Bearbeitungsreglement Personalbereich

Transkript

1 Legal & Compliance Datenschutz Bearbeitungsreglement Personalbereich Dokumenten-Nr. Autor Dokumenten-Eigner Dokumenten- Bereich/Art Dokumenten-Status Klassifizierung Geltungsbereich _RE_BR_Personalbereich Dr. Alexander Lacher Amann Angela (ÖKK) (03) Risk Management/Legal&Compliance/Governance/Reglement (RE) (03) Freigegeben ÖKK-INTERN (V2) ÖKK Version 5.0 Gültig von Gültig bis (ohne Datum unbeschränkt) [Gültig bis]

2 Änderungs- und Freigabekontrolle (Versionsverlauf): Version Prüfstelle Prüfdatum Art der Änderung Freigabestelle Freigabedatum Dinner, Heinrich Dinner, Heinrich Anpassung Ref. Dok. Dinner, Heinrich Review Dinner, Heinrich Verteiler: Empfänger Datum Art der Mitteilung/Verteilung Wo sich das vorliegende Reglement auf andere Weisungen oder Dokumente bezieht, sei zur besseren Übersicht das Verzeichnis aller Weisungen (Dokument _WS_Weisungsverzeichnis) zu berücksichtigen. ÖKK Bearbeitungsreglement Personalbereich Version 5.0 2/21

3 Inhaltsverzeichnis 1. Begriffe/Abkürzungen Allgemeine Bestimmungen Einführung Rechtliche Grundlagen DSG OR Ziel des Bearbeitungsreglements Zweck der Datenbearbeitung Verantwortliche Stellen Schweigepflicht nach Art. 33 ATSG Struktur ÖKK-Informationssystem Personalbereich Beteiligte Organisationseinheiten Zentrale Organisationseinheiten (OE) Zugriffe der Organisationeinheiten auf Subsysteme Benutzer und Datenzugriff Benutzer Benutzerverwaltung Zugriffskontrollsystem Vergabe von Zugriffsberechtigungen Aufhebung der Zugriffsberechtigung Zugriffskontrolle in der Test-Umgebung Administrative Zugriffe Periodische Kontrollen Bearbeitung der Daten/Datenkategorien Datenherkunft/Datenbeschaffung Bearbeitung von Datenkategorien nach Subsystemen Datenaufbewahrung und -löschung Aufbewahrungsdauer Löschung der Daten Technische und organisatorische Massnahmen Zugangskontrolle Personendatenträgerkontrollen Transportkontrolle Dezentrales Drucken Drucken/Massenversand Physische Datenträger Netzwerk...15 ÖKK Bearbeitungsreglement Personalbereich Version 5.0 3/21

4 8.4. Bekanntgabekontrolle Speicherkontrolle Benutzerkontrolle/Zugriffskontrolle Eingabekontrolle/Protokollierung Massnahmen im Bereich der Endgeräte Benutzerunterstützung und Meldepflicht Rechte der Mitarbeitenden Auskunftsrecht des Mitarbeiters Berichtigungs- und Löschungsrechte Verbot des Führens von Schattendossiers Abschliessende Bestimmungen Anhänge Änderungen des Reglements Inkrafttreten...18 Tabellenverzeichnis TABELLE 1 ZWECK DER DATENBEARBEITUNG: LAUFWERK N:/PERSONAL UND SUNETPLUS 7 TABELLE 2: SUBSYSTEME ÖKK-INFORMATIONSSYSTEM PERSONALBEREICH 8 TABELLE 3: KURZBESCHREIBUNG DER ORGANISATIONSEINHEITEN 8 TABELLE 4: ANZAHL ZUGRIFFE PRO ORGANISATIONSEINHEITEN 9 TABELLE 5: ZUGRIFFSKONTROLLSYSTEME DER SUBSYSTEME 10 TABELLE 6: GEWALTENTRENNUNG BEI DER VERGABE VON ZUGRIFFSBERECHTIGUNGEN 11 TABELLE 7: DATENKATEGORIEN SUBSYSTEM LAUFWERK N:/PERSONAL 13 TABELLE 8: DATENKATEGORIEN SUBSYSTEM SUNETPLUS 13 TABELLE 9: MAPPING DATENKATEGORIEN/-ARTEN 20 ÖKK Bearbeitungsreglement Personalbereich Version 5.0 4/21

5 1. Begriffe/Abkürzungen Sämtliche Begriffe und Abkürzungen finden sich in Anhang 1 und 2 der Mutterweisung ( _WS_Mutterweisung). 2. Allgemeine Bestimmungen 2.1. Einführung Gestützt auf Art. 21 VDSG hat die ÖKK Kranken- und Unfallversicherungen AG (hiernach ÖKK ) für die automatisierte Datenbearbeitung im Rahmen des Personalbereichs die besonders schützenswerte Daten oder Persönlichkeitsprofile betrifft, das vorliegende Bearbeitungsreglement erstellt. Am 4. März 2013 hat die Geschäftsleitung von ÖKK die vollständig überarbeitete Leitlinie Datenschutz [ ] genehmigt. Diese bildet zusammen mit der Weisung Datenschutz [ ], der Weisung Informationssicherheit [ ] und dem Pflichtenheft BDSV [ ] einen integralen Bestandteil dieses Bearbeitungsreglements Rechtliche Grundlagen DSG Art. 328b OR verweist für die Grundlagen der Datenbearbeitung auf das Datenschutzgesetz (DSG). So sind insbesondere die Grundsätze der Datenbearbeitung nach Art. 4 DSG zu beachten: Rechtmässigkeit der Datenbearbeitung (Art. 4 Abs. 1 DSG), Bearbeitung nach Treu und Glauben (Art. 4 Abs. 2 DSG), zweckgebundene Datenbearbeitung (Art. 4 Abs. 3 DSG), Erkennbarkeit der Datenbeschaffung (Art. 4 Abs. 4 DSG) und unter Umständen die Einwilligung der betroffenen Person (Art. 4 Abs. 5 DSG). Art. 4 Grundsätze 1 Personendaten dürfen nur rechtmässig bearbeitet werden 2 Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. 3 Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. 4 Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. 5 Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. Neben diesen Grundsätzen verlangt das Datenschutzgesetz auch, dass der Bearbeiter sich der Richtigkeit der bearbeiteten Daten vergewissert und gegebenenfalls diese berichtigt bzw. vernichtet falls sie im Hinblick auf den bei der Beschaffung angegebenen Zweck unrichtig oder unrichtig oder Unvollständig sind. Die betroffene Person hat gemäss Art. 5 Abs. 2 DSG auch ein Anspruch auf Berichtigung der Daten. Eine weitere Anforderung des Datenschutzgesetzes betrifft die Datensicherheit, sprich die technischen oder organisatorischen Massnahmen zum Schutz vor unbefugtem bearbeiten. Art. 7 Datensicherheit 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 2 Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit. ÖKK Bearbeitungsreglement Personalbereich Version 5.0 5/21

6 Beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen trifft ÖKK die Informationspflicht nach Art. 14 DSG. Art. 14 Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen 1 Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden. 2 Der betroffenen Person sind mindestens mitzuteilen: a. der Inhaber der Datensammlung; b. der Zweck des Bearbeitens; c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist. 3 Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen. 4 Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betroffene Person bereits informiert wurde oder, in Fällen nach Absatz 3, wenn: a. die Speicherung oder die Bekanntgabe der Daten ausdrücklich im Gesetz vorgesehen ist; oder b. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist. 5 Der Inhaber der Datensammlung kann die Information unter den in Artikel 9 Absätze 1 und 4 genannten Voraussetzungen verweigern, einschränken OR Der Datenschutz ist auch arbeitsrechtlich abgesichert. Art. 328b OR setzt dem Arbeitgeber Grenzen bei der Datenbearbeitung. Die Daten müssen die Eignung für das Arbeitsverhältnis betreffen oder müssen für die Durchführung des Arbeitsvertrages erforderlich sein. Art. 328b Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom 19. Juni über den Datenschutz Ziel des Bearbeitungsreglements Das Bearbeitungsreglement umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren für den Personalbereich von ÖKK. Es enthält Angaben über das für den Datenschutz und die Datensicherheit verantwortliche Organ, über die Herkunft der Daten und die Zwecke, für welche sie regelmässig bekannt gegeben werden und beschreibt das Verfahren für die Erteilung der Zugriffsberechtigungen auf die Module des elektronischen Informationssystems Personalbereich Zweck der Datenbearbeitung Der Zweck der Datenbearbeitung besteht in der Vorbereitung und im Vollzug des Arbeitsverhältnisses der Angestellten von ÖKK. ÖKK Bearbeitungsreglement Personalbereich Version 5.0 6/21

7 Das vorliegende Bearbeitungsreglement gilt für das ÖKK-Informationssystem Personalbereich welches die nachfolgend gelisteten Subsysteme (vgl. dazu auch Ziff ) beinhaltet. Der Zweck der Datenbearbeitung ist pro Subsystem aufgeführt. Tabelle 1: Zweck der Datenbearbeitung: Laufwerk N:/Personal und Sunetplus Laufwerk N:/Personal Sunetplus Personaladministration Absenzenmanagement 2.5. Verantwortliche Stellen Die Stellen Personalbetreuung und Personalentwicklung innerhalb der Abteilung Corporate Services sind für das Human Resources Management zuständig. Inhaberin der Datensammlung bzw. des ÖKK-Informationssystems Personalbereich ist ÖKK. In diesem System werden die betreffenden Daten erfasst und weiterbearbeitet. Mit den hier dargestellten Massnahmen sorgt ÖKK für die Einhaltung der Vorschriften. Den Applikationseignern von ÖKK obliegt die technische Verantwortung bezüglich den einzelnen Applikationen. Für die einzelnen Datensammlungen werden Dateneigner ernannt. Dateneigner stellen die Einhaltung der datenschutzrechtlichen Anforderungen in technischer und organisatorischer Hinsicht sicher. Sie bestimmen die zum Bearbeiten der Daten befugten Personen und deren Zugriffrechte nach dem sog. Need-to-know-Prinzip. Die Applikationseigner (technische Verantwortliche) der Subsysteme und die Dateneigner beaufsichtigen, dass sich die Mitarbeitenden an die Weisungen, das vorliegende Bearbeitungsreglement und seine Anhänge halten. Die Funktionen des Applikations- und des Dateneigners können durch ein und dieselbe Person wahrgenommen werden. ÖKK hat einen Betrieblichen Datenschutzverantwortlichen (BDSV) bestimmt, der die Verantwortung für die Einhaltung des Datenschutzes trägt. Der BDSV ist beim EDÖB gemeldet Schweigepflicht nach Art. 33 ATSG Sämtliche Mitarbeitenden unterstehen der Schweigepflicht nach Art. 33 ATSG. Bei Verletzungen der Schweigepflicht unterstehen sie spezialgesetzlich den Strafbestimmungen des Art. 92 KVG. Die Mitarbeitenden sind über die Sanktionen informiert. Zusammen mit dem Arbeitsvertrag unterzeichnen Mitarbeitende die Geheimhaltungs- und Schweigepflichtvereinbarung. 3. Struktur ÖKK-Informationssystem Personalbereich Auf das Laufwerk N:/Personal haben nur Mitarbeitende des Personalabteilung (Stelle Personalbetreuung und Personalentwicklung) Zugriff. Dadurch wird unbefugtes Lesen oder bearbeiten der Personaldaten verhindert. Das ÖKK-Informationssystem Personalbereich besteht aus zwei unterschiedlichen Subsystemen, welche besonders schützenswerte Personendaten enthalten. ÖKK Bearbeitungsreglement Personalbereich Version 5.0 7/21

8 Tabelle 2: Subsysteme ÖKK-Informationssystem Personalbereich Laufwerk N:/Personal Sunetplus Der Ordner Personal enthält vier Unterordner: Auf die Unterordner Daten und Verträge haben alle Mitarbeiter des HR Zugriff. Auf den Ordner Lohn haben lediglich der Teamleiter und seine Assistentin für die Lohnabrechnung Zugriff. Auf den Ordner Leitung, in welchem die strategischen Dokumente abgelegt werden, hat nur der Teamleiter Zugriff sowie der Abteilungsleiter Corporate Services. Absenzenmanagement: Erfassung der Krankheits- und Unfallabsenzen 4. Beteiligte Organisationseinheiten 4.1. Zentrale Organisationseinheiten (OE) Auf die Personaldaten haben lediglich die Mitarbeiter der Personalabteilung (Personalbetreuung und -entwicklung) innerhalb der Corporate Services-Abteilung Zugriff. Zudem der Leiter Corporate Services, der als oberster Personalchef fungiert. Tabelle 3: Kurzbeschreibung der Organisationseinheiten Organisationseinheit Kurzbeschreibung OE/Aufgaben MA Intern Corporate Services Corporate Services ist die zentrale Serviceabteilung für die Bereiche Personal und Recht. Der Personalbereich ist aufgeteilt in Personalbetreuung und -entwicklung sowie Personalversicherung. Für rechtliche und politische Angelegenheiten ist das Team Legal & Compliance zuständig. Der betriebliche Datenschutzverantwortliche (BDSV) ist als Fachspezialist im Legal & Compliance angesiedelt. 12 Die im nachfolgenden Organigramm grau hinterlegten zentralen Organisationseinheiten der ÖKK sind an der Datensammlung Laufwerk N:/Personal bzw. Sunetplus beteiligt. ÖKK Bearbeitungsreglement Personalbereich Version 5.0 8/21

9 Sitftungsrat Ausschuss Generalversammlung Verwaltungsrat Vorsitzender Geschäftsleitung Markt Leistung und Koorperationen Finanz und Controlling Informatik und Logistik Unternehmenskommunikation Unternehmensentwicklung Corporate Services Privatkunden Gesundheitsmanagement Versicherungsleistungen Rechnungswesen IT-Architektur Personalbetreuung Unternehmenskunden Leistungen Taggeld Controlling IT-Betrieb Personalentwicklung Marketingkommunikation Leistungen Unfall Finanzen IT-Applikationen Personalkrankenkasse Markt Ostschweiz Heilungskosten Projektmanagement Legal und Compliance Markt Südbünden Leistungseinkauf u. Managed Care Kooperationen Versicherungsunternehmen Logistik und Liegenschaften Markt Bern/ Nordwest- Zentralschweiz VAD * IT-DWH Markt Nordostschweiz Markt Südschweiz Abbildung 1: An der Datensammlungen Personalbereich beteiligte OE s 4.2. Zugriffe der Organisationeinheiten auf Subsysteme Anhand der nachfolgenden Tabelle ist ersichtlich, wie viele Mitarbeitende (Spalte MA) pro Organisationseinheit auf die einzelnen Subsysteme Zugriff haben. Tabelle 4: Anzahl Zugriffe pro Organisationseinheiten Subsystem Organisationseinheit Welche Datenkategorien ÖKK werden bearbeitet? Laufwerk N;/Personal Sunetplus Personalentwicklung und Personalbetreuung Personalentwicklung und Personalbetreuung Name/Adresse/Tel, Geburtsdatum, Familienverhältnisse, Nationalität, AHV- Nummer, Gesetzliche Vertretung, Angehörige, Gesundheit, administrative /strafrechtliche Sanktionen, Persönlichkeitsprofil Name/Adresse/Tel, Geburtsdatum, AHV-Nummer, Gesundheit MA Daten: 8 Leitung: 2 Lohn: 3 Verträge: 8 6 ÖKK Bearbeitungsreglement Personalbereich Version 5.0 9/21

10 Die obige Tabelle entspricht einer Momentaufnahme vom , dient einer allgemeinen Übersicht und beantwortet folgende Fragen: Welcher Organisationseinheiten bzw. wie viele ihrer Mitarbeitenden haben Zugriff auf die entsprechende Applikation? Welche Datenkategorien ÖKK (oder Teile derselben) werden in der entsprechenden Applikation bearbeitet? Das Mapping der Datenkategorien ÖKK zu den Datenkategorien EDÖB oder den in der ÖKK umgangssprachlich verwendeten Datenarten ist im Anhang 3 (Datenkategorien) ersichtlich. 5. Benutzer und Datenzugriff 5.1. Benutzer Zugriffsberechtigt auf das ÖKK-Informationssystem Personalbereich sind die Mitarbeitenden von ÖKK, soweit sie dies zur Ausübung ihres Auftrags Vollzug des Arbeitsverhältnisses benötigen. Durch die Vergabe von Zugriffsberechtigungen auf Systeme und Applikationen von ÖKK nach dem sog. Need-to-know-Prinzip wird verhindert, dass Dritte Daten unberechtigt bearbeiten können Benutzerverwaltung ÖKK verfolgt ein dreistufiges Konzept bezüglich Zugriffssicherheit (siehe auch Bearbeitungsreglement VAD [ ]). Zugriffssicherheit wird auf Systemebene definiert, d.h. für eine Systemanmeldung wird ein persönlicher Active-Directory-Benutzer-Account bei ÖKK benötigt. Applikationen (Subsysteme) des ÖKK-Informationssystems Versicherungswesen können nur mit entsprechenden Rechten auf Systemebene gestartet werden, d.h. im Active-Directory muss eine Mitgliedschaft in der entsprechenden Active-Directory-Applikationsgruppe vorhanden sein. Verfügt die Applikation über eine eigene Benutzerverwaltung, ist zusätzlich ein entsprechendes Benutzer-Account in der Applikation notwendig. Zugriffsberechtigungen auf unterschiedliche Funktionen (Daten) der Applikation werden in der jeweiligen Applikation mittels Rollen oder Gruppenprofilen dediziert vergeben Zugriffskontrollsystem Der Zugriff auf das ÖKK-Netzwerk und Applikationen erfolgt über das zentrale Active-Directory. Jeder Benutzer erhält hierbei einen persönlichen Benutzer-Account. Passwortrichtlinien werden gemäss Weisung Informationssicherheit [ ] durchgesetzt. Für Subsysteme welche eine eigene Benutzerverwaltung resp. ein eigenen Zugriffskontrollsystem besitzen, gelten dieselben Vorgaben gemäss Weisung Informationssicherheit [ ]. Tabelle 5: Zugriffskontrollsysteme der Subsysteme Subsystem Laufwerk N:/Personal Sunetplus Zugriffskontrollsystem Zugriff wird nur den Mitgliedern der Personalabteilung (Personalbetreuung und Personalentwicklung) gewährt gemäss Active Directory. Zugriff wird nur den Mitgliedern der Personalabteilung (Personalbetreuung und Personalentwicklung) gewährt gemäss Active Directotry. ÖKK Bearbeitungsreglement Personalbereich Version /21

11 Vergabe von Zugriffsberechtigungen Die IKS-Anforderungen (siehe auch Bearbeitungsreglement VAD [ ] und Gesamtliste Rollen Syrius 1 ) an die Benutzerverwaltung stellen sicher, dass: Nur berechtigte Personen auf Applikationen und Daten zugreifen können (inklusive Programme, Tabellen und entsprechende Ressourcen), Diese Personen nur die für sie vorgesehene Funktionen ausführen können, Sämtliche Komponenten der Applikation berücksichtigt werden wie Programme, Datenbanken, Betriebssysteme, Netzwerke und Remote Zugriff, Die Gewaltentrennung eingehalten ist. Auch die Anforderungen an den Prozess zur Vergabe von Berechtigungen sind im Rahmen des IKS festgelegt (siehe auch Bearbeitungsreglement VAD [ ] und Gesamtliste Rollen Syrius 2 bzw. Anhang 3 für die Räumlichkeiten VAD und DAS). Sämtliche Anträge an die Benutzerverwaltung wie Neuanlagen, Anpassungen in den Benutzerberechtigungen oder Löschungen müssen schriftlich oder elektronisch durch autorisierte Personen genehmigt werden. Im Falle der Berechtigungsvergabe ist zu spezifizieren, welche Berechtigungen der Benutzer erhalten soll. Im Falle einer Anpassung in den Benutzerberechtigungen ist zu spezifizieren, welche Berechtigungen gelöscht werden sollen bzw. welche Berechtigungen neu vergeben werden sollen. Bei der Benutzerverwaltung muss folgende Gewaltentrennung eingehalten werden: o o o o o Der Antragsteller darf nicht gleichzeitig den Antrag genehmigen. Derjenige, der den Antrag genehmigt, muss dem Antragsteller hierarchisch übergeordnet sein. Ausnahmen bestehen auf Stufe Bereichsleiter. Der Antragsteller und derjenige, der den Antrag genehmigt, dürfen den Antrag nicht ausführen. Derjenige, der Zugriffsverstösse überwacht, darf nicht Antragssteller sein. Er darf auch nicht derjenige sein, der die Anträge genehmigt oder ausführt. Diejenigen, die Administratoren-Aktionen durchführen können, dürfen nicht die Überwachung der Administratoren-Aktionen ausführen. Die geforderte Gewaltentrennung wird wie folgt umgesetzt: Tabelle 6: Gewaltentrennung bei der Vergabe von Zugriffsberechtigungen Rolle Verantwortlich Antragsteller Personalbereich Fachbereich -> Genehmgiung Leiter IT Der Standardzugriff (Terminalclient, ) am ÖKK-Arbeitsplatz wird durch die Abteilung Betrieb Informatik vorgenommen. 1 Siehe dazu unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Siehe dazu unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. ÖKK Bearbeitungsreglement Personalbereich Version /21

12 Aufhebung der Zugriffsberechtigung Die Benutzer des ÖKK-Informationssystems Personalbereich sind nur so lange zugriffsberechtigt, als sie die Daten für die Ausübung ihrer Arbeitsfunktion benötigen. Bei Austritt sowie bei Aufgabenwechseln innerhalb von ÖKK wird die Zugriffsberechtigung entzogen und die für den neuen Aufgabenbereich benötigten Zugriffsberechtigungen müssen neu beantragt werden. Die Aufhebung der Zugriffe erfolgt analog der Erteilung der Zugriffsberechtigung durch die Vorgesetzten mittels formalisiertem Prozess (siehe auch Bearbeitungsreglement VAD [ ] und der Gesamtliste Rollen Syrius Zugriffskontrolle in der Test-Umgebung Die Test- und Produktionssysteme werden strikte getrennt. Die Zugriffsberechtigungen auf den Testsystemen sind analog den Produktionssystemen zu handhaben Administrative Zugriffe Administratoren des ÖKK-Informationssystems Personalbereich verfügen über ein persönliche und dedizierte Administratoren-Accounts. Im Rahmen des IKS wird festgelegt, dass Log-Aufzeichnungen von Administratoren-Aktionen geführt werden müssen (siehe Infrastruktur Benutzerverwaltung, Realisierungskonzept [ ]) 5.3. Periodische Kontrollen Im Rahmen des IKS [ ] sowie dem Realisierungskonzept Syrius Benutzerverwaltung 2 werden jährlich folgende Kontrollen durchgeführt und Nachweise gefordert: Ablage und Nachvollziehbarkeit des formalisierten Zugriffsberechtigungsprozesses. Erstellung einer Benutzerliste aus den Subsystemen mit entsprechenden Berechtigungen, die von den Fachbereichen zu prüfen und zu genehmigen ist. Nachweis, dass die Überwachung von Zugriffsverstössen periodisch erfolgt ist. Nachweis, dass die Log-Aufzeichnungen von Administratoren-Aktionen periodisch überprüft werden. Nachweis, dass die geforderten Passwort- und Sicherheitseinstellungen erfüllt wurden. Zusätzlich werden folgenden Kontrollen durchgeführt. Stichproben bezüglich der Einhaltung von Weisungen. Periodische Stichproben durch die Vorgesetzten. 6. Bearbeitung der Daten/Datenkategorien 6.1. Datenherkunft/Datenbeschaffung Die Daten stammen ausschliesslich vom Mitarbeitenden. 1 Siehe unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Dokument ÖKK IKS IT Standards & Prozesse, Syrius Benutzerverwaltung, Realisierungskonzept, vgl. Laufwerk N / IKS- Betrieb / ITGC / 20_Syrius / IKS_IT_Realisierungskonzept_Benutzerverwaltung_SYRIUS_V6 0_ docx. ÖKK Bearbeitungsreglement Personalbereich Version /21

13 6.2. Bearbeitung von Datenkategorien nach Subsystemen Folgende Datenkategorien werden pro Subsystem bearbeitet. Tabelle 7: Datenkategorien Subsystem Laufwerk N:/Personal Laufwerk N:/Personal Name/Adresse/Tel. Religion, Weltanschauung Geburtsdatum Politische Gesinnung, Parteizugehörigkeit Familienverhältnisse Gesundheit Nationalität Intimsphäre AHV-Nummer Rassenzugehörigkeit Gesetzliche Vertretung Massnahmen der sozialen Hilfe Angehörige Administrative/strafrechtliche Sanktionen Angaben zur Behinderung Persönlichkeitsprofil Tabelle 8: Datenkategorien Subsystem Sunetplus Sunetplus Name/Adresse/Tel. Religion, Weltanschauung Geburtsdatum Politische Gesinnung, Parteizugehörigkeit Familienverhältnisse Gesundheit Nationalität Intimsphäre AHV-Nummer Rassenzugehörigkeit Gesetzliche Vertretung Massnahmen der sozialen Hilfe Angehörige Administrative/strafrechtliche Sanktionen Angaben zur Behinderung Persönlichkeitsprofil AHV-Nummer Rassenzugehörigkeit Gesetzliche Vertretung Massnahmen der sozialen Hilfe Angehörige Administrative/strafrechtliche Sanktionen Angaben zur Behinderung Persönlichkeitsprofil 7. Datenaufbewahrung und -löschung 7.1. Aufbewahrungsdauer Die Aufbewahrungsdauer der Daten entspricht den spezifischen gesetzlichen Bestimmungen und beträgt 10 Jahre, sofern sich aus dem Inhalt keine längere Dauer ergibt Löschung der Daten Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind die Daten aus dem ÖKK-Informationssystem Versicherungswesen unwiderruflich zu löschen sowie die Dokumente zu vernichten. ÖKK Bearbeitungsreglement Personalbereich Version /21

14 8. Technische und organisatorische Massnahmen 8.1. Zugangskontrolle Die Räumlichkeiten der Agenturen sind während den Öffnungszeiten frei zugänglich. Es befinden sich aber jederzeit Mitarbeitende der Agenturen in den Räumlichkeiten, welche externe Personen während ihrem Aufenthalt in den Räumlichkeiten der Agenturen begleiten. Am Hauptsitz sind sämtliche Räumlichkeiten der ÖKK, in welchen besonders schützenswerte Personendaten bearbeitet werden, elektronisch und/oder mechanisch vor dem Zutritt unbefugter Personen gesichert. Das elektronische Schliesssystem am Hauptsitz basiert auf einer eigenen Benutzerverwaltung. Die Logistik führt ein Protokoll über den Betrieb der Schliessvorrichtungen. Besonders sensitive Räume, wie VAD-Räume, die Technikräume und die Rechenzentren, sind wie folgt gesichert: Die elektronischen Datenträger in den von der ÖKK betriebenen Rechenzentren und dezentrale Server sind mit einer erhöhten Sicherheitsanforderung (Badge und Code) ausschliesslich für den Zugang spezifisch berechtigter Personen gesichert. Die elektronischen Datenträger in dezentralen Servern und Computern, welche nicht durch die IT der ÖKK betrieben werden, sind denselben Sicherheitsvorkehrungen unterstellt, wie diejenigen, welche durch diese selbst betrieben werden. Die Zugangskontrolle der VAD-Räume ist im Bearbeitungsreglement VAD [ ] reglementiert. In der Weisung Informationssicherheit [ ] werden Mitarbeitende verpflichtet, als vertraulich klassifizierte Unterlagen wegzuschliessen und den Computer vor Verlassen des Arbeitsplatzes zu sperren. Die Entsorgung von Papierdokumenten ist in der Weisung Datenschutz [ ] geregelt. Elektronische Datenträger werden durch ein zertifiziertes Entsorgungsunternehmen im Auftrag und unter Begleitung der Abteilung Betrieb Informatik fachgerecht entsorgt Personendatenträgerkontrollen Durch informationstechnische Vorkehrungen ist es ausschliesslich berechtigten Personen möglich, Daten auf den elektronischen Datenträgern zu bearbeiten. Nur berechtigte Personen erhalten Zugriff auf das ÖKK-Informationssystem Personalbereich, auf die Subsysteme und insbesondere auch auf das System des VAD. In der Weisung Informationssicherheit [ ] werden Weisungen für den Umgang mit klassifizierten Informationen/Daten der Stufe D3 ( hohe Datenschutzrelevanz ) und V3 ( ÖKK- VERTRAULICH ) erlassen. Die Bearbeitung der Daten erfolgt dabei ausschliesslich über Citrix Transportkontrolle Dezentrales Drucken Das Drucken von Dokumenten erfolgt auf dezentralen Druckern die alle in für die Öffentlichkeit unzugänglichen Bereichen untergebracht sind. ÖKK Bearbeitungsreglement Personalbereich Version /21

15 Drucken/Massenversand Grosse Druckaufträge für den Massenversand werden nicht durch ÖKK vorgenommen sondern durch die Centris AG. Dort werden diese Daten miteinander verknüpft, gedruckt und maschinell verpackt. Wenn der Massenversand erfolgreich erledigt wurde, werden die Daten gelöscht Physische Datenträger Die Speicherung von D3-/V3-Daten auf physischen Datenträgern zum Transport erfolgt ausschliesslich verschlüsselt (siehe auch Weisung Informationssicherheit [ ]). Für den Transport per Kurier oder Post sind die Vorgaben der Weisung Informationssicherheit [ ] zu befolgen Netzwerk Das interne ÖKK-Netzwerk wird generell als vertraulich eingestuft. Datentransfers ausserhalb des Netzwerk erfolgen verschlüsselt oder mittels definierter Punkt zu Punkt Verbindung. ÖKK ist Teilnehmer des HIN-Netzwerkes, welches den verschlüsselten Mailversand zwischen allen Teilnehmenden ermöglicht (bspw. Ärzte, Spitäler) Bekanntgabekontrolle Es werden im Personalbereich keine Personendaten mittels Einrichtungen zur Datenübertragung Dritten bekannt gegeben Speicherkontrolle Die Benutzer erhalten spezifische Berechtigungen für Mutationen in den entsprechenden Subsystemen, die sie für die Erfüllung der nach dem Krankenversicherungsgesetz übertragenen Aufgaben benötigen. Die Berechtigungen werden periodisch überprüft (siehe auch Kap. 5.3). Daten dürfen nur auf Systemen von ÖKK oder den Outsourcer gespeichert werden. Eine Speicherung der D3- und V3-Daten auf privaten Geräten und in der Cloud ist gemäss Weisung Informationssicherheit [ ] untersagt. Anonymisierung und Pseudonymisierung von Daten ist in der Weisung Datenschutz [ ] definiert Benutzerkontrolle/Zugriffskontrolle Die Nutzung der Subsysteme, die schreibenden und lesenden Zugriffe sowie die Nutzung von Funktionen zur Datenübertragung werden durch Zugriffsberechtigungen gesteuert. Weisungen und Umsetzung der Zugriffskontrolle sind dem Kap. 5 zu entnehmen Eingabekontrolle/Protokollierung Die Nachvollziehbarkeit der Eingaben, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden, wird mittels Protokollierungen belegt. Für die Protokollierung und dein sog. Audit Trail werden die in den Applikationen standardmässig vorhandenen Funktionalitäten und Logfiles verwendet. Die Protokollierung wird in Anwendung von Art. 10 VDSG durchgeführt. D. h., die Protokolle werden während eines Jahres revisionsgerecht festgehalten. Sie sind ausschliesslich den Organen ÖKK Bearbeitungsreglement Personalbereich Version /21

16 zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt und dürfen nur für diesen Zweck verwendet werden. Über die Protokollierung werden die Mitarbeitenden im Rahmen der ordentlichen Ausbildung und mittels Weisung Informationssicherheit [ ] informiert Massnahmen im Bereich der Endgeräte Es dürfen nur ÖKK-eigene Endgeräte oder speziell freigegebene Geräte am internen Netzwerk angeschlossen werden. Siehe Weisung Informationssicherheit [ ], die von sämtlichen Mitarbeitenden der ÖKK unterzeichnet wird. Die Endgeräte sind in zutrittsgeschützten Zonen platziert. Für den Umgang mit und die Datenspeicherung auf mobilen Endgeräten sind Vorgaben in der Weisung Informationssicherheit [ ] erlassen worden. Ausgedruckte Daten werden so aufbewahrt, dass Drittpersonen (z.b. Raumpflegepersonal) diese nicht einsehen und/oder kopieren können. Diese Daten werden in Anwendung der Weisung Informationssicherheit [ ] verschlossen aufbewahrt Benutzerunterstützung und Meldepflicht Fachlich werden die Benutzer durch die Fachführungen der OE unterstützt. Die technische Unterstützung bezüglich Informatikmittel wird durch die ÖKK Informatik sowie von den jeweiligen Applikationseignern erbracht. Die Benutzer sind über die Klassifizierung der im ÖKK-Informationssystem Personalbereich bearbeitbaren Daten und die Vorschriften im Umgang mit dem System sowie den Daten orientiert. Die Bestimmungen sind in der Weisung Informationssicherheit [ ] beschrieben. Mögliche Sanktionen bei vorsätzlichen oder fahrlässigen Verletzungen der Informatiksicherheit sind den Benutzern bekannt. Sämtliche Benutzer sind verpflichtet, folgende Feststellungen den Applikationseignern zu melden: Fehler in den erfassten Daten; Fehler bei der Identität der registrierten Person (Beispielsweise ungleiche Angaben zur gleichen Person in den verschiedenen Subsystemen); Fehler in den Stammdaten oder deren Strukturen; Beobachtete oder vermutete Schwachstellen bzw. Sicherheitsmängel des Systems; Nicht umgesetzte oder nicht eingehaltene Sicherheitsmassnahmen; Unvorhergesehene Ereignisse, die eine Auswirkung auf die Informatiksicherheit haben können; Bezüglich Datensammlung besteht gemäss Weisung Datenschutz [ ] eine Meldepflicht zu Handen des BDSV. ÖKK Bearbeitungsreglement Personalbereich Version /21

17 9. Rechte der Mitarbeitenden 9.1. Auskunftsrecht des Mitarbeiters Bei Voranmeldung wird den Mitarbeitenden oder den direkten Vorgesetzten Einsicht in das Personaldossier erlaubt. Die Einsicht darf jedoch nur in den Räumen und unter Aufsicht des Personalbereichs erfolgen. Die Personaldossiers dürfen in diesem Zusammenhang die Räume des Personalbereiches nicht verlassen. Anfragen sind an den Personalbereich zu richten. ÖKK kann die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen oder solche Dritter dies erfordern und ÖKK Personendaten nicht an Dritte bekannt gibt. Bei Fragen und Unklarheiten kann sich die Mitarbeitenden an den DSMS Manager wenden. Mitarbeitende haben in ihrem Dossier in der Regel kein Recht auf Auskunft: bei personenbezogenen Daten des Arbeitgebers Auf Unterlagen betreffend Personal- und Karriereplanung Psychologische Gutachten im Zusammenhang mit Assessments (im Einzelfall mit Rechtsabteilung zu klären) Medizinische/psychiatrische Gutachten/Untersuchungsberichte Graphologische Gutachten (im Einzelfall mit Rechtsabteilung zu klären) 9.2. Berichtigungs- und Löschungsrechte Die Berichtigungs- und Löschungsrechte betroffener Personen richten sich nach Art. 5 Abs. 2 und Art. 25 DSG. Die Gesuche sind an die im Anhang 1 (Kontaktadressen) vermerkte Adresse zu richten Verbot des Führens von Schattendossiers Das führen von Schattendossiers, mit den Mitarbeitenden nicht zugänglichen Informationen ist untersagt. 10. Abschliessende Bestimmungen Anhänge Die im vorliegenden Bearbeitungsreglement erwähnten Anhänge sind integrierende Bestandteile dieses Bearbeitungsreglements: Anhang 1 (Kontaktadressen) Anhang 2 (Datenkategorien) Anhang 3 (Checklisten Ein- und Austritt VAD/DAS) Die jeweiligen Applikationseigner verwalten die sie betreffenden Dokumentationen. Das Bearbeitungsreglement wird durch den BDSV geführt. ÖKK Bearbeitungsreglement Personalbereich Version /21

18 10.2. Änderungen des Reglements Das Bearbeitungsreglement wird gemäss Art. 11 VDSG regelmässig von den Eignern der Datensammlungen aktualisiert. Dieses Reglement kann jederzeit geändert werden. Änderungen bedürfen der Schriftform und der Zustimmung des Vorsitzenden der Geschäftsleitung und des BDSV. Verantwortung für die Nachführung dieses Bearbeitungsreglements trägt der BDSV Inkrafttreten Dieses Reglement inkl. Anhänge tritt per in Kraft. ÖKK Bearbeitungsreglement Personalbereich Version /21

19 Anhang 1: Kontaktadressen Auskunfts-, Berichtigungs- und Löschungsgesuch sind zu richten an: Auskunft zu Datenschutzfragen erteilt: Auskunft zu fachlichen Fragen erteilt: ÖKK Betrieblicher Datenschutzverantwortlicher Bahnhofstrasse Landquart ÖKK Bearbeitungsreglement Personalbereich Version /21

20 Anhang 2: Datenkategorien Im Anmeldeformular für Datensammlungen des EDÖB sind verschiedene Kategorien gelistet die jedoch von den verwendeten Datenkategorien der ÖKK abweichen. Zusätzlich wird im vorliegenden Bearbeitungsreglement in den tabellarischen Listen von Datenarten ÖKK gesprochen. Die nachfolgende Tabelle zeigt das Mapping der verschiedenen Datenkategorien und Datenarten. Tabelle 9: Mapping Datenkategorien/-arten Datenkategorien EDÖB Datenkategorien ÖKK Datenarten ÖKK Adresse Name/Adresse/Tel Stammdaten Name, Vorname Geburtsdatum Geburtsdatum Geschlecht AHV-Nummer AHV-Nummer Familie Familienverhältnis Personalien Nationalität Nationalität Gesetzliche Vertretung Angehörige Religion Religion, Weltanschauung Politische Gesinnung, Parteizugehörigkeit Rassenzugehörigkeit Ausbildung Identität Beruf Arbeitsort Sprachen Gesundheit Gesundheit Rechnungs-, Leistungsdaten Gesundheits-, Diagnose- Einkommen Vermögen Finanzielle Situation Betreibungen Versicherungen Angaben zur Behinderung Intimsphäre Beurteilungen Massnahmen der sozialen Hilfe Administrative/strafrechtliche Sanktionen Persönlichkeitsprofil Daten, Unfall- und Krankheitsdaten Zahlungsdaten, Inkassodaten, Mahnungen, Kostengutsprachen Offert- und Antragsdaten Vertragsdaten Deckungsdaten Tarif- und Produktdaten Auswertungs-/Statistikdaten Prämiendaten ÖKK Bearbeitungsreglement Personalbereich Version /21

21 Genehmigung Das vorliegende Dokument wurde von der Geschäftsleitung genehmigt. Landquart, ÖKK Kranken- und Unfallversicherungen AG Heinrich Dinner Bereichsleiter Leistungen und Kooperationen ÖKK Bearbeitungsreglement Personalbereich Version /21