Daten-Bearbeitungsreglement

Transkript

1 Daten-Bearbeitungsreglement 1. BESCHREIBUNG DES UNTERNEHMENS Krankenversicherung mit Tätigkeitsgebiet Deutschschweiz und den Geschäftsfeldern obligatorische Krankenpflegeversicherung und Krankengeldversicherung nach KVG, sowie Krankenpflegezusatz- Versicherungen, Spitalversicherungen und Taggeldversicherungen nach VVG. 2. ORGANISATION 2.1 DAS SYSTEM Die nachfolgende, grafische Übersicht zeigt die von der Datenbearbeitung betroffenen Umsysteme auf: RVK Versicherte kmu-krankenversicherung Leistungserbringer Vertrauensarzt Adcubum Seminet 2.2 ORGANIGRAMM Das aktuelle Organigramm befindet sich im im, Q:\QS-kmu-Krankenversicherung\02- Organisationsinstrumente\Personal\OI-P-organigramm 2012.docx. Insgesamt arbeiten 14 Mitarbeitende mit diesem System. Verantwortlich für die Organisation ist der Geschäftsführer. Gültig ab: Erstellt durch: AL Verantwortlich: SR / GF Version 1.0 Seite: 1 von 5 1

2 2.3 VERANTWORTLICHKEITEN Die Gesamtverantwortung für den Datenschutz trägt das Stiftungsrat. Diese Verantwortung ist nicht übertragbar. Alle weiteren Aufgaben, Kompetenzen und Verantwortlichkeiten betreffend Datenschutz und Sicherheit sind in den entsprechenden Stellenbeschreibungen festgehalten. Im sind stets die aktuellen Stellenbeschreibungen enthalten. Der betriebliche Datenschutzbeauftragte (externes Mandat RVK) berät das Unternehmen in der Umsetzung und Einhaltung des Datenschutzes und nimmt die entsprechenden Kontrollen vor. Er trägt jedoch nicht die Verantwortung für die Einhaltung der Bestimmungen des Datenschutzes, diese liegt in jedem Fall bei der kmu-krankenversicherung als Inhaber der Datensammlung. 2.4 PROZESSABLÄUFE Die Prozessabläufe sind im dokumentiert. Die aktuellen Prozessabläufe können von allen Mitarbeitern eingesehen werden. Insbesondere folgende Prozesse sind in Bezug auf den Datenschutz wesentlich: Verantwortliche Stelle: QS-Verantwortlicher 2.5 ANMELDUNG DER DATENSAMMLUNGEN BEIM EDÖB Da die kmu-krankenversicherung über einen dem EDÖB gemeldeten, betrieblichen Datenschutzverantwortlichen nach Art. 12a und 12b VDSG verfügt, ist sie gemäss Art 11a Abs. 5 lit. e DSG vom Führen eines öffentlich zugänglichen Registers der Datensammlungen und von der Pflicht zur Anmeldung der Datensammlung befreit. Die Konformität der einzelnen Datensammlung, die Personendaten erhält, wird vor Implementierung sowie kontinuierlich für alle bestehenden Datensammlungen geprüft und im Konformitätsnachweis dokumentiert. Verantwortliche Stelle: Datenschutz-Verantwortlicher Gültig ab: Erstellt durch: AL Verantwortlich: SR / GF Version 1.0 Seite: 2 von 5 2

3 2.6 AUSKUNFTSBEGEHREN Der Prozessablauf betreffend Auskunftsbegehren ist im QS unter der Identifikationsnummer Q:\QS-kmu- im Detail festgehalten. Dieser kann im QS eingesehen werden. Daten über die Gesundheit des Gesuchsstellers werden an einen vom Gesuchsteller bestimmten Arzt übermittelt, nicht an den Gesuchssteller persönlich. Verantwortliche Stelle: Datenschutz-Verantwortlicher 2.7 KONTROLLVERFAHREN Folgende technische und organisatorische Massnahmen werden getroffen, um die Einhaltung des Datenschutzes sicher zu stellen: Was? Zuständige Stelle? Ort der Aufbewahrung? Zugriffs- und GL / IT-Verantwortlicher Berechtigungskonzept 1 Good Priv@cy Auditierung GL (Auditberichte) Audits der internen Revision GL /SR (Auditberichte) Security Konzept GL / IT-Verantwortlicher Monitoring (Aufzeichnung IT-Verantwortlicher der Zugriffe, Logfiles) Schutz vor Datenklau und IT-Verantwortlicher Datenmissbrauch 2 Aufbewahrungs- und Archivierungskonzept GL / IT-Verantwortlicher Verantwortliche Stelle: Geschäftsführer Gültig ab: Erstellt durch: AL Verantwortlich: SR / GF Version 1.0 Seite: 3 von 5 3

4 3. IT-SYSTEM 3.1 INFORMATIKMITTEL Die nachfolgende Grafik zeigt die IT Struktur auf, in welche das automatisierte Datenbearbeitungssystem eingegliedert ist. Patienten Drucker Aussenstelle (z.b. IT- Dienstleister) Ärzte / Spitäler Server Vertrauensarzt IT-Abteilung Backup Die Mitarbeitenden können via ihren Computer () auf die Daten auf dem Server zugreifen, die sie für die Erfüllung ihrer Aufgaben brauchen. Alle Daten werden auf einem Backup-Server sicherheitsgespeichert (dupliziert). Lediglich die IT-Abteilung kann auf die Backups zugreifen. Der Vertrauensarzt kann auf die Daten zugreifen, die er für die Erfüllung seiner Aufgabe braucht. Die Mitarbeitenden der Krankenkasse können nicht auf die Daten des Vertrauensarztes zugreifen. Weder die Patienten noch die Ärzte resp. Spitäler können auf diese Daten zugreifen. Verantwortliche Stelle: IT-Verantwortlicher Gültig ab: Erstellt durch: AL Verantwortlich: SR / GF Version 1.0 Seite: 4 von 5 4

5 3.2 APPLIKATION Branchensoftware Syrius der Firma Adcubum in St. Gallen Umfassende, integrale Software für alle Bereiche und Bedürfnisse einer Krankenversicherung Unterlagen über die Applikation Unterlagen bezüglich der Planung der Applikation sind beim Geschäftsführer abgelegt 3. Unterlagen bezüglich der Realisierung der Applikation sind beim IT Verantwortlichen abgelegt 4. Unterlagen bezüglich des Betriebs der Applikation sind allen Mitarbeitern über das Intranet zugänglich 5. Verantwortliche Stelle: Geschäftsführer und IT-Verantwortlicher INTEGRIERTE SYSTEME - Scanning System für Belege - Verpackungs System mit Systemkontrolle - Print-Engine für den gesamten System Output Verantwortliche Stelle: IT-Verantwortlicher 3.3 SCHNITTSTELLENBESCHREIBUNG Die Schnittstellenbeschreibungen sind im Konformitätsnachweis in folgenden Spalten ersichtlich: Herkunft der Daten: Spalte f Empfänger der Daten: Spalte g Periodizität der Datenweitergabe: Spalte h Zweck der Datenweitergabe: Spalte i Medium der Datenweitergabe: Spalte j Zweck der Datenbearbeitung: Spalte k/l Der aktuelle Konformitätsnachweis ist im Bereich Datenschutz des s ersichtlich 3 dazu gehören z.b. Vorstudien, Konzepte etc. 4 dazu gehören z.b. Pflichtenhefte, Anwendungshandbuch etc. 5 dazu gehören z.b. Benutzerhandbuch, Systemhandbuch Gültig ab: Erstellt durch: AL Verantwortlich: SR / GF Version 1.0 Seite: 5 von 5 5