Informationssicherheitsrichtlinie

1. Zweck

Der Zweck dieser Richtlinie besteht darin, Keleyas Verpflichtung zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Informationswerte zu demonstrieren, die unsere digitalen Gesundheitsdienstleistungen unterstützen. Der Schutz sensibler Daten – einschließlich personenbezogener Gesundheitsdaten, Kundendaten und geschäftskritischer Informationen – ist wesentlich, um Vertrauen, Einhaltung und operative Resilienz sicherzustellen.

2. Geltungsbereich

Diese Richtlinie gilt für:

• Alle Mitarbeitenden, Auftragnehmer, Partner und Dritte mit Zugang zu den Systemen von Keleya.
• Alle Informationswerte, IT-Systeme, Anwendungen, Cloud-Dienste, Netzwerke und medizinischen Datenrepositorien, die von Keleya verwaltet oder verarbeitet werden.
• Alle Standorte, an denen Keleya tätig ist, einschließlich Remote-Arbeitsumgebungen.

3. Verpflichtung

Das Top-Management von Keleya verpflichtet sich:

• Ein nach ISO/IEC 27001:2022 zertifiziertes Informationssicherheits-Managementsystem (ISMS) aufrechtzuerhalten.
• Gesetzliche, regulatorische und vertragliche Anforderungen – einschließlich der DSGVO zum Schutz personenbezogener Daten – einzuhalten.
• Sichere digitale Gesundheitsdienste bereitzustellen, die den Erwartungen von Kund:innen und Patient:innen entsprechen.
• Informationssicherheitskontrollen, Prozesse und Bewusstsein kontinuierlich zu verbessern.

4. Anforderungen an die Informationssicherheit

Wir werden:

• Risiken für Informationswerte durch ein strukturiertes Risikomanagement identifizieren und bewerten.
• Technische, organisatorische und prozedurale Kontrollen gemäß Anhang A der ISO/IEC 27001:2022 anwenden.
• Die sichere Verarbeitung sensibler gesundheitsbezogener Daten im Einklang mit der DSGVO und einschlägigen Gesundheitsdatenschutzvorschriften gewährleisten.
• Sicherheit in die Gestaltung und Bereitstellung neuer Services, mobiler Gesundheitsanwendungen und cloudbasierter Lösungen integrieren.

5. Ziele

Kelayas Ziele der Informationssicherheit sind:

• Das Vertrauen von Kund:innen und Partnern durch den Schutz personenbezogener und gesundheitsbezogener Daten zu wahren.
• Die Geschäftskontinuität und Verfügbarkeit von kritischen digitalen Gesundheitsanwendungen sicherzustellen.
• Datenverletzungen, unbefugten Zugriff und Missbrauch von Systemen sowie medizinischen Informationen zu verhindern.
• Eine Sicherheitskultur durch kontinuierliche Schulungen und Sensibilisierung aller Mitarbeitenden zu fördern.
• Das ISMS durch Monitoring, Audits und Managementbewertungen fortlaufend zu verbessern.

6. Richtlinienbereiche

Zur Unterstützung werden Richtlinien gepflegt, die unter anderem folgende Bereiche abdecken:

• Zugriffskontrolle und Identitätsmanagement
• Cloud- und mobile Gerätesicherheit
• Datenschutz und DSGVO-Compliance
• Sichere Entwicklung und Testen von Gesundheitsangeboten
• Informationssicherheit bei Anbietern  und Drittparteien
• Reaktion auf Vorfälle und Geschäftskontinuität
• Telearbeit und BYOD (Bring Your Own Device)
• Backup, Wiederherstellung und Management technischer Schwachstellen

7. Anwendung der Richtlinie

Diese Richtlinie sowie alle unterstützenden Richtlinien sind verpflichtend. Bei Nicht-Einhaltung können arbeitsrechtliche oder vertragliche Konsequenzen folgen.

Alle Fragen oder Bedenken zu dieser Richtlinie sind an den/die ISMS-Managementbeauftragte:n zu richten.

8. Governance

Diese Richtlinie wird vom Top-Management der Keleya Digital-Health Solutions GmbH genehmigt und jährlich oder bei wesentlichen Änderungen im Geschäft, in der Technologie oder den regulatorischen Anforderungen überprüft.