06_Quick Check TOMs

  • 06_Quick Check TOMs

    Version: 1.1

  • Version 1.1 (14.10.2022)

    • Löschung der Anmerkungstexte zu jeder Frage;
    • Anpassung des Wordings auf Version für AV und VA;

  • Zweck

    Nachfolgende Fragen dienen als Grundlage für die grundlegende Überprüfung der technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung der Sicherheit der Verarbeitung beim Verantwortlichen oder Auftragnehmer (Auftragsverarbeiter).

    Sonstiges

    Sie erhalten vor dem Absenden des Fragebogens noch die Gelegenheit ihre Einträge zu prüfen, zu korrigieren und auszudrucken.

    Weiters bekommen Sie die ausgefüllten Fragebogen per E-Mail übermittelt. Das E-Mail beinhaltet ausserdem einen Link zur erneuten Bearbeitung des ausgefüllten Formulars.

    Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Befragung ist nicht gestattet.

    Vielen Dank im Voraus für Ihre Bemühungen.

    Ing. Mag. Horst Greifeneder

    --

    Datenschutzbeauftragter.co.at
    Schenkelbachweg 32.

    A-4600 Wels. T 07242-77715. 
    office@datenschutzbeauftragter.co.at

  • Das Prüfformular dient Eignungsprüfung des Auftragsverarbeieters vor Abschluss einer Auftarssgverarbeitervereinbarung.

    Version: 1.0: (21.04.2021, eDSB)

  • Namens- und Kontaktdaten

    Nachfolgende Daten dienen uns zur sachgerechten Zuordnung der erhobenen Daten.
  • Bitte geben Sie die Rolle ihres Unternehmens bei der Verarbeitung der personenbezogenen Daten an.

  • Datenschutz Management

  • Gibt es ein dokumentierte(s) Datenschutz Management System bzw eine Datenschutz Policy für die Verarbeitung von personenbezogenen Daten im Unternehmen ?
  • Gibt es einen offiziell benannten internen oder externen Datenschutzbeauftragten für das Unternehmen?
  • Gibt es ein dokumentierte(s) Datensicherheitskonzept bzw eine Datensicherheitsrichtlinie im Unternehmen ?

  • Technische Maßnahmen der Datensicherheit

  • Die Serverräume sind durch eine Zutrittskontrolle geschützt und können nur von berechtigten Mitarbeiterinnen und Mitarbeitern betreten werden?
  • Alle Systeme sind durch einen umfangreichen Passwortschutz gesichert und unterliegen einem Berechtigungskonzept, welches sicherstellt, dass nur berechtigte Personen Zugriff auf Daten erhalten?
  • Daten werden über sichere Wege übermittelt (z. B. VPN-Verbindung)?
  • Personenbezogene Daten können nur von berechtigten Personen erfasst, verändert und gelöscht werden. Eingaben in den Kundenstammdaten des Auftragnehmers werden mit protokolliert?
  • Der Auftragsverarbeiter handelt nur in jenem Umfang, der mit dem Verantwortlichen vereinbart wurde (Auftragsverarbeitervereinbarung, Hauptvertrag, Wartungsvertrag etc.)?
  • Die laufende Durchführung von Datensicherungen sowie die Überwachung der Betriebssicherheit für die Datenverarbeitung wird bestätigt. Im Bedarfsfall stehen Notfallpläne zur Verfügung, um die möglichen Folgen bei Betriebsausfällen möglichst gering zu halten?

  • Organisatorische Maßnahmen

  • Es sind interne Zuständigkeiten für technische oder organisatorische Fragen der Datensicherheit definiert?
  • Die Mitarbeiter/innen werden über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere werden Sie dazu verpflichtet, personenbezogene Daten nur auf ausdrückliche Anweisung eines Vorgesetzten an Dritte zu übermitteln?
  • Die Mitarbeiter/innen werden regelmäßig zu Fragen der Datensicherheit geschult und angemessen über Fragen der Datensicherheit informiert (z. B. Passwortsicherheit).
  • Bei Beendigung des Dienstverhältnisses erfolgt eine unverzügliche Sperrung aller Konten des ausscheidenden Mitarbeiters sowie eine Abnahme aller Schlüssel oder Zutrittskarten des ausscheidenden Mitarbeiters?
  • Der Einsatz eines Dienstleisters, der als Sub-Auftragsverarbeiter einzustufen ist, erfolgt nur nach Abschluss einer eigenen Auftragsverarbeitervereinbarung?
  • Datenträger (inkl Papier) werden vor ihrer Entsorgung vollständig überschrieben oder physisch zerstört, sodass die darauf gespeicherten Daten nicht gelesen oder wiederhergestellt werden können?

  • Präventive Sicherheitsmaßnahmen

    Fortsetzung
  • Alle Mitarbeiter/innen des werden instruiert, wie sie Sicherheitsverletzungen erkennen können (z. B. durch Meldungen von Anti-Viren-Software)?
  • Vertragliche Regelungen hinsichtlich bestehender Lösch- und Rückgabepflicht der zur Auftragsverarbeitung überlassenen Daten wurden festgelegt?
  • Betriebsfremden Personen ist das Betreten der Betriebsräumlichkeiten nur nach Registrierung und in Begleitung einer Mitarbeiterin oder eines Mitarbeiters gestattet?
  • Es werden regelmäßig verpflichtende IT-Sicherheits-Audits, gemäß ISO 27001 oder eines vergleichbaren IT-Sicherheitsstandards, durchgeführt?
  • In den Serverräumlichkeit sind Sicherheitseinrichtungen wie Rauchmelder, Notstromgerät ua vorhanden, die bei einem Vorfall automatisch ausgelöst werden?

  • Reaktive Sicherheitsmaßnahmen

  • Es werden regelmäßig Datensicherungen erstellt und diese sicher aufbewahrt?
  • Alle Mitarbeiter/innen sind angewiesen, Sicherheitsverletzungen unverzüglich an eine zuvor definierte interne Stelle bzw. Person zu melden?
  • Es wird durch einen geeigneten Prozess sichergestellt, dass Sicherheitsverletzungen unverzüglich an den Verantwortlichen gemeldet werden können?
  • Allen Mitarbeiter/innen und Dienstleistern wurden Kontaktdaten für die Meldung von Sicherheitsverletzungen mitgeteilt?

  • Sonstiges

  • Datei(en) hochladen
    Cancelof
  • Should be Empty: