Transparenz bei der Verarbeitung von Gesundheitsdaten

Cloud Temple bietet HDS-zertifizierte Hosting- und Managed Services, die speziell auf die Herausforderungen des Gesundheitswesens zugeschnitten sind.

In Anwendung von Anforderung 31 der HDS V2-Richtlinien der NSA beschreibt dieser Abschnitt detailliert, wie Cloud Temple personenbezogene Gesundheitsdaten (DSCP) sowohl innerhalb als auch außerhalb des Europäischen Wirtschaftsraums überträgt.

Kartierung der Zugänge
HDS-zertifizierte Aktivitäten SecNumCloud 3.2-Qualifikation HDS-zertifizierte Aktivitäten Beschreibung Zugang Drittländer EWR Risiko des aufgezwungenen Zugangs Konformitätserklärung
2,3,4,6 Ja Ja Hosting und Outsourcing von Datensicherungen Nicht Nicht Kein Risiko des Zugangs, der durch die Gesetzgebung eines Drittlandes unter Verletzung des Unionsrechts auferlegt wird
5 Nicht Ja Outsourcing ausschließlich von Frankreich aus Nein (nur Frankreich) Nicht Keine Übermittlung von personenbezogenen Gesundheitsdaten in ein Land außerhalb des Europäischen Wirtschaftsraums
5 Nicht Ja Outsourcing durch gemischte Teams, die Mitarbeiter in Frankreich und unabhängige Ingenieure in Tunesien umfassen. Art der Daten : Persönliche Daten, die in den Informationssystemen der Managed-Clients gehostet werden.

Datenkategorien: Alle Kategorien personenbezogener Daten, die von den Kunden in ihren Informationssystemen gespeichert werden

Betroffene Personen: Kunden, Mitarbeiter, Lieferanten oder andere Kontaktpersonen der verwalteten Kunden

Speicherort: Frankreich

Zweck der Übertragung: Outsourcing-Dienstleistungen

Rechtsgrundlage für die Übermittlung: Standardvertragsklauseln (STVK)

Zugang zu Daten : Technische Verwaltungsrechte an der Infrastruktur. Kein operativer Zugriff auf Gesundheitsdaten, außer bei kritischen Wartungsmaßnahmen, die ordnungsgemäß nachvollziehbar sind.

Umfang der Intervention: Beschränkter Zugriff auf den Speicher und die technische Infrastruktur, die die Daten beherbergt, ohne Bearbeitung des Inhalts		 Das tunesische Gesetz sieht Beschränkungen für den staatlichen Zugriff auf personenbezogene Daten vor.

Artikel 76 des Organgesetzes Nr. 2004-63 verbietet die Übermittlung von Daten, die der öffentlichen Sicherheit oder den vitalen Interessen Tunesiens schaden könnten.

Es gibt jedoch Ausnahmen aus Gründen der nationalen Sicherheit, der Verteidigung oder der internationalen Beziehungen. Die öffentliche Stelle kann in diesen Fällen den Zugang zu Informationen verweigern.

Die Nationale Instanz für den Schutz personenbezogener Daten (INPDP) ist befugt, auf personenbezogene Daten, die Gegenstand einer Verarbeitung sind, zuzugreifen, um diese zu überprüfen.

Restrisiko: Potenzieller Zugang durch die tunesischen Behörden, der strikt auf die im Gesetz genannten Fälle nationaler Sicherheit oder Verteidigung beschränkt ist.

Schutzmaßnahmen und geeignete Garantien

Vertragliche Maßnahmen

Standardvertragsklauseln (STVK) :

  • Verwendung der von der Europäischen Kommission am 4. Juni 2021 verabschiedeten CCT, die auf dem von der CNIL empfohlenen Modell basieren
  • Diese Klauseln bieten einen rechtlichen Rahmen für die Übermittlung personenbezogener Daten außerhalb der EU.
  • Sie integrieren die Anforderungen der DSGVO und die Empfehlungen im Anschluss an das Schrems-II-Urteil.

Technische Maßnahmen

  • Starke Verschlüsselung der Daten bei der Übertragung und Verarbeitung
  • Einführung strenger Zugriffskontrollen und starker Authentifizierung
  • Segmentierung von Netzwerken und Abschottung von Daten
  • Protokollierung und Überwachung von Datenzugriffen
  • Regelmäßige Aktualisierung von Sicherheitssystemen und -anwendungen
  • Verschlüsselte Datensicherung und regelmäßige Wiederherstellungstests

Organisatorische Maßnahmen

  • Überprüfung des Hintergrunds von Mitarbeitern
  • ISO 27001-Zertifizierung, die die Outsourcing-Aktivitäten abdeckt
  • Fortlaufende Schulung der Mitarbeiter des Auftragnehmers zu Datenschutz und Informationssicherheit
  • Verfahren für eine schnelle Benachrichtigung bei Anträgen auf Zugang durch die tunesischen Behörden
  • Einführung einer dokumentierten und regelmäßig aktualisierten Informationssicherheitspolitik
  • Verfahren für den Umgang mit Sicherheitsvorfällen und Datenverletzungen
  • Regelmäßige Risikobewertungen zur Informationssicherheit
  • Einführung eines Plans für Geschäftskontinuität und Notfallwiederherstellung

Datenschutzbeauftragter

Kontakt: dpd@cloud-temple.com

Cookie-Richtlinie

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Seite zu bieten, erheben aber keine personenbezogenen Daten.

Die Dienste zur Messung des Publikums, die für den Betrieb und die Verbesserung unserer Website erforderlich sind, ermöglichen es nicht, Sie persönlich zu identifizieren. Sie haben jedoch die Möglichkeit, sich ihrer Nutzung zu widersetzen.

Weitere Informationen finden Sie in unserem Datenschutzrichtlinie.

Zulassen Ablehnen