Audit. 12.1 Zur Messung der Sicherheit der Doctolib-Plattform kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT- Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen und innerhalb eines Umfangs von einem (1) Audit pro Jahr mit einer maximalen Dauer von fünf (5) Werktagen durchführen, wobei der Zeitaufwand des Personals von Doctolib dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wird. 12.2 Das Audit beschränkt sich auf die Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVO-Bestimmungen in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darf, die nicht für die ausschließliche Nutzung durch den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darf, die das Patientenportal und die Doctolib-Plattform beherbergt; (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und Informationen, die von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werden. 12.3 Der für die Datenverarbeitung Verantwortliche muss Doctolib mindestens (30) Tage vor Durchführung des Audits eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfang, Daten und Uhrzeiten der geplanten Tests, Testbedingungen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten und Profile angeben ( IP-Adresse Quellen, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personal. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und der mit dem Audit beauftragten Personen; (ii) die für die Durchführung der Intrusionstest verwendeten IP-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib vorab genehmigt worden sein. 12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wird, dass Doctolib den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall ein Konkurrent von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, Doctolib den Auditbericht kostenfrei zur Verfügung zu stellen. Doctolib kann innerhalb einer Frist von drei (3) Monaten ab Erhalt des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigieren.
Appears in 1 contract
Samples: Auftragsdatenverarbeitung
Audit. 12.1 Zur Messung a) Der Kunde kann die Einhaltung der Sicherheit Bestimmungen dieses AV-Vertrages durch den Auftragsverarbeiter einmal pro Jahr überprüfen (entweder für sich selbst oder im Namen einer Aufsichtsbehörde, der Doctoliber unterliegt, jedoch nur aufgrund eines formellen Auskunftsersuchens dieser Aufsichtsbehörde) ("Audit").
b) Der Kunde stimmt zu, dass sein oben genanntes Recht auf Audit bedeutet, dass er berechtigt ist, das folgende Verfahren durchzuführen:
i) Der Kunde kann die Ergebnisse der formellen jährlichen unabhängigen Überprüfung der in Ziffer 6 beschriebenen technischen und organisatorischen Maßnahmen ("Compliance-Plattform Bericht") überprüfen, die durch einen angesehenen, qualifizierten Dritten durchgeführt wurde.
ii) Soweit der Kunde nach der Prüfung des Compliance-Berichts nicht abgedeckte Bereiche feststellt, die er rechtmäßig nach diesem AV-Vertrag auditieren darf, kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT- Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen Kunde dem Auftragsverarbeiter schriftlich eine zusätzliche Liste mit hinreichend spezifischen und innerhalb eines Umfangs von einem detaillierten Fragen vorlegen ("Auditfragen").
(1) Audit pro Jahr mit einer maximalen Dauer von fünf Der Auftragsverarbeiter beantwortet die Auditfragen (5"Antworten") Werktagen durchführenan den Kunden (oder seine Aufsichtsbehörde, wobei der Zeitaufwand des Personals von Doctolib dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wirdfalls vom Kunden angewiesen) innerhalb eines angemessenen Zeitraums.
12.2 Das (2) Mit Erhalt der Antworten auf die Auditfragen ist das Audit beschränkt des Kunden abgeschlossen, es sei denn, der Kunde kann objektiv nachweisen, dass die Antworten die Einhaltung seiner gesetzlichen Verpflichtungen und dieses AV-Vertrages nicht ausreichend belegen. In einem solchen Fall ist der Kunde berechtigt, sich auf die das unten beschriebene Verfahren zu berufen.
iii) Vorbehaltlich der Einhaltung von Unterziffern i. und ii. hat der Kunde das Recht, eine formelle Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVOEinhaltung dieses AV-Bestimmungen Vertrages durch den Auftragsverarbeiter in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) Bezug auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darfPrüfungsfragen zu verlangen, die nicht für die ausschließliche Nutzung durch bereits in der von dem Auftragsverarbeiter bereitgestellten Dokumentation enthalten sind ("Gap Audit"). Dazu muss der Kunde dem Auftragsverarbeiter mindestens zwei Wochen vor dem vorgeschlagenen Prüfungstermin einen detaillierten Auditplan vorlegen. Der Auditplan muss den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darfvorgeschlagenen Umfang, die Dauer und das Patientenportal Startdatum des Gap Audits beschreiben. Der Auftragsverarbeiter prüft den Auditplan und die Doctolib-Plattform beherbergt; stellt dem Kunden alle Bedenken oder Fragen (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und z. B. Anfragen nach Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werdendes Auftragsverarbeiters gefährden könnten), und arbeitet mit dem Kunden zusammen, um einen endgültigen Auditplan zu vereinbaren.
12.3 Der (1) Das Gap-Audit unterliegt den folgenden Bestimmungen:
(a) Das Gap Audit muss während der normalen Geschäftszeiten des jeweiligen Standorts durchgeführt werden und hat im Einklang mit den Richtlinien des Auftragsverarbeiters in Bezug auf Besucher vor Ort an dem jeweiligen Standort zu erfolgen und darf die Geschäftsaktivitäten des Auftragsverarbeiters nicht unangemessen beeinträchtigen;
(b) Die Parteien verpflichten sich, die Einhaltung der Verpflichtungen aus diesem AV-Vertrag mit möglichst wenig Störung für den Geschäftsbetrieb des Auftragsverarbeiters zu überprüfen;
(c) Die Parteien sind sich darüber einig, dass der Auftragsverarbeiter die Datenverarbeitung Verantwortliche muss Doctolib mindestens Sicherheit seiner Einrichtungen und Standorte und seinen ununterbrochenen Geschäftsbetrieb aufrechterhalten muss, sich selbst und seine Kunden vor Risiken zu schützen hat und die Offenlegung von Informationen, die die Vertraulichkeit von Informationen des Auftragsverarbeiters und seiner Kunden gefährden würden, verhindern muss.
(30d) Tage vor Wenn der Kunde einen Dritten mit der Durchführung des Gap Audits beauftragt, muss der Dritte in gegenseitigem Einvernehmen zwischen dem Kunden und dem Auftragsverarbeiter eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfangschriftliche Geheimhaltungsvereinbarung treffen, Daten die für den Auftragsverarbeiter akzeptabel ist, bevor er das Gap Audit durchführt.
(e) Wenn der Kunde ein Gap Audit aufgrund einer Anfrage einer Aufsichtsbehörde durchführt und Uhrzeiten der geplanten TestsAuftragsverarbeiter und/oder der Unterauftragsverarbeiter der Ansicht ist, Testbedingungendass es nicht möglich ist, einen bestimmten von der Aufsichtsbehörde festgelegten Zeitrahmen einzuhalten, wird der Auftragsverarbeiter und/oder sein Unterauftragsverarbeiter dem Kunden helfen, dies der zuständigen Aufsichtsbehörde darzulegen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten Kunde nimmt zur Kenntnis, dass der Zugang zu den Einrichtungen eines Unterauftragsverarbeiters dessen jeweilige Zustimmung bedarf und Profile angeben ( IPdass der Auftragsverarbeiter den Zugang zu den Einrichtungen des Unterauftragsverarbeiters zu einem bestimmten Zeitpunkt nicht gewährleisten kann.
(f) Der Kunde stellt dem Auftragsverarbeiter alle unter diesem Abschnitt erstellten Gap Audit-Adresse QuellenBerichte zur Verfügung, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personalsofern dies nicht gesetzlich verboten ist. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und Kunde darf den Gap Audit-Bericht nur zum Zwecke der mit dem Audit beauftragten Personen; (ii) die für die Durchführung Erfüllung seiner behördlichen Prüfungsanforderungen und/oder zur Bestätigung der Intrusionstest verwendeten IPEinhaltung der Anforderungen dieses AV-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib vorab genehmigt worden seinVertrages verwenden.
12.4 Die im Laufe des (g) Der Gap Audit-Bericht ist eine vertrauliche Information der Parteien gemäß den Bedingungen der Cloud Lizenzvereinbarung.
iv) Jede Partei trägt die ihr entstehenden Kosten eines Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wirdselbst.
c) Für den Fall, dass Doctolib den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall die zuständige Aufsichtsbehörde des Kunden das unter Ziffer 12 b) vereinbarte und durchgeführte Auditverfahren für unzureichend hält, werden die Parteien gemeinsam ein Konkurrent Auditverfahren und einen Auditumfang vereinbaren, um die von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, Doctolib den Auditbericht kostenfrei zur Verfügung zu stellen. Doctolib kann innerhalb einer Frist von drei (3) Monaten ab Erhalt zuständigen Aufsichtsbehörde des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigierenKunden geäußerten Bedenken auszuräumen.
Appears in 1 contract
Samples: Eu Data Processing Agreement
Audit. 12.1 Zur Messung a) Der Kunde kann die Einhaltung der Sicherheit Bestimmungen dieses AV-Vertrages durch den Auftragsverarbeiter einmal pro Jahr überprüfen (entweder für sich selbst oder im Namen einer Aufsichtsbehörde, der Doctoliber unterliegt, jedoch nur aufgrund eines formellen Auskunftsersuchens dieser Aufsichtsbehörde) ("Audit").
b) Der Kunde stimmt zu, dass sein oben genanntes Recht auf Audit bedeutet, dass er berechtigt ist, das folgende Verfahren durchzuführen:
i) Der Kunde kann die Ergebnisse der formellen jährlichen unabhängigen Überprüfung der in Ziffer 6 beschriebenen technischen und organisatorischen Maßnahmen ("Compliance-Plattform Bericht") überprüfen, die durch einen angesehenen, qualifizierten Dritten durchgeführt wurde.
ii) Soweit der Kunde nach der Prüfung des Compliance-Berichts nicht abgedeckte Bereiche feststellt, die er rechtmäßig nach diesem AV-Vertrag auditieren darf, kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT- Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen Kunde dem Auftragsverarbeiter schriftlich eine zusätzliche Liste mit hinreichend spezifischen und innerhalb eines Umfangs von einem detaillierten Fragen vorlegen ("Auditfragen").
(1) Audit pro Jahr mit einer maximalen Dauer von fünf Der Auftragsverarbeiter beantwortet die Auditfragen (5"Antworten") Werktagen durchführenan den Kunden (oder seine Aufsichtsbehörde, wobei der Zeitaufwand des Personals von Doctolib dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wirdfalls vom Kunden angewiesen) innerhalb eines angemessenen Zeitraums.
12.2 Das (2) Mit Erhalt der Antworten auf die Auditfragen ist das Audit beschränkt des Kunden abgeschlossen, es sei denn, der Kunde kann objektiv nachweisen, dass die Antworten die Einhaltung seiner gesetzlichen Verpflichtungen und dieses AV-Vertrages nicht ausreichend belegen. In einem solchen Fall ist der Kunde berechtigt, sich auf die das unten beschriebene Verfahren zu berufen.
iii) Vorbehaltlich der Einhaltung von Unterziffern i. und ii. hat der Kunde das Recht, eine formelle Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVOEinhaltung dieses AV-Bestimmungen Vertrages durch den Auftragsverarbeiter in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) Bezug auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darfPrüfungsfragen zu verlangen, die nicht für die ausschließliche Nutzung durch bereits in der von dem Auftragsverarbeiter bereitgestellten Dokumentation enthalten sind ("Gap Audit"). Dazu muss der Kunde dem Auftragsverarbeiter mindestens zwei Wochen vor dem vorgeschlagenen Prüfungstermin einen detaillierten Auditplan vorlegen. Der Auditplan muss den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darfvorgeschlagenen Umfang, die Dauer und das Patientenportal Startdatum des Gap Audits beschreiben. Der Auftragsverarbeiter prüft den Auditplan und die Doctolib-Plattform beherbergt; stellt dem Kunden alle Bedenken oder Fragen (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und z. B. Anfragen nach Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werdendes Auftragsverarbeiters gefährden könnten), und arbeitet mit dem Kunden zusammen, um einen endgültigen Auditplan zu vereinbaren.
12.3 Der (1) Das Gap-Audit unterliegt den folgenden Bestimmungen:
(a) Das Gap Audit muss während der normalen Geschäftszeiten des jeweiligen Standorts durchgeführt werden und hat im Einklang mit den Richtlinien des Auftragsverarbeiters in Bezug auf Besucher vor Ort an dem jeweiligen Standort zu erfolgen und darf die Geschäftsaktivitäten des Auftragsverarbeiters nicht unangemessen beeinträchtigen;
(b) Die Parteien verpflichten sich, die Einhaltung der Verpflichtungen aus diesem AV-Vertrag mit möglichst wenig Störung für den Geschäftsbetrieb des Auftragsverarbeiters zu überprüfen;
(c) Die Parteien sind sich darüber einig, dass der Auftragsverarbeiter die Datenverarbeitung Verantwortliche muss Doctolib mindestens Sicherheit seiner Einrichtungen und Standorte und seinen ununterbrochenen Geschäftsbetrieb aufrechterhalten muss, sich selbst und seine Kunden vor Risiken zu schützen hat und die Offenlegung von Informationen, die die Vertraulichkeit von Informationen des Auftragsverarbeiters und seiner Kunden gefährden würden, verhindern muss.
(30d) Tage vor Wenn der Kunde einen Dritten mit der Durchführung des Gap Audits beauftragt, muss der Dritte in gegenseitigem Einvernehmen zwischen dem Kunden und dem Auftragsverarbeiter eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfangschriftliche Geheimhaltungsvereinbarung treffen, Daten die für den Auftragsverarbeiter akzeptabel ist, bevor er das Gap Audit durchführt.
(e) Wenn der Kunde ein Gap Audit aufgrund einer Anfrage einer Aufsichtsbehörde durchführt und Uhrzeiten der geplanten TestsAuftragsverarbeiter und/oder der Unterauftragsverarbeiter der Ansicht ist, Testbedingungendass es nicht möglich ist, einen bestimmten von der Aufsichtsbehörde festgelegten Zeitrahmen einzuhalten, wird der Auftragsverarbeiter und/oder sein Unterauftragsverarbeiter dem Kunden helfen, dies der zuständigen Aufsichtsbehörde darzulegen. Der Auditor muss ebenfalls Kunde nimmt zur Kenntnis, dass der Zugang zu den Einrichtungen eines Unterauftragsverarbeiters dessen jeweilige Zustimmung bedarf und dass der Auftragsverarbeiter den Zugang zu den Einrichtungen des Unterauftragsverarbeiters zu einem bestimmten Zeitpunkt nicht gewährleisten kann.
(f) Der Kunde stellt dem Auftragsverarbeiter alle unter diesem Abschnitt erstellten Gap Audit-Berichte zur Verfügung, sofern dies nicht gesetzlich verboten ist. Der Kunde darf den Gap Audit-Bericht nur zum Zwecke der Erfüllung seiner behördlichen Prüfungsanforderungen und/oder zur Bestätigung der Einhaltung der Anforderungen dieses AV-Vertrages verwenden.
(g) Der Gap Audit-Bericht ist eine vertrauliche Information der Parteien gemäß den Bedingungen der Cloud Lizenzvereinbarung.
iv) Mit Ausnahme der Zurverfügungstellung der Compliance Berichte sind alle Audits (und alle damit verbundenen Kosten, die ggf. für dem Auftragsverarbeiter entstehen (z.B. Schäden, die Tests verwendeten Konten und Profile angeben ( IP-Adresse Quellender Kunde oder seine Auditoren an Einrichtungen oder Daten, User Agent usw.die sich dort befinden, verursachen), die verwendete Methode sowie das vom Audit betroffene Personal. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und der mit dem Audit beauftragten Personen; (ii) die für die Durchführung der Intrusionstest verwendeten IP-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib vorab genehmigt worden seinKunden zu tragen.
12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wirdc) Für den Fall, dass Doctolib den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall die zuständige Aufsichtsbehörde des Kunden das unter Ziffer 12 b) vereinbarte und durchgeführte Auditverfahren für unzureichend hält, werden die Parteien gemeinsam ein Konkurrent Auditverfahren und einen Auditumfang vereinbaren, um die von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, Doctolib den Auditbericht kostenfrei zur Verfügung zu stellen. Doctolib kann innerhalb einer Frist von drei (3) Monaten ab Erhalt zuständigen Aufsichtsbehörde des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigierenKunden geäußerten Bedenken auszuräumen.
Appears in 1 contract
Samples: Eu Data Processing Agreement
Audit. 12.1 Zur Messung der Sicherheit der Doctolib-Plattform kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT- IT-Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen und innerhalb eines Umfangs von einem (1) Audit pro Jahr mit einer maximalen Dauer von fünf (5) Werktagen durchführen, wobei der Zeitaufwand des Personals von Doctolib dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wird.
12.2 Das Audit beschränkt sich auf die Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVO-Bestimmungen in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darf, die nicht für die ausschließliche Nutzung durch den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darf, die das Patientenportal und die Doctolib-Plattform beherbergt; (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und Informationen, die von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werden.
12.3 Der für die Datenverarbeitung Verantwortliche muss Doctolib mindestens (30) Tage vor Durchführung des Audits eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfang, Daten und Uhrzeiten der geplanten Tests, Testbedingungen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten und Profile angeben ( IP-Adresse Quellen, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personal. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und der mit dem Audit beauftragten Personen; (ii) die für die Durchführung der Intrusionstest verwendeten IP-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib Xxxxxxxx vorab genehmigt worden sein.
12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wird, dass Doctolib Xxxxxxxx den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall ein Konkurrent von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, Doctolib den Auditbericht kostenfrei zur Verfügung zu stellen. Doctolib kann innerhalb einer Frist von drei (3) Monaten ab Erhalt des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigieren.
Appears in 1 contract
Samples: Auftragsdatenverarbeitung
Audit. 12.1 Zur Messung der Sicherheit der Doctolib-Plattform kann der für Feststellung, ob die Datenverarbeitung Verantwortliche auf eigene Kosten IT- Sicherheitsaudits unter Einhaltung der Qualitätssicherungsmaßnahmen den Anforderungen von BPW gerecht werden, ist BPW zu Audits bei XY berechtigt. Diese Audits können sowohl als Prozess-, System- oder Produktaudit durchgeführt werden. Hierzu wird im vorliegenden Artikel vorgesehenen Bedingungen Vorhinein gemeinsam von BPW und innerhalb eines Umfangs XY eine Zielvorgabe definiert. Die Ergebnisse der Audits sind gegen diese Vorgabe zu bewerten. Bei Nichterreichung der Vorgabe sind Fehleranalysen durchzuführen und geeignete Korrekturmaßnahmen einzuleiten. Sofern gewünscht, wird XY auch Kunden von einem BPW gestatten, Audits bei XY durchzuführen oder durchführen zu lassen (1) third party audit). Grundsätzlich wird BPW das Audit pro Jahr mit einer maximalen Dauer von fünf (5) Werktagen durchführen, wobei der Zeitaufwand des Personals von Doctolib dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wird.
12.2 Das Audit beschränkt rechtzeitig ankündigen. Bei unerwarteten Störfällen behält sich auf die Prüfung der Prozesse, der Organisation und der ToolsBPW jedoch auch kurzfristig angesetzte Termine vor. XY ist verpflichtet, die direkt und ausschließlich mit der Umsetzung der DSGVO-Bestimmungen in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darf, die nicht für die ausschließliche Nutzung durch den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darf, die das Patientenportal und die Doctolib-Plattform beherbergt; (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und Informationen, die von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werden.
12.3 Der für die Datenverarbeitung Verantwortliche muss Doctolib mindestens (30) Tage vor Durchführung des Audits eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfang, Daten und Uhrzeiten der geplanten Tests, Testbedingungen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten und Profile angeben ( IP-Adresse Quellen, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personal. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und der mit dem Audit beauftragten Personen; (ii) die für die Durchführung der Intrusionstest verwendeten IP-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib vorab genehmigt worden sein.
12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wird, dass Doctolib den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall ein Konkurrent von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, Doctolib den Auditbericht kostenfrei zur Verfügung zu stellen, sowie die Durchführung eines Audits zu gewährleisten und soweit möglich zu unterstützen. Doctolib kann innerhalb einer Frist XY gewährt BPW und – soweit erforderlich – deren Kunden hierzu insbesondere Zutritt zu allen Betriebsstätten, Prüfstellen, Lagern und angrenzenden Bereichen sowie Einsicht in qualitätsrelevante Dokumente. Dabei werden notwendige und angemessene Einschränkungen des XY zur Sicherung seiner Betriebsgeheimnisse akzeptiert. Die Verpflichtungen dieses Abschnitts gelten in entsprechender Anwendung auch für die Durchführung von drei Audits bei Lieferanten von XY, deren Durchführbarkeit XY durch entsprechende Vereinbarungen mit diesen Lieferanten sicherzustellen hat. Im Rahmen der Risiko-Einstufung, die die Schadenswirkung und den Umsatzanteil von XY für BPW berücksichtigt, wird XY mit einem Audit-Intervall von xx seitens BPW eingestuft. BPW erstellt für XY regelmäßig (3mindestens jährlich) Monaten ab Erhalt eine Lieferantenbewertung. Hierin werden Termintreue, Mengentreue, Anzahl fehlerhafter Artikel (PPM), Reklamations-Quote, Feldreklamationen und die Bonität bewertet. Abschließend ergibt sich hieraus eine Lieferanteneinstufung von A = Gut, B= Verbesserungspotenzial bis C = Maßnahmen zur Verbesserung erforderlich. In Abhängigkeit dieser Einstufung ergibt sich folgendes Vorgehen unter Absatz 4 bzgl. Audit. Einstufung Auflagen „A“ oder "AB" XY stellt der BPW ein Prozessaudit (min Deckblatt) nach VDA 6.3 (interne Durchführung reicht aus) zur Verfügung. „B“ XY beauftragt eine neutrale Organisation zur Durchführung eines Prozessaudits nach VDA 6.3. BPW behält sich eine Begleitung des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigierenAudits vor. „C“ XY beauftragt eine neutrale Organisation zur Durchführung eines Prozessaudits nach VDA 6.3. BPW wird das Audit begleiten und XY hierfür die Reisekosten von BPW übernehmen.
Appears in 1 contract
Samples: Qualitätssicherungsvereinbarung
Audit. 12.1 Zur Messung der Sicherheit der Doctolib-Plattform kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT- Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen und innerhalb eines Umfangs von einem (1) Audit pro Jahr mit einer maximalen Dauer von fünf (5) Werktagen durchführen, wobei der Zeitaufwand des Personals von Doctolib dem 7.1 Der für die Verarbeitung Verantwortlichen in Rechnung gestellt wird.
12.2 Verantwortliche hat das Recht, Audits durch einen unabhängigen, zur Vertraulichkeit verpflichteten Dritten durchführen zu lassen, um die Einhaltung aller Punkte dieses Vertrags zu überprüfen. Das Audit beschränkt sich auf die Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVO-Bestimmungen in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers/Abonnenten, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von Doctolib der Sicherheit der Doctolib-Plattform oder eines anderen Nutzers schaden könnte; (ii) auf die Finanzdaten von Doctolib; oder (iii) auf personenbezogene Daten der Angestellten von Doctolib oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der findet grundsätzlich höchstens einmal im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darf, die nicht für die ausschließliche Nutzung durch den Nutzer/Abonnenten bestimmt sind; (ii) die Infrastruktur beschädigen darf, die das Patientenportal und die Doctolib-Plattform beherbergt; (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest im Doctolib-Netz sind gleich aus welchem Grund untersagt und von den Audits ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch Doctolib zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und Informationen, die von den Unterauftragsverarbeitern von Doctolib zur Verfügung gestellt werden.
12.3 Der für die Datenverarbeitung Verantwortliche muss Doctolib mindestens (30) Tage vor Durchführung des Audits eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer Testumfang, Daten und Uhrzeiten der geplanten Tests, Testbedingungen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten und Profile angeben ( IP-Adresse Quellen, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personal. Der für die Datenverarbeitung Verantwortliche muss Doctolib alle nützlichen Information im Hinblick auf die Intrusionstests und insbesondere (i) die Kontaktdaten des Auditors und der mit dem Audit beauftragten Personen; (ii) die für die Durchführung der Intrusionstest verwendeten IP-Adressen; und (iii) die für die Tests verwendeten Tools mitteilen. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von Doctolib vorab genehmigt worden sein.
12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von Doctolib einholen, wobei davon ausgegangen wird, dass Doctolib den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall ein Konkurrent von Doctolib sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichtenJahr statt. Der für die Verarbeitung Verantwortliche verpflichtet informiert den Auftragsverarbeiter schriftlich über diese Absicht 14 Tage vor der Durchführung des Audits.
7.2 Der Auftragsverarbeiter kooperiert beim Audit und stellt alle Informationen, einschließlich der unterstützenden Daten wie Systemprotokolle, und Mitarbeiter, die für das Audit von Bedeutung sind, so schnell wie möglich und innerhalb eines angemessenen Zeitraums zur Verfügung, es sei denn, ein dringendes Interesse würde dem entgegenstehen.
7.3 Die Ergebnisse des Audits werden von den Parteien nach Rücksprache bewertet und können von einer oder beiden Parteien gemeinsam umgesetzt werden.
7.4 Der Auftragsverarbeiter ist berechtigt, einen unabhängigen, externen Sachverständigen mit der Durchführung eines Audits der Organisation des Auftragsverarbeiters zu beauftragen, um nachzuweisen, dass der Auftragsverarbeiter die Bestimmungen des Vertrags, des Auftragsverarbeitungsvertrags, der DSGVO und anderer anwendbarer Gesetze und Vorschriften bezüglich der Verarbeitung personenbezogener Daten einhält.
7.5 Auf Anfrage des für die Verarbeitung Verantwortlichen legt der Auftragsverarbeiter die Ergebnisse des in Artikel 7.4 genannten unabhängigen, externen Sachverständigen in Form einer Stellungnahme vor, worin der Sachverständige sich dazuzur Qualität der technischen und organisatorischen Sicherheitsmaßnahmen äußert, Doctolib die der Auftragsverarbeiter in Bezug auf die Verarbeitungstätigkeiten für den Auditbericht kostenfrei zur Verfügung für die Verarbeitung Verantwortlichen getroffen hat. Die erforderlichen Dokumente können in den Geschäftsräumen des Verarbeiters eingesehen werden.
7.6 Die Kosten des in Artikel 7.1 genannten Audits werden vom für die Verarbeitung Verantwortlichen getragen. Die Kosten für das Personal des Auftragsverarbeiters, das die Prüfung überwacht, sind hiervon ausgenommen und gehen zu stellenLasten des Auftragsverarbeiters.
7.7 Sofern im Rahmen eines Audits festgestellt wird, dass der Auftragsverarbeiter die Bestimmungen des Vertrags und/oder des Auftragsverarbeitungsvertrags und/oder der DSGVO und/oder anderer anwendbarer Gesetze und Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten nicht einhält, ergreift der Auftragsverarbeiter unverzüglich alle Maßnahmen, die vernünftigerweise erforderlich sind, um sicherzustellen, dass der Auftragsverarbeiter die Bestimmungen doch noch einhält. Doctolib kann innerhalb einer Frist von drei (3) Monaten ab Erhalt Die damit verbundenen Kosten gehen zu Lasten des Berichts festgestellte Versäumnisse oder Nichtkonformitäten korrigierenAuftragsverarbeiters.
Appears in 1 contract
Samples: Auftragsverarbeitungsvertrag