Stellt amaise einen Datenverarbeitungsvertrag (DPA) bereit?
Ja. amaise stellt einen Datenverarbeitungsvertrag (Data Processing Agreement / DPA) bereit, der die Anforderungen der relevanten Datenschutzregulierungen erfüllt — darunter DSGVO Art. 28, das Schweizer nDSG sowie anwendbare US-Datenschutzgesetze. Der DPA wird als Bestandteil des Kundenvertrags unterzeichnet.
Für US-Gesundheitskunden: Die HIPAA-Ausrichtung ist in Arbeit. Der Abschluss eines Business Associate Agreement (BAA) für die HIPAA Security Rule und Privacy Rule wird im Einzelfall geprüft — Umfang und Zeitplan auf Anfrage.
Der DPA umfasst:
Vollständige Liste der Unterauftragsverarbeiter (namentlich, mit Standorten)
Datenkategorien und Verarbeitungszwecke
Aufbewahrungsfristen
Sicherheitsverpflichtungen und technische Massnahmen
Auditrechte für den Kunden
Pflicht zur Vorabbenachrichtigung bei Änderungen der Unterauftragsverarbeiter mit Widerspruchsrecht
Löschverfahren und Datenrückgabe bei Vertragsende
Meldepflichten bei Datenschutzverletzungen (inkl. HIPAA-spezifische Fristen für BAA-Kunden)
Die Verarbeitung basiert primär auf vertraglicher Notwendigkeit und nicht auf Einwilligung. Für US-Kunden werden zusätzlich die anwendbaren State Privacy Law-Anforderungen adressiert.
Datenschutzbeauftragter: Markus Baumgartner (CTO) ist als Datenschutzbeauftragter (DPO/DSB) bestellt. Kontakt: [email protected].