Sicher, aber nicht kompliziert
medflex: einfach einsteigen & direkt nutzen
- Ohne Installation & Konfiguration einsetzbar
- Keine technischen Vorkenntnisse erforderlich
- IT-Sicherheit ohne eigenen Aufwand

Ja, der Datenschutzbeauftragte der medflex GmbH kann per E-Mail kontaktiert werden unter: daten.schutz@medflex.de.
Ja, medflex erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gem. DSGVO. Dies wurde bereits mehrfach mit dem ips Gütesiegel der datacert bescheinigt (zur Zusammenfassung des Prüfberichts).
Darüber hinaus erfüllt medflex die strengen Anforderungen, die bei der Zertifizierung entsprechend §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Abs. 1 SGB V (kurz: Anlage 31b BMV-Ä) gefordert sind.
medflex orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitenden hat medflex zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.
Des Weiteren arbeitet medflex eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen. medflex ist nach Richtlinien der Zertifizierungsstelle und nach Vorgaben der KBV zertifiziert.
✔︎ medflex verpflichtet sich durch die erfolgreiche Zertifizierung, die engen Auslegungen der KBV, des GKV-Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) sowie des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) im medflex Messenger umzusetzen.
Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie. Damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht.
Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.
Nur die zur eindeutigen Zuordnung benötigten Stammdaten, wie Name, Geburtsdatum, E-Mail oder Telefonnummer und die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.
Ja, auf allen von medlfex eingesetzten Datenbanken werden sämtliche Kommunikations- und personenbezogenen Daten nach dem Advanced Encryption Standard (AES) mit sicherer 256 Bit-Verschlüsselung gespeichert. Die Datenspeicherung geschieht ausschliesslich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.
Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der medflex Anwendung an einen Client oder zu anderen Plattformen übertragen werden, sind mittels Transport Layer Security (TLS) verschlüsselt, damit insbesondere auch HTTPS.
Die Übertragung der eigentlichen Videosprechstunde oder des Telekonsils erfolgt über eine von den Auditoren vorgegebene Peer-to-Peer-Verbindung zwischen den Parteien. Der Server dient als Vermittlungszentrale beim Herstellen der Verbindung. Nach der Herstellung erfolgt die Verbindung verschlüsselt zwischen den Kommunikationspartnern.
medflex speichert nur die zur eindeutigen Zuordnung benötigten Stammdaten wie Name, Geburtsdatum, E-Mail oder Telefonnummer. Die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.
Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.
Die Inhalte der Videosprechstunde (VSS) sind für medflex technisch bewusst so gestaltet, dass sie nicht einsehbar sind. Grundsätzlich haben Mitarbeiter in den Rechenzentren keinen Zugriff auf Ihre VSS-Daten. Auf Seiten von medflex nehmen für die Kerndaten (Name, E-Mail, etc.) nur unser Infrastruktur-Team sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer-Teams (kundensystemseitig) anlassbezogen Zugriff. Dies ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen.
Es werden anwendungsseitig alle wesentlichen Aktivitäten (insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unauthorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.
Zugänge erfolgen ausschließlich über personalisierte Benutzer-Accounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei der Registrierung entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie gewählt werden muss.
medflex setzt insbesondere auf die redundante Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren, beispielsweise unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.
medflex setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert.
Die Gesundheitsdaten der Patient:innen verarbeiten Ärzt:innen im Rahmen der Behandlung und der Nutzung der Videosprechstunde als verantwortliche Stelle. Die Information der Patient:innen obliegt daher dem Arzt und erfolgt außerhalb des medflex Portals. Dies bedeutet insbesondere auch, dass der Arzt für die Wahrung der Betroffenenrechte verantwortlich ist.
Im Rahmen eines effektiven Datenschutz-Compliance-Systems haben wir ein sogenanntes Daten-Löschkonzept für alle bei medflex verarbeiteten Daten entwickelt: Jeden Tag werden alle zwischen Arzt und Arzt SOWIE zwischen Arzt und Patient ausgetauschten Nachrichten und Dateien in den Messenger-Chats automatisch gelöscht, die älter als 105 Tage sind.
Wir führen regelmäßige Audits unserer Organisation und Produkte auf Basis der gesetzlichen Anforderungen zum Datenschutz durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln.
medflex: einfach einsteigen & direkt nutzen