www.centoportal.com

DSC.729.10.2019

1. General information on the ips seal of quality

The web portal at www.centoportal.com by CENTOGENE AG has been tested based on the internet privacy standards (ips) and received the seal of quality.
Thus, the company has subjected itself to the highest requirements, which on the one hand ensure compliance with data protection and consumer protection regulations and on the other hand include security precautions according to the current state of the art. The ips criteria catalogue is available at www.datenschutz-cert.de.

The internet privacy standards are recommended as a nationwide seal of quality for web portals by Initiative D21 of the German Federal Government and have been coordinated with numerous data protection officers of the federal states and the federal government in Germany. An ips seal of quality corresponds to a high standard of testing. As you can see, when it comes to data protection you are "in good hands" with the certified provider.

2. Provider and URL of the tested web portal

CENTOGENE AG
Am Strande 7
18055 Rostock
www.centoportal.com

This seal of quality was issued under the number
DSC.729.10.2019.

3. Scope of the audit according to ips

The audit of the website was conducted in 2019 on the basis of the ips criteria catalogue version 3.2.
The ips assessment does not only include the examination of the areas visible to every user such as privacy policy, cookies, etc. according to relevant legal requirements (General Data Protection Regulation, German Telemedia Act, German Federal Data Protection Act), but also examines the data protection management. As a user, you can be sure that the technology and employees of the audited provider take data protection and data security seriously - and thus protect your personal rights.

On the portal personal data is collected with varying intensity. For example, concerning the module “information offer” transparency and data minimisation must be observed within the scope of the information offered. Within the module “individual service”, the areas of registration processes, registrations and logging off are particularly relevant. The “data protection management” module regards the implemented data security measures with regard to the web portal and the provider.

In contrast to data processing via the web portal, other data processing processes of the provider outside the web portal / front end as well as the company portal www.centogene.com and the authentication service Verimi are not part of the scope of the audit. In particular, the customer data management (CRM) behind the portal, linked third-party websites or services outsourced to service providers (e.g. customer administration, financial and payroll accounting) were not audited. The services provided by the physicians are not initiated by the web portal, but by the physicians themselves. Therefore, they are not subject of an audit with the ips standard. Furthermore, apps for tablets or smartphones as well as possible medical products of the provider, such as the CentoCards, are not subject to this audit.

This audit does not constitute a data protection certification or certificate of conformity in accordance with the Data Protection Basic Regulation (DSGVO).
A certificate of conformity or an award of a certificate pursuant to the DSGVO requires accreditation of the certification body (cf. Art. 42 DSGVO). The datenschutz cert GmbH has submitted an application for accreditation to the German Accreditation Body in April 2018, but at the time of the preparation of this expert opinion no accredition decision has been made. Therefore, until the accreditation, this expert opinion rather pursues the goal of obtaining the, since 2002, nationwide recognized and sustainable quality seal ips - internet privacy standards - for the web portal examined. In any case, the present expert opinion represents the results of a data protection and data security technical expert opinion by an independent body and independent auditors and, thus, supports the evaluations which have to be proven by the controller according to Art. 5 DSGVO.

Due to the different need for protection, the following weighting ratio was applied:

  • information offer: 20%.
  • individual service: 30%.
  • data protection management: 50%.

4. Summary of the test results

The offer is particularly characterised by the following framework conditions:

  • exemplary transparency of data processing for the user
  • particularly data-saving handling of user data
  • Use of high security standards in the transmission of personal data

The provider implements the legal requirements in all areas.
The technical and organizational security measures taken by the provider guarantee the security of the data according to the current state of the art, e.g. by using current ssl standards. The user is informed comprehensibly about the different functions as well as about data collection and use; he receives an overview of contract-relevant data and data processing in his user account at any time. With regard to the collection of personal user data (e.g. IP address, which is anonymised), the service is set up entirely in accordance with the data minimisation principle. The provider implements the requirements of the ips criteria catalogue in the tested online areas and, therefore, receives the online seal of quality.

 

1. Allgemeines zum Gütesiegel nach ips

Die CENTOGENE AG hat das Web-Angebot unter www.centoportal.com nach den internet privacy standards (ips) prüfen lassen und das Gütesiegel erhalten. Damit hat sich das Unternehmen höchsten Anforderungen unterworfen, die zum einen die Einhaltung datenschutz- und verbraucherschutzrechtlicher Vorschriften sicherstellen als auch die Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik beinhalten. Der ips-Kriterienkatalog ist abrufbar unter www.datenschutz-cert.de.

Die internet privacy standards werden als bundesweit gültiges Gütesiegel für Webportale von der Initiative D21 der Bundesregierung empfohlen und sind mit zahlreichen Datenschutzbeauftragten der Länder und des Bundes abgestimmt. Ein Gütesiegel nach ips entspricht einem hohen Prüfungsmaßstab. Sie sehen also: Bei dem geprüften Anbieter sind Sie datenschutzrechtlich "gut aufgehoben".

2. Anbieter und URL des geprüften Webportals

CENTOGENE AG
Am Strande 7
18055 Rostock
www.centoportal.com

Dieses Gütesiegel wurde erteilt unter der Nummer DSC.729.10.2019.

3. Umfang der Auditierung nach ips

Das Webangebot wurde im Jahre 2019 auditiert auf der Grundlage des ips-Kriterienkatalogs in der Version 3.2.
Die Begutachtung nach ips umfasst nicht nur die Überprüfung der für jeden Nutzer sichtbaren Bereiche wie Datenschutzerklärung, Cookies u.ä. anhand der einschlägigen gesetzlichen Vorgaben (Datenschutz-Grundverordnung, Telemediengesetz, Bundesdatenschutzgesetz), sondern durchleuchtet auch das Datenschutzmanagement. So können Sie als Nutzer sicher sein, dass Technik und Mitarbeiter des auditierten Anbieters Datenschutz und Datensicherheit wirklich ernst nehmen - und damit Ihr Persönlichkeitsrecht schützen.

Über das Portal werden in unterschiedlicher Intensität personenbezogene Daten erfasst. So sind im Rahmen des Informations-Angebots Transparenz und Datensparsamkeit zu beachten. Im Rahmen des Moduls der Individual-Dienstleistung sind insbesondere die Bereiche der Registrierungsvorgänge, Anmeldungen und Abmeldungen relevant. Das Modul Datenschutzmanagement überprüft die umgesetzten Datensicherheitsmaßnahmen im Bezug auf das  Webportal und den Anbieter.

In Abgrenzung zur Datenverarbeitung über das Webportal gehören sonstige Datenverarbeitungsprozesse des Anbieters außerhalb des Webportals / Front-ends sowie das Unternehmensportal www.centogene.com und der Authentifizierungsdienst Verimi nicht zum Auditgegenstand. Nicht auditiert wurden insbesondere das hinter dem Portal liegende Kundendatenmanagement (CRM), verlinkte fremde Webseiten oder auf Dienstleister ausgelagerte Services (z.B. bei der Kundenverwaltung, Finanz- und Lohnbuchhaltung). Die von den Ärzten erbrachten Dienstleistungen werden nicht durch das Webportal initiiert, sondern von den Ärzten selbst. Sie sind demnach auch nicht Gegenstand einer Prüfung von ips. Ferner kein Auditgegenstand sind Apps für Tablets oder Smartphones sowie eventuelle Medizinprodukte des Anbieters, etwa die CentoCards.

Dieses Audit stellt keine Datenschutz-Zertifizierung oder Konformitätsbescheinigung gemäß der Datenschutzgrundverordnung (DSGVO) dar.
Eine Konformitätsbescheinigung oder eine Zertifikatsvergabe gemäß DSGVO setzt eine Akkreditierung der Zertifizierungsstelle (vgl. Art. 42 DSGVO) voraus. Die datenschutz cert GmbH hat hierzu zwar einen entsprechenden Antrag auf Akkreditierung im April 2018 bei der Deutschen Akkreditierungsstelle eingereicht, dieser ist zum Zeitpunkt der Erstellung dieses Gutachtens jedoch noch nicht beschieden. Dieses Gutachten verfolgt bis zu einer solchen Akkreditierung daher vielmehr das Ziel, das bundesweit seit dem Jahr 2002 anerkannte und nachhaltige Gütesiegel ips – internet privacy standards - für das hier geprüfte Webportal zu erhalten. In jedem Fall stellt das vorliegende Gutachten die Ergebnisse einer datenschutz- und datensicherheitstechnischen Fachbegutachtung durch eine unabhängige Stelle und unabhängige Auditoren dar und unterstützt somit die Bewertungen, die gemäß Art. 5 DSGVO durch die verantwortliche Stelle nachgewiesen werden müssen.

Aufgrund der unterschiedlichen Schutzbedürftigkeit wurde folgende Gewichtung zugrunde gelegt:

  •  Informations-Angebot: 20%
  •  Individuelle Dienstleistung: 30%
  •   Datenschutzmanagement: 50%

4. Zusammenfassung der Prüfergebnisse

Das Angebot zeichnet sich durch folgende Rahmenbedingungen besonders aus: 

  • vorbildliche Transparenz der Datenverarbeitung für den Nutzer
  • besonders datensparsamer Umgang mit Nutzerdaten
  • Verwendung hoher Sicherheitsstandards bei der Übermittlung personenbezogener Daten

Der Anbieter setzt in allen Bereichen die gesetzlichen Anforderungen um.
Die vom Anbieter getroffenen technisch-organisatorischen Sicherheitsmaßnahmen gewähren die Sicherheit der Daten nach dem aktuellen Stand der Technik, z.B. durch Verwendung aktueller ssl-Standards. Der Benutzer wird verständlich über die verschiedenen Funktionen sowie über Datenerhebung und -nutzung aufgeklärt; er erhält in seinem Nutzeraccount jederzeit einen Überblick über vertragsrelevante Daten und die Datenverarbeitung. Das Angebot ist im Hinblick auf die Erfassung von personenbeziehbaren Nutzerdaten (z.B. IP-Adresse, die anonymisiert wird), ganz im Sinne des Datensparsamkeitsgrundsatzes eingerichtet. Der Anbieter setzt in den geprüften Onlinebereichen die Anforderungen des Kriterienkatalogs ips um und erhält daher das Online-Gütesiegel.

Auditorin
Alisha Gühr
datenschutz cert GmbH
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 – 69 66 32-573
Fax.: 0421 – 69 66 32-51
aguehr@remove-this.datenschutz-cert.de
www.datenschutz-cert.de

Zertifizierungsstelle 
Dr. Irene Karper
datenschutz cert GmbH
Konsul-Smidt-Str. 88a
28217 Bremen
Tel.: 0421 - 69 66 32-554
Fax.: 0421 - 69 66 32-51
ikarper@remove-this.datenschutz-cert.de 
www.datenschutz-cert.de