AuraMed-Sicherheitsrichtlinie

iArtikel 1. Zweck und Art des Dokuments

(1)Diese Sicherheitsrichtlinie (die "Richtlinie") beschreibt die allgemeinen Grundsaetze, organisatorischen und technischen Massnahmen sowie Sicherheitsgovernance-Regeln fuer die AuraMed-Plattform (die "Plattform"), betrieben von PTECHIT SRL, mit Sitz in Bdul. Mamaia Nord 14, CORP B2, Etage 2, Apt. 38, Navodari, Kreis Constanta, Postleitzahl 905700, Rumaenien, eingetragen im Handelsregister unter Nr. J2025043440008, Steueridentifikationsnummer 51988476, EUID ROONRC.J2025043440008, E-Mail contact@auramed.ro, Telefon +40 750 484 004.
(2)Die Richtlinie hat eine oeffentliche Informations- und Transparenzrolle und beschreibt nicht erschoepfend alle Kontrollen, Konfigurationen, internen Verfahren, Architekturen, Logs, Alarmierungsschwellen, Abwehrmechanismen oder operativen Plaene, die AuraMed anwendet.
(3)AuraMed implementiert und aktualisiert Sicherheitsmassnahmen entsprechend Art, Zweck, Kontext und Risiken der Verarbeitung sowie technologischer Entwicklung, Bedrohungen und geltenden rechtlichen Pflichten.
(4)Bei Auslegung und Anwendung dieser Richtlinie beruecksichtigt AuraMed insbesondere den Grundsatz von Integritaet und Vertraulichkeit nach Artikel 5(1)(f) GDPR, die allgemeine Pflicht des Verantwortlichen nach Artikel 24(1)-(2) GDPR und die Pflicht, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemaess Artikel 25(1)-(2) GDPR zu integrieren.

1Artikel 2. Relevanter Rechtsrahmen

(1)Diese Richtlinie wird zusammen ausgelegt mit:
a)Verordnung (EU) 2016/679 ("GDPR");
b)rumaenischem Gesetz Nr. 190/2018 ueber Massnahmen zur Umsetzung der GDPR;
c)rumaenischer und europaeischer Gesetzgebung zur Cybersicherheit;
d)soweit anwendbar, Gesetzgebung zu elektronischer Kommunikation, Vertraulichkeit, Business Continuity und Incident Management.
(2)In Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten beruecksichtigt AuraMed insbesondere:
a)Artikel 24 GDPR - Verantwortung des Verantwortlichen;
b)Artikel 25 GDPR - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen;
c)Artikel 28 GDPR - Auswahl von Auftragsverarbeitern und vertragliche Pflichten;
d)Artikel 30 GDPR - Verzeichnis von Verarbeitungstaetigkeiten;
e)Artikel 32 GDPR - Sicherheit der Verarbeitung;
f)Artikel 33-34 GDPR - Meldung von Sicherheitsverletzungen;
g)Artikel 35 GDPR - Datenschutz-Folgenabschaetzung;
h)Artikel 37-39 GDPR - Datenschutzbeauftragter, soweit anwendbar.
(3)In Cybersicherheitsfragen folgt AuraMed ausserdem den anwendbaren Anforderungen, soweit sie fuer sein Betriebsmodell relevant werden, einschliesslich derjenigen aus der Richtlinie (EU) 2022/2555 (NIS2) und ihrer Umsetzung in rumaenisches Recht durch Dringlichkeitsverordnung der Regierung Nr. 155/2024, genehmigt durch Gesetz Nr. 124/2025.

2Artikel 3. Von AuraMed angewandte Sicherheitsgrundsaetze

(1)AuraMed verfolgt einen risikobasierten, verhaeltnismaessigen und minimierungsorientierten Ansatz, sodass das Sicherheitsniveau der Art der Daten, einschliesslich Gesundheitsdaten, dem Verarbeitungsumfang, den verfolgten Zwecken und den moeglichen Auswirkungen auf betroffene Personen angemessen ist.
(2)Sicherheitsmassnahmen zielen kumulativ darauf ab, Folgendes sicherzustellen:
a)Vertraulichkeit der Daten;
b)Integritaet von Daten und Systemen;
c)Verfuegbarkeit von Diensten und legitimem Zugriff;
d)Resilienz der Infrastruktur;
e)Erkennung, Reaktion und Behebung von Vorfaellen;
f)Nachvollziehbarkeit und Auditfaehigkeit.
(3)AuraMed verfolgt, soweit anwendbar, auch einen "All-Hazards"-Ansatz fuer Cyber- und Betriebsrisiken, einschliesslich Softwareentwicklung, Lieferkette, Business Continuity, Schwachstellen und sichere Kommunikation. NIS2 verlangt genau einen verhaeltnismaessigen, risikobasierten Ansatz und nennt als Mindestelemente: Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Beschaffung/Entwicklung/Wartung, Schwachstellenbehandlung und Offenlegung, Schulung und Kryptografie bzw. gegebenenfalls Verschluesselung.

3Artikel 4. Technische und organisatorische Massnahmen

(1)Gemaess Artikel 32(1) GDPR implementiert AuraMed geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewaehrleisten.
(2)Diese Massnahmen koennen, soweit anwendbar, umfassen:
a)Pseudonymisierung und/oder Verschluesselung von Daten;
b)rollenbasierte Zugriffskontrolle und Need-to-know-Zugriff;
c)Trennung von Entwicklungs-, Test- und Produktionsumgebungen;
d)verstaerkte Authentifizierung und, wo angemessen, Multifaktor-Authentifizierung;
e)Monitoring, Logging und Auditierung von Zugriffen;
f)Endpunktschutz, Sicherheitsupdates und Patch-Management;
g)Backup-, Wiederherstellungs- und Recovery-Plaene;
h)regelmaessige Tests der Wirksamkeit von Massnahmen;
i)Kontrollen fuer Export, Uebertragung und Loeschung von Daten;
j)Continuity- und Incident-Response-Verfahren.
(3)Gemaess Artikel 32(1)(a)-(d) GDPR umfassen die gesetzlich ausdruecklich genannten Beispiele Pseudonymisierung und Verschluesselung, die Faehigkeit, laufende Vertraulichkeit, Integritaet, Verfuegbarkeit und Resilienz sicherzustellen, die zeitnahe Wiederherstellung der Verfuegbarkeit und des Zugangs zu Daten sowie ein Verfahren zur regelmaessigen Pruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen.
(4)AuraMed garantiert keine absolute Sicherheit, strebt aber ein angemessenes, aktualisiertes und dokumentiertes Schutzniveau nach Artikel 24 und 32 GDPR an. ANSPDCP hat in seiner Praxis wiederholt betont, dass das Fehlen elementarer Sicherheitskontrollen und Wirksamkeitstests zu Sanktionen nach Artikel 24 und 32 GDPR fuehren kann.

4Artikel 5. Zugriffskontrolle und Vertraulichkeit des Personals

(1)AuraMed beschraenkt den Zugriff auf Daten und Systeme auf autorisierte Personen, die einen legitimen und dokumentierten Zugriffsbedarf zur Erfuellung ihrer Aufgaben haben.
(2)Zugriff wird entsprechend Rollen, Verantwortlichkeiten, dem Prinzip der geringsten Rechte und dem Prinzip der Aufgabentrennung gewaehrt, ueberprueft und entzogen, soweit anwendbar.
(3)Personen, die unter der Autoritaet von AuraMed handeln und Zugriff auf Daten haben koennen, sind vertraglich, gesetzlich oder beruflich zur Vertraulichkeit verpflichtet und duerfen Daten nur nach geltenden Anweisungen und Richtlinien verarbeiten.
(4)Artikel 32(4) GDPR verlangt ausdruecklich, dass Verantwortliche und Auftragsverarbeiter Schritte unternehmen, um sicherzustellen, dass jede Person unter ihrer Autoritaet, die Zugriff auf Daten hat, diese nur auf Anweisung des Verantwortlichen verarbeitet, sofern sie nicht gesetzlich dazu verpflichtet ist.

5Artikel 6. Sicheres Design, Entwicklung und Anbieter

(1)AuraMed strebt an, Sicherheit und Datenschutz ab den Phasen Design, Auswahl, Entwicklung, Konfiguration, Implementierung und Aenderung der Plattform zu integrieren, gemaess Artikel 25(1)-(2) GDPR.
(2)Soweit AuraMed IT-, Cloud-, Hosting-, Kommunikations-, Sicherheits-, KI-, Analyse-, Support- oder andere relevante Subunternehmer nutzt, erfolgt deren Auswahl unter Beruecksichtigung ihrer Garantien zu Sicherheit und Datenschutz.
(3)Wenn ein Dritter als Auftragsverarbeiter handelt, nutzt AuraMed nach Artikel 28(1) und (3) GDPR nur Anbieter mit ausreichenden Garantien und schliesst die erforderliche Vertragsdokumentation ab, einschliesslich Vertraulichkeit, Sicherheitsmassnahmen, Subprozessoren, Unterstuetzung bei Vorfaellen, Loeschung/Rueckgabe und Audit.
(4)Soweit AuraMed in den Anwendungsbereich von NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 faellt, umfasst Sicherheitsgovernance auch Anforderungen an Lieferkettensicherheit und sichere Beschaffung, Entwicklung und Wartung, einschliesslich Schwachstellenbehandlung und Offenlegung.

6Artikel 7. Gesundheitsdaten und hohes Schutzniveau

(1)Soweit AuraMed Gesundheitsdaten verarbeitet, werden diese als besondere Kategorien von Daten im Sinne von Artikel 9(1) GDPR behandelt und geniessen erhoehte Schutzmassnahmen.
(2)AuraMed strebt an, je nach realem Verarbeitungskontext anzuwenden:
a)Datenminimierung;
b)Zugriffsbeschraenkung;
c)Pseudonymisierung, wo angemessen;
d)begrenzte Aufbewahrung;
e)logische Trennung von Ablaeufen und Logs;
f)verstaerkte Kontrollen fuer medizinische Dokumente und sensible Gespraeche.
(3)AuraMed passt seine Sicherheitsmassnahmen an die besonders sensible Natur von Gesundheitsdaten an, gemaess Artikel 9(1)-(2) GDPR und der allgemeinen Sicherheitsverpflichtung nach Artikel 32 GDPR. ANSPDCP stellt ausdruecklich fest, dass Gesundheitsdaten zu den besonderen Kategorien gehoeren und nur unter den Bedingungen von Artikel 9(2) GDPR verarbeitet werden duerfen.

7Artikel 8. Verzeichnisse, Folgenabschaetzungen und Governance

(1)AuraMed fuehrt, soweit anwendbar, Verzeichnisse der Verarbeitungstaetigkeiten gemaess Artikel 30 GDPR und dokumentiert relevante Sicherheits- und Compliance-Massnahmen.
(2)Wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer Rechte und Freiheiten natuerlicher Personen zur Folge hat, fuehrt AuraMed vor Einfuehrung oder Erweiterung dieser Verarbeitung eine Datenschutz-Folgenabschaetzung (DPIA) nach Artikel 35 GDPR durch.
(3)Artikel 35 GDPR nennt als typische Faelle unter anderem die umfangreiche Verarbeitung besonderer Kategorien von Daten, und der EDPB betont, dass eine DPIA eine schriftliche Bewertung ist, die Risiken und geeignete Garantien identifizieren soll. ANSPDCP zaehlt DPIA zu den zentralen Pflichten des Verantwortlichen.

8Artikel 9. Datenschutzbeauftragter und Sicherheitsfunktion

(1)AuraMed bewertet regelmaessig, ob die Pflicht zur Benennung eines Datenschutzbeauftragten (DPO) gilt, insbesondere in Bezug auf Artikel 37(1)(b) und (c) GDPR.
(2)Nach Artikel 37(1) GDPR ist die Benennung eines DPO unter anderem erforderlich, wenn:
a)die Kerntaetigkeiten eine umfangreiche regelmaessige und systematische Ueberwachung umfassen; oder
b)die Kerntaetigkeiten eine umfangreiche Verarbeitung besonderer Kategorien von Daten, einschliesslich Gesundheitsdaten, umfassen.
(3)Wenn ein DPO benannt wird, stellt AuraMed seine ordnungsgemaesse und rechtzeitige Einbindung in alle Fragen des Datenschutzes sicher, gemaess Artikel 38(1) und (3) GDPR, und seine Aufgaben umfassen auch Beratung zur DPIA und Ueberwachung der Einhaltung nach Artikel 39(1)(b)-(c) GDPR.

9Artikel 10. Monitoring, Tests und kontinuierliche Verbesserung

(1)AuraMed wendet regelmaessige Prozesse zur Pruefung, Testung, Bewertung und Verbesserung technischer und organisatorischer Kontrollen an, gemaess Artikel 32(1)(d) GDPR.
(2)Diese Prozesse koennen, soweit anwendbar, umfassen:
a)Zugriffspruefungen;
b)Konfigurationspruefungen;
c)Schwachstellenbewertungen;
d)interne oder externe Audits;
e)Incident-Response-Uebungen;
f)Backup- und Wiederherstellungspruefungen;
g)Schulung und Sensibilisierung des Personals.
(3)ANSPDCP nennt ausdruecklich als notwendige Massnahme die Existenz eines Prozesses zur regelmaessigen Pruefung, Bewertung und Evaluierung der Wirksamkeit von Sicherheitsmassnahmen, und NIS2 verlangt ebenfalls Richtlinien/Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagementmassnahmen.

10Artikel 11. Business Continuity, Backup und Disaster Recovery

(1)AuraMed strebt an, Business Continuity und operative Resilienz durch verhaeltnismaessige Backup-, Wiederherstellungs-, Redundanz-, Recovery- und Krisenmanagementmassnahmen aufrechtzuerhalten, bezogen auf die Art der bereitgestellten Dienste.
(2)Artikel 32(1)(c) GDPR verlangt die Faehigkeit, die Verfuegbarkeit personenbezogener Daten und den Zugang dazu bei einem physischen oder technischen Vorfall rechtzeitig wiederherzustellen.
(3)Soweit NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 anwendbar ist, strebt AuraMed auch an, Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagementmassnahmen zu integrieren, die zum Mindestkern von Artikel 21 NIS2 gehoeren. DNSC veroeffentlicht zudem spezifische Leitlinien fuer Disaster-Recovery-Richtlinien im Kontext der Dringlichkeitsverordnung der Regierung Nr. 155/2024, genehmigt durch Gesetz Nr. 124/2025.

11Artikel 12. Management von Sicherheitsvorfaellen und Datenschutzverletzungen

(1)AuraMed unterhaelt interne Verfahren zur Identifikation, Bewertung, Eskalation, Eindämmung, Untersuchung, Behebung und Dokumentation von Sicherheitsvorfaellen.
(2)AuraMed unterscheidet zwischen:
a)einem Cybersecurity- / Betriebsvofall, der Systeme, Dienste oder Business Continuity betrifft oder betreffen kann; und
b)einer Verletzung personenbezogener Daten im Sinne von Artikel 4(12) GDPR, die Zerstoerung, Verlust, Veraenderung, unbefugte Offenlegung oder unbefugten Zugriff auf Daten beinhalten kann.
(3)Bei einer Verletzung personenbezogener Daten wendet AuraMed Artikel 33 GDPR an und benachrichtigt die zustaendige Aufsichtsbehoerde unverzueglich und, soweit moeglich, spaetestens 72 Stunden nach Bekanntwerden, sofern die Verletzung voraussichtlich kein Risiko fuer Rechte und Freiheiten natuerlicher Personen darstellt.
(4)Wenn die Verletzung voraussichtlich ein hohes Risiko fuer Rechte und Freiheiten natuerlicher Personen zur Folge hat, informiert AuraMed auch die betroffene Person gemaess Artikel 34(1) GDPR.
(5)Artikel 33(3) GDPR verlangt, dass die Meldung mindestens die Art der Verletzung, Kategorien und ungefaehre Anzahl betroffener Personen und Datensaetze, Kontaktdaten der Kontaktstelle/des DPO, voraussichtliche Folgen und ergriffene oder vorgeschlagene Massnahmen enthaelt; Artikel 33(5) verlangt ausserdem die Dokumentation aller Verletzungen. ANSPDCP stellt das Meldeformular fuer eine Sicherheitsverletzung nach GDPR bereit.

12Artikel 13. Meldung von Cybervorfaellen, soweit NIS2 anwendbar ist

(1)Soweit AuraMed in den Anwendungsbereich von NIS2 und der rumaenischen Umsetzungsgesetzgebung faellt, werden erhebliche Vorfaelle auch nach den anwendbaren sektoriellen Cybersicherheitsregeln verwaltet und gemeldet.
(2)Nach dem NIS2-Rahmen haben betroffene Einrichtungen mehrstufige Meldepflichten: Fruehwarnung innerhalb von 24 Stunden nach Bekanntwerden, Meldung innerhalb von 72 Stunden und ein Abschlussbericht, in der Regel innerhalb eines Monats.
(3)Durch diese Richtlinie erklaert AuraMed nicht automatisch, dass es als wesentliche oder wichtige Einrichtung im Sinne von NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 qualifiziert. Diese Einstufung wird gesondert je nach tatsaechlichen Aktivitaeten, Sektor, Groesse und anwendbaren Rechtskriterien analysiert.

13Artikel 14. Verantwortlichkeiten der Nutzer

(1)Nutzer der Plattform muessen vernuenftig sichere Dienste und Geraete verwenden, Zugangsdaten schuetzen, unbefugtes Teilen von Konten oder Zugriffslinks vermeiden und uns unverzueglich informieren, wenn sie unbefugte Nutzung oder eine Schwachstelle vermuten.
(2)Nutzer duerfen keinen Schadcode hochladen, Sicherheitsmassnahmen umgehen, unbefugte Tests, Scraping, verbotene Reverse-Engineering-Handlungen, Rechteausweitungsversuche oder andere Handlungen durchfuehren, die Verfuegbarkeit, Integritaet oder Vertraulichkeit der Plattform beeintraechtigen koennen.
(3)AuraMed behaelt sich das Recht vor, den Zugriff bei Aktivitaeten, die ein Sicherheitsrisiko darstellen oder gegen Gesetz oder geltende Vertragsdokumentation verstossen, auszusetzen, einzuschraenken oder zu sperren.

14Artikel 15. Meldung von Schwachstellen

(1)Wenn du eine Schwachstelle, ungewoehnliches Verhalten, unsichere Konfiguration oder einen Sicherheitsvorfall im Zusammenhang mit der Plattform identifizierst, kontaktiere uns bitte unter: dev@auramed.ro.
(2)AuraMed ermutigt zur verantwortungsvollen und gutglaeubigen Offenlegung von Schwachstellen und kann gemeldete Probleme je nach Schwere und Auswirkung analysieren, validieren, priorisieren und beheben.
(3)Soweit NIS2 anwendbar ist, gehoeren Schwachstellenbehandlung und Offenlegung zu den vom europaeischen Cyber-Risikomanagementrahmen ausdruecklich genannten Elementen.

15Artikel 16. Ueberpruefung und Aktualisierung der Richtlinie

(1)AuraMed kann diese Richtlinie aus rechtlichen, technischen, operativen oder kommerziellen Gruenden ueberpruefen und aktualisieren.
(2)Jede aktualisierte Version wird auf der Plattform mit Angabe des Datums der letzten Aktualisierung veroeffentlicht.
(3)Relevante Aenderungen koennen auch mit Aenderungen der technischen Architektur, Anbieter, Datenfluesse, GDPR-Pflichten, dem NIS2-Rahmen oder aktuellen Cyberbedrohungen korreliert werden.

iArtikel 1. Zweck und Art des Dokuments

(1)Diese Sicherheitsrichtlinie (die "Richtlinie") beschreibt die allgemeinen Grundsaetze, organisatorischen und technischen Massnahmen sowie Sicherheitsgovernance-Regeln fuer die AuraMed-Plattform (die "Plattform"), betrieben von PTECHIT SRL, mit Sitz in Bdul. Mamaia Nord 14, CORP B2, Etage 2, Apt. 38, Navodari, Kreis Constanta, Postleitzahl 905700, Rumaenien, eingetragen im Handelsregister unter Nr. J2025043440008, Steueridentifikationsnummer 51988476, EUID ROONRC.J2025043440008, E-Mail contact@auramed.ro, Telefon +40 750 484 004.
(2)Die Richtlinie hat eine oeffentliche Informations- und Transparenzrolle und beschreibt nicht erschoepfend alle Kontrollen, Konfigurationen, internen Verfahren, Architekturen, Logs, Alarmierungsschwellen, Abwehrmechanismen oder operativen Plaene, die AuraMed anwendet.
(3)AuraMed implementiert und aktualisiert Sicherheitsmassnahmen entsprechend Art, Zweck, Kontext und Risiken der Verarbeitung sowie technologischer Entwicklung, Bedrohungen und geltenden rechtlichen Pflichten.
(4)Bei Auslegung und Anwendung dieser Richtlinie beruecksichtigt AuraMed insbesondere den Grundsatz von Integritaet und Vertraulichkeit nach Artikel 5(1)(f) GDPR, die allgemeine Pflicht des Verantwortlichen nach Artikel 24(1)-(2) GDPR und die Pflicht, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemaess Artikel 25(1)-(2) GDPR zu integrieren.

1Artikel 2. Relevanter Rechtsrahmen

(1)Diese Richtlinie wird zusammen ausgelegt mit:
a)Verordnung (EU) 2016/679 ("GDPR");
b)rumaenischem Gesetz Nr. 190/2018 ueber Massnahmen zur Umsetzung der GDPR;
c)rumaenischer und europaeischer Gesetzgebung zur Cybersicherheit;
d)soweit anwendbar, Gesetzgebung zu elektronischer Kommunikation, Vertraulichkeit, Business Continuity und Incident Management.
(2)In Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten beruecksichtigt AuraMed insbesondere:
a)Artikel 24 GDPR - Verantwortung des Verantwortlichen;
b)Artikel 25 GDPR - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen;
c)Artikel 28 GDPR - Auswahl von Auftragsverarbeitern und vertragliche Pflichten;
d)Artikel 30 GDPR - Verzeichnis von Verarbeitungstaetigkeiten;
e)Artikel 32 GDPR - Sicherheit der Verarbeitung;
f)Artikel 33-34 GDPR - Meldung von Sicherheitsverletzungen;
g)Artikel 35 GDPR - Datenschutz-Folgenabschaetzung;
h)Artikel 37-39 GDPR - Datenschutzbeauftragter, soweit anwendbar.
(3)In Cybersicherheitsfragen folgt AuraMed ausserdem den anwendbaren Anforderungen, soweit sie fuer sein Betriebsmodell relevant werden, einschliesslich derjenigen aus der Richtlinie (EU) 2022/2555 (NIS2) und ihrer Umsetzung in rumaenisches Recht durch Dringlichkeitsverordnung der Regierung Nr. 155/2024, genehmigt durch Gesetz Nr. 124/2025.

2Artikel 3. Von AuraMed angewandte Sicherheitsgrundsaetze

(1)AuraMed verfolgt einen risikobasierten, verhaeltnismaessigen und minimierungsorientierten Ansatz, sodass das Sicherheitsniveau der Art der Daten, einschliesslich Gesundheitsdaten, dem Verarbeitungsumfang, den verfolgten Zwecken und den moeglichen Auswirkungen auf betroffene Personen angemessen ist.
(2)Sicherheitsmassnahmen zielen kumulativ darauf ab, Folgendes sicherzustellen:
a)Vertraulichkeit der Daten;
b)Integritaet von Daten und Systemen;
c)Verfuegbarkeit von Diensten und legitimem Zugriff;
d)Resilienz der Infrastruktur;
e)Erkennung, Reaktion und Behebung von Vorfaellen;
f)Nachvollziehbarkeit und Auditfaehigkeit.
(3)AuraMed verfolgt, soweit anwendbar, auch einen "All-Hazards"-Ansatz fuer Cyber- und Betriebsrisiken, einschliesslich Softwareentwicklung, Lieferkette, Business Continuity, Schwachstellen und sichere Kommunikation. NIS2 verlangt genau einen verhaeltnismaessigen, risikobasierten Ansatz und nennt als Mindestelemente: Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Beschaffung/Entwicklung/Wartung, Schwachstellenbehandlung und Offenlegung, Schulung und Kryptografie bzw. gegebenenfalls Verschluesselung.

3Artikel 4. Technische und organisatorische Massnahmen

(1)Gemaess Artikel 32(1) GDPR implementiert AuraMed geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewaehrleisten.
(2)Diese Massnahmen koennen, soweit anwendbar, umfassen:
a)Pseudonymisierung und/oder Verschluesselung von Daten;
b)rollenbasierte Zugriffskontrolle und Need-to-know-Zugriff;
c)Trennung von Entwicklungs-, Test- und Produktionsumgebungen;
d)verstaerkte Authentifizierung und, wo angemessen, Multifaktor-Authentifizierung;
e)Monitoring, Logging und Auditierung von Zugriffen;
f)Endpunktschutz, Sicherheitsupdates und Patch-Management;
g)Backup-, Wiederherstellungs- und Recovery-Plaene;
h)regelmaessige Tests der Wirksamkeit von Massnahmen;
i)Kontrollen fuer Export, Uebertragung und Loeschung von Daten;
j)Continuity- und Incident-Response-Verfahren.
(3)Gemaess Artikel 32(1)(a)-(d) GDPR umfassen die gesetzlich ausdruecklich genannten Beispiele Pseudonymisierung und Verschluesselung, die Faehigkeit, laufende Vertraulichkeit, Integritaet, Verfuegbarkeit und Resilienz sicherzustellen, die zeitnahe Wiederherstellung der Verfuegbarkeit und des Zugangs zu Daten sowie ein Verfahren zur regelmaessigen Pruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen.
(4)AuraMed garantiert keine absolute Sicherheit, strebt aber ein angemessenes, aktualisiertes und dokumentiertes Schutzniveau nach Artikel 24 und 32 GDPR an. ANSPDCP hat in seiner Praxis wiederholt betont, dass das Fehlen elementarer Sicherheitskontrollen und Wirksamkeitstests zu Sanktionen nach Artikel 24 und 32 GDPR fuehren kann.

4Artikel 5. Zugriffskontrolle und Vertraulichkeit des Personals

(1)AuraMed beschraenkt den Zugriff auf Daten und Systeme auf autorisierte Personen, die einen legitimen und dokumentierten Zugriffsbedarf zur Erfuellung ihrer Aufgaben haben.
(2)Zugriff wird entsprechend Rollen, Verantwortlichkeiten, dem Prinzip der geringsten Rechte und dem Prinzip der Aufgabentrennung gewaehrt, ueberprueft und entzogen, soweit anwendbar.
(3)Personen, die unter der Autoritaet von AuraMed handeln und Zugriff auf Daten haben koennen, sind vertraglich, gesetzlich oder beruflich zur Vertraulichkeit verpflichtet und duerfen Daten nur nach geltenden Anweisungen und Richtlinien verarbeiten.
(4)Artikel 32(4) GDPR verlangt ausdruecklich, dass Verantwortliche und Auftragsverarbeiter Schritte unternehmen, um sicherzustellen, dass jede Person unter ihrer Autoritaet, die Zugriff auf Daten hat, diese nur auf Anweisung des Verantwortlichen verarbeitet, sofern sie nicht gesetzlich dazu verpflichtet ist.

5Artikel 6. Sicheres Design, Entwicklung und Anbieter

(1)AuraMed strebt an, Sicherheit und Datenschutz ab den Phasen Design, Auswahl, Entwicklung, Konfiguration, Implementierung und Aenderung der Plattform zu integrieren, gemaess Artikel 25(1)-(2) GDPR.
(2)Soweit AuraMed IT-, Cloud-, Hosting-, Kommunikations-, Sicherheits-, KI-, Analyse-, Support- oder andere relevante Subunternehmer nutzt, erfolgt deren Auswahl unter Beruecksichtigung ihrer Garantien zu Sicherheit und Datenschutz.
(3)Wenn ein Dritter als Auftragsverarbeiter handelt, nutzt AuraMed nach Artikel 28(1) und (3) GDPR nur Anbieter mit ausreichenden Garantien und schliesst die erforderliche Vertragsdokumentation ab, einschliesslich Vertraulichkeit, Sicherheitsmassnahmen, Subprozessoren, Unterstuetzung bei Vorfaellen, Loeschung/Rueckgabe und Audit.
(4)Soweit AuraMed in den Anwendungsbereich von NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 faellt, umfasst Sicherheitsgovernance auch Anforderungen an Lieferkettensicherheit und sichere Beschaffung, Entwicklung und Wartung, einschliesslich Schwachstellenbehandlung und Offenlegung.

6Artikel 7. Gesundheitsdaten und hohes Schutzniveau

(1)Soweit AuraMed Gesundheitsdaten verarbeitet, werden diese als besondere Kategorien von Daten im Sinne von Artikel 9(1) GDPR behandelt und geniessen erhoehte Schutzmassnahmen.
(2)AuraMed strebt an, je nach realem Verarbeitungskontext anzuwenden:
a)Datenminimierung;
b)Zugriffsbeschraenkung;
c)Pseudonymisierung, wo angemessen;
d)begrenzte Aufbewahrung;
e)logische Trennung von Ablaeufen und Logs;
f)verstaerkte Kontrollen fuer medizinische Dokumente und sensible Gespraeche.
(3)AuraMed passt seine Sicherheitsmassnahmen an die besonders sensible Natur von Gesundheitsdaten an, gemaess Artikel 9(1)-(2) GDPR und der allgemeinen Sicherheitsverpflichtung nach Artikel 32 GDPR. ANSPDCP stellt ausdruecklich fest, dass Gesundheitsdaten zu den besonderen Kategorien gehoeren und nur unter den Bedingungen von Artikel 9(2) GDPR verarbeitet werden duerfen.

7Artikel 8. Verzeichnisse, Folgenabschaetzungen und Governance

(1)AuraMed fuehrt, soweit anwendbar, Verzeichnisse der Verarbeitungstaetigkeiten gemaess Artikel 30 GDPR und dokumentiert relevante Sicherheits- und Compliance-Massnahmen.
(2)Wenn eine Verarbeitung voraussichtlich ein hohes Risiko fuer Rechte und Freiheiten natuerlicher Personen zur Folge hat, fuehrt AuraMed vor Einfuehrung oder Erweiterung dieser Verarbeitung eine Datenschutz-Folgenabschaetzung (DPIA) nach Artikel 35 GDPR durch.
(3)Artikel 35 GDPR nennt als typische Faelle unter anderem die umfangreiche Verarbeitung besonderer Kategorien von Daten, und der EDPB betont, dass eine DPIA eine schriftliche Bewertung ist, die Risiken und geeignete Garantien identifizieren soll. ANSPDCP zaehlt DPIA zu den zentralen Pflichten des Verantwortlichen.

8Artikel 9. Datenschutzbeauftragter und Sicherheitsfunktion

(1)AuraMed bewertet regelmaessig, ob die Pflicht zur Benennung eines Datenschutzbeauftragten (DPO) gilt, insbesondere in Bezug auf Artikel 37(1)(b) und (c) GDPR.
(2)Nach Artikel 37(1) GDPR ist die Benennung eines DPO unter anderem erforderlich, wenn:
a)die Kerntaetigkeiten eine umfangreiche regelmaessige und systematische Ueberwachung umfassen; oder
b)die Kerntaetigkeiten eine umfangreiche Verarbeitung besonderer Kategorien von Daten, einschliesslich Gesundheitsdaten, umfassen.
(3)Wenn ein DPO benannt wird, stellt AuraMed seine ordnungsgemaesse und rechtzeitige Einbindung in alle Fragen des Datenschutzes sicher, gemaess Artikel 38(1) und (3) GDPR, und seine Aufgaben umfassen auch Beratung zur DPIA und Ueberwachung der Einhaltung nach Artikel 39(1)(b)-(c) GDPR.

9Artikel 10. Monitoring, Tests und kontinuierliche Verbesserung

(1)AuraMed wendet regelmaessige Prozesse zur Pruefung, Testung, Bewertung und Verbesserung technischer und organisatorischer Kontrollen an, gemaess Artikel 32(1)(d) GDPR.
(2)Diese Prozesse koennen, soweit anwendbar, umfassen:
a)Zugriffspruefungen;
b)Konfigurationspruefungen;
c)Schwachstellenbewertungen;
d)interne oder externe Audits;
e)Incident-Response-Uebungen;
f)Backup- und Wiederherstellungspruefungen;
g)Schulung und Sensibilisierung des Personals.
(3)ANSPDCP nennt ausdruecklich als notwendige Massnahme die Existenz eines Prozesses zur regelmaessigen Pruefung, Bewertung und Evaluierung der Wirksamkeit von Sicherheitsmassnahmen, und NIS2 verlangt ebenfalls Richtlinien/Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagementmassnahmen.

10Artikel 11. Business Continuity, Backup und Disaster Recovery

(1)AuraMed strebt an, Business Continuity und operative Resilienz durch verhaeltnismaessige Backup-, Wiederherstellungs-, Redundanz-, Recovery- und Krisenmanagementmassnahmen aufrechtzuerhalten, bezogen auf die Art der bereitgestellten Dienste.
(2)Artikel 32(1)(c) GDPR verlangt die Faehigkeit, die Verfuegbarkeit personenbezogener Daten und den Zugang dazu bei einem physischen oder technischen Vorfall rechtzeitig wiederherzustellen.
(3)Soweit NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 anwendbar ist, strebt AuraMed auch an, Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagementmassnahmen zu integrieren, die zum Mindestkern von Artikel 21 NIS2 gehoeren. DNSC veroeffentlicht zudem spezifische Leitlinien fuer Disaster-Recovery-Richtlinien im Kontext der Dringlichkeitsverordnung der Regierung Nr. 155/2024, genehmigt durch Gesetz Nr. 124/2025.

11Artikel 12. Management von Sicherheitsvorfaellen und Datenschutzverletzungen

(1)AuraMed unterhaelt interne Verfahren zur Identifikation, Bewertung, Eskalation, Eindämmung, Untersuchung, Behebung und Dokumentation von Sicherheitsvorfaellen.
(2)AuraMed unterscheidet zwischen:
a)einem Cybersecurity- / Betriebsvofall, der Systeme, Dienste oder Business Continuity betrifft oder betreffen kann; und
b)einer Verletzung personenbezogener Daten im Sinne von Artikel 4(12) GDPR, die Zerstoerung, Verlust, Veraenderung, unbefugte Offenlegung oder unbefugten Zugriff auf Daten beinhalten kann.
(3)Bei einer Verletzung personenbezogener Daten wendet AuraMed Artikel 33 GDPR an und benachrichtigt die zustaendige Aufsichtsbehoerde unverzueglich und, soweit moeglich, spaetestens 72 Stunden nach Bekanntwerden, sofern die Verletzung voraussichtlich kein Risiko fuer Rechte und Freiheiten natuerlicher Personen darstellt.
(4)Wenn die Verletzung voraussichtlich ein hohes Risiko fuer Rechte und Freiheiten natuerlicher Personen zur Folge hat, informiert AuraMed auch die betroffene Person gemaess Artikel 34(1) GDPR.
(5)Artikel 33(3) GDPR verlangt, dass die Meldung mindestens die Art der Verletzung, Kategorien und ungefaehre Anzahl betroffener Personen und Datensaetze, Kontaktdaten der Kontaktstelle/des DPO, voraussichtliche Folgen und ergriffene oder vorgeschlagene Massnahmen enthaelt; Artikel 33(5) verlangt ausserdem die Dokumentation aller Verletzungen. ANSPDCP stellt das Meldeformular fuer eine Sicherheitsverletzung nach GDPR bereit.

12Artikel 13. Meldung von Cybervorfaellen, soweit NIS2 anwendbar ist

(1)Soweit AuraMed in den Anwendungsbereich von NIS2 und der rumaenischen Umsetzungsgesetzgebung faellt, werden erhebliche Vorfaelle auch nach den anwendbaren sektoriellen Cybersicherheitsregeln verwaltet und gemeldet.
(2)Nach dem NIS2-Rahmen haben betroffene Einrichtungen mehrstufige Meldepflichten: Fruehwarnung innerhalb von 24 Stunden nach Bekanntwerden, Meldung innerhalb von 72 Stunden und ein Abschlussbericht, in der Regel innerhalb eines Monats.
(3)Durch diese Richtlinie erklaert AuraMed nicht automatisch, dass es als wesentliche oder wichtige Einrichtung im Sinne von NIS2/Dringlichkeitsverordnung der Regierung Nr. 155/2024 qualifiziert. Diese Einstufung wird gesondert je nach tatsaechlichen Aktivitaeten, Sektor, Groesse und anwendbaren Rechtskriterien analysiert.

13Artikel 14. Verantwortlichkeiten der Nutzer

(1)Nutzer der Plattform muessen vernuenftig sichere Dienste und Geraete verwenden, Zugangsdaten schuetzen, unbefugtes Teilen von Konten oder Zugriffslinks vermeiden und uns unverzueglich informieren, wenn sie unbefugte Nutzung oder eine Schwachstelle vermuten.
(2)Nutzer duerfen keinen Schadcode hochladen, Sicherheitsmassnahmen umgehen, unbefugte Tests, Scraping, verbotene Reverse-Engineering-Handlungen, Rechteausweitungsversuche oder andere Handlungen durchfuehren, die Verfuegbarkeit, Integritaet oder Vertraulichkeit der Plattform beeintraechtigen koennen.
(3)AuraMed behaelt sich das Recht vor, den Zugriff bei Aktivitaeten, die ein Sicherheitsrisiko darstellen oder gegen Gesetz oder geltende Vertragsdokumentation verstossen, auszusetzen, einzuschraenken oder zu sperren.

14Artikel 15. Meldung von Schwachstellen

(1)Wenn du eine Schwachstelle, ungewoehnliches Verhalten, unsichere Konfiguration oder einen Sicherheitsvorfall im Zusammenhang mit der Plattform identifizierst, kontaktiere uns bitte unter: dev@auramed.ro.
(2)AuraMed ermutigt zur verantwortungsvollen und gutglaeubigen Offenlegung von Schwachstellen und kann gemeldete Probleme je nach Schwere und Auswirkung analysieren, validieren, priorisieren und beheben.
(3)Soweit NIS2 anwendbar ist, gehoeren Schwachstellenbehandlung und Offenlegung zu den vom europaeischen Cyber-Risikomanagementrahmen ausdruecklich genannten Elementen.

15Artikel 16. Ueberpruefung und Aktualisierung der Richtlinie

(1)AuraMed kann diese Richtlinie aus rechtlichen, technischen, operativen oder kommerziellen Gruenden ueberpruefen und aktualisieren.
(2)Jede aktualisierte Version wird auf der Plattform mit Angabe des Datums der letzten Aktualisierung veroeffentlicht.
(3)Relevante Aenderungen koennen auch mit Aenderungen der technischen Architektur, Anbieter, Datenfluesse, GDPR-Pflichten, dem NIS2-Rahmen oder aktuellen Cyberbedrohungen korreliert werden.

AURAMED-SICHERHEITSRICHTLINIE

iArtikel 1. Zweck und Art des Dokuments

1Artikel 2. Relevanter Rechtsrahmen

2Artikel 3. Von AuraMed angewandte Sicherheitsgrundsaetze

3Artikel 4. Technische und organisatorische Massnahmen

4Artikel 5. Zugriffskontrolle und Vertraulichkeit des Personals

5Artikel 6. Sicheres Design, Entwicklung und Anbieter

6Artikel 7. Gesundheitsdaten und hohes Schutzniveau

7Artikel 8. Verzeichnisse, Folgenabschaetzungen und Governance

8Artikel 9. Datenschutzbeauftragter und Sicherheitsfunktion

9Artikel 10. Monitoring, Tests und kontinuierliche Verbesserung

10Artikel 11. Business Continuity, Backup und Disaster Recovery

11Artikel 12. Management von Sicherheitsvorfaellen und Datenschutzverletzungen

12Artikel 13. Meldung von Cybervorfaellen, soweit NIS2 anwendbar ist

13Artikel 14. Verantwortlichkeiten der Nutzer

14Artikel 15. Meldung von Schwachstellen

15Artikel 16. Ueberpruefung und Aktualisierung der Richtlinie

AURAMED-SICHERHEITSRICHTLINIE

iArtikel 1. Zweck und Art des Dokuments

1Artikel 2. Relevanter Rechtsrahmen

2Artikel 3. Von AuraMed angewandte Sicherheitsgrundsaetze

3Artikel 4. Technische und organisatorische Massnahmen

4Artikel 5. Zugriffskontrolle und Vertraulichkeit des Personals

5Artikel 6. Sicheres Design, Entwicklung und Anbieter

6Artikel 7. Gesundheitsdaten und hohes Schutzniveau

7Artikel 8. Verzeichnisse, Folgenabschaetzungen und Governance

8Artikel 9. Datenschutzbeauftragter und Sicherheitsfunktion

9Artikel 10. Monitoring, Tests und kontinuierliche Verbesserung

10Artikel 11. Business Continuity, Backup und Disaster Recovery

11Artikel 12. Management von Sicherheitsvorfaellen und Datenschutzverletzungen

12Artikel 13. Meldung von Cybervorfaellen, soweit NIS2 anwendbar ist

13Artikel 14. Verantwortlichkeiten der Nutzer

14Artikel 15. Meldung von Schwachstellen

15Artikel 16. Ueberpruefung und Aktualisierung der Richtlinie