Technische und organisatorische Massnahmen (TOM)
Version: 29.09.2023
Verantwortlicher
Verantwortlicher gem. Art. 5 lit. j Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) ist Netstream AG, Richtistrasse 4, 8304 Wallisellen, Schweiz, E-Mail: hello@netstream.ch. Gesetzlich vertreten werden wir durch Alexis Caceda.
Datenschutzberater
Unser Datenschutzberater ist über die heyData GmbH, Schützenstrasse 5, 10117 Berlin, www.heydata.eu, E-Mail: datenschutz@heydata.eu erreichbar.
Gegenstand des Dokuments
Dieses Dokument fasst die vom Verantwortlichen getroffenen technische und organisatorische Massnahmen im Sinne von Art. 8 Abs. 1 DSG zusammen. Das sind Massnahmen, mit denen der Verantwortliche personenbezogene Daten schützt.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Massnahmen Büroräumlichkeiten:
● Absicherung von Gebäudeschächten
● Automatisches Zugangskontrollsystem
● Chipkarten-/Transponder-Schliesssystem
● Sicherheitsschlösser
● Klingelanlage mit Kamera
● Schlüsselregelung / Schlüsselbuch
● Sorgfältige Auswahl von Sicherheitspersonal
● Besucher nur in Begleitung durch Mitarbeitende
● Sorgfältige Auswahl des Reinigungspersonals und vertragliche Policy
● Türen mit Knauf Aussenseite
● Arbeit im Homeoffice: Policy vorhanden
Massnahmen Rechenzentren:
● Videoüberwachung
● Automatisches Zugangskontrollsystem
● Elektronisches Schliesssystem mit Berechtigungsmanagement
● Biometrische Zugangssperren
● Restriktive Zugangsrichtlinien
● Wachpersonal
● Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende
● Alarmsystem Eingänge
● Vertragliche Absicherung mit Dienstleistern (Wartung)
● Sicherheitsschlösser
1.2 Zugangskontrolle
Massnahmen:
● Authentifikation mit Benutzer und Passwort
● Einsatz von Anti-Viren-Software
● Einsatz von Firewalls
● Einsatz von VPN-Technologie bei Remote-Zugriffen
● Verschlüsselung von Datenträgern
● Automatische Desktopsperre
● Verschlüsselung von Notebooks / Tablets
● Verwaltung von Benutzerberechtigungen
● Erstellen von Benutzerprofilen
● Zentrale Passwortregeln
● Nutzung von 2-Faktor-Authentifizierung
● Schlüsselregelung / Schlüsselbuch
● Allgemeine Unternehmens-Richtlinie zum Datenschutz und zur Sicherheit
● Unternehmens-Richtlinie für sichere Passwörter
● Unternehmens-Richtlinie “Löschen/Vernichten”
● Unternehms-Richtlinie “Cleandesk”
● Unternehmens-Richtlinie zur Verwendung mobiler Geräte
● Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren
1.3 Zugriffskontrolle
Massnahmen:
● professionelle, externe Vernichtung von Datenträgern und Akten
● Physische Löschung von Datenträgern vor deren Wiederverwendung
● Protokollierung von Zugriffen auf Anwendungen (insbesondere bei der Eingabe, Änderung und Löschung von Daten)
● Einsatz eines Berechtigungskonzepts
● Anzahl der Administratoren ist so klein wie möglich gehalten
● Sichere Aufbewahrung von Datenträgern
● Verwaltung der Benutzerrechte durch Systemadministratoren
1.4 Trennungskontrolle
Massnahmen:
● Trennung von Produktiv- und Testsystem
● Logische Mandantentrennung (softwareseitig)
● Berechtigungskonzept
● Festlegung von Datenbankrechten
● Mandantenfähigkeit relevanter Anwendungen
1.5 Pseudonymisierung
Massnahmen:
● Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu
● anonymisieren / pseudonymisieren
● Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten
2. Integrität
2.1 Weitergabekontrolle
Massnahmen:
● Einrichtungen von VPN-Tunneln
● WLAN-Verschlüsselung (WPA2 mit starkem Passwort)
● Protokollierung von Zugriffen und Abrufen
● Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
● Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
● Lieferantenmanagement nach ISO 27001
2.2 Eingangskonrolle
Massnahmen:
● Protokollierung der Eingabe, Änderung und Löschung von Daten
● Manuelle oder automatische Kontrolle der Protokolle
● Aufbewahrung von Formularen, deren Daten in automatisierte Verarbeitungen übernommen worden sind
● Erstellen einer Übersicht, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können
● Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
● Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Massnahmen:
● Data Center nach Tier 4 Standard
● Feuer- und Rauchmeldeanlagen und Löschanlagen
● Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
● Klimaanlage in Serverräumen
● Schutzsteckdosenleisten in Serverräume
● Unterbrechungsfreie Stromversorgung (USV) und Notstromanlage
● RAID-System / Festplattenspiegelung
● Videoüberwachung in Serverräumen
● Alarmmeldung bei unberechtigtem Zutritt zu Serverräumen
● Regelmässige Backups
● Backup- & Recoverykonzepts (Business Continuity Policy)
● Kontrolle des Sicherungsvorgangs
● Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
● Monitoringsysteme
● Existenz eines Notfallplans
● Redundante Netzzuleitung
● Regelmässige Überprüfung und Tests der Notfallpläne
● Incident-Management-Policy
4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung
4.1 Datenschutzmassnahmen
Massnahmen:
● Verwendung der heyData-Plattform zum Datenschutz-Management
● Stellung des Datenschutzberaters durch heyData
● Verpflichtung der MItarbietenden auf das Datengeheimnis
● Regelmässige Schulungen der Mitarbeitenden im Datenschutz
● Führen eines Verzeichnisses über Bearbeitungstätigkeiten (Art. 12 DSG)
● Sicherheitszertifizierung nach ISO 27001
● regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
● CISO / interner Informationssicherheitsbeauftrage
● Audits (intern und extern)
● Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
4.2 Incident-Response-Managment
Massnahmen:
● Meldeprozess für Datenschutzverletzungen nach Art. 5 lit. h DSG gegenüber dem EDÖB (Art. 24 Abs. 1 DSG)
● Meldeprozess für Datenschutzverletzungen nach Art. 5 lit. h DSG gegenüber betroffenen Personen (Art. 24 Abs. 4 DSG)
● Einbindung des Datenschutzberaters in Sicherheitsvorfälle und Datenpannen
● Einsatz von Anti-Viren-Software
● Einsatz von Firewalls
● regelmässige Aktualisierung
● regelmässige Überprüfung nach Sicherheitslücken
● Risikomanagement
● Spamfilter
● Virenscanner
● Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
● Incident-Management-Policy
4.3 Datenschutzfreundliche Voreinstellungen
Massnahmen:
Die folgenden implementierten Massnahmen tragen den Voraussetzungen der Prinzipien “Privacy by design” und “Privacy by default” Rechnung:
● Schulung der Mitarbeiter im “Privacy by design” und “Privacy by default”
● Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
4.4 Auftragskontrolle
Massnahmen:
Durch folgende Massnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:
● Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)
● Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen
● Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)
● Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)
● Laufende Überprüfung von Auftragnehmern und ihren Tätigkeiten
