DPA-Anlagen
(Überarbeitung 18. Mai 2023)
Animana
IDEXX Vereinbarung über die Verarbeitung von Kundendaten (Anlage)
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Anlage gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Vereinbarung über die Verarbeitung von Kundendaten
gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind: Allgemeine Geschäftsbedingungen von IDEXX Practice Management Software Europe
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
- Mitarbeiter von Überweisungskliniken
ii. Kategorien von personenbezogenen Daten werden übermittelt:
|
|
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Konvertierung & Implementierung und Kundenbetreuung:
|
|
Aktivitäten nach Schulungsgruppen:
- Nutzung
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A:
Liste der Parteien Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Anschrift: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus diesen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die VerarbeitungVerantwortlicher (eigenes Datenuniversum)
ezyVet
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Anlage gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind:
ezyVet Allgemeine Geschäftsbedingungen
.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter Mitarbeiter von
Überweisungskliniken
ii. Kategorien von personenbezogenen Daten werden übermittelt:
|
|
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Konvertierung & Implementierung und Kundenbetreuung:
|
|
Aktivitäten nach Schulungsgruppen:
- Nutzung
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
Vet Radar
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
Vet Radar IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung
gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind:
ezyVet Allgemeine Geschäftsbedingungen (auch für Vet Radar)
.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Nachname (alle betroffenen Personen)
- Adresse (nur Tierhalter)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs Datenzugriffskontrollmaßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus diesen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes
Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
SmartFlow
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vertrag zwischen IDEXX und dem Kunden, in den die DPA und dieser Anlage aufgenommen wurden:
Allgemeine Geschäftsbedingungen von IDEXX Practice Management Software Europe (falls für Ihre Region zutreffend)
.
SmartFlow Allgemeine
Geschäftsbedingungen.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Vor- und Nachname (alle betroffenen Personen)
- E-Mail Adresse (alle betroffenen Personen)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden.
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Vertriebs- und medizinischen Beratungsgruppen:
|
|
AAktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Die gesetzliche Mindestfrist, die für die Aufbewahrung der personenbezogenen Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
VetConnect PLUS
IDEXX Anlage für die Verarbeitung von Kundendaten
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage aufgenommen wurden:
VetConnect PLUS Dienstleistungsbedingungen
.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Vor- und Nachname (Tierhalter und Kundenmitarbeiter)
- E-Mail-Adresse (Tierhalter und Kundenmitarbeiter)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Vertriebs- und medizinischen Beratungsgruppen:
|
|
Aktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Bereitstellung der in VetConnect PLUS angebotenen Kommunikationsfunktionalitäten.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Festlegung dieses Zeitraums verwendet werden.
Die gesetzliche Mindestfrist, die für die Aufbewahrung personenbezogener Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Gegenstand, Art und Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A:
Liste der Parteien Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für
Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des
Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten
nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- BackUp an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Brennstofflieferverträgen
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
SmartService
IDEXX Anlage für die Verarbeitung von Kundendaten
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage aufgenommen werden:
IDEXX SmartService-Vereinbarung
.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übertragen:
Vor- und Nachname (Tierhalter und Kundenmitarbeiter)
iii. Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Vertrieb, medizinische Beratung und Kundendienst:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Die gesetzliche Mindestfrist, die für die Aufbewahrung der personenbezogenen Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, nachträglich zu prüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- BackUp an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)