medflex Datenschutz und Datensicherheit | medflex | Datensichere Patientenkommunikation für Ärzte und Therapeuten

Sicherheit

Wir beraten Sie gern

Beratung

Datenschutz auf höchstem Niveau

Damit medizinische Daten privat bleiben, legt medflex strengste Sicherheitsstandards an. medflex ist als gesamte Plattform von den zentralen Prüfstellen explizit für die medizinische Kommunikation zertifiziert.

So schützen wir Ihre Daten

Zugangskontrolle und Sicherheit

Bei der Registrierung als Patient:in

Patient:innen können sich nur auf Einladung per SMS oder E-Mail von ihrem Behandler registrieren.

Beim Einloggen und während der Nutzung

Über ein sicheres Passwort und automatischen Logout nach Inaktivität gewährt medflex Schutz vor unbefugtem Zugriff.

Datenübertragung und Speicherung

Sicherste Cloud-Speichertechnologien und Transportverschlüsselung

Alle Messenger-Inhalte werden nach dem AES-Standard mit sicherer 256 Bit-Verschlüsselung gespeichert. Benachrichtigungen werden SSL/ TLS-verschlüsselt übertragen. Videogespräche erfolgen über eine sichere Peer-to-Peer-Verbindung.

Server liegen physisch in Deutschland

Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Die Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Datenschutz nach europäischer DSGVO

DSGVO-konform

medflex unterliegt der DSGVO und verfolgt die Richtlinien des Standards VdS 10010 für kleine und mittlere Unternehmen (KMU).

Von Sicherheitsexperten geprüft und überwacht

medflex erfüllt die strengen Auflagen der Anlage 31b zum Bundesmantelvertrag-Ärzte (BMV-Ä), welcher die sichere Peer-to-Peer-Videoübertragung beinhaltet.

Kein unkontrollierter Zugriff von Analyse-Software

Lediglich ausgewählte Analyse-Tools mit DSGVO-konformen Verträgen zur Auftragsdatenverarbeitung (AV)

Kein Datenhandel

Pharma-Unternehmen u.ä. haben keinerlei Zugriff zu Daten von medflex und seinen Nutzer:innen.

Allgemeines zum Datenschutz

Hat medflex einen Datenschutzbeauftragten bestellt?

Ja, der Datenschutzbeauftragte der medflex GmbH kann per E-Mail kontaktiert werden unter: daten.schutz@medflex.de.

Ist die Anwendung konform nach der EU-Datenschutz-Grundverordnung (EU-DSGVO)?

Ja, medflex erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gem. DSGVO. Dies wurde bereits mehrfach mit dem ips Gütesiegel der datacert bescheinigt (zur Zusammenfassung des Prüfberichts).

Darüber hinaus erfüllt medflex die strengen Anforderungen, die bei der Zertifizierung entsprechend §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Abs. 1 SGB V (kurz: Anlage 31b BMV-Ä) gefordert sind.

Was unternimmt medflex noch auf organisatorischer Ebene, um den Schutz der personenbezogenen Daten und die Sicherheit der IT-Systeme zu gewährleisten?

medflex orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitenden hat medflex zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.

Des Weiteren arbeitet medflex eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen. medflex ist nach Richtlinien der Zertifizierungsstelle und nach Vorgaben der KBV zertifiziert.

✔︎ medflex verpflichtet sich durch die erfolgreiche Zertifizierung, die engen Auslegungen der KBV, des GKV-Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) sowie des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) im medflex Messenger umzusetzen.

Ist die Anwendung nach Maßgabe zum Datenschutz durch Technikgestaltung entwickelt und datenschutzfreundlich voreingestellt?

Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie. Damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht.

Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

Welche Daten werden verarbeitet?

Nur die zur eindeutigen Zuordnung benötigten Stammdaten, wie Name, Geburtsdatum, E-Mail oder Telefonnummer und die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.

Ärzt:innen/Behandler:innen

Folgende Daten von Ärzt:innen/Behandler:innen werden nur für die Registrierung auf dem Web-Portal zur Nutzung des Messengers und der Videosprechstunde erhoben:

Erhobene Daten:
1. Nachname
2. Vorname
3. Tätigkeitsfeld
4. E-Mail-Adresse
5. Passwort
6. Chat-Nachrichten

Mitarbeitende

Ärzt:innen/Behandler:innen können zu organisatorischen Zwecken und zur Team-Kollaboration Mitarbeiter-Accounts erstellen.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten

Registrierte Patient:innen

Folgende Daten von Patient:innen werden nur für die Registrierung auf dem Web-Portal zur Nutzung des Messengers und der Videosprechstunde erhoben.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Passwort
5. Chat-Nachrichten

Patient:innen ohne Registrierung

Folgende Daten von Patient:innen werden für Nutzung der Videosprechstunde ohne Registrierung erhoben. Ärzt:innen /Behandler:innen versenden eine Einladung an die E-Mail-Adresse oder Mobilfunknummer des Patienten.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten

Verschlüsselung und Pseudonomisierung

Werden Kundendaten verschlüsselt gespeichert?

Ja, auf allen von medlfex eingesetzten Datenbanken werden sämtliche Kommunikations- und personenbezogenen Daten nach dem Advanced Encryption Standard (AES) mit sicherer 256 Bit-Verschlüsselung gespeichert. Die Datenspeicherung geschieht ausschliesslich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Werden Kundendaten verschlüsselt übertragen?

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der medflex Anwendung an einen Client oder zu anderen Plattformen übertragen werden, sind mittels Transport Layer Security (TLS) verschlüsselt, damit insbesondere auch HTTPS.

Die Übertragung der eigentlichen Videosprechstunde oder des Telekonsils erfolgt über eine von den Auditoren vorgegebene Peer-to-Peer-Verbindung zwischen den Parteien. Der Server dient als Vermittlungszentrale beim Herstellen der Verbindung. Nach der Herstellung erfolgt die Verbindung verschlüsselt zwischen den Kommunikationspartnern.

Vertraulichkeit und Integrität

Welche Daten werden gespeichert ?

medflex speichert nur die zur eindeutigen Zuordnung benötigten Stammdaten wie Name, Geburtsdatum, E-Mail oder Telefonnummer. Die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.

Wo werden diese Daten gespeichert?

Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Wer kann bei medflex auf die Kundendaten zugreifen?

Die Inhalte der Videosprechstunde (VSS) sind für medflex technisch bewusst so gestaltet, dass sie nicht einsehbar sind. Grundsätzlich haben Mitarbeiter in den Rechenzentren keinen Zugriff auf Ihre VSS-Daten. Auf Seiten von medflex nehmen für die Kerndaten (Name, E-Mail, etc.) nur unser Infrastruktur-Team sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer-Teams (kundensystemseitig) anlassbezogen Zugriff. Dies ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen.

Wie stellt medflex sicher, dass keine Unbefugten Zugriff auf die Daten haben?

Es werden anwendungsseitig alle wesentlichen Aktivitäten (insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unauthorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

Wie erfolgt die Benutzerauthentifizierung?

Zugänge erfolgen ausschließlich über personalisierte Benutzer-Accounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei der Registrierung entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie gewählt werden muss.

Verfügbarkeit und Belastbarkeit

Welche Mechanismen setzt medflex ein, um die Verfügbarkeit zu gewährleisten?

medflex setzt insbesondere auf die redundante Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren, beispielsweise unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.

Wiederherstellbarkeit

Werden regelmäßig Backups durchgeführt?

medflex setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert.

Zweckbindung

Wem gehören die Daten?

Die Gesundheitsdaten der Patient:innen verarbeiten Ärzt:innen im Rahmen der Behandlung und der Nutzung der Videosprechstunde als verantwortliche Stelle. Die Information der Patient:innen obliegt daher dem Arzt und erfolgt außerhalb des medflex Portals. Dies bedeutet insbesondere auch, dass der Arzt für die Wahrung der Betroffenenrechte verantwortlich ist.

Wie lange werden Daten, die über medflex erhoben werden, gespeichert?

Im Rahmen eines effektiven Datenschutz-Compliance-Systems haben wir ein sogenanntes Daten-Löschkonzept für alle bei medflex verarbeiteten Daten entwickelt: Jeden Tag werden alle zwischen Arzt und Arzt SOWIE zwischen Arzt und Patient ausgetauschten Nachrichten und Dateien in den Messenger-Chats automatisch gelöscht, die älter als 105 Tage sind.

Verfahren zur Überprüfung der Sicherheit

Wir führen regelmäßige Audits unserer Organisation und Produkte auf Basis der gesetzlichen Anforderungen zum Datenschutz durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln.