Die Abkürzung TOM steht für technische und organisatorische Maßnahmen nach Art. 32 DSGVO, verpflichtend für jede Praxis und Kanzlei, die personenbezogene Daten verarbeitet. In der Praxis bleibt die Dokumentation oft unvollständig oder veraltet.
Warum TOM-Dokumentation oft vernachlässigt wird
Sie wird selten aktiv gebraucht, bis eine Prüfung ansteht oder ein Vorfall eintritt, und genau deshalb bleibt sie häufig auf dem Stand der Ersterstellung, ohne Anpassung an spätere Änderungen der IT-Infrastruktur.
Was eine aktuelle TOM-Dokumentation enthalten sollte
- Zugangskontrolle: Wer hat Zugriff auf welche Systeme, und wie ist das abgesichert
- Verschlüsselung von Datenübertragung und Speicherung
- Backup-Verfahren und deren Testintervalle
- Protokollierung von Fernwartungszugriffen
- Vertraulichkeitsverpflichtungen aller beteiligten Dienstleister
Warum das Teil der laufenden IT-Betreuung sein sollte
Eine TOM-Dokumentation, die von der IT-Betreuung getrennt gepflegt wird, veraltet fast zwangsläufig, weil technische Änderungen selten automatisch in ein separates Dokument einfließen. Im Compliance-Paket wird die Dokumentation direkt an die tatsächliche technische Betreuung gekoppelt, damit sie den echten Stand widerspiegelt.
Der Aufwand lohnt sich vor allem im Ernstfall
Bei einer Prüfung oder nach einem Sicherheitsvorfall zeigt sich, ob eine TOM-Dokumentation tatsächlich belastbar ist oder nur auf dem Papier existiert. Laufende Pflege ist der einzige Weg, das im Ernstfall sicherzustellen.
TOM-Dokumentation auf den aktuellen Stand bringen?
Rückmeldung innerhalb einer Stunde.