verpflichtet sich der Auftragsverarbeiter, die Einhaltung sicherzustellen. Für den Fall, dass im Rahmen des Geschäftsbetriebes weitere Auftragsverarbeiter eingesetzt werden, hat der Auftragsverarbeiter sicherzustellen, dass die sich aus dieser Vereinbarung ergebenden Compliance-Verpflichtungen eingehalten werden. Der Datenschutzbeauftragter wird so schnell wie möglich über alle Änderungen in diesem Bereich informiert. 

7.4 Dokumentierte Anweisungen  

Der Auftragsverarbeiter verpflichtet sich, nur solche Daten zu verarbeiten, die unter die dokumentierten Anweisungen des Datenverantwortlichen fallen.

Der Auftragsverarbeiter informiert den Datenverantwortlichen so schnell wie möglich, wenn sich herausstellt, dass eine ihm vom für die Verarbeitung Verantwortlichen übermittelte Anweisung einen Verstoß gegen die Europäische Datenschutzverordnung (DSGVO) oder die für die Verarbeitung geltenden Rechtsvorschriften darstellt.

7.5 Aufzeichnung von Verarbeitungstätigkeiten 

Der Auftragsverarbeiter verpflichtet sich, die Verarbeitung der Daten in einer dokumentierten Art und Weise gemäß den Anforderungen der DSGVO und aller anwendbaren Vorschriften durchzuführen, insbesondere für die Tätigkeit des zertifizierten Hostings von Gesundheitsdaten.

Gemäß Artikel 30 der DSGVO führt der Auftragsverarbeiter ein Verzeichnis aller Kategorien von Verarbeitungen, einschließlich: 

·         Die Kontaktdaten des Datenverantwortlichen sowie ggf. die eines möglichen Auftragsverarbeiter und die des Datenschutzbeauftragten (DSB);

·         Eine Beschreibung der Verarbeitungstätigkeiten, einschließlich insbesondere einer Beschreibung der Dienste, die im Zusammenhang mit einer behördlichen Genehmigung oder Zertifizierung für das Hosting von Gesundheitsdaten erbracht werden;

·         Im Falle einer Datenübermittlung außerhalb der EU, in ein Drittland oder an eine internationale Organisation, muss der Auftragsverarbeiter die Identifizierung des Empfängers sicherstellen, indem er die angemessenen Sicherheitsvorkehrungen angibt, die zur Erfüllung der Anforderungen der DSGVO getroffen wurden;

Das Register wird eine allgemeine Beschreibung der organisatorischen und technischen Maßnahmen sowie der Sicherheitsmaßnahmen enthalten, insbesondere, je nach betrieblicher Realität und je nach behördlicher Genehmigung oder Zertifizierung, die der Auftragsverarbeiter erhalten hat:

 

O      Die Bedingungen für die Durchführung von Datenschutzmaßnahmen, insbesondere im Falle des Rückgriffs auf ein Verfahren zur Pseudonymisierung oder Verschlüsselung von Daten;

O      Die Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie der Ausfallsicherheit der Dienste;

O     Maßnahmen, die sich auf die Fähigkeit beziehen, den Zugriff auf Daten im Falle eines Vorfalls wiederherzustellen und zu sichern;

O     Die Prozesse zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der getroffenen Maßnahmen unter besonderer Berücksichtigung der Anforderungen an die Auditierbarkeit der gehosteten Daten im Hinblick auf die Zertifizierung als Gesundheitsdaten-Host.

 

7.6 Zusammenarbeit, Audits

 

Der Auftragsverarbeiter unterstützt den Datenverantwortlichen bei der Erfüllung der sich aus den Artikeln 32 bis 36 der DSGVO ergebenden Verpflichtungen in Bezug auf die Sicherheit (Ergreifung von Maßnahmen, Meldung von Datenverletzungen,). Der Auftragsverarbeiter stellt dem Datenverantwortlichen die in seinem Besitz befindlichen Informationen zur Verfügung, um die Durchführung einer Datenschutz-Folgenabschätzung sowie die vorherige Konsultation der zuständigen Datenschutzbehörde zu erleichtern.

Der Auftragsverarbeiter stellt dem Datenverantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der sich aus dieser Vereinbarung ergebenden Verpflichtungen nachzuweisen und ein etwaiges Audit zu erleichtern, insbesondere in Bezug auf die für die Tätigkeit des zertifizierten Gesundheitsdatenhosts geltenden Vorschriften.

7.7 Technische und organisatorische Maßnahmen, Qualität und Leistung des Dienstes 

Der Auftragsverarbeiter verpflichtet sich, auf der Ebene der Werkzeuge, Produkte und Dienstleistungen die Grundsätze des Datenschutzes bereits bei der Konzeption und standardmäßig durch technische und organisatorische Maßnahmen zu berücksichtigen.

Der Auftragsverarbeiter wird organisatorische und technische Maßnahmen umsetzen, die ein den identifizierten Risiken angemessenes Niveau der Daten- und Verarbeitungssicherheit sowie die Gewährleistung des angekündigten Servicelevels sicherstellen sollen.

 

Die Sicherheitsmaßnahmen beruhen insbesondere auf der Durchführung der folgenden Aktionen entsprechend der Risikoanalyse und der Notwendigkeit, Schutzmaßnahmen zu ergreifen:

 

O      Pseudonymisierung oder Verschlüsselung von Daten;

O   Pseudonymisierungsmaßnahmen und Maßnahmen zur Sicherstellung und Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie der Ausfallsicherheit von Informationssystemen und -diensten; oder Datenverschlüsselung;

O     Maßnahmen, die sich auf die Fähigkeit beziehen, im Falle eines Vorfalls, der zu solchen Problemen führen kann, den Zugriff auf Daten so schnell wie möglich wiederherzustellen und zu sichern;

O      Prozess der regelmäßigen Prüfung, Bewertung und Auditierung der Wirksamkeit der getroffenen Maßnahmen;

O       Maßnahmen zum Schutz der Daten gegen zufälligen oder unrechtmäßigen Verlust, Zerstörung oder Zugriff, Veränderung oder unberechtigte Weitergabe oder unberechtigten Zugriff.

 

Die vom Auftragsverarbeiter ergriffenen Maßnahmen zur Sicherheitsorganisation basieren insbesondere auf den Datenverantwortlichen geltenden Anforderungen, die darauf abzielen, die Einhaltung der Sicherheitsorganisation und der bewährten Praktiken im Zusammenhang mit seiner allgemeinen Sicherheitspolitik für Gesundheitsinformationssysteme zu gewährleisten.

 

Durch die Genehmigung dieser Vereinbarung wird der in Frankreich niedergelassene Datenverantwortliche darüber informiert, dass er verpflichtet ist, ein Gesundheitsinformationssystem zu implementieren, das der PGSSI-S entspricht, und er verpflichtet sich, die durchsetzbaren Referenzdokumente dieser Politik einzuhalten, die von den französischen Behörden im Bereich der Verarbeitung von Gesundheitsdaten in Frankreich verabschiedet wurden.

 

Der Auftragsverarbeiter verpflichtet sich, ein Leistungsniveau anzunehmen, das es ihm ermöglicht, die Anforderungen der für das Datenhosting erhaltenen Zertifizierung zu erfüllen.

Der garantierte Service-Level ist wie folgt: 99 %.

 

Qualitäts- und Leistungsindikatoren werden vom Auftragsverarbeiter übernommen, um die Überprüfung des angekündigten und des garantierten Leistungsniveaus sowie die Periodizität ihrer Messung zu ermöglichen. 

 

Unter dem folgenden Link im Compliance Center finden Sie eine aktuelle Dokumentation der vom Auftragsverarbeiter vorgesehenen organisatorischen und technischen Maßnahmen:

https://compliance.digitsole.com/technical-and-organisational-security-measures

 

7.8 Datenschutzbeauftragter (DSB), Vertragsreferenten 

Der Auftragsverarbeiter verpflichtet sich, durch die Benennung eines Vertragsvertreters und eines Datenschutzbeauftragten dafür zu sorgen, dass alle organisatorischen, technischen und rechtlichen Fragen im Zusammenhang mit der Vertragsdurchführung schnellstmöglich geklärt werden.

Das Eingreifen dieser beiden internen Funktionen des Datenverantwortlichen einerseits und des Auftragsverarbeiters andererseits muss die Anwendung der Anforderungen der DSGVO und derjenigen, die sich aus der im Bereich des Gesundheitsdaten-Hostings erhaltenen Zertifizierung ergeben, sicherstellen.

Der vertragliche Ansprechpartner des Datenverantwortlichen kann für alle Fragen im Zusammenhang mit der Durchführung des Vertrages und vor allem für die Behandlung von Vorfällen, die Auswirkungen auf die gehosteten Gesundheitsdaten haben, kontaktiert werden. 

Der Datenverantwortliche, ein Kunde des Hosts, verpflichtet sich, eine medizinische Fachkraft zu benennen, die für die Behandlung von Vorfällen mit Auswirkungen auf die gehosteten Gesundheitsdaten kontaktiert werden kann. Im Rahmen diese Vereinbarung verpflichtet sich der Datenverantwortliche, der die Vereinbarung unterzeichnet hat, die Rolle des Vertragsreferenten zu übernehmen. Für den Fall, dass diese Funktion nicht wahrgenommen werden kann, verpflichtet sich der Datenverantwortliche, eine Person mit den gleichen Befugnissen an ihre Stelle treten zu lassen.

Der Datenschutzbeauftragte (DSB) kann für alle Fragen im Zusammenhang mit der Anwendung der europäischen Datenschutzbestimmungen sowie anderer relevanter Gesetze kontaktiert werden. Der DSB hat weitreichende Befugnisse gemäß den Bestimmungen der Artikel 37 bis 39 der DSGVO. Der DSB wird im Rahmen seiner Funktion und seiner Aufgaben den Datenverantwortlichen begleiten, um die Bereitstellung von Informationen seitens des Auftragsverarbeiter zu erleichtern, die es den Verantwortlichen für die Datenverarbeitung ermöglichen, Audits durchzuführen oder Fragen im Zusammenhang mit der Anwendung der Bestimmungen zum Schutz personenbezogener Daten oder im Zusammenhang mit den für die Datenverarbeitung im Gesundheitsbereich geltenden Referenzsystemen zu beantworten.

Kontaktinformationen:

- Vertraglicher Referent

Email: legal@digitsole.com  

 

DSB

Email: dpo@digisole.com

 

7.9 Einsatz von nachfolgenden Auftragsverarbeiter und technischen Dienstleistern 

Der Auftragsverarbeiter als Hauptunterauftragnehmer im Sinne der DSGVO verpflichtet sich, den Einsatz nachfolgender Unterauftragnehmer oder technischer Dienstleister nur in Übereinstimmung mit den Bestimmungen der DSGVO und den für die Zertifizierung der Gesundheitsdaten-Hosting-Tätigkeit geltenden Bestimmungen zu nutzen. Dieser muss unter allen Umständen und in Abhängigkeit von den Interessengruppen ein Garantieniveau aufrechterhalten können, das dem entspricht, das für den Unterauftragnehmer gilt. Nachfolgenden Auftragsverarbeitern ist es untersagt, Daten in ein Drittland zu übermitteln, es sei denn, es wird festgestellt, dass eine solche Übermittlung unter den von der DSGVO geforderten Bedingungen durchgeführt wird.

Der Datenverantwortliche ermächtigt den Auftragsverarbeiter, nachfolgende Auftragsverarbeiter einzusetzen, deren Einsatz für die Durchführung der Dienstleistungen erforderlich ist. Der Datenverantwortliche ist über den geplanten Einsatz eines Auftragsverarbeiter zu informieren, um ihm die Möglichkeit zu geben, innerhalb einer Frist von 14 Tagen ab dem Zeitpunkt, an dem er von dieser Information Kenntnis erlangt, Anmerkungen oder Einwände zu machen. Liste der aktiven Auftragsverarbeiter ist im Compliance Center zugänglich.

Unter folgendem Link innerhalb des Compliance-Centers finden Sie eine Liste von Auftragsverarbeitern sowie die Garantien, die im Hinblick auf die Übertragung von Daten außerhalb der EU gegeben werden:

https://compliance.digitsole.com/sub-processors

7.10 Vertraulichkeit, Berufsgeheimnis, Zugang zu persönlichen Gesundheitsdaten 

Der Auftragsverarbeiter verpflichtet sich, den Zugriff auf die Verarbeitungs- und Personendaten nur auf streng autorisierte Personen und in Anwendung des DSGVO-Prinzips der Minimierung zu beschränken. 

Der Auftragsverarbeiter und die ihm unterstellten Personen, die Zugang zu den Daten haben, sind gemäß den Vorschriften über das zertifizierte Hosting von personenbezogenen Gesundheitsdaten an das Berufsgeheimnis gebunden. Nur die von der Verarbeitung betroffenen Personen und die mit der Verarbeitung betrauten und daher benannten Fachkräfte des Gesundheitswesens dürfen unter Einhaltung der Vorschriften zur Geheimhaltung und zum Schutz der Privatsphäre Zugang zu den gespeicherten Daten haben.

Die vom Auftragsverarbeiter beauftragten Personen unterliegen einer besonderen Vertraulichkeitsverpflichtung, es sei denn, sie sind von einer solchen Verpflichtung befreit.

Der Auftragsverarbeiter stellt sicher, dass die autorisierten Personen entsprechend sensibilisiert sind, um die Regeln der Vertraulichkeit im Rahmen ihrer Interventionen und in Bezug auf ihre Funktionen zu respektieren. Der Zugriff ist auf den Kontext der Anwendungswartung, Sicherheitsverbesserung oder Datenschutzmaßnahmen beschränkt.

Im Falle eines Ersuchens um Zugang zu gehosteten persönlichen Gesundheitsdaten wird der Auftragsverarbeiter Möglichkeiten vorschlagen, wie dieses Ersuchen unter Einhaltung der Anforderungen an die ärztliche Schweigepflicht zu behandeln ist.

7.11 Informieren der betroffenen Personen 

Falls der Auftragsverarbeiter personenbezogene Daten direkt bei den betroffenen Personen erhebt, erhalten diese eine angemessene Information unter Berücksichtigung der geltenden Bestimmungen der DSGVO über Informationen. Der Auftragsverarbeiter setzt auch eine Datenschutzrichtlinie ein, die online frei zugänglich ist.

7.12 Rechte der betroffenen Personen, Datenübertragbarkeit

Der Auftragsverarbeiter implementiert spezifische Modalitäten für die Überwachung von Anträgen auf Zugang zu gehosteten personenbezogenen Gesundheitsdaten, die sich aus der Anwendung der DSGVO ergeben, und in Übereinstimmung mit den Anforderungen der Zertifizierung der Gesundheitsdaten-Hosting-Aktivität.

Macht die betroffene Person ihre Rechte aus der DSGVO direkt gegenüber dem Auftragsverarbeiter geltend, wird der Auftragsverarbeiter die betroffene Person nach Erhalt darüber informieren, dass sie sich direkt an den Datenverantwortlichen wenden soll. Der Auftragsverarbeiter wird so weit wie möglich mit dem Datenverantwortlichen zusammenarbeiten, um die Beantwortung der Anfragen der verarbeiteten Personen zu erleichtern (Befragung, Recht auf Auskunft, Berichtigung und Löschung, Information, Datenübertragbarkeit, Widerspruch, einschließlich des Treffens von automatisierten Einzelentscheidungen im Falle des Einsatzes von Profilingverfahren).

In Bezug auf das Recht auf Datenübertragbarkeit stellt der Auftragsverarbeiter sicher, dass er dem Datenverantwortlichen und der Person, deren Daten verarbeitet werden, die Möglichkeit bietet, einen Teil der betreffenden Daten in einem maschinenlesbaren Format abzurufen, damit die übertragbaren Daten an einem anderen Ort gespeichert oder leicht von einem System auf ein anderes übertragen werden können, um sie für andere Zwecke wiederzuverwenden.

7.13 Benachrichtigung und Meldung von Datenschutzverletzungen 

Der Auftragsverarbeiter verpflichtet sich, alle Maßnahmen zu ergreifen, die für das Management und die Meldung von Sicherheitsvorfällen gelten, die unter das gesetzliche Regime für Datenverletzungen fallen, in Anwendung der DSGVO sowie in Übereinstimmung mit dem Rahmen der Zertifizierung der Gesundheitsdaten-Hosting-Tätigkeit. Der Auftragsverarbeiter benachrichtigt den Datenverantwortlichen, damit dieser gemäß den für seine Tätigkeit geltenden gesetzlichen Bestimmungen und insbesondere denen der Europäischen Datenschutzverordnung einen Bericht erhält, um ihn über jeden Sicherheitsvorfall im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten zu informieren. 

Die Verfahren zur Meldung an den Datenverantwortlichen sind wie folgt: 

-          Senden einer Nachricht innerhalb von 48 Stunden an die vertragliche E-Mail-Adresse, die der Datenverantwortliche bei der Anmeldung zu den Diensten als Teil der Annahme diese Vereinbarung mitgeteilt hat.  

 

Der Meldung sind, soweit möglich, alle Unterlagen beizufügen, die es dem Datenverantwortlichen ermöglichen, die Meldepflicht gegenüber der zuständigen Datenschutzbehörde oder den von der Verarbeitung betroffenen Personen zu erfüllen.

7.14 Antrag einer gerichtlichen oder bevollmächtigten Behörde 

Der Datenverantwortliche wird darüber informiert, dass der Auftragsverarbeiter unter Umständen einem Ersuchen einer Justizbehörde oder einer bevollmächtigten Behörde nachkommen muss, um die Übermittlung personenbezogener Daten, einschließlich ggf. Gesundheitsdaten, zu erhalten. Da solche Anfragen auf einer rechtskräftigen Genehmigungsentscheidung beruhen müssen, führt der Auftragsverarbeiter in jedem Fall eine vorherige Überprüfung der Rechtmäßigkeit der Anfragen durch, um festzustellen, ob er rechtlich verpflichtet ist, darauf zu antworten. Sofern der Auftragsverarbeiter nicht durch das Bestehen einer zuvor geprüften rechtlichen Verpflichtung daran gehindert wird, informiert er den Datenverantwortlichen über das Bestehen dieses Ersuchens und über den Umfang der Daten, die an die autorisierte Behörde übermittelt wurden.

7.15 Beziehungen zu Händlern  

Der Auftragsverarbeiter verpflichtet sich, dem Vertriebspartner, der direkt vom Datenverantwortlichen oder dem Angehörigen der Heilberufe angefordert wird, um ein Angebot zur Nutzung der Dienste zu abonnieren, nur den Zugang zu den Informationen zu ermöglichen, die für eine personalisierte Unterstützung bei der Nutzung des Produkts erforderlich sind. 

7.16 Übertragung von Daten außerhalb der EU 

Der Auftragsverarbeiter verpflichtet sich, die Anforderungen der DSGVO einzuhalten, die für die Übertragung von Daten außerhalb der Europäischen Union gelten. 

Der Datenverantwortliche wird rechtzeitig über alle Informationen in Bezug auf den geografischen Standort der Datenverarbeitung sowie deren mögliche Verlagerung (einschließlich der Verlegung des Standorts des Auftragsverarbeiters) und die Angabe eines eventuellen Drittlandes (außerhalb der EU oder des EWR) informiert, um dem für die Verarbeitung Verantwortlichen ausreichend Zeit für eventuelle Anmerkungen zu geben.  Für den Fall, dass der Auftragsverarbeiter verpflichtet ist, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, die dem europäischen Recht oder dem Recht eines Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, informiert der Auftragsverarbeiter den Datenverantwortlichen über die Rechtsgrundlage für diese Verarbeitung, es sei denn, er ist gesetzlich verpflichtet, diese Informationen nicht offen zu legen.

7.17 Änderungen an den Diensten oder technischen Entwicklungen, Ausfall der Dienste

Der Auftragsverarbeiter verpflichtet sich, alle Maßnahmen zu ergreifen, die es ihm ermöglichen, den Datenverantwortlichen bei Änderungen der Leistungen oder technischen Weiterentwicklungen sowie bei Ausfällen zu unterstützen. Diese Unterstützung zielt insbesondere darauf ab, die spezifischen Anforderungen an die Kontinuität und Wiederherstellung der Tätigkeit sowie den Rahmen der verschiedenen organisatorischen und technischen Maßnahmen, die sich aus der DSGVO und der Zertifizierung der Gesundheitsdaten-Hosting-Tätigkeit ergeben, vorwegzunehmen und zu berücksichtigen. 

Artikel 8 – Ende der Dienste, Ende des zertifizierten Hostings  

Der Auftragsverarbeiter verpflichtet sich, den Datenverantwortlichen bei Beendigung dieser Vereinbarung und des Hauptvertrages über die Nutzung der Dienste sowie bei Verlust oder Entzug der Zertifizierung im Zusammenhang mit dem Hosting der Daten zu begleiten, um die Reversibilität des Gesundheitsdaten-Hosting-Dienstes sowie deren Rückgabe und Vernichtung zu ermöglichen. Die Bedingungen der verschiedenen daraus resultierenden Dienste werden dem Datenverantwortlichen zur Verfügung gestellt. 

Der Auftragsverarbeiter verpflichtet sich, im Falle des Auftretens einer Situation, die in den Anwendungsbereich dieses Artikels fällt, dem Datenverantwortlichen spätestens innerhalb von dreißig (30) Tagen nach Auftreten des Ereignisses einen Aktionsplan vorzuschlagen. Die Umsetzung der Bestimmungen dieser Klausel kann jederzeit während der Gültigkeit des Hauptvertrages verlangt werden, was keine Auswirkungen auf die Gültigkeit der Finanzklauseln des Hauptvertrages hat.

Der Auftragsverarbeiter verpflichtet sich, entweder (a) die Rückgabe der angeforderten Daten oder (b) deren Vernichtung durchzuführen. Diese Vorgänge werden in Übereinstimmung mit den Bestimmungen von Artikel 28 Absatz 3 Buchstabe g der DSGVO durchgeführt.

Nach Ablauf der Frist für die Durchführung der beantragten Maßnahme wird der Auftragsverarbeiter die Vernichtung oder Anonymisierung der betroffenen Daten gemäß dem in seiner Organisation geltenden Verfahren vornehmen.

In Ermangelung von Anweisungen des Datenverantwortlichen wird der Auftragsverarbeiter innerhalb von dreißig (30) Tagen nach der letzten Nutzung des Produkts zur endgültigen Vernichtung der Daten übergehen, vorbehaltlich des Bestehens einer anderen Verpflichtung, die im Land der Niederlassung des Auftragsverarbeiters gilt, werden die im Sicherungssystem enthaltenen Daten in einem dreimonatigen Zyklus endgültig vernichtet. 


Zuletzt aktualisiert am 13. August 2021