Sicherheit

Datenschutz auf höchstem Niveau

Damit medizinische Daten privat bleiben, legt medflex strengste Sicherheitsstandards an. medflex ist als gesamte Software-Plattform von den zentralen Prüfstellen explizit für die medizinische Kommunikation zertifiziert. 
Siegelleister_4_transparent

So schützen wir Ihre Daten

Was interessiert Sie? Wählen Sie das Thema Datenschutz (Schutz von personenbezogenen und personenbeziehbaren Daten) oder IT-Sicherheit (Datensicherheit) aus.

Datenschutz - Schutz von personenbezogenen und personenbeziehbaren Daten

Zugangskontrolle und Sicherheit

schloss
Bei der Registrierung als Patient:in
Patient:innen können sich nur auf Einladung per SMS oder E-Mail von ihrem Behandler registrieren.
schloss

Beim Einloggen und während der Nutzung

Über ein sicheres Passwort und automatischen Logout nach Inaktivität gewährt medflex Schutz vor unbefugtem Zugriff.

Datenübertragung und Speicherung

datenschutz

Sicherste Cloud-Speichertechnologien und Transportverschlüsselung

Alle Messenger-Inhalte werden nach dem AES-Standard mit sicherer 256 Bit-Verschlüsselung gespeichert. Benachrichtigungen werden SSL/ TLS-verschlüsselt übertragen. Videogespräche erfolgen über eine sichere Peer-to-Peer-Verbindung.
datenschutz

Server liegen physisch in Deutschland

Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Die Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Datenschutz nach europäischer DSGVO

check
DSGVO-konform
medflex unterliegt der DSGVO und verfolgt die Richtlinien des Standards VdS 10010 für kleine und mittlere Unternehmen (KMU).
check

Von Sicherheitsexperten geprüft und überwacht

medflex erfüllt die strengen Auflagen der Anlage 31b zum Bundesmantelvertrag-Ärzte (BMV-Ä), welcher die sichere Peer-to-Peer-Videoübertragung beinhaltet.
check

Kein unkontrollierter Zugriff von Analyse-Software

Lediglich ausgewählte Analyse-Tools mit DSGVO-konformen Verträgen zur Auftragsdatenverarbeitung (AV)
check

Kein Datenhandel

Pharma-Unternehmen u.ä. haben keinerlei Zugriff zu Daten von medflex und seinen Nutzer:innen.

Allgemeines zum Datenschutz

Ja, der Datenschutzbeauftragte der medflex GmbH kann per E-Mail kontaktiert werden unter: daten.schutz@medflex.de.

Ja, medflex erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gem. DSGVO. Dies wurde bereits mehrfach mit dem ips Gütesiegel der datacert bescheinigt (zur Zusammenfassung des Prüfberichts).

Darüber hinaus erfüllt medflex die strengen Anforderungen, die bei der Zertifizierung entsprechend §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Abs. 1 SGB V (kurz: Anlage 31b BMV-Ä) gefordert sind.

medflex orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitenden hat medflex zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.

Des Weiteren arbeitet medflex eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen. medflex ist nach Richtlinien der Zertifizierungsstelle und nach Vorgaben der KBV zertifiziert.

✔︎ medflex verpflichtet sich durch die erfolgreiche Zertifizierung, die engen Auslegungen der KBV, des GKV-Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) im medflex Messenger umzusetzen.

Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie. Damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht.

Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

Welche Daten werden verarbeitet?

Nur die zur eindeutigen Zuordnung benötigten Stammdaten, wie Name, Geburtsdatum, E-Mail oder Telefonnummer und die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.

doctor copy 3

Ärzt:innen/Behandler:innen​​

Folgende Daten von Ärzt:innen/Behandler:innen werden nur für die Registrierung auf dem Web-Portal zur Nutzung des Messengers und der Videosprechstunde erhoben:

Erhobene Daten:
1. Nachname
2. Vorname
3. Tätigkeitsfeld
4. E-Mail-Adresse
5. Passwort
6. Chat-Nachrichten
mitarbeiter

Mitarbeitende​

Ärzt:innen/Behandler:innen können zu organisatorischen Zwecken und zur Team-Kollaboration Mitarbeiter-Accounts erstellen.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten
klinik copy 3

Registrierte Patient:innen

Folgende Daten von Patient:innen werden nur für die Registrierung auf dem Web-Portal zur Nutzung des Messengers und der Videosprechstunde erhoben.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Passwort
5. Chat-Nachrichten
patient

Patient:innen ohne Registrierung​

Folgende Daten von Patient:innen werden für Nutzung der Videosprechstunde ohne Registrierung erhoben. Ärzt:innen /Behandler:innen versenden eine Einladung an die E-Mail-Adresse oder Mobilfunknummer des Patienten.

Erhobene Daten:
1. Nachname
2. Vorname
3. E-Mail-Adresse
4. Chat-Nachrichten

Hinweis: Dies ist eine vereinfachte Übersicht. Näheres siehe Datenschutzvereinbarung.

Verschlüsselung und Pseudonomisierung

Ja, auf allen von medlfex eingesetzten Datenbanken werden sämtliche Kommunikations- und personenbezogenen Daten nach dem Advanced Encryption Standard (AES) mit sicherer 256 Bit-Verschlüsselung gespeichert. Die Datenspeicherung geschieht ausschliesslich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der medflex Anwendung an einen Client oder zu anderen Plattformen übertragen werden, sind mittels Transport Layer Security (TLS) verschlüsselt, damit insbesondere auch HTTPS.

Die Übertragung der eigentlichen Videosprechstunde oder des Telekonsils erfolgt über eine von den Auditoren vorgegebene Peer-to-Peer-Verbindung zwischen den Parteien. Der Server dient als Vermittlungszentrale beim Herstellen der Verbindung. Nach der Herstellung erfolgt die Verbindung verschlüsselt zwischen den Kommunikationspartnern.

Zweckbindung

Die Gesundheitsdaten der Patient:innen verarbeiten Ärzt:innen im Rahmen der Behandlung und der Nutzung der Videosprechstunde als verantwortliche Stelle. Die Information der Patient:innen obliegt daher dem Arzt und erfolgt außerhalb des medflex Portals. Dies bedeutet insbesondere auch, dass der Arzt für die Wahrung der Betroffenenrechte verantwortlich ist.

Im Rahmen eines effektiven Datenschutz-Compliance-Systems haben wir ein sogenanntes Daten-Löschkonzept für alle bei medflex verarbeiteten Daten entwickelt: Jeden Tag werden alle zwischen Arzt und Arzt SOWIE zwischen Arzt und Patient ausgetauschten Nachrichten und Dateien in den Messenger-Chats automatisch gelöscht, die älter als 105 Tage sind.

IT-Sicherheit – Daten-Sicherheit

Vertraulichkeit - Verfügbarkeit - Integrität

Vertraulichkeit

medflex speichert nur die zur eindeutigen Zuordnung benötigten Stammdaten wie Name, Geburtsdatum, E-Mail oder Telefonnummer. Die im Chat ausgetauschten Inhalte werden mit modernen und sicheren Technologien verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert.

Die Datenspeicherung geschieht ausschließlich auf ISO 27001, ISO 27017 und 27018 zertifizierten Servern in Deutschland. Zertifizierungen werden von unabhängigen externen Auditoren durchgeführt.

Die Inhalte der Videosprechstunde (VSS) sind für medflex technisch bewusst so gestaltet, dass sie nicht einsehbar sind. Grundsätzlich haben Mitarbeiter in den Rechenzentren keinen Zugriff auf Ihre VSS-Daten. Auf Seiten von medflex nehmen für die Kerndaten (Name, E-Mail, etc.) nur unser Infrastruktur-Team sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer-Teams (kundensystemseitig) anlassbezogen Zugriff. Dies ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen.

Es werden anwendungsseitig alle wesentlichen Aktivitäten (insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unauthorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

Zugänge erfolgen ausschließlich über personalisierte Benutzer-Accounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei der Registrierung entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie gewählt werden muss.

Verfügbarkeit

medflex setzt insbesondere auf die redundante Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren, beispielsweise unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.

Integrität

medflex setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert.

Verfahren zur Überprüfung der Sicherheit

Wir führen regelmäßige Audits und Penetrationstests unserer Organisation und Produkte auf Basis der gesetzlichen Anforderungen zum Datenschutz durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln.

Transparenz ist uns sehr wichtig. Sehen Sie hier eine beispielhafte Prüfbescheinigung des zertifizierten Sicherheitstest Dienstleisters Pro-Sec GmbH ein.

Sicher, aber nicht kompliziert

medflex: einfach einsteigen & direkt nutzen