Sicherheit spielt eine wichtige Rolle,
insbesondere im Bereich der digitalen Gesundheitsversorgung
1. Zweck und Anwendungsbereich
Diese Sicherheitserklärung umfasst Aktivitäten, die von Mind District Holding B.V. und den zugehörigen Unternehmen Minddistrict B.V., Minddistrict Development B.V., Minddistrict GmbH und Minddistrict Ltd. durchgeführt werden, die im Folgenden gemeinsam als "Minddistrict" bezeichnet werden.
Minddistrict ist ein führender Anbieter von E-Health-Lösungen. Da viele unserer Kunden medizinische Versorgung anbieten, nehmen wir die Sicherheits- und Datenschutzbedenken unserer Kunden und deren Kunden sehr ernst. Wir betrachten den Datenschutz als Grundlage für das Vertrauen unserer Kunden und deren Kunden.
Wir streben danach, sicherzustellen, dass vertrauliche und sensible, personenbezogene Daten sicher und gemäß den relevanten Vorschriften und Informationssicherheitsstandards behandelt werden. Minddistrict verwendet fortschrittliche Technologie und andere modernste Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das angemessen für die Arten von Daten und Informationen ist, die wir verarbeiten.
Das Ziel dieser Sicherheitserklärung ist es, Transparenz über unsere technischen und organisatorischen Sicherheitsmaßnahmen zu schaffen, um sicherzustellen, dass vertrauliche und personenbezogene Daten angemessen geschützt werden. Wir überprüfen und aktualisieren unsere Datenschutz- und Sicherheitsrichtlinien regelmäßig. In unserer Datenschutzerklärung finden Sie weitere Informationen zum Umgang mit personenbezogenen Daten.
2. Allgemeines
Die allgemeine Reihe von technischen und organisatorischen Sicherheitsmaßnahmen, die wir implementiert haben, um die sensiblen personenbezogenen Daten unserer Kunden und deren Kunden zu schützen, wird in den entsprechenden Datenverarbeitungsvereinbarungen festgelegt, die vorliegen. Wir arbeiten in Übereinstimmung mit ISO 27001:2017, NEN 7510:2017, NEN 7512:2022, NEN 7513:2018 und KBV-Zertifizierung. Minddistrict ist vollständig nach ISO 27001 und NEN 7510 zertifiziert.
Wir können eine Zusammenfassung unseres Informationssicherheitsmanagementsystems (im Folgenden "ISMS") oder Einblicke in unsere Zertifikate auf Anfrage zur Verfügung stellen. Solche Anfragen können an die Minddistrict Compliance-Abteilung unter compliance@minddistrict.com gestellt werden.
Im Folgenden haben wir eine Reihe unserer wichtigsten organisatorischen und technischen Sicherheitsmaßnahmen dokumentiert, die wir implementiert haben. Bitte beachten Sie, dass die Liste nicht vollständig ist und nur einen Überblick bietet.
3. Sicherheit der Plattformbenutzer
- Authentifizierung: Die Benutzerdaten in unserer Datenbank sind durch konto-basierte Zugriffsregeln logisch getrennt. Benutzerkonten haben eindeutige Benutzernamen und Passwörter, die bei jedem Anmelden eingegeben werden müssen. Minddistrict gibt nur ein Sitzungs-Cookie aus, um verschlüsselte Authentifizierungsinformationen für die Dauer einer bestimmten Sitzung aufzuzeichnen. Das Sitzungs-Cookie enthält nicht das Passwort des Benutzers.
- Passwörter: Die Benutzeranwendungs-Passwörter haben bestimmte Komplexitätsanforderungen wie die Verwendung einer Mindestanzahl von Zeichen (12) und die Verwendung von Sonderzeichen. Passwörter werden verschlüsselt gespeichert.
- Datenportabilität und -erhaltung: Minddistrict ermöglicht es Kunden, personenbezogene Daten gemäß einem Verfahren zur Verhinderung von Missbrauch oder unbefugtem Zugriff aus unserem System zu exportieren.
- Datenschutz: Informationen zum Datenschutz und zur Verarbeitung personenbezogener Daten finden Sie in der Datenschutzerklärung.
- Datenresidenz: Alle Plattformdaten, einschließlich personenbezogener (Gesundheits-)Daten von Benutzern, werden auf sicheren Datenbanken auf Servern im Europäischen Wirtschaftsraum (im Folgenden "EWR") gespeichert. Der EWR erfordert ein hohes Maß an Datenschutz. Für Kunden im Vereinigten Königreich werden alle Plattformdaten, einschließlich personenbezogener (Gesundheits-)Daten von Benutzern, an einem separaten Standort im Vereinigten Königreich gespeichert. Weitere Informationen zu Minddistrict-Unterauftragnehmern finden Sie in unseren Datenschutzerklärungen.
4. Physische Sicherheit
Alle Daten der Plattform-/Produktionsserver, einschließlich personenbezogener (Gesundheits-) Daten der Benutzer, werden bei unserem Hosting-Anbieter Intermax B.V. in gesicherten Rechenzentren gespeichert. Diese Rechenzentren umfassen alle notwendigen physischen Sicherheitskontrollen, die man in einem hochmodernen Rechenzentrum erwarten würde (24x7 Überwachung, Kameras, Besucherprotokolle, Eintrittsanforderungen). Unser Hosting-Anbieter Intermax verfügt über Zertifizierungen nach ISO 27001, ISAE 3402 Typ II und ISO 14001.
5. Netzwerksicherheit
- Testen & Entwicklung: Systemfunktionalität und Designänderungen werden in einer separaten Testumgebung überprüft und vor der Bereitstellung in unseren aktiven Produktionssystemen automatisch und manuell getestet.
- Firewalls: Minddistrict verwendet eine mehrschichtige Firewall-Lösung, um den Zugriff auf zugelassene Benutzer und kontrollierte Prozesse zu beschränken.
- Zugangskontrolle: Der Zugriff auf personenbezogene Daten ist streng reguliert. Das bedeutet, dass nur Mitarbeiter mit bestimmten Rollen/Verantwortlichkeiten Zugriff auf personenbezogene Daten haben, wenn es notwendig ist. Minddistrict hat eine interne Verordnung, die Richtlinien zu verschiedenen Zugriffsebenen sowohl innerhalb von Minddistrict als auch innerhalb der Organisation des Kunden enthält.
- Logging und Auditing: Zentrale Logging-Systeme erfassen und archivieren den internen Systemzugriff einschließlich Authentifizierungsversuchen.
- Verschlüsselung im Transit: Standardmäßig hat Minddistrict Transport Layer Security (TLS) aktiviert, um den Datenverkehr zwischen dem Benutzer und der Minddistrict E-Health-Plattform zu verschlüsseln. Alle Kommunikationen mit unseren Domains (https://www.minddistrict.com/de-de, https://www.minddistrict.com/ und https://www.minddistrict.com/nl-nl) werden über TLS-Verbindungen gesendet, die die Kommunikation durch Serverauthentifizierung und Datenverschlüsselung schützen. Dies gewährleistet, dass Benutzerdaten während der Übertragung sicher, geschützt und nur für beabsichtigte Empfänger verfügbar sind.
6. Schwachstellen-Management
- Patching: Wir stellen sicher, dass kritische Sicherheits-Patches auf unseren Systemen, Anwendungen und Netzwerkinfrastrukturen angewendet werden, um die Exposition gegenüber Schwachstellen zu minimieren.
- Drittanbieter-Scans: Unsere Umgebungen werden kontinuierlich mithilfe führender Sicherheitstools gescannt. Diese Tools sind so konfiguriert, dass sie Anwendungs- und Netzwerkschwachstellenbewertungen durchführen, die den Patch-Status und grundlegende Fehlkonfigurationen von Systemen und Websites testen.
- Penetrationstests: Externe Organisationen werden beauftragt, Penetrationstests durchzuführen (mindestens einmal jährlich). Wir wählen qualifizierte und anerkannte Lieferanten aus, um ein hohes Maß an Sicherheit und umfassende Berichterstattung über Ergebnisse zu gewährleisten.
7. Organisatorische und administrative Sicherheit
- Informationssicherheit: Wir arbeiten gemäß ISO 27001:2017, NEN 7510:2017, NEN 7512:2022, NEN 7513:2018 und KBV-Zertifizierung. Minddistrict ist vollständig nach ISO 27001 und NEN 7510 zertifiziert.
- Mitarbeiterüberprüfung und -schulung: Wir führen Hintergrundüberprüfungen von Mitarbeitern mit anerkannten Systemen in den Gerichtsbarkeiten durch, in denen wir tätig sind. Alle unsere Mitarbeiter haben eine Vertraulichkeitsvereinbarung unterschrieben und erhalten bei der Einstellung und danach in regelmäßigen Abständen eine Schulung zur Informationssicherheit.
- Dienstleister: Wir wenden ein Lieferantenbewertungsverfahren an, um unsere Dienstleister zu überprüfen und sicherzustellen, dass sie den notwendigen Vertraulichkeits- und Sicherheitspflichten entsprechen.
- Zugriff: Zugriffskontrollen auf personenbezogene Daten in unseren Datenbanken, Systemen und Umgebungen werden gemäß unserer Richtlinie auf einer Need-to-know / Least-Privilege-Notwendigkeitsbasis festgelegt.
8. Praktiken der Software-Entwicklung
- Kompatibilität: Wir bemühen uns, um sicherzustellen, dass das Minddistrict-Produkt mit verschiedenen Betriebssystemen wie Windows, Android und iOS kompatibel ist. Minddistrict beteiligt sich auch aktiv an verschiedenen Kompatibilitätsprojekten wie Koppeltaal, um Integrationen für Kunden zu erleichtern.
- Codierungspraktiken: Unsere Ingenieure verwenden bewährte Verfahren und sicherheitsrelevante Codierungsrichtlinien, die mit den OWASP Top 10 übereinstimmen.
- Bereitstellung: Wir stellen den Code regelmäßig bereit, um schnell auf Bugs oder Schwachstellen im Code reagieren zu können.
9. Umgang mit Sicherheitsverletzungen
Trotz bester Bemühungen ist keine Methode der Übertragung über das Internet und keine Methode der elektronischen Speicherung zu 100% sicher. Wir können absolute Sicherheit nicht garantieren. Wenn Minddistrict jedoch von einer Sicherheitsverletzung erfährt, werden betroffene Kunden so schnell wie möglich benachrichtigt, damit sie geeignete Schutzmaßnahmen gemäß geltendem EU-Recht zum Datenschutz und zur Benachrichtigung bei Datenverletzungen ergreifen können. Detaillierte Informationen zum Umgang mit Sicherheitsverletzungen werden im Verarbeitungsvertrag mit Kunden vereinbart.
10. Ihre Verantwortlichkeiten
Die Sicherheit von Daten kann nicht allein von Minddistrict gewährleistet werden. Die Sicherheit hängt von allen Parteien ab, einschließlich Kunden und Benutzern. Benutzer müssen die Sicherheit ihrer Konten durch verantwortungsvolle Verwendung von Passwörtern und vertrauenswürdigen Netzwerken gewährleisten. Benutzergeräte und -software sollten aktualisiert werden, um mit den Branchenstandards Schritt zu halten, da dies bekanntermaßen das Risiko einer Kompromittierung verringert. Kunden sollten sicherstellen, dass sie geeignete Maßnahmen ergreifen, um ein ausreichendes Sicherheitsniveau für die beteiligten Daten aufrechtzuerhalten.
Auf Anfrage können wir Ratschläge zur Nutzung der Minddistrict-Plattform anbieten, aber es liegt in der Verantwortung des Datencontrollers, sicherzustellen, dass personenbezogene Daten auf sichere, verantwortungsvolle und legitime Weise verarbeitet werden.
11. Änderungen dieser Sicherheitserklärung
Wir können diese Sicherheitserklärung von Zeit zu Zeit anpassen oder ändern, wie wir es für angemessen halten. Wenn wir Änderungen vornehmen, werden wir das unten angegebene Revisionsdatum anpassen und die geänderte oder geänderte Version gilt ab dem Datum der Überarbeitung für Sie. Wir empfehlen Ihnen, diese Sicherheitserklärung regelmäßig zu lesen, damit Sie immer darüber informiert sind, wie wir Ihre Daten schützen.
Diese Sicherheitserklärung wurde zuletzt am 10-11-2023 aktualisiert.
12. Kontaktinformationen
Wenn Sie Fragen haben oder weitere Informationen zu unserer Datenschutz- und Sicherheitsrichtlinie benötigen, können Sie sich gerne an unsere Compliance-Abteilung wenden, indem Sie eine E-Mail an compliance@minddistrict.com senden.
Wir werden sicherstellen, dass Ihre Anfrage mit angemessener Sorgfalt behandelt wird und so schnell wie möglich antworten.
12.1 Steuerung der englischen Version
Nicht-englische Übersetzungen dieser Erklärung dienen nur zur Bequemlichkeit. Im Falle von Unstimmigkeiten oder Konflikten zwischen Übersetzungen ist die englische Version maßgebend und kontrolliert.