Die neuen Datenschutzregelungen (revDSG, DSV) stellen M&S vor zweierlei Anforderungen:
1) Als Auftragsdatenbearbeiter müssen wir diverse neue technische, organisatorische und vertragliche Anforderungen erfüllen. Zum Glück haben wir hier schon vorgesorgt:
- Unser nach ISO 27001:2022 (Informationssicherheit) zertifiziertes Informationssicherheitsmanagementsystem (ISMS) stellt sicher, dass unsere Daten (dazu gehören auch Kundendaten), Infrastrukturen und Prozesse (v.a. Entwicklung und Support) vor unerlaubten Zugriffen (z.B. Cyberkriminalität), Störungen, Ausfällen sowie Korruptionen geschützt sind und wir jederzeit für Sie da sein können. Monatlich durchgeführte E-Learning-Kurse stellen sicher, dass bei unseren Mitarbeitenden das Thema Informationssicherheit und Datenschutz (ISDS) stets im Bewusstsein ist.
- Für unsere Kunden des Angebots M&S¦SaaS haben wir unser ISMS zusätzlich nach ISO 27017 (Cloud-Sicherheit) zertifiziert. Ausserdem unterziehen wir unsere Lösung periodisch einer externen Sicherheitsprüfung.
- Letztlich gilt es, diverse organisatorische und vertragliche Vorkehrungen zu treffen: Dazu gehören z.B. Meldeverfahren bei Datenschutzverletzungen, Auftragsdatenbearbeitungsvertrag und Bearbeitungsreglement. Auch helfen wir unseren Kunden in neuen Vorhaben bei der Erarbeitung von Schutzbedarfsanalysen (Schuban), Datenschutz-Folgenabschätzungen oder auch Risikoanalysen.
2) Als Lieferant von Softwarelösungen wie z.B. MSPension sehen wir uns zudem verpflichtet, unseren Kunden in ihrer neuen Rolle als Verantwortliche Instrumente zur Verfügung zu stellen, mit welchen sie ihren neuen Verpflichtungen nachkommen können. Viele Anforderungen sind bereits heute erfüllt. So wird z.B. mit dem Modul Geschäftsprozessmanagement sichergestellt, dass bei der Verarbeitung von Prozessen nur Daten erhoben und gespeichert werden, welche wirklich notwendig sind (Prinzip «Need to Know»). Neu enthält MSPension folgende Erweiterungen:
- Optional existiert ein Prozess, mit welchem die Verarbeitungsprotokolle (betreffend natürlichen Personen) ausserhalb des Systems gespeichert und abgefragt werden können.
- Es existiert ein Prozess für die Löschung von Personendaten (inklusive Dokumente).
- Es werden Instrumente zur Erfüllung des «Auskunftsrechts» bereitgestellt.
Unseren Kunden und Partnern stellen wir selbstverständlich gerne zusätzliche Informationen zur Verfügung – kontaktieren Sie uns!