Wie erfüllt amaise internationale Datenschutzanforderungen?
amaise erfüllt als Auftragsverarbeiter die Anforderungen der massgeblichen Datenschutzregulierungen:
DSGVO (EU-Datenschutz-Grundverordnung):
Auftragsverarbeitungsvertrag (AVV): Konform mit Art. 28 DSGVO, wird als Teil des Vertrags unterzeichnet. Der AVV umfasst Unterauftragsverarbeiter, Datenkategorien, Verarbeitungszwecke, Aufbewahrungsfristen und Sicherheitsverpflichtungen.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Datenportabilität und Einschränkung der Verarbeitung werden unterstützt.
Verarbeitungsverzeichnis (ROPA): Wird geführt und gepflegt.
Datenschutz-Folgenabschätzungen (DPIA): Für risikoreiche Verarbeitungen durchgeführt.
Breach Notification: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33), Benachrichtigung Betroffener bei hohem Risiko (Art. 34).
Unterauftragsverarbeiter: Änderungen werden vorab mitgeteilt, Widerspruchsrecht gemäss Art. 28 gewährt.
Drittlandtransfers: US-basierte Dienste (die keine Kundendokumentinhalte verarbeiten) sind durch Standardvertragsklauseln (SCCs) abgesichert.
Schweizer nDSG: Vollständige Konformität mit dem neuen Schweizer Datenschutzgesetz — Datenresidenz in der Schweiz (AWS Zürich), Meldepflicht an den EDÖB, Einhaltung von Art. 321 StGB (Berufsgeheimnis). Details: siehe nDSG-Compliance.
US-Datenschutz: amaise unterstützt US-Kunden mit Datenresidenz in den USA (AWS Ohio), Einhaltung der anwendbaren State Privacy Laws und branchenspezifischer Anforderungen. Für Gesundheitskunden folgen die relevanten Sicherheitskontrollen den Designprinzipien der HIPAA Security Rule (formale HIPAA-Ausrichtung in Arbeit).