Datenschutzerklärung - SecuMailer

Datenschutzerklärung

SecuMailer
SaaS-Dienste für sicheres E-Mail & Dokumentenversand

Stand: 24. Februar 2026

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

SecuMailer

Straße/Nr.: Zilverparkkade 72
PLZ/Ort: 8232 WK, Lelystad, Niederlände
E-Mail: info@secumailer
Telefon: +31 (0) 320-337381
Geschäftsführer: Y. Hoogendoorn
Handelsregister: 69887594

2. Anwendungsbereich und Begriffsbestimmungen

Diese Datenschutzerklärung gilt für alle Verarbeitungen personenbezogener Daten, die im Rahmen der Nutzung unserer Website sowie unserer SaaS-Dienste (nachfolgend "Dienste") stattfinden. Dies umfasst insbesondere:

  • die sichere Übertragung von E-Mails gemäß dem gewählten Sicherheitsniveau
  • den gesicherten und/oder eingeschriebenen Versand von Dokumenten
  • die Kontaktaufnahme über unsere Website
  • vorvertragliche und vertragliche Kommunikation (B2B)

"Personenbezogene Daten" sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. "Verarbeitung" bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten.

Unsere Dienste richten sich ausschließlich an Unternehmen und Geschäftskunden (B2B). Eine Nutzung durch Minderjährige ist nicht vorgesehen und wird von uns nicht wissentlich verarbeitet.

3. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Die wesentlichen Rechtsgrundlagen sind:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Cookies, Newsletter)
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Kontoerstellung, SaaS-Funktionalität, Rechnungsstellung)
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (z. B. Aufbewahrungspflichten nach § 257 HGB, § 147 AO)
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (z. B. Server-Logs, IT-Sicherheit, Betrugsbekämpfung, B2B-Akquise)

4. Datenverarbeitung beim Website-Besuch

4.1 Server-Logfiles

Wir haben immer die Position vertreten, dass wir keine auf Personen zurückführbaren Daten weitergeben, also keine E-Mails/Telefonnummern oder Namen, eine Funktion wie "Enhanced Conversions" (Weitergabe gehashter personenbezogener Daten) machen wir zum Beispiel auch nicht.

4.2 Hosting

Unsere Website wird bei einem professionellen Hosting-Dienstleister gehostet. Dieser verarbeitet die unter 4.1 genannten Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen. Der Hosting-Dienstleister verarbeitet Daten ausschließlich auf unsere Weisung und nicht für eigene Zwecke.

Dienstleister: Wordpress
Serverstandort: EU

5. Kontaktaufnahme

5.1 E-Mail-Kontakt

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (E-Mail-Adresse, Name, Nachrichteninhalt sowie ggf. weitere freiwillig angegebene Informationen) ausschließlich zur Bearbeitung Ihrer Anfrage.

5.2 Kontaktformular

Auf unserer Website steht ein Kontaktformular zur Verfügung. Bei Nutzung des Formulars werden folgende Daten erhoben:

  • Name (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • Nachrichteninhalt (Pflichtfeld)
  • Zeitstempel der Übertragung

Zweck: Bearbeitung und Beantwortung Ihrer Kontaktanfrage; ggf. Diagnose technischer Probleme; keine Weitergabe an Dritte, kein Marketing

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Beantwortung Ihrer Anfrage); alternativ Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichem Kontext

Speicherdauer: Bis zur vollständigen Bearbeitung der Anfrage, max. 3 Monate; bei Entstehung einer Vertragsbeziehung bis Vertragsende + gesetzliche Verjährungsfrist (3 Jahre, § 195 BGB)

6. Geschäftliche Kommunikation (B2B)

6.1 Anfragen von Interessenten

Wenn Sie sich als Interessent an uns wenden (z. B. zur Vereinbarung einer Demo oder zur Anforderung eines Angebots), verarbeiten wir folgende Daten:

  • Name und Vorname der Kontaktperson
  • E-Mail-Adresse und Telefonnummer
  • Unternehmensname und Funktion/Position
  • Inhalt der Anfrage

Zweck: Bearbeitung und Nachverfolgung Ihres Interesses an unseren SaaS-Diensten; Planung von Demo-Terminen; Übersendung von Angeboten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihr Ersuchen hin); hilfsweise Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: B2B-Akquise)

Speicherdauer: Bis zum Abschluss der Bearbeitung, max. 6 Monate; bei Vertragsabschluss: Vertragslaufzeit + 3 Jahre Verjährungsfrist (§ 195 BGB)

6.2 Kundenkommunikation

Im Rahmen bestehender Vertragsbeziehungen verarbeiten wir folgende Daten von Kontaktpersonen unserer Kunden:

  • Kontaktdaten (Name, E-Mail, Telefon)
  • Vertrags- und Abrechnungsdaten
  • Kommunikationsinhalte (E-Mail, Support-Tickets, Kundenportal)

Zweck: Vertragsabwicklung, Rechnungsstellung, technischer Support, Produktupdates, Kundenbetreuung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, z. B. § 257 HGB); für B2B-Kontaktpersonen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geschäftlicher Kommunikation)

Speicherdauer: Vertragslaufzeit + 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten gemäß § 257 HGB, § 147 AO); Support-Kommunikation: 3 Jahre nach Vertragsende

7. Spezifische SaaS-Verarbeitungen

7.1 Kontoerstellung und -verwaltung

Für die Nutzung unserer SaaS-Dienste steht ein Verwaltungskonto zur Verfügung. Verarbeitete Daten: E-Mail-Adresse und Telefonnummer.

Zweck: Einsicht in die Konfiguration ihres Anschlusses und Einsicht in den Status der E-Mail-Verarbeitung.

Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b DSGVO

7.2 Sicherer E-Mail-Versand

Unser Dienst ermöglicht den sicheren Versand von E-Mails und Dokumenten. Die dabei verarbeiteten Daten (Absender, Empfänger, Metadaten der Übertragung) werden ausschließlich zur Erbringung des Dienstes verwendet. Inhalte werden gemäß dem gewählten Sicherheitsniveau verschlüsselt übertragen und verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

7.3 Rolle als Auftragsverarbeiter

Soweit unsere Kunden über unsere Dienste eigene personenbezogene Daten (z. B. E-Mail-Adressen ihrer Kunden) verarbeiten, handeln wir ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Kunden sind in diesem Fall selbst Verantwortliche. Mit jedem Kunden wird ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Eine Liste der von uns eingesetzten Unterauftragsverarbeiter ist auf Anfrage erhältlich.

7.4 Produktverbesserung und Analyse

Zur Verbesserung unserer Dienste können anonymisierte Nutzungsdaten analysiert werden. Eine Zuordnung zu einzelnen Personen erfolgt dabei nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

8. Cookies und Einwilligungen

8.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies ein, die für den Betrieb der Website und unserer Dienste unbedingt erforderlich sind. Diese Cookies ermöglichen grundlegende Funktionen wie:

  • Session-Verwaltung und Anmeldestatus
  • Sicherheitsfunktionen
  • Speicherung von Spracheinstellungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TTDSG

Speicherdauer: Sitzungsende oder max. 1 Monat. Für diese Cookies ist keine Einwilligung erforderlich.

8.2 Analyse-Cookies (optional)

Mit Ihrer Einwilligung setzen wir Analyse-Tools ein, um das Nutzungsverhalten auf unserer Website statistisch auszuwerten. Die Daten werden anonymisiert oder pseudonymisiert erhoben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Speicherdauer: Max. 14 Monate

8.3 Marketing-Cookies (optional)

Mit Ihrer Einwilligung können Cookies von Drittanbietern (z. B. Google Ads) gesetzt werden, um interessenbasierte Werbung anzuzeigen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Speicherdauer: Bis zum Widerruf der Einwilligung

8.4 Einwilligungsmechanismus

Beim ersten Besuch unserer Website erscheint ein Cookie-Banner, über den Sie Ihre Einwilligung für optionale Cookies erteilen oder verweigern können. Ihre Auswahl können Sie jederzeit unter [Cookie-Einstellungen] (Link in der Fußzeile) widerrufen oder ändern. Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

9. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies zur Leistungserbringung notwendig ist oder eine gesetzliche Verpflichtung besteht. Wir verkaufen keine personenbezogenen Daten. Folgende Dienstleister sind als Auftragsverarbeiter gemäß Art. 28 DSGVO mit uns vertraglich gebunden:

Dienstleisterkategorie Funktion / Beschreibung
Hosting:Website-Betrieb, Server-Logs
CRM/Support:Kundenkommunikation, Ticketing
Newsletter:E-Mail-Marketing
Zahlung:Zahlungsabwicklung, Rechnungsstellung

Alle genannten Dienstleister sind vertraglich verpflichtet, Daten ausschließlich auf unsere Weisung zu verarbeiten. Eine Weitergabe an Dritte zu deren eigenen Zwecken findet nicht statt.

10. Datenübermittlung in Drittländer

Alle Daten werden innerhalb der EU verarbeitet, vollständig in Übereinstimmung mit den europäischen Datenschutzgesetzen. Dank vollständiger Datenhoheit behält die Organisation die volle Kontrolle über ihre eigenen Informationen.

11. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Fristen:

Datenkategorie Speicherdauer
KontaktanfragenBis zur Bearbeitung + max. 3 Monate
InteressentenanfragenMax. 6 Monate; bei Vertrag: + 3 Jahre
Vertrags-/RechnungsdatenVertragslaufzeit + 10 Jahre (§ 257 HGB / § 147 AO)
Support-Kommunikationinnerhalb von zwei Wochen nach Bearbeitung der Supportanfrage
Marketing/CookiesBei Marketing-Cookies 14 Monate nach Einwilligung des Kunden oder nach Widerruf der Einwilligung.

12. Rechte der betroffenen Personen

Als betroffene Person stehen Ihnen gegenüber uns folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen Ihrer besonderen Situation der Verarbeitung Ihrer Daten zu widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
  • Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

E-Mail: info@secumailer.com
Post: SecuMailer, Zilverparkkade 72, 8232 WK, Lelystad, Die Niederlände

Wir bearbeiten Ihre Anfrage innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO). Zur Identitätsprüfung können wir einen Identitätsnachweis anfordern.

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

13. Technische und organisatorische Sicherheitsmaßnahmen

Wir treffen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Nachweise, Zertifizierungen und Referenzen, Einhaltung von:

  • ISO 27001
  • NEN7510
  • SOC type 2
  • eIDAS
  • ECSO-Label

14. Datenschutzbeauftragter

DSB benannt: P. Scheper
E-mail: paul@secumailer.com
Tel: +31 (0)320-337381

15. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz Ihres Unternehmens:

Landesbeauftragte für Datenschutz NRW (bei Sitz in NRW):

Behörde: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Adresse: Postfach 20 04 44, 40102 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de

Eine Liste aller deutschen Datenschutzaufsichtsbehörden finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

16. Aktualität und Änderungen dieser Erklärung

Diese Datenschutzerklärung hat den Stand vom 24. Februar 2026. Wir behalten uns vor, diese Erklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Weiterentwicklungen oder Änderungen unserer Dienste anzupassen.

Wesentliche Änderungen teilen wir registrierten Nutzern zusätzlich per E-Mail mit. Wir empfehlen, diese Seite regelmäßig zu prüfen. Die jeweils aktuelle Fassung gilt für alle Besuche dieser Website nach dem angegebenen Stand.

Technisch Demo anfordern

This field is for validation purposes and should be left unchanged.
Name(Required)

Preisindikation Sicheres E-Mailing bis zu 20 Benutzer

Monatliche Kosten

Sicheres E-Mailing 3.0

Anzahl der BenutzerPreis pro Monat
1 bis 20€218,80  pro Monat

Flexible Kosten

SMS0,13 € pro Nachricht
eIDAS-Nachricht2,19 € pro Nachricht
Große Datei via SecuFiler0,26 € pro Datei
Plugin und/oder SecuFiler1,34 € pro Benutzer pro Monat

Einmalige Kosten

Anschlusskosten€395,43  pro Domain

*: Aus diesen Preisangaben können keine Rechte abgeleitet werden. Die Preise basieren auf einem 3-Jahres-Vertrag und verstehen sich zzgl. MwSt.

Vertrieb kontaktieren

Contact Sales

This field is for validation purposes and should be left unchanged.
Ihr Name(Required)

REST-API

Entwicklerportal ›

SecuMailer verfügt über eine REST-API zum Versenden sicherer E-Mails. Sowohl die DSGVO- als auch die NTA 7516-Funktionalität sind über diese API vollständig zugänglich.

Die API ist dokumentiert mit OpenAPI-Spezifikation 3.0.1.

Die REST-API verfügt über eine Webhook-Funktionalität, was bedeutet, dass die SecuMailer-Plattform E-Mail-Ereignisse mit einem HTTPS-Endpunkt des Absenders kommunizieren kann.

SMTP-API

Die SMTP-API ist in der Regel die einfachste Integrationsoption für viele Backend-Anwendungen, da diese oft über eine integrierte SMTP-Client-Funktionalität verfügen.

Wir haben für unsere Kunden bereits erfolgreich Integrationen mit Salesforce, SAP und Centric durchgeführt. Auch Patientenaktensysteme wie der Medisoft Dossier Manager sind bereits integriert.

GraphQL-API

Die SecuMailer-Plattform bietet Einblick in E-Mail-Ereignisse. Dies kann auf Basis eines (Push-)Webhook-Aufrufs (siehe REST-API oben) und auf Basis eines (Pull-)GraphQL-Endpunkts erfolgen.

Demo anfordern

This field is for validation purposes and should be left unchanged.
Name(Required)

Vertrieb kontaktieren

This field is for validation purposes and should be left unchanged.
Ihr Name(Required)

Wie Kinderschutzdienste mit SecuMailer die Datensicherheit und den Datenschutz gewährleisten

Photo by Edi Libedinsky on Unsplash

Der niederländische Kinderschutzdienst („Raad voor de Kinderbescherming“, abgekürzt RvdK) ist zuständig für die Untersuchung und Beratung von Kindern ab zwölf Jahren, die Straftaten begangen haben. Er schützt Kinder, die unter schwierigen Umständen aufwachsen. Darüber hinaus berät er in Angelegenheiten der Adoption, der Pflegefamilienbetreuung und bei komplexen Scheidungen, an denen Minderjährige beteiligt sind. Dies ist ein äußerst komplexes Arbeitsfeld aus rechtlicher, moralischer, sozialer und ethischer Sicht. Sichere Kommunikation ist in diesen Fällen unerlässlich. Der RvdK ist Teil des Ministeriums für Justiz und Sicherheit. SecuMailer gewann die Ausschreibung für sichere E-Mail-Kommunikation für das gesamte Ministerium und begann zunächst mit den Herausforderungen des RvdK, da dieser den dringendsten Bedarf an einer sicheren E-Mail-Lösung hatte.

NTA 7516

Die Niederlande verfügen über einen spezifischen Standard für die Übermittlung vertraulicher und medizinischer Informationen per E-Mail. Dies ist der NTA 7516-Standard, dessen Gründungsmitglied SecuMailer ist. SecuMailer erstellte die erste Version dieses Standards, die anschließend von der niederländischen Regierung übernommen und einem Ausschuss zur Weiterentwicklung zu einem nationalen Standard übergeben wurde.

Der NTA 7516-Standard umfasst eine Reihe funktionaler und technischer Anforderungen, die im Rahmen eines unabhängigen Auditverfahrens überprüft werden. SecuMailer erfüllt alle Anforderungen und wurde von drei verschiedenen Auditunternehmen geprüft, da das Unternehmen Teil der ursprünglichen Einführungsgruppe für diesen Standard war. Alle zertifizierten Auditunternehmen hatten die Möglichkeit, die Implementierung anhand von SecuMailer zu testen, da es als Referenzbeispiel für die Umsetzung galt.

 

Das Geschäftsproblem

Das Team des RvdK arbeitet mit zahlreichen anderen Regierungsorganisationen, Kommunen, Gesundheitsdienstleistern und natürlich mit den Eltern und Betreuern der Kinder zusammen. Es handelt sich um ein komplexes Netzwerk von Beteiligten, das eine sichere E-Mail-Lösung mit minimalen Auswirkungen auf die Nutzer, insbesondere Eltern und Betreuer, erfordert. Der RvdK ist Teil des Ministeriums für Justiz und Sicherheit und muss die Sicherheitsanforderungen des Ministeriums erfüllen. Eine dieser Anforderungen besagt, dass alle ausgehenden E-Mails über die zentrale E-Mail-Proxy-Infrastruktur verarbeitet werden müssen. Darüber hinaus müssen E-Mails gekennzeichnet werden, damit bei Bedarf zusätzliche Sicherheitsrichtlinien angewendet werden können.

Glücklicherweise kann SecuMailer diese Anforderungen erfüllen und ist der einzige Anbieter in den Niederlanden, der dies ermöglicht. Die einzigartige Technologie von SecuMailer ermöglicht die sichere Zustellung von E-Mails direkt in den Posteingang des Empfängers unter Einhaltung höchster Standards für Datensicherheit und Datenschutz. Dies ist keine leere Behauptung: SecuMailer wurde kürzlich als qualifizierter EU-Vertrauensdienstanbieter zertifiziert – als fünfter Anbieter dieser Art in der Europäischen Union. Darüber hinaus ist die Plattform nach GDPR, NTA 7516, ISO 27001 und NEN 7510 zertifiziert.

Die vorgeschlagene Lösung

RvdK nutzt lokale Exchange-E-Mail-Server für die E-Mail-Verarbeitung, die anschließend mit der ausgehenden E-Mail-Proxy-Infrastruktur auf Basis von Cisco ESA verbunden sind. In Absprache mit der IT-Abteilung von RvdK (JIO) hat SecuMailer eine Architektur eingerichtet, die aus folgenden Elementen besteht: einer Datenklassifizierungslösung basierend auf Exchange-Mailflussregeln, einer Cisco ESA-Konfiguration, die interne/abteilungsübergreifende E-Mails von der Verarbeitung durch SecuMailer ausschließt, und einer Reihe von DANE/DNSSEC-geschützten SMTP-Mail-Relays zum Empfang des Datenverkehrs von JIO. Die Datenklassifizierungslösung ermöglicht es RvdK, die E-Mail-Sicherheit durch die Anwendung des NTA 7516-Regelwerks zu verbessern, wenn die Datenklassifizierung dies für notwendig erachtet. Dadurch müssen die Mitarbeiter von RvdK die Datensicherheitsrichtlinien nicht mehr bei jeder E-Mail berücksichtigen; dies geschieht automatisch im Hintergrund.

Die SMTP-Endpunkte laufen auf AWS EC2-Servern. Die Gewährleistung der Datensicherheit der virtuellen EC2-Server ist von größter Bedeutung, da sie die einzigen dauerhaft laufenden Komponenten in einer ansonsten vollständig serverlosen Architektur sind und somit den anfälligsten Teil der SaaS-Architektur darstellen. Bis vor Kurzem nutzte SecuMailer eine Reihe nativer Linux-Tools, um eine angemessene Datensicherheitsbasis für die EC2-Instanzen zu schaffen. Kürzlich wurden jedoch AWS GuardDuty für EC2 und AWS Inspector für EC2 eingeführt, um die Sicherheitslage auf EC2 zu verbessern. In Kombination mit der zentralen Übersicht, die AWS SecurityHub bietet, wurden die Datensicherheit und die Transparenz des Datensicherheitsstatus der EC2-Plattform erheblich verbessert.

Der nächste Schritt ist die Verarbeitung der generierten E-Mails durch die eigentliche SaaS-Plattform. Alle E-Mails werden von der serverlosen AWS Lambda-Plattform verarbeitet. Dies bietet unübertroffene Vorteile in Bezug auf Datensicherheit und Datenschutz, die für die Gesundheitsorganisation von entscheidender Bedeutung sind. Da keine permanenten physischen oder virtuellen Server vorhanden sind, entstehen bei der E-Mail-Verarbeitung keine Datenreste. Es bleiben keine Spuren zurück, da die für die Lambda-Verarbeitung verwendeten Container nach der Ausführung gelöscht werden. Mit dieser Technologie besteht kein Risiko eines zusätzlichen Datenlecks.
SecuMailer verwendet AWS DynamoDB zur Speicherung von Metadaten, kombiniert mit KMS-Verschlüsselung für ruhende Daten. Um die Integrität und Verfügbarkeit der Daten zu gewährleisten, verwendet die Plattform DynamoDB Global Tables und Point-In-Time-Recovery (PITR).

Während der Verarbeitung der E-Mails erfolgt die temporäre Datenspeicherung auf AWS S3 mit KMS-Verschlüsselung für ruhende Daten und erfüllt damit alle Anforderungen der Gesundheitsorganisation hinsichtlich der Datensicherheit. Bevor E-Mails zugestellt werden, prüft die SaaS-Plattform den/die E-Mail-Server des Empfängers und stellt fest, ob dieser ausreichend sicher für die Zustellung der E-Mail ist. SecuMailer hat eine eigene SmartTLS-Engine entwickelt, um den E-Mail-Server des Empfängers abzufragen, dessen TLS-Version und die konfigurierte Verschlüsselungssuite zu überprüfen. Dabei werden selbstsignierte Zertifikate, abgelaufene Zertifikate sowie fehlende Stamm- und Zwischenzertifizierungsstellen geprüft. Die SaaS-Plattform führt den Scan über eine serverlose Lambda-Funktion durch, die über ein NAT-Gateway mit dem Internet verbunden ist, um maximale Sicherheit zu gewährleisten. Abfragen können nur innerhalb des internen Lambda-Netzwerks initiiert werden; während dieses Vorgangs sind keine externen Verbindungen möglich.

Aufgrund interner Richtlinien ist es SecuMailer nicht gestattet, E-Mail-Zustellungsereignisse über seine Webhook-Architektur an RvdK zurückzumelden. Das SOC von RvdK ruft die E-Mail-Zustellungsereignisse für sein SEAM-System über die SecuMailer Events REST API ab.

 

Modell der geteilten Verantwortung

Wie AWS selbst erklärt, liegt die Sicherheit der Cloud in der Verantwortung von AWS, während die Sicherheit in der Cloud in der Verantwortung des Dienstanbieters, also SecuMailer, liegt. Innerhalb der technischen Architektur bietet AWS eine sichere Lambda-Plattform mit hervorragenden Funktionen für Datensicherheit und Datenschutz. Diese werden durch umfangreiche Überwachungs- und Nachverfolgungsfunktionen wie GuardDuty für Lambda, AWS X-Ray und AWS CloudTrail zusätzlich verstärkt. Dank dieser Funktionen kann SecuMailer und damit auch der ANWB sicher sein, dass es während der Verarbeitung der sicheren E-Mails keine Probleme mit der Datenintegrität gibt. Diese Sicherheit kann dokumentiert werden, sodass ein konkreter Nachweis dafür vorliegt, dass die auf AWS laufende SaaS-Plattform die Datenintegrität während des gesamten Datenverarbeitungsprozesses gewährleistet.

Ergebnis

Das Endergebnis ist, dass der RvdK die GDPR und die NTA 7516 vollständig erfüllt. Die Architektur entspricht allen Abteilungsanforderungen und -richtlinien. Die Integration mit dem Cisco ESA-Ausgangsproxy ist stabil und sicher. Die Mitarbeiter des RvdK bemerken die Lösung nicht und können ungestört arbeiten. Empfänger innerhalb des RvdK-Ökosystems werden nicht zusätzlich belastet, und Eltern und Betreuer können sichere Kommunikation problemlos empfangen. Am Tag der Einführung gingen beim RvdK-Helpdesk lediglich drei Anrufe bezüglich der Lösung ein, bei denen es sich ausschließlich um Anfragen und nicht um Störungen handelte. In den folgenden Wochen gab es keine weiteren Anrufe beim Helpdesk.

Durchführung

Die Einarbeitung mit SecuMailer erfolgt in den folgenden Schritten:

  • Kaufen Sie Ihre Lösung auf AWS Marketplace
  • Befolgen Sie die Installationsanweisungen (30 Minuten bis 2 Stunden Arbeitsaufwand).
  • Nehmen Sie an einem persönlichen Workshop teil, um alle Datenschutzmaßnahmen auch in Ihre Unternehmensrichtlinien zu integrieren.
  • Beginnen Sie jetzt, alle Ihre E-Mails sicher und vollständig konform mit der GDPR und eIDAS zu versenden.

 

Hintergrundinformationen zu SecuMailer:

SecuMailer ist ein privates Unternehmen. Wir bieten unseren Kunden eine SaaS-Lösung für den sicheren Versand vertraulicher Informationen per E-Mail.

SecuMailer wurde 2017 von Yvonne Hoogendoorn CIPP/e und Meint Post CISSP/ISSAP gegründet.

SecuMailer erfüllt die Anforderungen der GDPR vollständig und ist nach eIDAS, ISO 27001:2002 und NTA 7516 zertifiziert und trägt das ECSO-Label (European Cyber ​​Security Organization).

SecuMailer ist auf dem AWS Marketplace verfügbar.

SecuMailer ist einer der Initiatoren der niederländischen Norm NTA 7516 für den sicheren E-Mail-Versand mit personenbezogenen Gesundheitsdaten. Diese Norm kombiniert Elemente der GDPR, der eIDAS-Verordnung und der niederländischen Gesetze zum Schutz medizinischer Daten.

 

Beitrag teilen:

Ähnliche Beiträge

NTA 7516: wer, was, wo

NTA 7516: wer, was, wo

Wie können Sie die NTA 7516 so einfach anwenden wie beim normalen E-Mail-Versand? Muss der Empfänger Ihrer E-Mails erst mühsam

10 Fragen zu NTA7516

10 Fragen zu NTA7516

Mit der Veröffentlichung der NTA 7516 am 15. Mai 2019 wurde ein Branchenstandard für den Versand personenbezogener Gesundheitsinformationen per E-Mail