Verarbeitungsvereinbarung

Parteien:

1. Die private Gesellschaft mit beschränkter Haftung Skully Care BV mit eingetragenem Sitz in Driebergen (3971 PA) und Hauptgeschäftssitz in Diederichslaan 17, hiermit ordnungsgemäß vertreten durch Herrn FR Noz, Direktor, im Folgenden als „ Verarbeiter “ bezeichnet;

 

und

2. Der Therapeut, im Folgenden „ Kunde “ oder „ Verantwortlicher “ genannt.

 

nachfolgend gemeinsam bezeichnet als: „ Parteien “,

Folgendes berücksichtigen:

 

a. Der Auftragsverarbeiter erbringt im Auftrag des Verantwortlichen Dienstleistungen, die unter anderem darin bestehen, die Skully Care-App bereitzustellen, wie in den Allgemeinen Geschäftsbedingungen beschrieben.

 

b. Dies bedeutet, dass der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (im Folgenden: „ personenbezogene Daten “ oder die „ Verarbeitung “ oder „ Verarbeitung (der) personenbezogenen Daten “) im Sinne der geltenden Datenschutzgesetze und -vorschriften, einschließlich der Allgemeine Datenschutzverordnung („DSGVO“).  

 

c. Teilweise im Hinblick auf die Bestimmungen der geltenden Datenschutzgesetze und -vorschriften, wie z. B. Artikel 28 der DSGVO, möchten die Parteien ihre gegenseitigen Rechte und Pflichten für die Verarbeitung personenbezogener Daten in dieser Auftragsverarbeitungsvereinbarung festhalten.

 

Stimmen Sie folgendem zu:

 

Artikel 1: Gegenstand und Auftragsverarbeitungsvereinbarung

  1. Diese Prozessorvereinbarung gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Umsetzung der Produkt- und Dienstleistungsvereinbarung.
     

  2. Der Verantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten für die Erbringung der Dienstleistungen zu verarbeiten.
     

  3. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten auf angemessene und sorgfältige Weise und in Übereinstimmung mit den geltenden Gesetzen und Vorschriften zur Verarbeitung personenbezogener Daten, einschließlich der DSGVO.

 

Artikel 2: Rollenverteilung

  1. In Bezug auf die in seinem Auftrag durchzuführende Verarbeitung personenbezogener Daten ist der Verantwortliche der Verantwortliche im Sinne der geltenden Datenschutzgesetze und -vorschriften, wie z. B. der AVG. Auftragsverarbeiter ist Auftragsverarbeiter im Sinne der geltenden Datenschutzgesetze und -vorschriften, wie z. B. der AVG. Regler  hat und behält im Gegensatz zum Auftragsverarbeiter die unabhängige Kontrolle über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten. Der Auftragsverarbeiter befolgt diesbezüglich alle Anweisungen des Verantwortlichen (vorbehaltlich abweichender gesetzlicher Verpflichtungen) und trifft keine Entscheidungen über die Verarbeitung personenbezogener Daten.
     

  2. Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche vor Abschluss dieser Auftragsverarbeitervereinbarung angemessen über die vom Auftragsverarbeiter erbrachte(n) Dienstleistung(en) und die durchzuführende Verarbeitung informiert wird. Die angegebenen Informationen müssen  es ihnen ermöglichen, hinsichtlich der angebotenen Dienstleistungen eine Wahl zu treffen.
     

  3. Die in Absatz 2 genannten Dienstleistungen müssen in verständlicher Sprache in Anlage 1 zu dieser Auftragsverarbeitervereinbarung beschrieben werden, danach Verantwortlicher  Einverständniserklärung zum Erwerb dieser Dienstleistung(en). Der Verantwortliche und der Auftragsverarbeiter stellen sich gegenseitig alle erforderlichen Informationen zur Verfügung, um die ordnungsgemäße Einhaltung der einschlägigen Datenschutzgesetze und -vorschriften zu ermöglichen.

 

Artikel 3: Verwendung personenbezogener Daten

  1. Der Auftragsverarbeiter verpflichtet sich, die vom Auftragsverarbeiter erhaltenen personenbezogenen Daten nicht für andere Zwecke oder auf andere Weise zu verwenden als für den Zweck und die Art und Weise, für die die Daten bereitgestellt wurden oder ihm bekannt wurden. Dem Auftragsverarbeiter ist es daher nicht gestattet, andere Datenverarbeitungen durchzuführen als die, die ihm vom Verantwortlichen (mündlich, schriftlich oder elektronisch) aufgetragen wurden. Diese Verpflichtung gilt sowohl während der Laufzeit des Prozessorvertrags und/oder des Produkt- und Dienstleistungsvertrags als auch nach dessen Ablauf.
     

  2. Eine Übersicht über die personenbezogenen Daten, auf die sich die Verarbeitung personenbezogener Daten bezieht, ist in Anhang 2 dieser Verarbeitungsvereinbarung enthalten.
     

  3. Der Auftragsverarbeiter gibt personenbezogene Daten nicht an Dritte weiter, es sei denn, dieser Austausch erfolgt im Auftrag des Verantwortlichen oder wenn dies zur Erfüllung einer gesetzlichen Verpflichtung des Auftragsverarbeiters erforderlich ist. Im Falle einer gesetzlichen Verpflichtung prüft der Auftragsverarbeiter vor der Bereitstellung die Grundlage der Anfrage und die Identität des Anfragenden. Darüber hinaus wird der Auftragsverarbeiter den Verantwortlichen – soweit gesetzlich zulässig – unverzüglich, möglichst vor der Bereitstellung, informieren.

 

Artikel 4: Vertraulichkeit

  1. Der Auftragsverarbeiter stellt sicher, dass alle, einschließlich seiner Mitarbeiter, Vertreter und/oder Unterauftragsverarbeiter, die an der Verarbeitung der personenbezogenen Daten beteiligt sind, diese Daten vertraulich behandeln. Unter einem Unterauftragsverarbeiter wird die Partei verstanden, die vom Auftragsverarbeiter als Auftragsverarbeiter für die Verarbeitung personenbezogener Daten im Rahmen dieser Verarbeitungsvereinbarung („ Unterauftragsverarbeiter “) beauftragt wurde. Der Auftragsverarbeiter stellt sicher, dass für alle an der Verarbeitung der personenbezogenen Daten Beteiligten eine Vertraulichkeitsvereinbarung oder -klausel abgeschlossen wurde.
     

  2. Die in diesem Artikel genannte Geheimhaltungspflicht gilt nicht, sofern der Verarbeitungsleiter die ausdrückliche Erlaubnis erteilt hat, die personenbezogenen Daten an Dritte weiterzugeben, wenn die Bereitstellung der personenbezogenen Daten an Dritte aufgrund der Natur der Daten erforderlich ist die vom Auftragsverarbeiter an den Auftragsverarbeiter zu erbringenden Dienstleistungen oder wenn eine gesetzliche Verpflichtung besteht, die personenbezogenen Daten an Dritte weiterzugeben.

 

Artikel 5: Sicherheit und Kontrolle

  1. Der Auftragsverarbeiter stellt geeignete technische und organisatorische Maßnahmen sicher, um die personenbezogenen Daten vor Verlust oder jeglicher Form unrechtmäßiger Verarbeitung zu schützen. Unter Berücksichtigung des Stands der Technik und der mit der Umsetzung und Durchführung der Maßnahmen verbundenen Kosten gewährleisten diese Maßnahmen ein angemessenes Schutzniveau, wobei die mit der Verarbeitung personenbezogener Daten verbundenen Risiken und deren Art berücksichtigt werden.
     

  2. Zu den Massnahmen nach Artikel 5 Absatz 1 gehören in jedem Fall:

    1. Maßnahmen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf die im Rahmen der Verarbeitungsvereinbarung verarbeiteten personenbezogenen Daten hat;

    2. Maßnahmen zum Schutz der personenbezogenen Daten insbesondere vor versehentlicher oder rechtswidriger Zerstörung, Verlust, versehentlicher Änderung, unbefugter oder rechtswidriger Speicherung, Zugriff oder Offenlegung;

    3. Maßnahmen zur Identifizierung von Schwachstellen in Bezug auf die Verarbeitung personenbezogener Daten in den Systemen, die zur Erbringung von Dienstleistungen für den Verantwortlichen verwendet werden; und

    4. eine angemessene Informationssicherheitsrichtlinie für die Verarbeitung der personenbezogenen Daten.
       

  3. Der Auftragsverarbeiter wird die von ihm getroffenen Maßnahmen zur Informationssicherheit evaluieren und verschärfen, ergänzen oder verbessern, soweit die Anforderungen oder die (technische) Entwicklung dazu Anlass geben.
     

  4. In Anlage 3 ,  die technischen und organisatorischen Sicherheitsmaßnahmen beschrieben werden.
     

  5. Der Auftragsverarbeiter ermöglicht dem Verantwortlichen die Einhaltung seiner  gesetzliche Verpflichtung, die Einhaltung der technischen und organisatorischen Sicherheitsmaßnahmen durch den Auftragsverarbeiter sowie die Einhaltung der in Artikel 6 genannten Verpflichtungen in Bezug auf Datenlecks (d. h. eine Verletzung personenbezogener Daten im Sinne der geltenden Datenschutzgesetze und -vorschriften wie z Artikel 33(1) der DSGVO („Datenleck“), die der Auftragsverarbeiter auf der Grundlage einer gültigen Zertifizierung oder eines gleichwertigen Nachweises oder Nachweises melden kann.
     

  6. Zusätzlich zu Artikel 5 Absatz 5 hat der Verantwortliche jederzeit das Recht, in Absprache mit dem Auftragsverarbeiter und unter Einhaltung einer angemessenen Frist auf eigene Kosten die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Sicherheitsmaßnahmen überprüfen zu lassen ein unabhängiger Register-EDV-Prüfer. Die Parteien können einvernehmlich vereinbaren, dass das Audit von einem zertifizierten und unabhängigen Wirtschaftsprüfer durchgeführt wird, der vom Auftragsverarbeiter beauftragt wird und ein Third-Party Statement (TPM) ausstellt. Der Verantwortliche wird über die Ergebnisse der Prüfung informiert.
     

Artikel 6: Datenlecks

  1. Der Auftragsverarbeiter verfügt über eine angemessene Richtlinie zum Umgang mit Datenlecks.
     

  2. Wenn der Verarbeiter ein Datenleck oder einen anderen Vorfall in Bezug auf die Sicherheit personenbezogener Daten entdeckt, wird er den Verarbeitungsmanager unverzüglich darüber informieren. Prozessor  stellt dem Verantwortlichen alle relevanten Informationen in Bezug auf das Datenleck zur Verfügung, einschließlich Informationen über Entwicklungen im Zusammenhang mit dem Datenleck oder anderen Vorfällen und den vom Auftragsverarbeiter ergriffenen Maßnahmen, um die Folgen des Datenlecks so weit wie möglich zu begrenzen und zu verhindern a Wiederauftreten. Darüber hinaus informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, wenn sich herausstellt, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person(en) im Sinne der geltenden Datenschutzgesetze und -vorschriften darstellen könnte, wie Artikel 34 Absatz 1 der DSGVO.
     

  3. Im Falle einer Datenverletzung oder eines anderen Vorfalls im Zusammenhang mit der Sicherheit personenbezogener Daten ergreift der Auftragsverarbeiter alle vernünftigerweise erforderlichen Maßnahmen, um diese und weitere Datenverletzungen oder andere Vorfälle im Zusammenhang mit der Sicherheit personenbezogener Daten zu beenden, zu verhindern und zu begrenzen. Der Auftragsverarbeiter ermöglicht es dem Verantwortlichen auch, falls gewünscht, geeignete Folgemaßnahmen in Bezug auf das Datenleck oder einen anderen Sicherheitsvorfall zu ergreifen.
     

  4. Der Auftragsverarbeiter wird uneingeschränkt mit dem Verantwortlichen zusammenarbeiten, um der Meldepflicht der geltenden Datenschutzgesetze und -vorschriften, einschließlich Artikel 33 und 34 AVG, gegenüber der niederländischen Datenschutzbehörde und der/den betroffenen Person(en) nachzukommen.
     

  5. Alle Kosten im Zusammenhang mit Artikel 6, Absätze 1 bis 3, trägt der Verantwortliche. Die mit Artikel 6 Absatz 4 verbundenen Kosten gehen zu Lasten des Auftragsverarbeiters, sofern das Datenleck oder ein anderer Sicherheitsvorfall das Ergebnis eines Versäumnisses des Auftragsverarbeiters bei der Erfüllung seiner Verpflichtung(en) aus dieser Auftragsverarbeitervereinbarung ist.

 

Artikel 7: Verfahren für die Rechte der betroffenen Personen

  1. Eine Beschwerde oder Anfrage einer betroffenen Person (d. h. der Person, auf die sich personenbezogene Daten beziehen („betroffene Person“)) bezüglich der Verarbeitung der personenbezogenen Daten wird vom Auftragsverarbeiter unverzüglich an den für die Bearbeitung der Anfrage zuständigen Verantwortlichen weitergeleitet.
     

  2. Der Auftragsverarbeiter gewährt dem Verantwortlichen – soweit vernünftigerweise möglich – volle Zusammenarbeit, um die Verpflichtungen aus den geltenden Gesetzen und Vorschriften im Bereich des Datenschutzes, einschließlich des AVG, innerhalb der gesetzlichen Fristen zu erfüllen, insbesondere die Rechte der betroffenen Personen wie a Antrag auf Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Übertragung oder Widerspruch gegen die Verarbeitung personenbezogener Daten.
     

Artikel 8: Verarbeitung außerhalb des Europäischen Wirtschaftsraums

  1. Der Auftragsverarbeiter stellt sicher, dass, soweit personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (im Folgenden: EWR) verarbeitet werden, dies nur in Übereinstimmung mit den gesetzlichen Vorschriften und etwaigen diesbezüglichen Verpflichtungen des Verantwortlichen erfolgt. Wenn Daten außerhalb des EWR verarbeitet werden, ist dies in Anhang 1 angegeben, einschließlich einer Erklärung der Länder, in denen die personenbezogenen Daten verarbeitet werden.

 

 

Artikel 9: Beauftragung eines Unterauftragsverarbeiters

  1. Der Auftragsverarbeiter kann einen Unterauftragsverarbeiter beauftragen, dessen Identitäts- und Standortdetails in Anhang 1 aufgenommen werden. Dem Auftragsverarbeiter ist es nicht gestattet, ohne Zustimmung des Verantwortlichen andere Unterauftragsverarbeiter als die in Anhang 1 aufgeführten zu beauftragen.
     

  2. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich, Vertraulichkeitsverpflichtungen, Benachrichtigungspflichten und Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten einzuhalten, wobei diese Verpflichtungen und Maßnahmen mindestens den Bestimmungen dieser Auftragsverarbeitervereinbarung entsprechen müssen.
     

  3. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich, personenbezogene Daten nicht weiter als im Rahmen dieser Auftragsverarbeitervereinbarung zu verarbeiten  eine Vereinbarung getroffen.

 

Artikel 10: Aufbewahrungsfristen und Vernichtung personenbezogener Daten

  1. Personenbezogene Daten und Bilder des Verantwortlichen werden so lange aufbewahrt, wie der Verantwortliche die Dienste des Auftragsverarbeiters erwirbt. Nach Beendigung dieser Beziehung werden die personenbezogenen Daten und Bilder des Verantwortlichen durch die Verarbeitung anonymisiert. Dies gilt, es sei denn, der Verantwortliche fordert bereits die Entfernung der personenbezogenen Daten und des Bildmaterials an.
     

  2. Sofern die Parteien nichts anderes vereinbart haben, ist der Auftragsverarbeiter nicht verpflichtet, eine Sicherungskopie der personenbezogenen Daten und Bilder zu erstellen.

 

Artikel 11: Haftung

  1. Der Auftragsverarbeiter haftet für Schäden, die sich aus oder im Zusammenhang mit der Nichteinhaltung dieser Auftragsverarbeitervereinbarung oder einem Verstoß gegen geltende Gesetze und Vorschriften im Bereich Datenschutz, einschließlich der DSGVO, ergeben.
     

  2. Der Verarbeiter haftet nur für unmittelbare Schäden  Der Verantwortliche leidet aufgrund eines zurechenbaren Mangels bei der Erfüllung der Auftragsverarbeitervereinbarung. Die Haftung des Auftragsverarbeiters ist stets auf den Betrag beschränkt, den der (Berufs-)Haftpflichtversicherer des Auftragsverarbeiters diesbezüglich auszahlt. Wenn der Versicherer aus irgendeinem Grund nicht zahlt, ist die Haftung des Auftragsverarbeiters jederzeit auf maximal den Betrag (ohne Mehrwertsteuer) beschränkt, den der Auftragsverarbeiter dem Kunden im Jahr vor dem schadenverursachenden Ereignis in Rechnung gestellt hat ( s) und die vom Kunden bezahlt wurde. Treten mehrere schadenverursachende Ereignisse ein, ist die Gesamtentschädigung in Bezug auf alle Ereignisse zusammen auf die im vorstehenden Satz beschriebene Höhe begrenzt.
     

  3. Der Auftragsverarbeiter haftet unter keinen Umständen für indirekte und/oder Folgeschäden, einschließlich, aber nicht beschränkt auf entgangenen Gewinn, Verzögerungsschäden und Schäden infolge von Ansprüchen von Kunden/Patienten des Auftraggebers. Die Haftung des Auftragsverarbeiters für den Verlust personenbezogener Daten ist ebenfalls ausgeschlossen.
     

  4. Voraussetzung für das Bestehen eines Anspruchs auf Entschädigung ist außerdem, dass der Verantwortliche den Schaden so schnell wie möglich nach seiner Entstehung dem Auftragsverarbeiter schriftlich meldet. Jeglicher Schadensersatzanspruch gegen den Auftragsverarbeiter aufgrund dieser Auftragsverarbeitervereinbarung erlischt mit bloßem Ablauf von zwei Monaten nach Eintritt des Schadens.

Artikel 12: Laufzeit und Kündigung

  1. Die Laufzeit dieses Prozessorvertrags entspricht der Laufzeit des zwischen den Parteien geschlossenen Produkt- und Servicevertrags, einschließlich etwaiger Verlängerungen davon.
     

  2. Diese Auftragsverarbeitervereinbarung endet kraft Gesetzes mit Beendigung der Produkt- und Dienstleistungsvereinbarung, d. h. mit Abschluss der vereinbarten Produkt- und Dienstleistungslieferung durch den Auftragsverarbeiter. Die Kündigung dieser Verarbeitungsvereinbarung entbindet die Parteien nicht von ihren Verpflichtungen aus dieser Verarbeitungsvereinbarung, die ihrer Natur nach nach der Beendigung fortbestehen.

 

Artikel 14: Anwendbares Recht

  1. Auf diese Verarbeitungsvereinbarung findet ausschließlich niederländisches Recht Anwendung.
     

  2. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Verarbeitungsvereinbarung ergeben, werden ausschließlich dem zuständigen Gericht vorgelegt.

ANHANG 1: PRODUKT UND/ODER SERVICE

 

Allgemeine Information

Name des Produkts und/oder der Dienstleistung: Skully Care App.

Kurze Erklärung und Funktionsweise von Produkt und Dienstleistung: Messverfahren zur Bestimmung der Schädeldeformation mittels Photodetektion.

Link zur Lieferanten- und/oder Produktseite: https://www.skullycare.com

Unterauftragsverarbeiter

Der Auftragsverarbeiter verwendet den/die folgenden Unterauftragsverarbeiter:

 

Yukon Software Ltd in der Ukraine.

Aufgabe/Dienstleistung: Entwicklung und Aktualisierung der App.

 

ANHANG 2: PERSONENBEZOGENE DATEN

Beschreibung Personenbezogene Daten, Art der Verarbeitung usw.

Diese Verarbeitungsvereinbarung bezieht sich auf die folgende Verarbeitung personenbezogener Daten. Siehe Zeitplan nächste Seite.

ANHANG 3: TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN

 

Beschreibung der Maßnahmen gemäß Artikel 5 Absatz 2 Verarbeitungsvereinbarung

  1. Beschreibung der Maßnahmen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf die Verarbeitung personenbezogener Daten hat.

Die mobile Anwendung „Skully Care“ ist ein digitales Tool, das entwickelt wurde, um den Therapeuten bei der Behandlung von Babys mit einer Schädeldeformität zu unterstützen. Mit der Skully Care App kann der Therapeut einfach und schnell eine Messung vornehmen, den Fortschritt überwachen und Behandlungsinformationen mit den Eltern oder Betreuern des Babys teilen. Diese geteilten Informationen werden nur zwischen dem Therapeuten und den Eltern oder Erziehungsberechtigten ausgetauscht. Der Therapeut kann die Eltern oder Erziehungsberechtigten des Kindes einladen, die Daten einzusehen. Die App läuft auf einem Server, wo auch die Daten gespeichert werden. Durch Fotografieren des Scheitels misst der Therapeut den Grad der Abflachung. Die Berechnung der Schädeldeformation wird von einem unserer Mitarbeiter durchgeführt. Die Babys sind auf den Fotos nicht erkennbar.

 

Der Therapeut (Pflegefachkraft) erstellt ein Profil mit Kontaktdaten (z. B. Name, Organisation, Adresse, Telefonnummer und E-Mail-Adresse). Die Eltern oder Erziehungsberechtigten (Nicht-Gesundheitsfachkräfte) können ein Profil mit Kontaktdaten (z. B. Name und Telefonnummer) erstellen. Der Therapeut kann für sein behandeltes Baby ein Profil erstellen (z. B. Vorname, Anfangsbuchstabe Nachname, Geburtsdatum und Geschlecht). Mithilfe der Skully Care-App kann der Therapeut Informationen zum Profil des Babys hinzufügen, z. B. Messergebnisse, Behandlungshinweise und Fotos des Scheitels. Skully Care schließt mit den angeschlossenen Therapeuten eine Verarbeitungsvereinbarung ab. Darin wird vereinbart, dass die Verarbeitung personenbezogener Daten stets im Einklang mit den Richtlinien der Datenschutzgesetze zu erfolgen hat.

 

Während der Zuverlässigkeitsstudie wird ausschließlich die Messfunktionalität der Skully Care App verwendet. Jeder Messung ist eine Nummer zugeordnet. Dadurch werden keine persönlichen Daten des Babys oder Testers gespeichert. Daher wird das Überwachen des Fortschritts und das Teilen eines Behandlungsplans nicht verwendet.

 

Da es sich um eine Basisversion handelt, wird jede Weiterentwicklung der Skully Care App zu einer marktreifen App (öffentlich im App Store erhältlich) führen und die notwendigen formalen Schritte zur Zertifizierung eingeleitet. Dies entspricht dem üblichen Vorgehen in der Medizinprodukteentwicklung (nach MDR-Medizinprodukteverordnung), bei dem die Validierung und Zertifizierung mit dem Endprodukt – in der Form, wie es tatsächlich vermarktet wird – durchgeführt wird.

 

Informationssicherheit

Skully Care verwendet einen Server. Die Anwendung läuft auf einem Server und die Daten werden gespeichert.

 

Der Server, auf dem die Skully Care-Anwendung läuft und auf dem die Daten gespeichert werden, läuft bei AWS Amazon Lightsail in Frankfurt, Deutschland. AWS bietet tägliche Sicherungen (Point-in-Time-Recovery-PITR) und ist Ende-zu-Ende-SSL-verschlüsselt. Die Verbindung zwischen Server und Client (Mobiltelefon) wird per SSH gesichert.

 

Die Kommunikation zwischen App und Server ist HTTPS-geschützt und basiert auf „Signatur bei jeder Anfrage“ Oauth. Der Zugriff auf den Server ist über das „Backoffice“ möglich. Das Backoffice ist als Kontroll- und Führungsinstrument eingerichtet. Auf das Backoffice kann nur das Skully Care-Team zugreifen. Dies wird durch die oben genannten Maßnahmen gesichert und ist durch Benutzernamen und Passwort geschützt.

 

 

Prüfbericht

Zusätzlich zur Benachrichtigung gemäß Artikel 6 Absatz 2 erstattet der Auftragsverarbeiter dem Verantwortlichen Bericht  über die Maßnahmen des Auftragsverarbeiters in Bezug auf die getroffenen technischen und organisatorischen Sicherheitsmaßnahmen, sofern Änderungen, Ergänzungen oder andere Aufmerksamkeitspunkte auftreten.

Kontaktdaten: FR Noz, info@skullycare.com .