esg2go Datensicherheit

Wo stehen unsere Server?

Die Server stehen in ISO zertifizierten Tier-4 Hochsicherheits-Datenzentren in der Schweiz. Gegen physischen Ausfall sind sie mit redundanten RAID-Festplatten und Duplex-Servern gesichert, die sich gegenseitig spiegeln. Kontinuierliche Backups der Daten inkl. des Datenverlaufs zwischen den Backups sind nicht nur auf den gespiegelten Servern selbst, sondern zusätzlich an externen, gesicherten Orten angelegt. Dies bedeutet, dass bei physischem Ausfall und Datenverlust das System zu jedem und auf jeden Zeitpunkt wieder hergestellt werden kann.

Unsere Standards zur Datenerfassung

Das Datenerfassungstool genügt höchsten Standards. Durch getrennte Datenbanken, SSL verschlüsselte Übertragung, IP-Blocking, kryptografisch gesicherte bzw. abteilungsindividuell verschlüsselte Stammdaten und 2-Faktor Authentifizierung ist ein maximales Mass an Zugriffs-Sicherheit gewährleistet. Zudem wurden verschiedene weitere Massnahmen zur Datensicherheit eingebaut. Zum Beispiel werden alle Bewegungen im System getraced, d.h. es kann immer gesagt werden, wer wann was eingegeben oder abgefragt hat.

Wem gehören die Daten?

Grundsätzlich gehören die Daten immer dem Erhebenden. Die Erhebenden bestimmen, wann was mit den Daten geschieht und haben jederzeit die Kontrolle. Jeder hat immer nur Zugriff auf die Daten, für die er eine Berechtigung hat. Im Bereich Datenschutz arbeiten wir eng und offen mit den offiziellen Stellen (Eidgenössischer Datenschutzbeauftragter und Ethikkommissionen) und unseren Datenschutzbeauftragten zusammen. In Deutschland wurden wir durch den renommierten «TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V.» überprüft und in den exklusiven TMF Toolpool aufgenommen. Zudem haben wir unsere gesamte Dokumentation durch den auf Datenschutz spezialisierten RA David Rosenthal überarbeiten lassen.

Auf welchem System bauen wir auf?

Das esg2go zugrundeliegende System «AQC» ist ISO-zertifiziert nach dem Standard für Qualitätsmanagementsysteme ISO 9001:2015 (seit 09/2006, SGS Zertifikat CH06/0722). Die organisatorischen Prozesse sind standardisiert, doppelt abgesichert und transparent dokumentiert. Kritische Vorfälle sind vorbereitet und der kontinuierliche Verbesserungsprozess ist implementiert.

Regelmässige Security-Audits

In regelmässigen Abständen wird in Security Audits der Ernstfall getestet. Dabei werden alle Systeme durch externe Sicherheitsfachleute umfangreich überprüft. Die Server sind nach dem neuesten Stand der Technik auf Fremdzugriff und Schadsoftware gesichert. Sie werden fortlaufend auf Schwachstellen getestet (Penetrationstest) und halten Angriffsversuchen stand. Dies bestätigten die Sicherheitsberichte. Zudem werden die Programme einem kontinuierlichen externen Code-Review zur Aufdeckung von Schwachstellen unterzogen.