In diesem Dokument wird beschrieben, wie Vodia mithilfe einer Vodia-Telefonanlage die DSGVO 2016/279 in den EU-Märkten und die Vorschriften für Systems and Organization Control — SOC 2 auf US-Märkten einhält
Vodia-Kunden generieren oder verarbeiten sensible Daten auf Vodia-Telefonsystemen. Das Vodia-System wurde sorgfältig entwickelt, um bei korrekter Verwendung die Anforderungen der DSGVO und SOC 2 zu erfüllen. In diesem Informationsblatt beschreiben wir, wie wir die jeweiligen Anforderungen während der Schritte des Systemdesigns, der Implementierung und der Bereitstellung erfüllen.
Es liegt jedoch in der Verantwortung des Telefonnetzbetreibers und -benutzers, die DSGVO- und SOC-Vorschriften einzuhalten. Vodia ist weder ein Datenverantwortlicher noch ein Datenverarbeiter. Vodia unterstützt Dienstanbieter, Kunden und Endbenutzer jedoch dabei, die sichere Einrichtung, den Betrieb und die Nutzung des Systems aufrechtzuerhalten.
Das Design des Vodia-Telefonsystems spiegelt eine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten wider. Dazu gehören die Einholung der ausdrücklichen Einwilligung der betroffenen Person, die Erfüllung einer vertraglichen Verpflichtung, die Einhaltung gesetzlicher Verpflichtungen, der Schutz lebenswichtiger Interessen, die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt, oder die Erfüllung berechtigter Interessen des für die Verarbeitung Verantwortlichen. Die Standardeinstellungen sind so eingestellt, dass das Vodia-Telefonsystem mit einem Minimum an sensiblen Daten betrieben wird.
Wir haben dafür gesorgt, dass die Vodia-Telefonsysteme Mechanismen bieten, die die Ausübung der Rechte der betroffenen Person erleichtern. Zu diesen Rechten gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung und darauf, keiner automatisierten Entscheidungsfindung zu unterliegen.
Die Vodia-Systeme wahren den Grundsatz der Rechtmäßigkeit und Transparenz. Systemaudits können durchgeführt werden, um festzustellen, welche Informationen verarbeitet werden müssen, um die Aufgabe als Kommunikationssystem zu erfüllen. Die gesamte Datenverarbeitung ist so konzipiert, dass ein absolutes Minimum an Daten mit einer rechtlichen Begründung verarbeitet wird. Entsprechende Informationen stellen dem Systembetreiber die Datenschutzbestimmungen zur Verfügung.
Das Vodia-Telefonsystem ist so konzipiert, dass es vor Ort unter voller Kontrolle des Datenverantwortlichen und des Datenverarbeiters in Bezug auf Datenspeicherung und Datenaustausch funktioniert. Es ist so konzipiert, dass es autonom funktioniert, ohne Daten mit Dritten und externen Diensten auszutauschen.
Nach dem Prinzip „Security by Design“ erstellen wir in jeder Phase der Implementierung eine Implementierung von Datenschutz und IT-Sicherheit im gesamten Vodia-Telefonsystem.
Indem wir vermeiden, externe Frameworks und Open-Source-Pakete zu verwenden und intern von Grund auf neu zu programmieren, erstellen wir einen Code, auf den sich jeder Kunde verlassen kann. Unsere IDE ist so eingerichtet, dass sie den Industriestandards entspricht, was bedeutet, dass potenzielle Ursachen von Sicherheitsbedrohungen aufgespürt und beseitigt werden können.
Wir ermöglichen es Vodia-Telefonnetzbetreibern (Datenverarbeitern), mit ihren Kunden (Datenverantwortlichen) Datenverarbeitungsvereinbarungen gemäß den GDPR- und SOC-Standards abzuschließen, in denen die Verantwortlichkeiten und Verpflichtungen jeder Partei in Bezug auf den Datenschutz eindeutig eingehalten werden können. Diese Vereinbarungen können Bestimmungen in Bezug auf Sicherheitsmaßnahmen, Benachrichtigungen über Datenschutzverletzungen und Datenübertragungen enthalten.
Vodia hat Funktionen implementiert, die es den Betreibern ermöglichen, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit und Vertraulichkeit der von einem Datenverarbeiter verarbeiteten personenbezogenen Daten zu gewährleisten. Dazu gehören die Verschlüsselung der Kommunikation und des Datenaustauschs, Zugangskontrollen, regelmäßige Sicherheitsbewertungen und Mitarbeiterschulungen.
Die Telefonsysteme von Vodia sind so konzipiert, dass sie auch SOC 2 (System and Organization Controls 2) entsprechen, dem vom American Institute of CPAs (AICPA) entwickelten Framework zur Bewertung und Berichterstattung über die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz der Systeme und Daten einer Serviceorganisation. Hier sind einige wichtige Bereiche, die in SOC 2 im Zusammenhang mit Datenschutz behandelt werden:
Gewährleistung der Sicherheit mit Vodia-Telefonsystemen: SOC 2 verlangt von Serviceorganisationen die Implementierung von Sicherheitskontrollen zum Schutz vor unbefugtem Zugriff, sowohl physisch als auch logisch. Dazu gehören Maßnahmen wie Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit und Überwachung der Systemaktivität. Vodia-Telefonsysteme wurden entwickelt, um diese Anforderung zu erfüllen.
Gewährleistung der Vertraulichkeit mit Vodia-Telefonsystemen: SOC 2 legt Wert auf den Schutz sensibler Informationen vor unbefugter Offenlegung. Serviceorganisationen müssen über Richtlinien und Verfahren verfügen, um vertrauliche Daten, einschließlich Kundendaten und geistiges Eigentum, zu schützen.
Gewährleistung des Datenschutzes mit Vodia-Telefonsystemen: SOC 2 umfasst Datenschutzkontrollen, um die Einhaltung der geltenden Datenschutzbestimmungen und Verpflichtungen gegenüber Einzelpersonen in Bezug auf die Erfassung, Verwendung, Aufbewahrung und Offenlegung ihrer personenbezogenen Daten sicherzustellen. Unternehmen müssen Datenschutzrichtlinien und -praktiken zum Schutz personenbezogener Daten festlegen und einhalten. Vodia-Telefonsysteme sind so konzipiert, dass sie die Datenschutzanforderungen erfüllen.
Sicherstellung der Verfügbarkeit von Vodia-Telefonsystemen: Nach SOC 2 müssen Serviceorganisationen sicherstellen, dass ihre Systeme und Dienste wie mit ihren Kunden vereinbart für den Betrieb und die Nutzung verfügbar sind. Dies beinhaltet die Umsetzung von Maßnahmen zur Verhinderung von Systemunterbrechungen und zur Reaktion auf diese, einschließlich Sicherungs- und Notfallwiederherstellungsplänen. Vodia-Telefonsysteme können mit einem hohen Verfügbarkeitsprofil betrieben werden.
Sicherstellung der Verarbeitungsintegrität: SOC 2 bewertet die Genauigkeit, Vollständigkeit und Aktualität der Datenverarbeitung. Serviceorganisationen müssen über Kontrollen verfügen, um die Integrität der Daten sicherzustellen, einschließlich Maßnahmen zur Erkennung und Korrektur von Fehlern, zum Datenabgleich und zur Aufrechterhaltung der Datengenauigkeit.
SOC 2 ist ein flexibles Framework, und die spezifischen Kontrollen und Anforderungen können je nach Art der erbrachten Dienstleistung und den Zielen der Organisation variieren. Der SOC 2-Bericht, der von einem unabhängigen Prüfer erstellt wurde, enthält eine detaillierte Bewertung der von der Serviceorganisation durchgeführten Kontrollen und ihrer Wirksamkeit bei der Erfüllung der festgelegten Kriterien.
Vodia-Telefonsysteme bieten Funktionen, um die täglichen Geschäftsanforderungen der Endbenutzer in Geschäftsprozessen zu erfüllen. Alle Standardeinstellungen konzentrieren sich auf eine minimale Datenerfassung. Endbenutzer können Einstellungen aktivieren, die die Datenerfassung verbessern, um Geschäftsprozesse zu vereinfachen.
Die Verwendung des Vodia-Integrationsframeworks kann zur Übertragung von Daten außerhalb des Systems an Dritte wie CRM- oder Abrechnungsdienstleister führen. Der Endbenutzer muss sicherstellen, dass diese Datenübertragungen der DSGVO und SOC 2 entsprechen.
Die Funktion der Kommunikationsaufzeichnung kann von den Endbenutzern aktiviert werden, wenn dies vom Telefonanlagenbetreiber aktiviert wird. Endbenutzer sind dafür verantwortlich, die gesetzlichen Anforderungen für die Speicherung und Verarbeitung von Kommunikationsaufzeichnungen zu erfüllen.
Um die Abrechnung zu ermöglichen, sammelt der Telefonanlagenbetreiber Gesprächsdatensätze für die Rechnungsabwicklung. Diese Daten müssen gemäß bestimmten nationalen Vorschriften verarbeitet werden. Der Betreiber und der Kunde sind dafür verantwortlich, diese nationalen Vorschriften einzuhalten.
Telefonsysteme sind im Allgemeinen anfällig für Betrug. Datenverarbeiter und Verantwortliche sind für einen angemessenen Betrugsschutz verantwortlich. Vodia-Systeme sind so konzipiert, dass sie vor Betrug schützen, wenn sie richtig konfiguriert sind.
Vodia bietet Informationen zum Einrichten sicherer Firewall-Einstellungen. Die Einrichtung der entsprechenden Firewall und deren Überwachung liegen in der Verantwortung des Datenverarbeiters, um unbefugten Zugriff auf das Telefonsystem zu verhindern.
Mit der Überwachungsfunktion der Vodia-Telefonsysteme können Betreiber und Endbenutzer Daten sammeln, um Kommunikationsmuster, Verfügbarkeit und Sicherheit zu verbessern. Diese Funktion ist standardmäßig deaktiviert. Die Nutzung der Überwachungsfunktionen gemäß den Vorschriften der DSGVO und SOC 2 muss vom Datenverarbeiter und vom Datenverantwortlichen gewährleistet werden.
Vodia bietet professionelle Dienstleistungen für Datenverarbeiter (Betreiber) an, um die Angemessenheit der Vodia-Telefonsystemkonfigurationen zu überprüfen.
Die DSGVO-Zertifizierung ist nicht verpflichtend, zeigt aber in jedem Fall das Bewusstsein für sensible Geschäftsanforderungen und verleiht Systembetreibern und Kunden Glaubwürdigkeit. Für Betreiber und Kunden in kritischen Geschäftsbereichen kann sie verpflichtend sein. Vodia kann Betreibern und Kunden dabei helfen, Maßnahmen zum Nachweis der Einhaltung der DSGVO zu ergreifen. Hier sind Maßnahmen, die wir unterstützen:
Datenschutzfolgenabschätzung (DPIA): Wenn Sie eine DPIA durchführen, um die potenziellen Risiken und Auswirkungen Ihres PBX-Betriebs auf die Privatsphäre und Datenschutzrechte von Einzelpersonen zu identifizieren und zu bewerten, helfen wir Ihnen dabei, potenzielle Datenschutzrisiken zu verstehen und zu mindern.
Implementieren Sie DSGVO-konforme Richtlinien und Verfahren: Wenn Sie umfassende Richtlinien und Verfahren entwickeln und implementieren, die den Anforderungen der DSGVO entsprechen, einschließlich Datenschutz, Reaktion auf Datenschutzverletzungen, Betroffenenrechte, Einwilligungsmanagement und Sicherheitsmaßnahmen, können wir Sie bei Ihren Dokumentationspflichten unterstützen.
Rechtliche Grundlagen für die Verarbeitung: Identifizieren und dokumentieren Sie die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten gemäß der DSGVO. Stellen Sie sicher, dass Sie über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen und dass Sie diese den betroffenen Personen mitteilen.
Einwilligungsmanagement: Wenn sich ein Datenverarbeiter oder Verantwortlicher auf Einwilligungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten stützt, muss ein Einwilligungsverwaltungssystem eingerichtet werden. Vodia kann die Integration zwischen dem Telefonsystem und den Systemen zur Verwaltung von Einwilligungen unterstützen, sodass Einzelpersonen ihre ausdrückliche und informierte Einwilligung erhalten und ihnen klare Optionen zum Widerruf der Einwilligung zur Verfügung gestellt werden.
Datensicherheitsmaßnahmen: Angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten, die über das spezifische Telefonsystem verarbeitet werden. Dazu gehören Verschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsbewertungen und Mitarbeiterschulungen zu Datenschutz und Sicherheit. Vodia kann bei der Ausführung dieser Aufgaben helfen.
Rechte der betroffenen Person: Wenn Sie Mechanismen einrichten möchten, die die Ausübung der Rechte der betroffenen Person erleichtern, z. B. die Gewährung des Zugriffs auf personenbezogene Daten, die Genehmigung von Berichtigungs- und Löschungsanfragen und die Behandlung von Einwänden gegen die Verarbeitung von Vodia-Telefonsystemen, die Bereitstellung geeigneter Schnittstellen und die Bereitstellung professioneller Integrationsdienste.
Lieferantenmanagement: Wenn ein Datenverarbeiter oder ein Datenverantwortlicher Drittanbieter oder Unterauftragsverarbeiter einsetzt, müssen sie sicherstellen, dass sie auch die DSGVO einhalten. Vodia bietet professionelle Dienstleistungen für den Abschluss von Datenverarbeitungsvereinbarungen an, in denen die Verantwortlichkeiten und Pflichten im Zusammenhang mit dem Datenschutz klar umrissen sind.
Reaktion auf Datenschutzverletzungen: Als Datenverarbeiter oder Datenverantwortlicher müssen Sie Verfahren zur Erkennung, Untersuchung und Bekämpfung von Datenschutzverletzungen entwickeln und dokumentieren. Mit den professionellen Dienstleistungen von Vodia können wir Sie bei der Implementierung eines Verfahrens zur Meldung von Datenschutzverletzungen unterstützen, um die zuständige Aufsichtsbehörde und die betroffenen Personen innerhalb der erforderlichen Fristen zu informieren.
Dokumentation und Aufbewahrung von Aufzeichnungen: Sorgen Sie für eine umfassende Dokumentation Ihrer Datenverarbeitungsaktivitäten, Richtlinien, Verfahren und aller Maßnahmen, die zur Einhaltung der DSGVO ergriffen wurden. Anhand dieser Dokumentation können Sie Ihre Bemühungen zur Rechenschaftspflicht und zur Einhaltung der Vorschriften nachweisen.
Die DSGVO sieht zwar kein Zertifizierungsverfahren vor, Sie können jedoch erwägen, Zertifizierungen von unabhängigen Stellen oder Organisationen einzuholen, die Ihre Datenschutzpraktiken validieren. Zertifizierungen wie ISO 27001 (Informationssicherheitsmanagement) oder SOC 2 (System and Organization Controls) können Ihren Kunden und Interessenvertretern zusätzliche Sicherheit bieten, dass Sie sich für Datenschutz und Sicherheit einsetzen.
Vodia bietet Partnern und Kunden Zertifikate für eine angemessene Sicherheitseinrichtung ihres Vodia-Telefonsystems an. Fragen Sie nach den entsprechenden professionellen Dienstleistungen unter sales@vodia.com
Vodia bietet Partnern, Kunden und Zertifizierungsstellen professionelle Dienstleistungen an, um GDPR- oder SOC2-Zertifikate zu erhalten oder auszustellen. Fragen Sie nach den entsprechenden professionellen Dienstleistungen unter sales@vodia.com