Bearbeitungsreglement. Ausgabe 2014

Transkript

1 Bearbeitungsreglement Ausgabe 2014

2 Datum Version Kommentar Autor Erstellung lim Ergänzung mit Punkt 8, Art. 84b KVG, Rahmen zur Änderung des BR und dessen Inkrafttreten lim Seite 2

3 0. Vorwort Die Krankenkasse Steffisburg führt aufgrund der gesetzlichen Bestimmungen gemäss Art. 84B KVG (Krankenversicherungsgesetz) und Art. 21 VDSG (Verordnung zum Bundesgesetz über den Datenschutz) ein Bearbeitungsreglement. 1. Beschreibung des Unternehmens Die Krankenkasse Steffisburg wurde 1861 gegründet und hat die Rechtsform einer Genossenschaft. Die Krankenkasse Steffisburg betreibt sowohl das Versicherungsgeschäft nach KVG (Krankenversicherungsgesetz) mit der obligatorischen Krankenpflegeversicherung und der Taggeldversicherung, sowie das Krankenzusatzversicherungsgeschäft nach VVG (Versicherungsvertragsgesetz). Das Tätigkeitsgebiet der Krankenkasse Steffisburg mit Sitz in Steffisburg umfasst für die Versicherungen nach KVG die Kantone Bern, Solothurn, Aargau, Zürich, Nidwalden und Obwalden. Die Zusatzversicherungen dürfen in der ganzen Schweiz angeboten werden. Die Krankenkasse Steffisburg betreibt keine Aussenstellen oder Filialen. 2. Organisation 2.1. Das System Verbände Leistungserbringer Kunden Krankenkasse Steffisburg Outsourcing Informatik Vertrauensarzt Vertrauenszahnarzt DRG-Prüfstelle Seite 3

4 2.2. Organigramm Generalversammlung Revisionsstelle Personalgruppe Support / Datenschutzbeauftragter Vorstand Geschäftsführung Steuerungsgruppe Externe Partner Santésuisse RVK BBT Software AG, Bambus EDV- Consulting IT Surplus GmbH MediData AG Medgate UK Rechtsdienst Dr. Marina Sikora Dr. Niels W. Allemann Generali Personenversicherungen AG Inter Partner Assistance ÖKK Versicherungen AG Kundendienst Rechnungswesen Leistungen Dienste Das aktuelle Organigramm ist elektronisch abgelegt. Insgesamt arbeiten 12 Mitarbeitende bei der Krankenkasse Steffisburg (inkl. Reinigungspersonal). Für die Aktualität des Organigramms ist der Geschäftsführer zuständig Verantwortlichkeit Die Gesamtverantwortung für den Datenschutz trägt das Leitungsorgan. Diese Verantwortung ist nicht übertragbar. Alle weiteren Aufgaben, Kompetenzen und Verantwortlichkeiten betreffend Datenschutz und -sicherheit sind im Mitarbeiterhandbuch und in der Datenschutzpolitik beschrieben. Der betriebliche Datenschutzbeauftragte nimmt regelmässig Kontrollen vor. Der Geschäftsführer ist für das Führen und Aktualisieren der Stellenbeschreibungen verantwortlich. 2.4 Prozessabläufe Die Prozessabläufe sind im Prozesshandbuch dokumentiert. Die aktuellen Prozessabläufe können beim Geschäftsführer eingesehen werden. Seite 4

5 2.5 Anmeldung der Datensammlungen beim EDöB Da die Krankenkasse Steffisburg über einen dem EDÖB gemeldeten, betrieblichen Datenschutzverantwortlichen nach Art. 12a und 12b VDSG verfügt, ist sie gemäss Art. 11a Abs. 5 Bst. e vom Führen eines öffentlich zugänglichen Registers der Datensammlungen und von der Pflicht zur Anmeldung der Datensammlung befreit. 2.6 Auskunftsbegehren Das Auskunftsbegehren ist in Art. 8ff DSG und Art. 1 ff VDSG geregelt. Form, Inhalt und Anschrift Auskunftsbegehren sind schriftlich zusammen mit einer Kopie der ID oder des Passes an folgende Adresse und Kontaktperson zu senden: Krankenkasse Steffisburg Datenschutzbeauftragter Postfach Steffisburg Diese Person resp. sein Stellvertreter trägt die Verantwortung für eine termingetreue Bearbeitung des Antrags. Auskunftsbegehren über die Gesundheit Daten über die Gesundheit des Gesuchsstellers werden an einen vom Gesuchsteller bestimmten Arzt übermittelt, nicht an den Gesuchssteller persönlich. Seite 5

6 3. IT-Struktur Die nachfolgende Grafik zeigt die IT Struktur auf, in welche das automatisierte Datenbearbeitungssystem eingegliedert ist. Krankenkasse Steffisburg Alle Daten und Programme der Krankenkasse Steffisburg befinden sich auf eigenen Servern beim ASP- und Hostingpartner, Bambus EDV-Consulting GmbH. Die Verbindung zur internen IT-Infrastruktur der Krankenkasse Steffisburg erfolgt über einen sicheren Remote Access (VPN). Damit der Betrieb und Unterhalt gewährleistet werden kann, haben der ASP- Partner und der Lieferant der Kernapplikation Zugriff auf die Daten der Krankenkasse Steffisburg. Diese Partner sind durch vertragliche Abmachungen zum gleichen Datenschutz verpflichtet, wie die Krankenkasse Steffisburg selbst. Seite 6

7 Eingesetzte Informatikmittel Software BBTi (Kernapplikation) Umfassende, integrale Software für alle Bereiche und Bedürfnisse einer Krankenversicherung Microsoft Office Produkte Sage50 Finanzbuchhaltung Führung der Finanzbuchhaltung Für die eingesetzte Software sind Applikationsbeschreibungen und Handbücher vorhanden. Wo notwendig sind mit den Lieferanten Support- und Wartungsverträge abgeschlossen, welche den Unterhalt und die Aktualität (z.b. Update und Upgrades) zeitgerecht garantieren. Hardware Die für den Betrieb notwendige Server (Windows-Server) werden im Rahmen des ASP-Vertrages bei der Bambus EDV-Consulting GmbH gehostet. Bambus EDV- Consulting GmbH stellt auch die verschlüsselten Verbindungen von und zur Krankenkasse Steffisburg sicher. Die Arbeitsplätze bei der Krankenkasse Steffisburg sind mit Windows-PC ausgerüstet. Integrierte Systeme Medidata Elektronische Rechnungsübermittlung und -prüfung anhand von aktuellen Tarifund Referenzdaten. surplusreader (IT-Surplus GmbH) Scanning-Software, welche Dokumente beim Scannen automatisch klassifiziert, identifiziert. CaseNet (MedCasePool RVK) Webapplikation zum sicheren Austausch von vertrauensärztlichen Daten an den unabhängigen Vertrauensarzt. Zertifizierte Datenannahmestelle (BBT Software AG) Für die Entgegennahme, Prüfung und Weiterverarbeitung von DRG-Rechnungen gelten die Bestimmungen von Art. 59a KVV. Zur Erfüllung dieser gesetzlichen Vorgaben ist die Krankenkasse Steffisburg der zertifizierten Datenannahmestelle (zdas) der BBT Software AG angeschlossen. Seite 7

8 4. Zugriffe Zugriffsdifferenzierung Es werden nur die notwendigsten Zugriffsrechte auf Netzwerke, Programme und Daten an Benutzer vergeben. Jeder Mitarbeitende erhält nur Zugriff auf genau diejenigen Daten, die er zur Erfüllung seiner Aufgabe unbedingt braucht. Der Geschäftsleiter entscheidet über die Vergabe und den Umfang der Zugriffsrechte. Die Zugriffrechte sind auf die Funktion und Tätigkeitsfelder jeder Person zugeschnitten. Des Weiteren wird für jede Berechtigung die Zugriffsart definiert, d.h. ob eine Leseberechtigung genügt, oder Änderungsberechtigungen vergeben werden müssen. Authentisierung durch Passwörter Der Mitarbeitende hat eine persönliche Identifikation (Benutzername) und ein Passwort. Die Weitergabe des persönlichen Passworts ist untersagt. 5. Datensicherheit Für die Gewährleistung der Datensicherheit d.h. den Schutz der Daten während der Datenverarbeitung, -speicherung oder -transport vor Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung zu gewährleisten, werden folgende Massnahmen angewendet: Organisatorische Massnahmen Es bestehen Informationsschutz- und Sicherheitsrichtlinien. Die Einhaltung wird durch den Geschäftsleiter überprüft. Erstellung von Sicherheitskopien auf einem separaten Speichermedium. Getrennte Aufbewahrung der Sicherheitskopien. Alle Computer sind passwortgeschützt. Es existieren Mindestvorgaben für Passwörter Automatische Bildschirmsperrung nach 5 Minuten ohne Aktivität. Clean Desk Policy Alle Mitarbeitenden werden jährlich oder wenn es die Aktualität verlangt auf die Themen Datenschutz und Datensicherheit geschult. Technische Massnahmen Es besteht ein Back-up-Konzept. Der Hostingpartner ist vertraglich verpflichtet, Firewalls zu installieren und immer mit den neuesten Virendefinitionen usw. zu unterhalten. Der Datenbestand einer Festplatte wird nach jeder Veränderung auf eine zweite Festplatte gespiegelt. Vertrauliche Daten werden nur per Post oder über eine verschlüsselte Verbindung übermittelt. Seite 8

9 6. Interne und externe Kontrollen Die Einhaltung der datenschutzrechtlichen Bestimmungen wird intern folgendermassen sichergestellt und kontrolliert: Massnahmen auf Unternehmungsebene schriftlich festgehaltene Datenschutzpolitik, die allen Mitarbeitenden bekannt ist. Datenschutz- und Datensicherheitsrichtlinien Regelungen von Aufgaben, Verantwortlichkeiten und Kompetenzen bezüglich Datenschutz und Datensicherheit in den Stellenbeschreibungen und den Arbeitsverträgen der Mitarbeitenden. Die Zugänge zu den Büros sowie zum Archiv sind gesichert. Sensibilisierung der Mitarbeitenden durch jährliche Schulung aller Mitarbeitenden bezüglich Datenschutz und Datensicherheit. Das System zeichnet die Zugriffe auf Daten, den Zeitpunkt sowie den Umfang der Zugriffe (lesen, verändern etc.) auf. Kontrollen durch den Geschäftsleiter und den Vorstand Der Vorstand und der Geschäftsleiter nehmen ihre Führungs- und Überwachungsaufgaben durch folgende Kontrollen war: Prüfen der Bereiche der Internen Kontrolle und Ableiten von Massnahmen. Prüfung der Umsetzung der Datenschutzpolitik. Sorgfältige Auswahl und Instruktion aller externer Dienstleister, die auf Daten zugreifen können oder an denen Daten weitergegeben werden. Verfassen von Datenschutz- und Datensicherheits-Vertragsklauseln mit allen Dienstleistern, die auf Daten zugreifen können oder an denen Daten weitergegeben werden. Periodisch Prüfung der Zugriffsrechte sowie des Umfangs der Zugriffsrechte jedes Mitarbeitenden anhand der Zugriffsliste. Auswertung der Systemaufzeichnungen bezüglich Zugriffe auf Daten, Zeitpunkt sowie Umfang der Zugriffe und Abgleich mit der Zugriffsliste. Reporting des Geschäftsleiters an den Vorstand Des Weiteren lebt das Management seine Vorbildfunktion aktiv und täglich und stellt die notwendigen Mittel für die kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit bereit. Seite 9

10 7. Archivierung und Vernichtung Archivierungspflichtige Dokumente werden während der gesetzlich verlangten Dauer archiviert und vor Veränderungen oder unbefugten Zugriffen geschützt. Das Archiv ist immer abgeschlossen. Nach Ablauf der gesetzlichen Archivierungsfrist werden die Dokumente vernichtet, da die rechtliche Grundlage (Zweckmässigkeit) wegfällt. Die Daten werden in abgeschlossenen Container bis zur Vernichtung aufbewahrt. Anschliessend werden die Unterlagen durch die beauftragte und dafür spezialisierte Firma abgeholt und vernichtet. 8. Artikel 84b KVG Veröffentlichung Das externe Bearbeitungsreglement wird auf der Homepage der Krankenkasse Steffisburg ( veröffentlicht. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Das interne Bearbeitungsreglement wird dem EDÖB zur Beurteilung vorgelegt. Bei Änderungen des Reglements wird der EDÖB mit dem überarbeiteten Reglement dokumentiert. Das vorliegende Bearbeitungsreglement tritt per in Kraft und ersetzt die Ausgabe vom November Krankenkasse Steffisburg Christoph Linder Geschäftsführer Seite 10