TOM – Technische und organisatorische Massnahmen
Was sind TOM (Technische und organisatorische Maßnahmen)
Art. 28 DSGVO Auftragsverarbeiter schreibt vor, dass externe Dienstleister überprüft werden müssen, ob ausreichend Vorkehrungen (TOM – technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO getroffen wurden.
Lt. Trusted Shops werden diese Technische und organisatorische Maßnahmen wie folgt definiert, bzw. ins Verfahrensverzeichnis aufgenommen:
Technische und organisatorische Maßnahmen können z.B. sein:
Ausweisregelung
Alarmanlage
Schlüsselverwaltung
Elektronische Zugangskarten / Transponder
Quittierung bei Schlüsselausgabe
Sicherheitsschlösser
Bewegungssensoren
Ausweis-Lesegeräte
Dokumentation von Besuchern
Besucherregelung
Videoüberwachung
Quittierung bei Ausgabe Schlüssel / Zugangskarte / Transponder
Firewalls
Virenschutz
Einsatz aktueller Software-Versionen
Sichere Passwörter
Regelmäßiger Passwortwechsel
Auswertung von Eingabe falscher Passwörter
Sperrung bei Eingabe falscher Passwörter
Verzögerung bei Eingabe falscher Passwörter
Zwei-Faktor-Authentifizierung
Bildschirmsperren
Benutzererkennung
Verschlüsselung
Geräteanschlüsse
Interne VPN Verbindungen
Berechtigungskonzept
Zugriffsprotokolle
Auswertung der Zugriffsprotokolle
Aufbewahrung von Zugriffsprotokollen
Erkennung eines Daten Lecks
Penetrationstests
Auslagerung von Sicherungsdatenträgern
Inventarisierung von Datenträgern
Lagerung von Datenträgern
Aufbewahrung von Datenträgern
Regelung zu privaten Datenträgern
Datenträgervernichtung
Protokollierung Datenträgervernichtung
Transport in gesicherten verschlossenen Transportbehältern
Transport durch zuverlässige Transportunternehmen
Anonymisierte Datenweitergabe
Pseudonymisierte Datenweitergabe
Verschlüsselte Datenübertragung des Webservers
Verschlüsselte Datenübertragung der E-Mail-Kommunikation
Ende-zu-Ende Verschlüsselung
Dokumentation von Abruf- und Übermittlungsvorgänge
Protokollierung der Dateneingabe, -Änderung und -Löschung
Benutzerzuordnung der Dateneingabe, -Änderung und -Löschung
Nutzerberechtigungs-Verwaltung
Protokollierung von Online-Eingaben
Sorgfältige Auswahl des Auftragnehmers
Vertrag mit Auftragsverarbeiter
Regelung bzgl. des Einsatzes von Unterauftragnehmern
Verarbeitung nur mit dokumentierter Weisung des Verantwortlichen
Kontrollrechte des Auftraggebers
Löschung oder Zurückgabe der Daten
Feuerlöscher
Rauch- oder Brandmelder
Rauchverbote
Wasserschutzeinrichtungen
Unterbrechungsfreie Stromversorgung (USV)
Regelmäßige Datensicherung
Getrennte Aufbewahrung der Sicherungsdatenträger
Cloud Backup-Lösungen
Notfallpläne
Logische Mandantentrennung (softwareseitig)
Redundante Systeme
Trennung von Produktion- und Testumgebungen
Pseudonymisierung/Anonymisierung von Daten zu Entwicklungszwecken
Vereinbarte TOM mit dem Auftragsverarbeiter
Opt-Out Cookie
Kürzung / Maskierung von IP Adressen
Externer Einsatz von VPN
Verpflichtung aller Beschäftigten auf das Datengeheimnis
Regelmäßige Datenschutzschulung aller Beschäftigten
Einsatz von Sicherheitspersonal
Physikalisch getrennte Speicherung auf gesonderten Systemen / Datenträgern
Regelung zur Vergabe von Schlüsseln / Zugangskarten / Transpondern
0 Comments