DPA-Anlagen
(Überarbeitung 22. Oktober 2025)
Animana
IDEXX Vereinbarung über die Verarbeitung von Kundendaten (Anlage)
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Anlage gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Vereinbarung über die Verarbeitung von Kundendaten gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind: Allgemeine Geschäftsbedingungen von IDEXX Practice Management Software Europe
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
- Mitarbeiter von Überweisungskliniken
ii. Kategorien von personenbezogenen Daten werden übermittelt:
|
|
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Konvertierung & Implementierung und Kundenbetreuung:
|
|
Aktivitäten nach Schulungsgruppen:
- Nutzung
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A:
Liste der Parteien Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Anschrift: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus diesen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die VerarbeitungVerantwortlicher (eigenes Datenuniversum)
ezyVet
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Anlage gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind:
ezyVet Allgemeine Geschäftsbedingungen.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter Mitarbeiter von
Überweisungskliniken
ii. Kategorien von personenbezogenen Daten werden übermittelt:
|
|
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Konvertierung & Implementierung und Kundenbetreuung:
|
|
Aktivitäten nach Schulungsgruppen:
- Nutzung
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
Vet Radar
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
Vet Radar IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den vorgenannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage integriert sind:
ezyVet Allgemeine Geschäftsbedingungen (auch für Vet Radar).
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Nachname (alle betroffenen Personen)
- Adresse (nur Tierhalter)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird.
Grundsätzlich bis zu 2 Jahre nach Beendigung des Kundenverhältnisses, es sei denn, es gilt eine längere gesetzliche Mindestaufbewahrungsfrist, wie z. B. bei Daten, die für die Steuerfestsetzung relevant sein können; diese Daten sind mindestens 7 Jahre aufzubewahren.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 des DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs Datenzugriffskontrollmaßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus diesen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes
Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
SmartFlow
IDEXX-Vereinbarung zur Verarbeitung von Kundendaten - Anlage
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vertrag zwischen IDEXX und dem Kunden, in den die DPA und dieser Anlage aufgenommen wurden:
Allgemeine Geschäftsbedingungen von IDEXX Practice Management Software Europe (falls für Ihre Region zutreffend).
SmartFlow Allgemeine Geschäftsbedingungen.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Vor- und Nachname (alle betroffenen Personen)
- E-Mail Adresse (alle betroffenen Personen)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden.
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Vertriebs- und medizinischen Beratungsgruppen:
|
|
AAktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Die gesetzliche Mindestfrist, die für die Aufbewahrung der personenbezogenen Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
VetConnect PLUS
IDEXX Anlage für die Verarbeitung von Kundendaten
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage aufgenommen wurden:
VetConnect PLUS Dienstleistungsbedingungen.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übermittelt:
- Vor- und Nachname (Tierhalter und Kundenmitarbeiter)
- E-Mail-Adresse (Tierhalter und Kundenmitarbeiter)
iii. Übermittlung sensibler Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX in Bezug auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Vertriebs- und medizinischen Beratungsgruppen:
|
|
Aktivitäten der Gruppen Schulung und Kundenbetreuung:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Bereitstellung der in VetConnect PLUS angebotenen Kommunikationsfunktionalitäten.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Festlegung dieses Zeitraums verwendet werden.
Die gesetzliche Mindestfrist, die für die Aufbewahrung personenbezogener Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Gegenstand, Art und Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A:
Liste der Parteien Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Anschrift: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für
Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des
Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten
nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- BackUp an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Brennstofflieferverträgen
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
SmartService
IDEXX Anlage für die Verarbeitung von Kundendaten
IDEXX nimmt den Schutz Ihrer persönlichen Daten ernst. Diese DPA-Vereinbarung gilt speziell für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX-Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und dem Kunden, in welche die DPA und diese Anlage aufgenommen werden:
IDEXX SmartService-Vereinbarung.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten einzustufen ist
- Mitarbeiter des Kunden
- Tierhalter
ii. Kategorien von personenbezogenen Daten werden übertragen:
Vor- und Nachname (Tierhalter und Kundenmitarbeiter)
iii. Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen.
Keine
iv. Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Kontinuierlich, abhängig von der Nutzung der Dienste durch den Kunden
v. Art der Verarbeitung.
Die Aktivitäten von IDEXX im Hinblick auf die Verarbeitung personenbezogener Kundendaten sind:
Aktivitäten der IDEXX Gruppen Software Engineering und Development Operations:
|
|
Aktivitäten der IDEXX-Gruppen Vertrieb, medizinische Beratung und Kundendienst:
|
|
vi. Zweck(e) der Datenübermittlung und Weiterverarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.
Die gesetzliche Mindestfrist, die für die Aufbewahrung der personenbezogenen Daten durch IDEXX gilt.
viii. Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie vorstehend beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCC wie folgt zu ergänzen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die in der DPA als "Kunde" bezeichnete Stelle
Adresse: Die Adresse des Kunden, die mit seinem IDEXX-Konto verbunden ist.
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten, die mit dem IDEXX-Konto des Kunden verbunden sind.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt der Kunde den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Für die Verarbeitung Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Unterschrift und Datum: Mit dem Abschluss der DPA tritt IDEXX den SCCs gemäß Abschnitt 9.3 der DPA bei.
Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übermittlung
Siehe diese DPA-Anlage, Abschnitt A vorstehend.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Die grundlegenden technischen und organisatorischen Maßnahmen von IDEXX zum Datenschutz im Rahmen seiner Dienstleistungen sind in den nachstehenden technischen und organisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX den Unterauftragsverarbeitern auferlegen wird, sind in der DPA beschrieben.
Technische und organisatorische Maßnahmen
Physische Zugangskontrolle
Maßnahmen, die sicherstellen, dass Unbefugte keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zugangskontrollsystem mit Proximity-Zugangskarten
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:
- Passwortrichtlinien (einschließlich Komplexität, Mindestlänge, Wiederverwendung und Mindestalter des Passworts)
- automatisches Ausloggen oder passwortgeschützter Bildschirmschoner nach einer bestimmten Zeit ohne Benutzeraktivität
- Zugangsauthentifizierung und -berechtigung
- Firewall, Antivirenschutz
- Eindringungserkennung/Eindringungsschutz
- Protokollierung des Zugriffs
Datenzugangskontrolle
Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Konzept der Zugriffskontrolle (durch Profile und Rollen begrenzte Zugriffsrechte)
- Dokumentation der Zugangsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch befugtes Personal
Kontrolle der Datenübermittlung
Maßnahmen, die sicherstellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass es möglich ist, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Kontrolle der Dateneingabe
Maßnahmen, die sicherstellen, dass es möglich ist, nachträglich zu prüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus ihnen entfernt wurden:
- Sobald die Daten im IDEXX-Datenzentrum gespeichert sind, können sie nur noch zu Berichtszwecken gelesen werden.
Kontrolle der Auftragsverarbeiter
Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, streng nach den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden:
- schriftliche Vereinbarungen zur Datenverarbeitung (erforderlich)
Kontrolle der Verfügbarkeit
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- BackUp an einem separaten Ort
- Geschäftskontinuität/Katastrophenschutzkonzept
- Unterbrechungsfreie Stromversorgung (UPS)
- Dedizierter Generator für das Rechenzentrum mit mehreren Verträgen zur Brennstoffversorgung
- Brandschutz- und Brandbekämpfungssysteme
- Wasserdetektion
- redundantes Klimatisierungssystem
Trennung von Daten
Maßnahmen, die sicherstellen, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:
- klare logische Trennung der Daten von den Daten anderer für die Verarbeitung Verantwortlicher (eigenes Datenuniversum)
rVetLink
IDEXX Kundendatenverarbeitungs-Zusatzvereinbarung Anhang
IDEXX nimmt den Schutz Ihrer personenbezogenen Daten ernst. Dieser DPA-Anhang ist spezifisch für den oben genannten IDEXX-Service und sollte in Verbindung mit unserer IDEXX Kundendatenverarbeitungsvereinbarung gelesen werden.
Vereinbarung zwischen IDEXX und Kunde, in die die DPA und dieser Anhang einbezogen werden:
rVetLink Nutzungsbedingungen.
A. BESCHREIBUNG DER ÜBERTRAGUNG
i. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:
- Kunde (Klinik), soweit der Kunde als personenbezogene Daten qualifiziert
- Mitarbeiter des Kunden
- Tierbesitzer
- Mitarbeiter von Überweisungskliniken
ii. Kategorien der übertragenen personenbezogenen Daten:
- Nachname (alle betroffenen Personen)
- Adresse (nur Tierbesitzer)
- Telefonnummer (alle betroffenen Personen)
- E-Mail-Adresse (alle betroffenen Personen)
- IP-Adresse (nur Kunde)
- Kunde (Klinik) Kontoinformationen, soweit der Kunde als personenbezogene Daten qualifiziert
iii. Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen.
Keine
iv. Die Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierliche Basis abhängig von der Nutzung der Services durch den Kunden
v. Art der Verarbeitung.
IDEXXs Aktivitäten in Bezug auf die Verarbeitung von Kunden-Personendaten sind:
Aktivitäten von IDEXXs Software Engineering und Development Operations Gruppen:
|
|
Aktivitäten der IDEXX-Gruppen Conversion & Implementation und Customer Support:
|
|
Aktivitäten der Training-Gruppe:
- Nutzung
vi. Zweck(e) der Datenübertragung und weiteren Verarbeitung.
Zur Erbringung der Dienstleistungen.
vii. Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer.
Grundsätzlich bis zu 12 Monate nach Abschluss der Dienstleistungen im Zusammenhang mit dem Tierhalter.
viii. Für Übertragungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.
Der Gegenstand, die Art und die Dauer der Verarbeitung wie oben beschrieben.
B. GRENZÜBERSCHREITENDE DATENVERARBEITUNG
Gemäß Abschnitt 9.3 der DPA sind die Anhänge zu den SCCs wie folgt auszufüllen:
Anhang I, Teil A: Liste der Parteien
Datenexporteur(e):
Name: Die als "Kunde" in der DPA bezeichnete Entität
Adresse: Die mit dem IDEXX-Konto des Kunden verbundene Adresse.
Name, Position und Kontaktdaten der Kontaktperson: Die mit dem IDEXX-Konto des Kunden verbundenen Kontaktdaten.
Für die unter diesen Klauseln übertragenen Daten relevante Aktivitäten: Siehe dieser DPA-Anhang, Abschnitt A oben.
Unterschrift und Datum: Durch den Abschluss der DPA tritt der Kunde gemäß Abschnitt 9.3 der DPA in die SCCs ein.
Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher
Datenimporteur(e):
Name: IDEXX Laboratories, Inc.
Adresse: One IDEXX Drive, Westbrook, Maine, USA 04092
Name, Position und Kontaktdaten der Kontaktperson: chiefprivacyofficer@idexx.com
Für die unter diesen Klauseln übertragenen Daten relevante Aktivitäten: Siehe dieser DPA-Anhang, Abschnitt A oben.
Unterschrift und Datum: Durch den Abschluss der DPA tritt IDEXX gemäß Abschnitt 9.3 der DPA in die SCCs ein.
Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
Anhang I, Teil B: Beschreibung der Übertragung
Siehe dieser DPA-Anhang, Abschnitt A oben.
Anhang I, Teil C: Zuständige Aufsichtsbehörde
Niederländische Datenschutzbehörde
IDEXXs grundlegende technische und organisatorische Maßnahmen für den Datenschutz innerhalb seiner Dienste sind in den nachfolgenden technischen und o
rganisatorischen Maßnahmen beschrieben. Die technischen und organisatorischen Maßnahmen, die IDEXX Auftragsverarbeitern auferlegen wird, sind in der AVV beschrieben
Technische und organisatorische Maßnahmen
Physische Zutrittskontrolle
Maßnahmen zur Gewährleistung, dass unbefugte Personen keinen physischen Zugang zu Systemen haben, die zur Verarbeitung personenbezogener Daten verwendet werden.
- Sicherheitspersonal, Pförtner
- elektronisches Zutrittskontrollsystem mit Näherungsausweisen
- Videoüberwachung (IP-Kameras)
- Sicherheitskontrollen für Besucher
Systemzutrittskontrolle
Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen:
- Passwort-Richtlinien (einschließlich Komplexität, Mindestlänge, Passwort-Wiederverwendung und Mindest-Passwort-Alter)
- automatische Abmeldung oder passwortgeschützter Bildschirmschoner nach bestimmter Zeit ohne Benutzeraktivität
- Zugriffs-Authentifizierung und -Autorisierung
- Firewall, Antiviren-Schutz
- Eindringlingserkennung/Eindringlingsverhinderung
- Protokollierung von Zugriffen
Datenzugriffskontrolle
Maßnahmen zur Gewährleistung, dass zur Nutzung von Datenverarbeitungssystemen berechtigte Personen nur Zugriff auf die Daten haben, zu deren Zugriff sie berechtigt sind, und dass personenbezogene Daten während der Verarbeitung, Nutzung und danach nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Zugriffskontrollkonzept (Zugriffsrechte begrenzt durch Profile und Rollen)
- Dokumentation der Zugriffsrechte
- Genehmigung und Zuweisung von Zugriffsrechten nur durch autorisiertes Personal
Datenübertragungskontrolle
Maßnahmen zur Gewährleistung, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder bei der Aufzeichnung auf Datenspeichermedien nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass festgestellt und überprüft werden kann, welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übertragen werden sollen:
- Transportverschlüsselung (TLS oder VPN)
Dateneingabekontrolle
Maßnahmen zur Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder aus ihnen entfernt wurden und wenn ja, von wem:
- Daten sind nach der Speicherung im IDEXX-Rechenzentrum im Wesentlichen nur lesbar für Berichtszwecke
Kontrolle der Auftragsverarbeiter
Maßnahmen zur Gewährleistung, dass personenbezogene Daten, die im Auftrag anderer verarbeitet werden, strikt in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet werden:
- schriftliche Datenverarbeitungsvereinbarungen (erforderlich)
Verfügbarkeitskontrolle
Maßnahmen zur Gewährleistung, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind:
- Sicherung an separatem Standort
- Konzept für Geschäftskontinuität/Notfallwiederherstellung
- unterbrechungsfreie Stromversorgung (USV)
- Dedizierter Rechenzentrum-Generator mit mehreren Kraftstofflieferverträgen
- Brandschutz- & Löschsystem
- Wassererkennung
- redundantes Klimaanlagensystem
Trennung von Daten
Maßnahmen zur Sicherstellung, dass für verschiedene Zwecke erhobene Daten getrennt verarbeitet werden können:
- klare logische Trennung von Daten von Daten anderer Verantwortlicher (dediziertes Datenuniversum)