Data Processing Addendum

Addendum zur Datenverarbeitung

Imprivata, Inc. (im Folgenden "Imprivata" genannt) und der Kunde (im Folgenden "Kunde" genannt) haben eine vertragliche Vereinbarung (die "Hauptvereinbarung") geschlossen, nach der Imprivata bestimmte personenbezogene Daten im Namen des Kunden in Verbindung mit der Nutzung der Imprivata-Produkte und/oder -Dienstleistungen (jeweils wie unten definiert) durch den Kunden verarbeiten darf. Dieses Data Processing Addendum ("DPA") beschreibt bestimmte Datenverarbeitungs- und Übertragungsverpflichtungen der Parteien. Im Falle von Widersprüchen zwischen dem DPA und dem Hauptvertrag hat das DPA Vorrang. Im Falle von Widersprüchen zwischen dem DPA und, falls zutreffend, den Standardvertragsklauseln (wie unten definiert), sind die Standardvertragsklauseln maßgeblich. Vorbehaltlich der hierin enthaltenen Änderungen bleiben die Bestimmungen des Hauptvertrags in vollem Umfang in Kraft und wirksam.

Definitionen

In dieser DPA haben die folgenden Begriffe die nachstehend angegebene Bedeutung:

"Unterauftragsverarbeiter" bezeichnet jeden Verarbeiter (einschließlich Dritter), der von Imprivata beauftragt wird, personenbezogene Daten des Kunden im Namen des Kunden zu verarbeiten.

"Be-/Verarbeitung/Verarbeitet", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "besondere Kategorien personenbezogener Daten", "sensible Daten", "Aufsichtsbehörde" und alle weiteren Definitionen, die nicht im Hauptvertrag oder in dieser Datenschutzvereinbarung enthalten sind, haben die gleiche Bedeutung wie im geltenden Datenschutzrecht.

"Datenschutzgesetz" bezeichnet alle verbindlichen Gesetze, Regeln oder Vorschriften, die für eine Partei in Bezug auf die Verwendung personenbezogener Daten gelten (einschließlich, aber nicht beschränkt auf den Schutz der elektronischen Kommunikation).

"Drittland" oder "Drittländer" bedeutet jedes Land außerhalb eines Landes, in dem die Datenschutzgesetze die Übermittlung personenbezogener Daten an Bestimmungsorte außerhalb dieses Landes einschränken, es sei denn, die Datenschutzgesetze und die zuständigen Aufsichtsbehörden des Herkunftslandes haben einen Angemessenheitsbeschluss in Bezug auf die Datenschutzgesetze des Bestimmungslandes gefasst, so dass die Übermittlung personenbezogener Daten an dieses Bestimmungsland nicht eingeschränkt ist.

"Personenbezogene Daten des Kunden" sind die in Anlage 1 beschriebenen Daten und alle anderen personenbezogenen Daten, die von Imprivata im Auftrag des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden.

"Verletzung des Schutzes personenbezogener Daten" bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Kundendaten führt, die übermittelt, gespeichert oder anderweitig verarbeitet werden, und die die Sicherheit, Vertraulichkeit oder Integrität dieser personenbezogenen Kundendaten beeinträchtigt.

"Dienstleistungen" bezeichnet die von Imprivata für den Kunden gemäß dem Hauptvertrag zu erbringenden Dienstleistungen.

"Produkte" bezeichnet die von Imprivata an den Kunden gemäß dem Hauptvertrag zu liefernden Produkte.

"Standardvertragsklauseln" oder "SCC" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021.

"UK Addendum" bezeichnet das Addendum des Information Commissioner's ("ICO") des Vereinigten Königreichs ("UK") zum internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission, Version B1.0, in Kraft am 21. März 2022.

Begriffe der Datenverarbeitung

  1. Im Rahmen der Bereitstellung der Produkte und/oder Dienstleistungen für den Kunden gemäß dem Hauptvertrag kann Imprivata die personenbezogenen Daten des Kunden im Namen des Kunden gemäß den Bestimmungen dieser DPA verarbeiten. Imprivata und der Kunde sind verpflichtet, ihre jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen und dieser DPA einzuhalten.
  2. Imprivata wird alle in Anlage 1 aufgeführten technischen und organisatorischen Maßnahmen aufrechterhalten.

Verarbeitung von personenbezogenen Kundendaten

  1. Die Zwecke der Verarbeitung personenbezogener Kundendaten und die Anweisungen für die Verarbeitung sind im Hauptvertrag, einschließlich Anlage 1, Anhang 1 zu dieser DSGVO und allen anderen Anlagen, Arbeitsbeschreibungen oder Ergänzungen, die dem Hauptvertrag beigefügt oder anderweitig in ihn aufgenommen wurden, beschrieben (der "zulässige Zweck").
  2. Imprivata verarbeitet die personenbezogenen Daten des Kunden nur für den/die zulässigen Zweck(e). Imprivata wird die personenbezogenen Daten des Kunden nicht verarbeiten oder Dritten gegenüber offenlegen oder deren Offenlegung gestatten, es sei denn, eine solche Verarbeitung oder Offenlegung ist nach dem anwendbaren Datenschutzrecht, dem Imprivata unterliegt, erforderlich ("vorgeschriebene Verarbeitung"). Imprivata wird im Rahmen seiner Geschäftstätigkeit keine personenbezogenen Kundendaten "verkaufen" oder "weitergeben" (wie diese Begriffe in den anwendbaren Datenschutzgesetzen ausdrücklich definiert sind). Soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, bestätigt Imprivata, dass sie die vorstehenden Beschränkungen kennt und sie einhalten wird. Soweit es die Datenschutzgesetze zulassen, wird Imprivata den Kunden vor der Verarbeitung oder Offenlegung der personenbezogenen Daten des Kunden über die vorgeschriebene Verarbeitung informieren und die Anweisungen des Kunden befolgen, um den Umfang der Verarbeitung oder Offenlegung so weit wie möglich zu reduzieren. Soweit es die geltenden Datenschutzgesetze erfordern, wird Imprivata den Kunden informieren, wenn eine Anweisung des Kunden ihrer Meinung nach gegen Datenschutzgesetze verstößt. Imprivata ist nicht für die Durchführung rechtlicher Nachforschungen und/oder für die rechtliche Beratung des Kunden im Zusammenhang mit dem Vorstehenden verantwortlich.

Vertraulichkeit

  1. Imprivata beschränkt den Zugang zu den personenbezogenen Daten des Kunden auf diejenigen Personen, die den Zugang zu den betreffenden personenbezogenen Daten des Kunden für den zulässigen Zweck benötigen.
  2. Für alle Personen, die personenbezogene Kundendaten im Auftrag von Imprivata verarbeiten, wird Imprivata:
    1. diese Personen über die Vertraulichkeit der personenbezogenen Kundendaten zu informieren;
    2. Schulungen in Bezug auf das geltende Datenschutzrecht anbieten und
    3. von diesen Personen verlangen, dass sie Vertraulichkeitsbedingungen zustimmen, oder sicherstellen, dass die Personen beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterworfen sind.

Sicherheit persönlicher Daten

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft Imprivata geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau für die personenbezogenen Daten der Kunden zu gewährleisten.
  2. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Imprivata die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten des Kunden.
  3. Imprivata kann seine Sicherheitspraktiken von Zeit zu Zeit aktualisieren, wird jedoch die Gesamtsicherheit der Produkte oder Dienste während der Laufzeit des Hauptvertrags nicht wesentlich verringern. Diese Maßnahmen umfassen Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

Sub Verarbeitung

  1. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Imprivata im Zusammenhang mit der Bereitstellung der Produkte und/oder Dienstleistungen Unterauftragsverarbeiter einsetzen kann. Das Personal von Imprivata, ob Angestellte oder Auftragnehmer, gilt jedoch nicht als "Unterauftragsverarbeiter" im Sinne dieser DPA. Eine Liste der zum Zeitpunkt dieser DPA zugelassenen Unterauftragsverarbeiter ist in Anlage 1, Anhang III aufgeführt. Der Kunde kann sich für den Erhalt von Aktualisierungsbenachrichtigungen bei Änderungen der Liste der Unterauftragsverarbeiter anmelden. Zur Vermeidung von Zweifeln und in Übereinstimmung mit Klausel 9, Option 2 der SCC und ähnlichen Anforderungen anderer Datenübertragungsmechanismen stellt das Vorstehende die allgemeine Genehmigung des Kunden für die Beauftragung von Unterauftragsverarbeitern durch Imprivata und die Ernennung zusätzlicher Unterauftragsverarbeiter oder den Ersatz von Unterauftragsverarbeitern, die in Anhang III, Anlage 1 aufgeführt sind, dar.
  2. Wenn der Kunde vernünftigerweise der Ansicht ist, dass die Ernennung eines neuen Unterauftragsverarbeiters eine wesentliche nachteilige Auswirkung auf die Fähigkeit von Imprivata hat, die geltenden Datenschutzgesetze als Auftragsverarbeiter einzuhalten, kann der Kunde Imprivata schriftlich benachrichtigen, wobei eine solche Benachrichtigung innerhalb von 7 Kalendertagen nach der Aktualisierung der Liste der Unterauftragsverarbeiter erfolgen muss, und zwar unter Angabe einer angemessenen und objektiven Grundlage für eine solche Überzeugung und unter Beifügung von dokumentierten Beweisen, die den Einwand unterstützen ("Einwand"). Im Falle eines Einspruchs werden der Kunde und Imprivata nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung für den Einspruch zu finden, einschließlich, aber nicht beschränkt auf die Überprüfung zusätzlicher Unterlagen, die die Einhaltung der DSGVO oder der Datenschutzgesetze durch den Unterauftragsverarbeiter und die Funktionen des Unterauftragsverarbeiters in Bezug auf die Erbringung von Produkten und/oder Dienstleistungen belegen. Imprivata wird keine personenbezogenen Daten des Kunden an den vorgeschlagenen Unterauftragsverarbeiter weitergeben, bis angemessene Schritte unternommen wurden, um den Einspruch zu bearbeiten, und dem Kunden eine angemessene schriftliche Erklärung über die unternommenen Schritte vorgelegt wurde. Ungeachtet des Vorstehenden stimmt der Kunde der Verarbeitung personenbezogener Kundendaten durch Imprivata ausschließlich zur Erfüllung ihrer Verpflichtungen aus dem Hauptvertrag zu, einschließlich, aber nicht beschränkt auf personenbezogene Kundendaten, die in Supportprotokollen für Tickets enthalten sind, die vom Kunden für Support und Wartung erfasst wurden.
  3. In Bezug auf jeden Unterauftragsverarbeiter verpflichtet sich Imprivata:
    1. jeden Unterauftragsverarbeiter einer angemessenen Due-Diligence-Prüfung in Bezug auf seine Datenschutzpraktiken unterziehen, einschließlich und ohne Einschränkung einer Überprüfung seiner technischen und organisatorischen Maßnahmen.
    2. in den Vertrag zwischen Imprivata und jedem Unterauftragsverarbeiter Bedingungen aufzunehmen, die dem Kunden einen nicht geringeren Schutz bieten als in dieser DPA oder wie von den Datenschutzgesetzen gefordert.
    3. sofern dieser Vertrag die Übermittlung personenbezogener Kundendaten außerhalb eines Drittlandes beinhaltet, den SCC, den UK-Zusatz oder einen anderen Mechanismus, der gemäß den Datenschutzgesetzen erforderlich ist, in den Vertrag zwischen Imprivata und jedem Unterauftragsverarbeiter aufzunehmen, um einen angemessenen Schutz der übermittelten personenbezogenen Kundendaten zu gewährleisten.
    4. für Verstöße des Unterauftragsverarbeiters gegen diese DPA oder gegen Datenschutzgesetze im Zusammenhang mit den Dienstleistungen, die dieser Unterauftragsverarbeiter für Imprivata erbringt, in dem Maße verantwortlich sein, wie Imprivata für dieselben Verstöße gemäß den Bedingungen des Hauptvertrags haften würde.

Rechte der betroffenen Personen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt Imprivata den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Person gemäß dem geltenden Datenschutzrecht ("DSR") zu erfüllen.
  2. Soweit eine betroffene Person den Kunden als das Unternehmen identifiziert, das ihre personenbezogenen Daten erhoben hat, wird Imprivata den Kunden unverzüglich benachrichtigen, wenn sie eine DSR in Bezug auf die Produkte oder Dienstleistungen erhält, die unter den Hauptvertrag fallen.
  3. Soweit der Kunde bei der Nutzung der Produkte oder Dienstleistungen nicht in der Lage ist, eine DSR zu bearbeiten, wird Imprivata auf Kosten des Kunden in angemessener Weise mit dem Kunden zusammenarbeiten, um ihm die Beantwortung oder Einhaltung einer DSR zu ermöglichen:
    1. die Bereitstellung aller vom Kunden angeforderten Daten im Zusammenhang mit dem DSR innerhalb der vom Datenschutzgesetz in jedem Fall vorgeschriebenen Frist.
    2. gegebenenfalls , indem er die vom Kunden in angemessener Weise angeforderte Unterstützung leistet, damit der Kunde der entsprechenden Anfrage innerhalb der vom Datenschutzgesetz vorgeschriebenen Fristen nachkommen kann.

Verletzung des Schutzes personenbezogener Daten

  1. Imprivata benachrichtigt den Kunden unverzüglich und in jedem Fall so schnell wie möglich, sobald sie von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt und diese bestätigt hat. Imprivata wird dem Kunden ausreichende Informationen zur Verfügung stellen, damit der Kunde seinen Verpflichtungen zur Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß dem Datenschutzgesetz nachkommen kann. Eine solche Benachrichtigung muss mindestens Folgendes enthalten:
    1. die Art der Verletzung des Schutzes personenbezogener Daten, die Kategorien und die Anzahl der betroffenen Personen sowie die Kategorien und die Anzahl der betroffenen personenbezogenen Kundendatensätze beschreiben;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten von Imprivata, des Beauftragten für den Schutz der Privatsphäre oder eines anderen Ansprechpartners mitzuteilen, bei dem weitere Informationen eingeholt werden können;
    3. das geschätzte Risiko und die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben; und
    4. die Maßnahmen zu beschreiben, die ergriffen wurden oder ergriffen werden sollen, um die Verletzung des Schutzes personenbezogener Daten zu beheben.
  2. Sofern nicht durch geltende Datenschutzgesetze vorgeschrieben, gelten die in den Abschnitten8.1 dargelegten Verpflichtungen nicht für Verletzungen von personenbezogenen Daten, die durch den Kunden verursacht wurden.
  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Imprivata keine Dritten informieren, ohne zuvor die schriftliche Zustimmung des Kunden einzuholen, es sei denn, die Benachrichtigung ist durch Datenschutzgesetze vorgeschrieben. In diesem Fall wird Imprivata, soweit dies gesetzlich zulässig ist, den Kunden über diese gesetzliche Verpflichtung informieren, eine Kopie der vorgeschlagenen Benachrichtigung zur Verfügung stellen und alle Kommentare des Kunden berücksichtigen, bevor sie eine Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten übermittelt.
  4. Der Kunde und Imprivata arbeiten innerhalb der Fristen, die der Kunde für die Übermittlung von Meldungen über Verletzungen des Schutzes personenbezogener Daten an Dritte gemäß den Datenschutzgesetzen benötigt, nach Treu und Glauben zusammen, um den Inhalt solcher Meldungen abzuschließen. Die vorherige schriftliche Zustimmung von Imprivata ist erforderlich, wenn der Kunde in solchen Meldungen Aussagen über oder Verweise auf Imprivata macht.

Verantwortlichkeiten des Kunden

  1. Der Kunde wird Imprivata keine besonderen Datenkategorien oder sensible Daten (einschließlich HIPAA-Daten gemäß der Definition in Abschnitt ) oder andere Daten zur Verfügung stellen oder an Imprivata übertragen (z. B, über die Nutzung der Produkte oder Dienstleistungen oder durch die gemeinsame Nutzung von Bildschirmen oder die Übermittlung von Screenshots im Rahmen des Supports und der Wartung) Besondere Datenkategorien oder sensible Daten (einschließlich HIPAA-Daten, wie in Abschnitt13.4 definiert) oder andere Daten, die Imprivata besondere Datensicherheits- oder Datenschutzverpflichtungen auferlegen, die sich von den in der Dokumentation genannten unterscheiden oder die nicht als Teil der Produkte oder Dienstleistungen bereitgestellt werden, nur mit vorheriger schriftlicher Zustimmung von Imprivata oder gemäß den Angaben in den Leistungsbeschreibungen oder anderen Ergänzungen, die dem Hauptvertrag beigefügt oder auf andere Weise in diesen aufgenommen sind.
  2. Der Kunde ist verpflichtet, alle geltenden Datenschutzgesetze einzuhalten, einschließlich: (a) die Bereitstellung aller erforderlichen Mitteilungen und angemessenen Offenlegungen an alle betroffenen Personen in Bezug auf die Verarbeitung und Übermittlung der personenbezogenen Daten des Kunden durch den Kunden und Imprivata; (b) die Einholung aller erforderlichen Rechte und gültigen Einwilligungen der betroffenen Personen oder die Beibehaltung einer anderen gültigen Rechtsgrundlage in Übereinstimmung mit den Datenschutzgesetzen, um die Verarbeitung durch Imprivata für den zulässigen Zweck oder wie anderweitig im Rahmen des Hauptvertrags erforderlich oder zulässig, zu ermöglichen; (c) wenn die Parteien vereinbart haben, dass die personenbezogenen Daten des Kunden besondere Datenkategorien oder sensible Daten enthalten, die ausdrückliche Zustimmung der betroffenen Personen einholen und alle geltenden Datenschutzgesetze einhalten; und (d) Gesetze, die Inhalte regeln, die sich an Kinder richten (gemäß der Definition in den geltenden Datenschutzgesetzen, z. B. unter 13 Jahren in den Vereinigten Staaten oder unter 16 Jahren in bestimmten anderen Ländern).
  3. Um Zweifel auszuschließen, müssen die Anweisungen des Kunden für die Verarbeitung der persönlichen Daten des Kunden mit dem Datenschutzgesetz übereinstimmen. Diese DPA ist die vollständige und endgültige Anweisung des Kunden an Imprivata in Bezug auf die personenbezogenen Daten des Kunden, und zusätzliche Anweisungen außerhalb des Anwendungsbereichs dieser DPA bedürfen der vorherigen schriftlichen Vereinbarung zwischen den Parteien. Der Kunde erkennt an, dass Imprivata hinsichtlich des Umfangs, in dem Imprivata berechtigt ist, die personenbezogenen Daten des Kunden zu nutzen und zu verarbeiten, auf die Anweisungen des Kunden angewiesen ist. Infolgedessen haftet Imprivata nicht für Ansprüche, die von einer betroffenen Person gegen den Kunden aufgrund einer Handlung oder Unterlassung von Imprivata geltend gemacht werden, soweit diese Handlung oder Unterlassung auf Anweisungen des Kunden oder die Nutzung der Dienste durch den Kunden zurückzuführen ist. Der Kunde ist verpflichtet, Imprivata unverzüglich und umfassend über alle Fehler oder Unregelmäßigkeiten im Zusammenhang mit den gesetzlichen Bestimmungen über die Verarbeitung personenbezogener Daten des Kunden zu informieren.

Löschung oder Rückgabe von persönlichen Kundendaten

  1. Auf schriftliches Verlangen des Kunden und spätestens nach folgenden Ereignissen: (i) Beendigung der Verarbeitung personenbezogener Daten des Kunden durch Imprivata; oder (ii) Beendigung oder Auslaufen des Hauptvertrags, sofern nicht anderweitig durch anwendbare Datenschutzgesetze erlaubt, wird Imprivata:
    1. dem Kunden eine vollständige Kopie der persönlichen Daten des Kunden, die zu diesem Zeitpunkt in den Diensten verfügbar sind, in elektronischem Format für einen Zeitraum von neunzig (90) Tagen nach Beendigung oder Ablauf des Hauptvertrags zur Verfügung zu stellen ("Abruffrist"); und
    2. nach Ablauf des Abrufzeitraums alle anderen Kopien der personenbezogenen Daten des Kunden, die von Imprivata oder einem Unterauftragsverarbeiter verarbeitet wurden, zu löschen und alle zumutbaren Anstrengungen zu unternehmen, um die Löschung zu veranlassen, und, falls eine Löschung nicht möglich ist, die personenbezogenen Daten des Kunden ausreichend zu de-identifizieren, so dass es sich nicht mehr um personenbezogene Daten handelt, es sei denn, dies ist nach geltendem Recht oder zu rechtlichen, Compliance-, Audit- oder Sicherheitszwecken erforderlich oder zulässig.
  2. Imprivata ist berechtigt, personenbezogene Daten des Kunden in dem von den geltenden Datenschutzgesetzen vorgeschriebenen Umfang und nur in dem von den geltenden Datenschutzgesetzen vorgeschriebenen Umfang und Zeitraum aufzubewahren, und zwar immer unter der Voraussetzung, dass Imprivata die Vertraulichkeit aller personenbezogenen Daten des Kunden gewährleistet und sicherstellt, dass diese personenbezogenen Daten des Kunden nur in dem Maße verarbeitet werden, wie es für den Zweck bzw. die Zwecke erforderlich ist, die in den geltenden Datenschutzgesetzen, die ihre Speicherung vorschreiben, festgelegt sind, und für keinen anderen Zweck.

Informationen, Audit , und Unterstützung

  1. Imprivata wird den Kunden im Falle einer Untersuchung durch eine Aufsichtsbehörde, eine Datenschutzaufsichtsbehörde oder eine ähnliche Behörde in angemessener Weise unterstützen, wenn und soweit sich diese Untersuchung auf die Verarbeitung personenbezogener Daten des Kunden durch Imprivata bezieht.
  2. Auf schriftlichen Antrag des Kunden gewährt Imprivata dem Kunden, seinen bevollmächtigten Vertretern und/oder einer vom Kunden benannten unabhängigen Prüfstelle angemessenen Zugang zu Informationen, die sich auf die Verarbeitung personenbezogener Kundendaten durch Imprivata beziehen, und zwar ausschließlich zu dem Zweck, die Einhaltung der Verpflichtungen von Imprivata im Rahmen dieser DPA zu bestätigen. Diese Informationen gelten als vertrauliche Informationen von Imprivata im Sinne des Hauptvertrags. Falls solche Informationen zum Zeitpunkt der Anfrage des Kunden nicht verfügbar sind oder falls sie von einer Aufsichtsbehörde verlangt werden, wird Imprivata die nachstehend beschriebenen Prüfungen zulassen und daran mitwirken.
  3. Auf schriftlichen Antrag des Kunden, der mindestens 30 Tage im Voraus zu stellen ist, wird Imprivata zu einvernehmlich festgelegten Zeitpunkten und vorbehaltlich der angemessenen Prüfungsrichtlinien von Imprivata eine angemessene Unterstützung und Zusammenarbeit der zuständigen Mitarbeiter von Imprivata sowie die Bereitstellung zusätzlicher Informationen ausschließlich zu dem Zweck gewähren, die Einhaltung der Verpflichtungen von Imprivata aus dieser DPA zu bestätigen (zusammenfassend als "Prüfung" bezeichnet). Für jedes Audit muss der Kunde Imprivata mindestens zwei Wochen vor dem Audit einen vorgeschlagenen Audit-Plan zur Verfügung , den Kunde und Imprivata vor Beginn der Audit-Aktivitäten in gutem Glauben besprechen und abschließen. Der Kunde ist verpflichtet, Imprivata alle Kosten und Auslagen zu erstatten, die Imprivata im Zusammenhang mit einem Audit entstehen.
  4. Imprivata behält sich das Recht vor, den Zugang zu ihren geschützten Informationen zu beschränken, einschließlich, aber nicht beschränkt auf ihre Netzwerkarchitektur, interne und externe Testverfahren, Testergebnisse, Abhilfepläne und Informationen oder Daten von oder im Zusammenhang mit anderen Kunden, Lieferanten, Anbietern und Partnern von Imprivata. Der Kunde wird sich nach besten Kräften bemühen, Störungen der Dienste von Imprivata sowie der Räumlichkeiten, der Ausrüstung, des Personals oder der Geschäftsabläufe von Imprivata zu minimieren. Der Kunde erklärt sich ferner damit einverstanden, dass: (W) die Mitarbeiter (oder von ihnen beauftragte Dritte), die Audits durchführen, an die im Hauptvertrag festgelegten Vertraulichkeitsverpflichtungen gebunden sind; (X) alle Feststellungen als vertrauliche Informationen von Imprivata gelten; (Y) der Kunde alle Feststellungen mit Imprivata teilen wird; und (Z) Imprivata alle Audit-Feststellungen in Übereinstimmung mit dem Risikomanagementprogramm von Imprivata klassifizieren und behandeln wird. Jeder vom Kunden mit der Durchführung eines Audits beauftragte Dritte muss von Imprivata vorab genehmigt werden (diese Genehmigung darf nicht unbillig verweigert werden) und muss die Vertraulichkeitsvereinbarung von Imprivata unterzeichnen. Imprivata ist nicht verpflichtet, Personen zum Zwecke eines solchen Audits oder einer Inspektion Zugang zu ihren Räumlichkeiten zu gewähren, es sei denn, sie weisen ihre Identität und ihre Befugnisse in angemessener Weise nach. Der Kunde ist auf ein Audit innerhalb eines Zeitraums von 12 Monaten beschränkt, es sei denn, dies wird von einer zuständigen Datenschutzbehörde verlangt.
  5. Unbeschadet der oben eingeräumten Rechte erklärt sich der Kunde damit einverstanden, die in dem Audit-Bericht oder dem Bestätigungsschreiben eines qualifizierten Drittanbieters innerhalb der letzten zwölf Monate dargelegten Ergebnisse zu akzeptieren, wenn der angeforderte Audit-Bereich in einem SOC-, ISO-, HIPAA- oder ähnlichen Audit-Bericht oder Bestätigungsschreiben behandelt wird und Imprivata dem Kunden einen solchen Bericht oder ein solches Bestätigungsschreiben zur Verfügung stellt, in dem bestätigt wird, dass es keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gibt.
  6. Unter Berücksichtigung der Art der Verarbeitung und der Imprivata zur Verfügung stehenden Informationen gewährt Imprivata dem Kunden auf dessen schriftliche Anfrage hin eine angemessene Zusammenarbeit und Unterstützung , um die Verpflichtungen des Kunden nach den geltenden Datenschutzgesetzen zur Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Produkte und/oder Dienstleistungen von Imprivata durch den Kunden zu erfüllen. Diese Mitwirkung und Unterstützung wird geleistet, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen Imprivata zur Verfügung stehen. Soweit es die geltenden Datenschutzgesetze erfordern, unterstützt Imprivata den Kunden in angemessener Weise bei der vorherigen Konsultation einer Aufsichtsbehörde durch den Kunden.

Internationale Übermittlung von personenbezogenen Kundendaten

  1. Der Kunde willigt ein, dass Imprivata personenbezogene Daten des Kunden in Übereinstimmung mit seinen Anweisungen unter3 weltweit übermittelt, soweit dies für Bereitstellung der Produkte und Dienstleistungen erforderlich ist, einschließlich der technischen Entwicklung, Sicherheit, Fehlerbehebung und Testressourcen, die für den Support und die Wartung der Produkte und/oder Dienstleistungen im Rahmen des Hauptvertrags erforderlich sind, sowie alle Kontaktinformationen des Kunden, die Imprivata im Rahmen des Hauptvertrags erhalten hat.
  2. Wenn personenbezogene Daten des Kunden im Rahmen des Hauptvertrags aus einem Land übermittelt werden, dessen Datenschutzgesetze die Übermittlung personenbezogener Daten an Drittländer einschränken, unterliegen solche Übermittlungen dem Schutz und den Bestimmungen der Standardvertragsklauseln (für die der SCC-Anhang in Anhang 1 dieser DPA beigefügt ist), dem britischen Zusatz für Übermittlungen aus dem Vereinigten Königreich in Drittländer oder anderen verbindlichen und angemessenen Übermittlungsmechanismen, die ein angemessenes Schutzniveau in Übereinstimmung mit den Datenschutzgesetzen bieten.
  3. Es wird davon ausgegangen, dass der Kunde die SCC in Anhang I in seiner Eigenschaft als "Datenexporteur" und Imprivata in seiner Eigenschaft als "Datenimporteur" unterzeichnet hat. Modul zwei oder Modul drei der SCC gilt für die Übermittlung, je nachdem, ob der Kunde für die personenbezogenen Daten des Kunden verantwortlich ist (für Modul zwei) oder ein Verarbeiter der personenbezogenen Daten des Kunden im Namen seiner Endkunden (für Modul drei). Im Falle von Modul Drei teilt der Kunde Imprivata hiermit mit, dass er ein Auftragsverarbeiter ist, und die Anweisungen lauten wie in Abschnitt3 dargelegt. In Ziffer 7 der SCC wird die optionale Andockklausel angewendet. In Ziffer 9 der SCC gilt die Option 2, und die Frist für die Mitteilung von Änderungen des Unterauftragsverarbeiters ist eine angemessene Frist. In Klausel 11 der SCC findet die optionale Klausel keine Anwendung. Für die Zwecke der Klauseln 17 und 18 der SCC wählen die Parteien die Niederlande.
  4. Die SCC treten außer Kraft, wenn Imprivata einen alternativen anerkannten Mechanismus für die rechtmäßige Übermittlung personenbezogener Daten in Übereinstimmung mit den Datenschutzanforderungen einführt. Im Falle eines Widerspruchs zwischen den Bestimmungen der SCC und der DSGVO haben die SCC in dem Maße Vorrang, in dem der Widerspruch besteht.
  5. Auf Verlangen des Kunden wird Imprivata Standardvertragsklauseln und/oder solche Änderungen, die das Datenschutzgesetz vorschreibt, in Bezug auf die Verarbeitung personenbezogener Daten des Kunden in einem Drittland abschließen.

Allgemeine Begriffe

  1. Vorbehaltlich dieses Abschnitts vereinbaren die Parteien, dass diese DPA und die Standardvertragsklauseln automatisch mit der Beendigung des Hauptvertrags oder mit dem Auslaufen oder der Beendigung aller von Imprivata mit dem Kunden gemäß dem Hauptvertrag abgeschlossenen Dienstleistungsverträge enden, je nachdem, welcher Zeitpunkt später liegt.
  2. Alle Verpflichtungen, die Imprivata im Rahmen dieser DPA in Bezug auf die Verarbeitung personenbezogener Kundendaten auferlegt werden und die notwendigerweise eine Kündigung oder das Auslaufen dieser DPA überdauern müssen, bleiben bestehen.
  3. Diese DPA, mit Ausnahme der Standardvertragsklauseln, unterliegt dem Recht des Hauptvertrags.
  4. Im Falle von Widersprüchen zwischen den Bestimmungen dieser DPA und anderen Vereinbarungen zwischen den Parteien, einschließlich, aber nicht beschränkt auf den Hauptvertrag, haben die Bestimmungen dieser DPA in Bezug auf die Datenschutzverpflichtungen der Parteien für personenbezogene Kundendaten einer betroffenen Person Vorrang. Ungeachtet des Vorstehenden und ausschließlich in dem Umfang, in dem geschützte Gesundheitsdaten (wie im Health Insurance Portability and Accountability Act von 1996 in seiner geänderten Fassung ("HIPAA") definiert und geregelt) ("HIPAA-Daten") betroffen sind, hat im Falle von Unstimmigkeiten oder Konflikten zwischen dieser DPA und einem Business Associate Agreement zwischen Imprivata und dem Kunden (das "BAA") das BAA Vorrang, soweit sich die Unstimmigkeiten oder Konflikte auf solche HIPAA-Daten beziehen.
  5. Sollte eine Bestimmung dieser DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser DPA gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchführbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchführbare Teil nie enthalten gewesen wäre.
  6. Entschädigung, Haftung, Haftungsbeschränkungen und etwaige Ausschlüsse im Rahmen dieser DPA werden durch die Hauptvereinbarung geregelt, soweit dies nicht durch Datenschutzgesetze untersagt ist.
  7. Imprivata kann personenbezogene Daten des Kunden und andere Daten des Kunden in Verbindung mit oder während der Verhandlung einer Fusion, eines Verkaufs von Unternehmensvermögen, einer Konsolidierung oder Umstrukturierung, einer Finanzierung oder einer Übernahme des gesamten oder eines Teils des Geschäfts von Imprivata durch oder an ein anderes Unternehmen weitergeben und offenlegen, einschließlich der Übertragung von Kontaktinformationen und Daten von Kunden, Partnern und Endnutzern.

 

Schedule 1: ANHANG ZU DEN STANDARDVERTRAGSKLAUSELN

Anhang I

Liste der Parteien

Datenexporteur

Name:Der Datenexporteur ist die in der DSGVO als "Kunde" bezeichnete Stelle
Adresse:Wie in der Hauptvereinbarung dargelegt
Kontaktperson:Wie in den Bestimmungen des Hauptvertrags über Mitteilungen dargelegt
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:Wie in der Hauptvereinbarung dargelegt
Unterschrift und Datum:Siehe DPA oder Hauptvertrag, je nach Fall
Die Rolle:für die Verarbeitung Verantwortlicher, es sei denn, er verarbeitet Daten im Auftrag einer anderen Stelle; in diesem Fall ist der Datenexporteur ein Auftragsverarbeiter

 

Datenimporteur

Name:Der Datenimporteur ist die in der DSGVO als "Imprivata" bezeichnete Stelle
Adresse:Wie in der Hauptvereinbarung dargelegt
Kontaktperson:Jeff Kowalski, SVP Legal, und Maria Phillips, Senior Counsel, Privacy & Compliance, dept.legal@imprivata.com
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:Wie in der Hauptvereinbarung dargelegt
Unterschrift und Datum:Siehe DPA oder Hauptvertrag, je nach Fall
Die Rolle:Verarbeiter oder Unterverarbeiter, wenn der Datenexporteur ein Verarbeiter ist

Beschreibung der Übertragung

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

OneSign, ConfirmID, Identity Governance, GroundControl, FairWarning, Enterprise Access, Customer Connect

Der Datenexporteur kann bei der Nutzung der Produkte und Dienstleistungen im Rahmen des mit dem Datenimporteur geschlossenen Hauptvertrags personenbezogene Daten verwenden, deren Umfang vom Datenexporteur nach eigenem Ermessen bestimmt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen umfassen können, aber nicht darauf beschränkt sind:

  • Angestellte des Exporteurs, Auftragnehmer, Mitarbeiter, Lieferanten, Unterauftragnehmer sowie Ärzte und/oder Patienten (wenn der Datenexporteur ein Gesundheitsdienstleister ist).

Sieht der Hauptvertrag die Verarbeitung personenbezogener Daten von Patienten nicht vor, verhindert der Datenexporteur die gemeinsame Nutzung oder Übermittlung (z. B. durch Bildschirmfreigabe oder Übermittlung von Screenshots im Rahmen der Unterstützung und Wartung) personenbezogener Daten dieser betroffenen Personen an den Datenimporteur.

Kategorien der übermittelten personenbezogenen Daten

OneSign, ConfirmID, Identity Governance, GroundControl, FairWarning, Customer Connect, Enterprise Access

Aufgrund der Art der Produkte und Dienstleistungen sowie der Unterstützung und/oder Implementierung, die der Datenimporteur dem Datenexporteur bietet, kann es sowohl zu kontinuierlichen als auch zu einmaligen Verarbeitungen kommen. Die Datenerhebung, die für die Nutzung und einmalige Verarbeitungen erforderlich ist, die der Exporteur dem Importeur zur Fehlerbehebung des Produkts übermittelt, kann eine oder mehrere der folgenden Maßnahmen umfassen:

  • Persönliche Identifikationsdaten,
  • Daten zur Beschäftigung,
  • Durchsuchen von Informationen, und/oder
  • Informationen zum Gerät.

Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

OneSign, ConfirmID, Identity Governance, GroundControl, Customer Connect, Enterprise Access

Der Datenimporteur benötigt keine besonderen Datenkategorien, um seine Dienste zu erbringen. Aufgrund der Beschaffenheit des Produkts können sensible Informationen durch Audit-Protokolle übermittelt werden, die erstellt und an den Datenimporteur gesendet werden. Sofern in der Hauptvereinbarung nichts anderes festgelegt ist, darf der Datenexporteur keine besonderen Datenkategorien oder sensible Daten an den Datenimporteur übermitteln und muss die vorherige schriftliche Zustimmung des Datenimporteurs einholen. Wird die schriftliche Zustimmung erteilt, können die folgenden besonderen Datenkategorien weitergegeben werden:

  • Daten zur Gesundheit

Es gibt jedoch seltene Fälle, in denen der Datenexporteur Gesundheitsinformationen als Teil einer Datenbank an den Datenimporteur übermittelt, und der Datenimporteur hat eine oder mehrere der folgenden Sicherheitsvorkehrungen getroffen:

  • Anonymisierung der Sammlung von Nutzungsmetriken
  • Einmalige Anmeldung (SSO)
  • Zwei-Faktor-Authentifizierung für "OneSign" und in die VPNs für "ConfirmID"
  • Identitätsnachweisverfahren und SAML (Security Assertion Markup Language)-Schnittstelle zur Ermöglichung von Web-Single-Sign-On für Webanwendungen
  • Native Microsoft SQL-Verschlüsselung und Berechtigungsmodell zum Schutz vor unberechtigtem Zugriff
  • Verschlüsselung der Daten im Ruhezustand
  • Verschlüsselung durch Anwendungszugriff

Bei biometriefähigen Produkten und Diensten vor Ort werden vom Datenimporteur keine biometrischen Daten verarbeitet, da der einzige Bezug zu biometrischen Daten eine Einwegfunktion ist, die von Fingerabdrücken abgeleitet wird, aber nicht rückgängig gemacht werden kann.

Für GroundControl-Produkte und -Dienste kann der Datenexporteur die Erfassung und Weitergabe von Benutzerpasswörtern, Administratorpasswörtern sowie Wi-Fi-Namen und -Passwörtern konfigurieren und aktivieren. Für den Fall, dass eine solche Erfassung und Freigabe konfiguriert und aktiviert ist, hat Imprivata die folgenden Schutzmaßnahmen implementiert:

  • AES-256-Verschlüsselung
  • Einseitiger kryptografischer Hash für Systemanmeldepasswörter
  • Virtuelle private Cloud mit Netzwerkfilterung und Intrusion Detection

FairWarning

Aufgrund der Beschaffenheit des Produkts werden sensible Informationen durch Integrationen, benutzergenerierte Protokolle und/oder andere Daten, die auf Wunsch des Kunden freigegeben werden, weitergegeben. Zu diesen Fällen können die folgenden Daten gehören:

  • Daten zur Gesundheit

Als Standardverfahren hat der Datenimporteur die folgenden Sicherheitsvorkehrungen getroffen:

  • Anonymisierung der Sammlung von Nutzungsmetriken
  • Einmalige Anmeldung (SSO)
  • Multi-Faktor-Authentifizierung
  • Identitätsnachweisverfahren und SAML-Schnittstelle (Security Assertion Markup Language) zur Ermöglichung von SSO für Webanwendungen
  • Verschlüsselung der Daten im Ruhezustand
  • VPN von Standort zu Standort für den Zugriff von Kunden aus dem Gesundheitswesen auf die Anwendung erforderlich

Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

OneSign, ConfirmID, Identity Governance, GroundControl, FairWarning, Customer Connect, Enterprise Access

Je nach Produkt und Dienst können sowohl der kontinuierliche Zugang zu den Daten als auch einmalige Verarbeitungen durch den Datenexporteur an den Datenimporteur erfolgen (siehe oben). Cloud-Daten werden kontinuierlich in Echtzeit von allen Cloud-Anwendungen übertragen, die Echtzeit-Streaming anbieten. Einmalige Verarbeitungen können vom Datenexporteur an den Datenimporteur bei Supportanfragen, bei der Fehlerbehebung, bei der Implementierung und/oder in Stapeldateien, Backups usw. ermöglicht werden.

Art der Verarbeitung

OneSign, ConfirmID, Identity Governance, GroundControl, FairWarning, Customer Connect, Enterprise Access

Je nach Produkt und/oder Dienst kann es Cloud- und/oder Vor-Ort-Komponenten haben. Einmalige oder kontinuierliche Verarbeitungen können dem Datenimporteur im Rahmen der Unterstützung, Fehlerbehebung und/oder Implementierung durch den Support des Datenimporteurs übermittelt werden. Der Support kann von den Einheiten (Unterverarbeitern) des Datenimporteurs in den USA, im Vereinigten Königreich oder in Australien geleistet werden, je nach Zeitpunkt der Supportanfrage des Datenexporteurs und der Verfügbarkeit von Support-Ressourcen. Bei einer begrenzten Eskalation von Support- oder Fehlerbehebungsanfragen können Daten an dritte Unterauftragsverarbeiter übermittelt werden.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

OneSign, ConfirmID, Identity Governance, GroundControl, FairWarning, Customer Connect, Enterprise Access

Der Zweck der Übermittlung durch den Datenexporteur und der Weiterverarbeitung personenbezogener Daten durch den Datenimporteur ist die Erbringung der Produkte und Dienstleistungen im Rahmen des Hauptvertrags zwischen dem Datenexporteur und dem Datenimporteur durch die ordnungsgemäße Erbringung von Remote Customer Support Services.

Die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

OneSign, ConfirmID, GroundControl, Identity Governance, FairWarning, Customer Connect, Enterprise Access

Die Daten werden so lange aufbewahrt, wie es für den Produkt-Support (Begriff im Hauptvertrag definiert) oder für die Lösung der Support- und/oder Fehlerbehebungsanfrage durch den Datenexporteur erforderlich ist, und werden danach innerhalb eines angemessenen Zeitraums gelöscht. Wenn der Datenexporteur Parameter, Konfigurationen oder Datenaufbewahrungszeitpläne hat, werden die Daten, die diesen Parametern unterliegen, so lange aufbewahrt, wie dies in diesen Parametern festgelegt ist.

Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Informationen zu den Unterauftragsverarbeitern von IMPRIVATA finden Sie in Anhang III unten.

Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde ist die niederländische Datenschutzbehörde (DPA) bzw. die britische Aufsichtsbehörde (ICO) für Angelegenheiten, die betroffene Personen im Vereinigten Königreich betreffen.

 

Anhang II

Pseudonymisierung und Verschlüsselung von personenbezogenen Daten

  • Besondere Datenkategorien und sensible Daten werden bei Imprivata sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt.
  • IMPRIVATA-Endpunkte verwenden eine vollständige Festplattenverschlüsselung mit aktiviertem Trusted Platform Module auf BIOS-Ebene.
  • IMPRIVATA verwendet gegebenenfalls eine Pseudonymisierung.

Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten

  • Imprivata unterhält strenge Trennungskontrollen für Daten. Die Daten der verantwortlichen Stelle werden entweder in den Räumlichkeiten der verantwortlichen Stelle oder in einer speziellen Cloud-Instanz gespeichert. Der Zugriff auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen ist auf bestimmte Personen beschränkt, basierend auf ihrer Kernfunktion und ihrer Notwendigkeit für die Ausführung der Bedingungen der Geschäftsbeziehung, d. h. Produktunterstützung. Der Zugriff von Dritten ist auf Unterauftragsverarbeiter beschränkt. Die Verfügbarkeit wird durch mehrere Appliances (in den Räumlichkeiten des für die Verarbeitung Verantwortlichen) und mehrere Zonen (SaaS-Dienstanbieter) gewährleistet.
  • In Test- und Entwicklungsumgebungen werden keine Produktionsdaten verwendet.
  • Imprivata unterhält ein strenges Programm zur Verwaltung von Drittanbietern, das eine Due-Diligence-Prüfung beim Einstieg, Risikobewertungen und die Einhaltung von Sicherheits- und Datenschutzrichtlinien, Regeln, Standards und Vorschriften umfasst. Der Zugriff Dritter ist auf die Art des Vertrags zwischen Imprivata und dem Dritten beschränkt und wird bei Beendigung der Beziehung umgehend widerrufen. Alle Verträge erfordern die Einhaltung der Sicherheits- und Datenschutzrichtlinien von Imprivata.

rechtzeitige Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls

  • Imprivata verfügt über dokumentierte Richtlinien für Incident Response, Disaster Recovery und Business Continuity sowie begleitende Verfahren/Pläne, die jährlich von einem unabhängigen Drittanbieter getestet werden.

Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten

  • Imprivata nutzt einen SIEM- und MDR-Service zur Überwachung aller Aktivitäten in Bezug auf Repositories und Systeme, die besondere Datenkategorien und sensible Daten verwalten, um deren Sicherheit und ordnungsgemäße Nutzung zu gewährleisten.
  • IMPRIVATA verfügt über eine Data Leak Prevention-Technologie, die die Überwachung und das unberechtigte Abfließen von Daten sicherstellt.

Benutzeridentifizierung und -berechtigung

  • Der Zugang zu kritischen Imprivata-Diensten ist mit einer mehrstufigen Authentifizierung ausgestattet.
  • Die Zugriffskontrollen von IMPRIVATA sind auf NIST SP 800-63B abgestimmt.

Schutz der Daten während der Übertragung

  • IMPRIVATA überträgt die Daten mit TLS 1.2 oder höher.

Schutz der Daten während der Speicherung

  • Imprivata verwendet die native Verschlüsselung von Nutanix. Darüber hinaus verwendet Imprivata unveränderlichen Speicher, sodass gespeicherte Daten nicht verändert, manipuliert oder entfernt werden können.
  • Imprivata führt nächtliche Online-Backups in einem sekundären Rechenzentrum durch. Die Backup-Systeme sind von Active-Directory-Konten isoliert und mit einer mehrstufigen Authentifizierung gesichert und auf die IT-Administratoren von Imprivata beschränkt. Die Wiederherstellung der Back-up-Medien wird monatlich getestet.

Physische Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden

  • Zugangskontrollen gemäß ISO 27001 stellen sicher, dass nur befugtes Personal Zugang zu Netzwerkschränken, Rechenzentren und anderen Speichereinrichtungen hat.

Ereignisprotokollierung

  • Alle kritischen Dienste leiten Protokolle an IMPRIVATA SIEM weiter. Ereignisse werden von IMPRIVATA und einem Manage Detect and Respond Service überwacht.

Konfiguration des Systems

  • Imprivata hat Richtlinien zur Sicherheitshärtung und zum Testen der Systemsicherheit dokumentiert, um den Mitarbeitern Standardverfahren für die Systemkonfiguration zur Verfügung zu stellen.

Interne IT- und IT-Sicherheitsverwaltung und -management

  • Imprivata unterhält robuste Sicherheits- und Datenschutzrichtlinien und begleitende Verfahren für alle Mitarbeiter, Auftragnehmer und Dritte.
  • Imprivata setzt Endpunktschutztechnologien ein, um IT-Ressourcen vor Ransomware, Malware usw. zu schützen. Das Sicherheitsteam verwaltet und überwacht die Ressourcen, um sicherzustellen, dass sie mit den Sicherheitsrichtlinien und -anforderungen übereinstimmen.
  • Imprivata hat Schwachstellen-Scans für alle seine IT-Ressourcen eingeführt. Das Patch-Management folgt einer risikobasierten Skala. Imprivata befasst sich mit kritischen und hochgradig ausnutzbaren Schwachstellen. Imprivata verwendet auch T.A.R.G.E.T.-Protokolle (Thorough Assessment Regarding General Emerging Threat). Diese wurden entwickelt, um effizient mit Schwachstellen umzugehen, die zum Zeitpunkt der Entdeckung nicht in der CVE-Datenbank enthalten sind.
  • Vermögenswerte, die mit Informationen und Informationsverarbeitungseinrichtungen verbunden sind, werden identifiziert und ein Inventar dieser Vermögenswerte geführt. Alle IT-Vermögenswerte von Imprivata haben einen bestimmten Eigentümer, der für den Vermögenswert während seines gesamten Lebenszyklus verantwortlich ist.

Zertifizierung/Absicherung von Prozessen und Produkten

  • Imprivata setzt unabhängige Dritte ein, um interne Protokolle und Produkte regelmäßig zu überprüfen. Dazu gehören Penetrationstests, Risikobewertungen, Lückenanalysen und Schwachstellentests. Von diesen Drittparteien erhält Imprivata Berichte, Empfehlungen und Bescheinigungen. Die Bescheinigung umfasst unter anderem SOC 2 Typ 2. Darüber hinaus beauftragt Imprivata unabhängige Dritte mit der Prüfung der Einhaltung von Vorschriften, der Bewertung und der Evaluierung der Wirksamkeit des Programms.

Minimierung der Datenmenge

  • Imprivata sammelt nicht mehr personenbezogene Daten des Controllers als für die Geschäftsfunktionen erforderlich.

Qualität der Daten

  • Die Pflege aktueller Informationen ist für Imprivata eine Kernfunktion des Unternehmens.

Vorratsspeicherung von Daten

  • Imprivata verarbeitet die personenbezogenen Daten des Controllers nicht länger als notwendig oder gesetzlich vorgeschrieben.

Rechenschaftspflicht

  • IMPRIVATA hat eine verantwortliche Person für Sicherheit und Datenschutz.

Datenübertragbarkeit und Datenlöschung

  • Die Produkte von Imprivata sind von Haus aus auf Datenportabilität ausgelegt.
  • Imprivata befolgt NIST SP 800-88 für die Vernichtung und/oder Löschung von personenbezogenen Daten der Controller am Ende ihres Lebenszyklus.

Technische und organisatorische Maßnahmen für die Übermittlung an (Unter-)Verarbeiter

  • Imprivata erlegt den Unterauftragsverarbeitern die entsprechenden Pflichten des Auftragsverarbeiters gegenüber dem für die Verarbeitung Verantwortlichen auf, wie in Abschnitt 6 der DSGVO beschrieben.

 

Anhang III 

Der Datenexporteur hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:

Subprozessor und StandortArt der Dienstleistungen
Imprivata UK Limited
4 Longwalk, Stockley Park, Uxbridge, UB11
1FE		24/7 Produktunterstützung und Fehlerbehebung
Imprivata Australien Pty. Ltd.
Ebene 19 / 644 Chapel St
South Yarra, Melbourne VIC 3141		24/7 Produktunterstützung und Fehlerbehebung
Salesforce
1 Market St #300
San Francisco, CA 94105		Betriebliche Abläufe
Crowdstrike
150 Mathilda Place, 3rd Floor
Sunnyvale, CA 94086		Interne Vorgänge
Microsoft Gesellschaft
Ein Microsoft-Weg
Redmond, WA 98052		Betriebliche Abläufe
Amazon Webdienste
410 Terry Avenue North
Seattle WA. 98109		Betriebliche Abläufe
Hosting-Dienste
Atlassian Pty Ltd, c/o Atlassian, Inc.
350 Bush Street, Ebene 13
San Francisco, CA 94104		Betriebliche Abläufe
Marketo, Inc.
901 Mariners Island Blvd, Suite 200
San Mateo, CA 94404		Marketing-Aktivitäten
Allego, Inc.
117 Kendrick Street, Suite 800
Needham, MA 02494		Betriebliche Abläufe
Zoom Video Communications, Inc.
55 Almaden Blvd.
San Jose, CA 95113		Betriebliche Abläufe
Clari Inc.
1154 Sonora Court
Sunnyvale, CA 94086		Betriebliche Abläufe
DocuSign, Inc.
221 Main Street, Suite 1550
San Francisco, CA 94105		Betriebliche Abläufe
Alphabet Inc. – Google
1600 Amphitheatre Parkway
Mountain View, CA 94043		Betriebliche Abläufe
Cornerstone OnDemand, Inc.
1601 Cloverfield Blvd. Suite 620 Süd
Santa Monica, CA 90404		Betriebliche Abläufe
LinkSquares, Inc.
60 State St, Suite 1800
Boston, MA 02109		Interne Vorgänge
LinkedIn
1000 West Maude Avenue
Sunnyvale, CA 94085		Betriebliche Abläufe
Symantec Gesellschaft (Norton)
350 Ellis Street, Gebäude A
Mountain View, CA 9404		Interne Vorgänge
OneTrust
1200 Abernathy Rd NE Suite 300
Atlanta, GA 30328		Betriebliche Abläufe
Oracle Gesellschaft
2300 Oracle Weg
Austin, TX 78741		Interne Vorgänge
Zendesk, Inc.
989 Marktstraße
San Francisco, CA 94103		Betriebliche Abläufe
Dropbox, Inc.
1800 Owens St
San Francisco, CA 94158		Betriebliche Abläufe
Schneeflocke Inc.
106 E. Babcock Street, Suite 3A,
Bozeman, MT 59715		Interne Vorgänge
Sisense Ltd.
1359 Broadway, 4th Fl,
New York NY 10018		Interne Vorgänge
OGiTiX Software AG
Hans-Böckler-Straße 12
40764 Langenfeld (Rheinland), Deutschland		Betriebliche Abläufe
Highspot, Inc.
2211 Elliott Ave., Suite 400
Seattle, WA 98121		Betriebliche Abläufe
Confluent, Inc.
101 University Avenue, Suite 111
Palo Alto, CA 94301		Betriebliche Abläufe

Imprivata setzt auch eine Reihe von Softwareanbietern, Netzwerkanbietern, Auftragnehmern und Beratern ein, die in Fällen, in denen Dienstleistungen und/oder Support erbracht werden, auf die Systeme von Imprivata zugreifen und gelegentlich persönliche Daten einsehen können. Imprivata stellt auf Anfrage die aktuellste Liste der Unterauftragsverarbeiter zur Verfügung.