Sicherheit
Datenschutz auf höchstem Niveau
Damit medizinische Daten privat bleiben, legt medflex strengste Sicherheitsstandards an. medflex ist als gesamte Software-Plattform von den zentralen Prüfstellen explizit für die medizinische Kommunikation zertifiziert.
So schützen wir Ihre Daten
Was interessiert Sie? Wählen Sie das Thema Datenschutz (Schutz von personenbezogenen und personenbeziehbaren Daten) oder IT-Sicherheit (Datensicherheit) aus.
Datenschutz - Schutz von personenbezogenen und personenbeziehbaren Daten
Zugangskontrolle und Sicherheit
Bei der Registrierung als Patient:in
Beim Einloggen und während der Nutzung
Datenübertragung und Speicherung
Sicherste Cloud-Speichertechnologien und Transportverschlüsselung
Server liegen physisch in Deutschland
Datenschutz nach europäischer DSGVO
DSGVO-konform
Von Sicherheitsexperten geprüft und überwacht
Kein unkontrollierter Zugriff von Analyse-Software
Kein Datenhandel
Allgemeines zum Datenschutz
Hat medflex einen Datenschutzbeauftragten bestellt?
Ja, der Datenschutzbeauftragte der medflex GmbH kann per E-Mail kontaktiert werden unter: daten.schutz@medflex.de.
Ist die Anwendung konform nach der EU-Datenschutz-Grundverordnung (EU-DSGVO)?
Ja, medflex erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gem. DSGVO. Dies wurde bereits mehrfach mit dem ips Gütesiegel der datacert bescheinigt (zur Zusammenfassung des Prüfberichts).
Darüber hinaus erfüllt medflex die strengen Anforderungen, die bei der Zertifizierung entsprechend §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Abs. 1 SGB V (kurz: Anlage 31b BMV-Ä) gefordert sind.
Was unternimmt medflex noch auf organisatorischer Ebene, um den Schutz der personenbezogenen Daten und die Sicherheit der IT-Systeme zu gewährleisten?
medflex orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitenden hat medflex zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.
Des Weiteren arbeitet medflex eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen. medflex ist nach Richtlinien der Zertifizierungsstelle und nach Vorgaben der KBV zertifiziert.
✔︎ medflex verpflichtet sich durch die erfolgreiche Zertifizierung, die engen Auslegungen der KBV, des GKV-Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) im medflex Messenger umzusetzen.
Ist die Anwendung nach Maßgabe zum Datenschutz durch Technikgestaltung entwickelt und datenschutzfreundlich voreingestellt?
Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie. Damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht.
Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.
Welche Daten werden verarbeitet?
Nur die zur eindeutigen Zuordnung benötigten Stammdaten, wie Name, Geburtsdatum, E-Mail oder Telefonnummer und die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.
Ärzt:innen/Behandler:innen
Erhobene Daten:
1. Nachname
2. Vorname
3. Tätigkeitsfeld
4. E-Mail-Adresse
5. Passwort
6. Chat-Nachrichten
Mitarbeitende
Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten
Registrierte Patient:innen
Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Passwort
5. Chat-Nachrichten
Patient:innen ohne Registrierung
Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten
Hinweis: Dies ist eine vereinfachte Übersicht. Näheres siehe Datenschutzvereinbarung.
Verschlüsselung und Pseudonomisierung
Werden Kundendaten verschlüsselt gespeichert?
Ja, auf allen von medlfex eingesetzten Datenbanken werden sämtliche Kommunikations- und personenbezogenen Daten nach dem Advanced Encryption Standard (AES) mit sicherer 256 Bit-Verschlüsselung gespeichert. Die Datenspeicherung geschieht ausschliesslich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.
Werden Kundendaten verschlüsselt übertragen?
Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der medflex Anwendung an einen Client oder zu anderen Plattformen übertragen werden, sind mittels Transport Layer Security (TLS) verschlüsselt, damit insbesondere auch HTTPS.
Die Übertragung der eigentlichen Videosprechstunde oder des Telekonsils erfolgt über eine von den Auditoren vorgegebene Peer-to-Peer-Verbindung zwischen den Parteien. Der Server dient als Vermittlungszentrale beim Herstellen der Verbindung. Nach der Herstellung erfolgt die Verbindung verschlüsselt zwischen den Kommunikationspartnern.
Zweckbindung
Wem gehören die Daten?
Die Gesundheitsdaten der Patient:innen verarbeiten Ärzt:innen im Rahmen der Behandlung und der Nutzung der Videosprechstunde als verantwortliche Stelle. Die Information der Patient:innen obliegt daher dem Arzt und erfolgt außerhalb des medflex Portals. Dies bedeutet insbesondere auch, dass der Arzt für die Wahrung der Betroffenenrechte verantwortlich ist.
Wie lange werden Daten, die über medflex erhoben werden, gespeichert?
Im Rahmen eines effektiven Datenschutz-Compliance-Systems haben wir ein sogenanntes Daten-Löschkonzept für alle bei medflex verarbeiteten Daten entwickelt: Jeden Tag werden alle zwischen Arzt und Arzt SOWIE zwischen Arzt und Patient ausgetauschten Nachrichten und Dateien in den Messenger-Chats automatisch gelöscht, die älter als 105 Tage sind.
IT-Sicherheit – Daten-Sicherheit
Vertraulichkeit
Welche Daten werden gespeichert?
medflex speichert nur die zur eindeutigen Zuordnung benötigten Stammdaten wie Name, Geburtsdatum, E-Mail oder Telefonnummer. Die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.
Wo werden diese Daten gespeichert?
Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.
Wer kann bei medflex auf die Kundendaten zugreifen?
Die Inhalte der Videosprechstunde (VSS) sind für medflex technisch bewusst so gestaltet, dass sie nicht einsehbar sind. Grundsätzlich haben Mitarbeiter in den Rechenzentren keinen Zugriff auf Ihre VSS-Daten. Auf Seiten von medflex nehmen für die Kerndaten (Name, E-Mail, etc.) nur unser Infrastruktur-Team sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer-Teams (kundensystemseitig) anlassbezogen Zugriff. Dies ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen.
Wie stellt medflex sicher, dass keine Unbefugten Zugriff auf die Daten haben?
Es werden anwendungsseitig alle wesentlichen Aktivitäten (insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unauthorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.
Wie erfolgt die Benutzerauthentifizierung?
Zugänge erfolgen ausschließlich über personalisierte Benutzer-Accounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei der Registrierung entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie gewählt werden muss.
Verfügbarkeit
Welche Mechanismen setzt medflex ein, um die Verfügbarkeit zu gewährleisten?
medflex setzt insbesondere auf die redundante Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren, beispielsweise unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.
Integrität
Werden regelmäßige Backups durchgeführt?
medflex setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert.
Verfahren zur Überprüfung der Sicherheit
Wir führen regelmäßige Audits und Penetrationstests unserer Organisation und Produkte auf Basis der gesetzlichen Anforderungen zum Datenschutz durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln.
Transparenz ist uns sehr wichtig. Sehen Sie hier eine beispielhafte Prüfbescheinigung des zertifizierten Sicherheitstest Dienstleisters Pro-Sec GmbH ein.
Sicher, aber nicht kompliziert
medflex: einfach einsteigen & direkt nutzen
- Ohne Installation & Konfiguration einsetzbar
- Keine technischen Vorkenntnisse erforderlich
- IT-Sicherheit ohne eigenen Aufwand