Bearbeitungsreglement ÖKK- Informationssystem Datenannahmestelle

Transkript

1 Legal & Compliance Datenschutz Bearbeitungsreglement ÖKK- Informationssystem Datenannahmestelle Dokumenten-Nr. Autor Dokumenten-Eigner Dokumenten-Bereich/Art Dokumenten-Status Klassifizierung Geltungsbereich _RE_BR_Datenannahmestelle Dr. Alexander Lacher Amann Angela (ÖKK) (03) Risk Management/Legal&Compliance/Governance/Reglement (RE) (03) Freigegeben ÖKK-INTERN (V2) ÖKK Version 16.0 Gültig von Gültig bis (ohne Datum unbeschränkt) [Gültig bis] Version /55

2 Änderungs- und Freigabekontrolle (Versionsverlauf): Version Prüfstelle Prüfdatum Art der Änderung Freigabestelle Freigabedatum Dinner, Heinrich Dinner, Heinrich Dinner, Heinrich Dinner, Heinrich Anpassung Ref. Dok. Dinner, Heinrich Anpassung Ziff. 4.5 und 6.2 Dinner, Heinrich Anpassungen Kapitel 6, Anhänge 5&6 sowie kleinere formale Anpassungen Dinner, Heinrich Organigramm angepasst Dinner, Heinrich Verteiler: Empfänger Datum Art der Mitteilung/Verteilung Wo sich das vorliegende Reglement auf andere Weisungen oder Dokumente bezieht, sei zur besseren Übersicht das Verzeichnis aller Weisungen (Dokument _WS_Weisungsverzeichnis) zu berücksichtigen. Version /55

3 Inhaltsverzeichnis 1. Begriffe/Abkürzungen Allgemeine Bestimmungen Einführung Rechtliche Grundlagen KVG KVV DSG Ziel des Bearbeitungsreglements Zweck der Datenbearbeitung Vertrauensärztlicher Dienst ÖKK-Informationssystem DAS Verantwortliche Stellen Schweigepflicht nach Art. 33 ATSG und Art. 321 StGB Systeme zur Datenbearbeitung Struktur des ÖKK-Informationssystems DAS Allgemeines Subsysteme des ÖKK-Informationssystems DAS Systemgrenzen/-übersicht Technische Schnittstellen (gemäss Prozess V7-Leistungs-prozess ÖKK) Genutzte Informatikmittel (Konfiguration) ÖKK Centris Innovas GmbH Dokumentationen Softwareentwicklung Ausbildung der Benutzer Benutzerhandbücher und Bearbeitungsrichtlinien Beteiligte Organisationseinheiten Service-Center Heilungskosten Ostschweiz (Hauptsitz) Zentrale Organisationseinheiten (OE) Vertrauensärztlicher Dienst Sachbearbeiter medizinische Prüfstelle SwissDRG PKUV Extern (Outsourcer/Dienstleister) Zugriffe der Organisationseinheiten auf Subsysteme...21 Version /55

4 5. Benutzer und Datenzugriff Benutzer Benutzerverwaltung Zugriffskontrollsystem Vergabe von Zugriffsberechtigungen Aufhebung der Zugriffsberechtigung Zugriffskontrolle in der Test-Umgebung Administrative Zugriffe Periodische Kontrollen Bearbeitung der Daten/Datenkategorien Datenherkunft/Datenbeschaffung Datenbearbeitung, Datenbearbeitung durch Dritte und Datenbekanntgabe Datenbearbeitung nach Art. 42 KVG i.v.m. Art. 84 KVG Elektronische Bearbeitung Bearbeitung von Papierrechnungen Datenbearbeitung durch Dritte nach Art. 84 KVG bzw. 10a DSG (Outsourcing) Datenbearbeitung im Auftrag der Partnerversicherungen (Insourcing) Liste Bekanntgabe der Daten Auswertung und Messung Datenaufbewahrung und -löschung Aufbewahrungsdauer, Löschung der Daten Aufbewahrung der diagnosebasierten Daten nach Art. 59 Abs. 1 ter KVV Technische und organisatorische Massnahmen Räume mit besonderen Sicherheitsanforderungen Zugangskontrolle Notfallzutritt Personendatenträgerkontrollen Transportkontrolle Drucken/Massenversand Physische Datenträger Netzwerk Bekanntgabekontrolle Speicherkontrolle Benutzerkontrolle/Zugriffskontrolle Eingabekontrolle/Protokollierung Massnahmen im Bereich der Endgeräte Benutzerunterstützung und Meldepflicht Rechte der Versicherten Informationspflicht des Versicherers Bekanntgabe von medizinischen Daten an Vertrauensärzte...32 Version /55

5 9.3. Auskünfte über Datenbearbeitungen Berichtigungs- und Löschungsrechte Abschliessende Bestimmungen Anhänge Änderungen des Reglements Inkrafttreten...33 Anhang 1: Kontaktadressen Anhang 2: Prozess Zugriffsberechtigungen Anhang 3: Datenkategorien Anhang 4 Checklisten Personal DAS/VAD Anhang 5: Insourcing Vertragspartner Anhang 6: Technische Schnittstelle zu Insourcing-Vertragspartner gemäss Anhang Anhang 7: Bearbeitung von Papierrechnung DRG und MCD [ ] Genehmigung Abbildungsverzeichnis ABBILDUNG 1: SYSTEMGRENZEN DES ÖKK-INFORMATIONSSYSTEMS DAS 16 ABBILDUNG 2: AN DER DATENSAMMLUNG KOLUMBUS BETEILIGTE OE S 20 ABBILDUNG 3: ZUGRIFFSBERECHTIGUNGSPROZESS SYRIUS 35 ABBILDUNG 4: ZUGRIFFSBEREICHTIGUNGSPROZESS KOLUMBUS 38 Tabellenverzeichnis TABELLE 1: ZWECK DER DATENBEARBEITUNG IN DEN SUBSYSTEMEN 13 TABELLE 2: SUBSYSTEME ÖKK-INFORMATIONSSYSTEM DAS 15 TABELLE 3: OUTSOURCING / DIENSTLEISTER VON SUBSYSTEMEN 16 TABELLE 4: TECHNISCHE SCHNITTSTELLEN ÖKK 17 TABELLE 5: KURZBESCHREIBUNG DER ORGANISATIONSEINHEITEN 19 TABELLE 6: ANZAHL ZUGRIFFE PRO ORGANISATIONSEINHEITEN 21 TABELLE 7: ZUGRIFFSKONTROLLSYSTEME DER SUBSYSTEME 22 TABELLE 8: GEWALTENTRENNUNG BEI VERGABE VON ZUGRIFFSBERECHTIGUNGEN 23 Version /55

6 TABELLE 9: DATENKATEGORIEN SUBSYSTEM SYRIUS 25 TABELLE 10: DATENKATEGORIEN SUBSYSTEM KOLUMBUS 25 TABELLE 11: MAPPING DATENKATEGORIEN/-ARTEN Begriffe/Abkürzungen Sämtliche Begriffe und Abkürzungen finden sich in Anhang 1 und 2 der Mutterweisung ( _WS_Mutterweisung). 2. Allgemeine Bestimmungen 2.1. Einführung Gestützt auf Art. 59a Abs. 6 KVV i.v.m. Art. 11 DSG strebte die ÖKK Kranken- und Unfallversicherungen AG (hiernach ÖKK) eine SQS Zertifizierung der Datenannahmestelle (DAS) und des Vertrauensärztlichen Dienstes (VAD) an. Diese erfolgte im Dezember Für den Umgang mit besonders schützenswerten Daten oder Persönlichkeitsprofilen in der DAS wurde das vorliegende Bearbeitungsreglement erstellt. Am 4. März 2013 hat die Geschäftsleitung von ÖKK die vollständig überarbeitete Leitlinie Datenschutz [ ] genehmigt. Diese bildet zusammen mit der Weisung Datenschutz [ ], der Weisung Informationssicherheit [ ] und dem Pflichtenheft BDSV [ ] einen integralen Bestandteil dieses Bearbeitungsreglements. Ebenfalls bilden die im Rahmen des IKS zu den finanzrelevanten Systemen laufend nachgeführten und überwachten Dokumentationen einen integralen Bestandteil des vorliegenden Bearbeitungsreglements Rechtliche Grundlagen KVG Art. 84 KVG schafft die gesetzliche Grundlage für das Bearbeiten von Personendaten im Bereich der obligatorischen Krankenversicherungen, auch durch Dritte (Outsourcing): Art. 84 Bearbeiten von Personendaten Die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: a. für die Einhaltung der Versicherungspflicht zu sorgen; b. die Prämien zu berechnen und zu erheben; c. Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen anderer Sozialversicherungen zu koordinieren; d. den Anspruch auf Prämienverbilligungen nach Artikel 65 zu beurteilen sowie die Verbilligungen zu berechnen und zu gewähren; e. ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen; f. die Aufsicht über die Durchführung dieses Gesetzes auszuüben; g. Statistiken zu führen; Version /55

7 h. die Versichertennummer der AHV zuzuweisen oder zu verifizieren; i. den Risikoausgleich zu berechnen. Art. 84a KVG regelt die Bekanntgabe von Daten im Krankenversicherungsbereich an Dritte: Art. 84a Datenbekanntgabe 1 Sofern kein überwiegendes Privatinteresse entgegensteht, dürfen Organe, die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betraut sind, Daten in Abweichung von Artikel 33 ATSG bekannt geben: 2 a. anderen mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organen, wenn die Daten für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich sind; b. Organen einer anderen Sozialversicherung, wenn sich in Abweichung von Artikel 32 Absatz 2 ATSG eine Pflicht zur Bekanntgabe aus einem Bundesgesetz ergibt; b bis Organen einer anderen Sozialversicherung für die Zuweisung oder Verifizierung der Versichertennummer der AHV; c. den für die Quellensteuer zuständigen Behörden, nach den Artikeln 88 und 100 des Bundesgesetzes vom 14. Dezember 1990 über die direkte Bundessteuer sowie den entsprechenden kantonalen Bestimmungen; d. den Organen der Bundesstatistik, nach dem Bundesstatistikgesetz vom 9. Oktober 1992; e. Stellen, die mit der Führung von Statistiken zur Durchführung dieses Gesetzes betraut sind, wenn die Daten für die Erfüllung dieser Aufgabe erforderlich sind und die Anonymität der Versicherten gewahrt bleibt; f. den zuständigen kantonalen Behörden, wenn es sich um Daten nach Artikel 22a handelt und diese für die Planung der Spitäler und Pflegeheime sowie für die Beurteilung der Tarife erforderlich sind; g. den Strafuntersuchungsbehörden, wenn die Anzeige oder die Abwendung eines Verbrechens die Datenbekanntgabe erfordert; g bis dem Nachrichtendienst des Bundes (NDB) oder den Sicherheitsorganen der Kantone zuhanden des NDB, wenn die Voraussetzungen von Artikel 13a des Bundesgesetzes vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) erfüllt sind; h. im Einzelfall und auf schriftlich begründetes Gesuch hin: 1. Sozialhilfebehörden, wenn die Daten für die Festsetzung, Änderung oder Rückforderung von Leistungen beziehungsweise für die Verhinderung ungerechtfertigter Bezüge erforderlich sind, 2. Zivilgerichten, wenn die Daten für die Beurteilung eines familien- oder erbrechtlichen Streitfalles erforderlich sind, 3. Strafgerichten und Strafuntersuchungsbehörden, wenn die Daten für die Abklärung eines Verbrechens oder eines Vergehens erforderlich sind, 4. Betreibungsämtern, nach den Artikeln 91, 163 und 222 des Bundesgesetzes vom 11. April 1889 über Schuldbetreibung und Konkurs, 5. den Kindes- und Erwachsenenschutzbehörden nach Artikel 448 Absatz 4 ZGB, 6. dem NDB oder den Sicherheitsorganen der Kantone zuhanden des NDB, wenn die Voraussetzungen von Artikel 13a BWIS erfüllt sind. 3 Daten, die von allgemeinem Interesse sind und sich auf die Anwendung dieses Gesetzes beziehen, dürfen in Abweichung von Artikel 33 ATSG veröffentlicht werden. Die Anonymität der Versicherten muss gewahrt bleiben. 4 Die Versicherer sind in Abweichung von Artikel 33 ATSG befugt, den Sozialhilfebehörden oder anderen für Zahlungsausstände der Versicherten zuständigen kantonalen Stellen die erforderlichen Daten bekannt zu geben, wenn Versicherte fällige Prämien oder Kostenbeteiligungen nach erfolgloser Mahnung nicht bezahlen. 5 In den übrigen Fällen dürfen Daten in Abweichung von Artikel 33 ATSG an Dritte wie folgt bekannt gegeben Version /55

8 werden: a. nicht personenbezogene Daten, sofern die Bekanntgabe einem überwiegenden Interesse entspricht; b. Personendaten, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse der versicherten Person vorausgesetzt werden darf. 6 Es dürfen nur die Daten bekannt gegeben werden, welche für den in Frage stehenden Zweck erforderlich sind. 7 Der Bundesrat regelt die Modalitäten der Bekanntgabe und die Information der betroffenen Person. 8 Die Daten werden in der Regel schriftlich und kostenlos bekannt gegeben. Der Bundesrat kann die Erhebung einer Gebühr vorsehen, wenn besonders aufwendige Arbeiten erforderlich sind. Art. 84b KVG regelt den Datenschutz bei der Durchführung der Krankenversicherung nach KVG wie folgt: Art. 84b Sicherstellung des Datenschutzes durch die Versicherer Die Versicherer treffen die erforderlichen technischen und organisatorischen Massnahmen zur Sicherstellung des Datenschutzes; sie erstellen insbesondere die gemäss Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz notwendigen Bearbeitungsreglemente. Diese werden dem oder der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zur Beurteilung vorgelegt und sind öffentlich zugänglich. Art. 21 VDSG i.v.m. Art. 84b KVG regelt schliesslich die Pflicht zur Erstellung eines Bearbeitungsreglements für bestimmte automatisierte Datensammlungen: Art. 21 Bearbeitungsreglement 1 Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die: a. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten; b. durch mehrere Bundesorgane benutzt werden; c. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder d. mit anderen Datensammlungen verknüpft sind. 2 Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über: das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ; die Herkunft der Daten; die Zwecke, für welche die Daten regelmässig bekannt gegeben werden; die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20; die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben; Art und Umfang des Zugriffs der Benutzer der Datensammlung; die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten; die Konfiguration der Informatikmittel; das Verfahren zur Ausübung des Auskunftsrechts. 3 Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt. Version /55

9 KVV Die Verordnung über die Krankenversicherung (KVV) enthält weitere spezifische Bestimmungen zur Rechnungslegung. So hält Art. 59 KVV die allgemeinen Grundsätze fest: Art. 59 Rechnungsstellung im Allgemeinen Die Leistungserbringer haben in ihren Rechnungen alle administrativen und medizinischen Angaben zu machen, die für die Überprüfung der Berechnung der Vergütung sowie der Wirtschaftlichkeit der Leistungen nach Artikel 42 Absätze 3 und 3 bis des Gesetzes notwendig sind. Insbesondere sind folgende Angaben zu machen: a. Kalendarium der Behandlungen; b. erbrachte Leistungen im Detaillierungsgrad, dem der massgebliche Tarif vorsieht; c. Diagnosen und Prozeduren, die zur Berechnung des anwendbaren Tarifs notwendig sind; d. Kennnummer der Versichertenkarte nach Art. 3 Absatz1 Buchstabe f der Verordnung vom 14. Februar 2007 über die Versichertenkarte für die obligatorische Krankenpflegeversicherung; e. Versichertennummer nach dem Bundesgesetz vom 20. Dezember 1946 über die Alters- und Hinterlassenenversicherung. 2 Der Leistungserbringer muss für die von der obligatorischen Krankenpflegeversicherung übernommenen Leistungen und die anderen Leistungen zwei getrennte Rechnungen erstellen. 3 Bei Analysen erfolgt die Rechnungsstellung an den Schuldner der Vergütung ausschliesslich durch das Laboratorium, das die Analyse durchgeführt hat. Pauschaltarife nach Artikel 49 des Gesetzes bleiben vorbehalten. 4 Haben Versicherer und Leistungserbringer vereinbart, dass der Versicherer die Vergütung schuldet (System des Tiers payant), so hat der Leistungserbringer der versicherten Person die Kopie der Rechnung nach Artikel 42 Absatz 3 des Gesetzes zukommen zu lassen. Er kann mit dem Versicherer vereinbaren, dass dieser die Rechnungskopie zustellt. Art. 59a KVV äussert sich explizit zu den Swiss-DRG-Rechnungen: Art. 59a Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG 1 Im Falle eines Vergütungsmodells vom Typus DRG (Diagnosis Related Groups) muss der Leistungserbringer die Datensätze mit den administrativen und medizinischen Angaben nach Artikel 59 Absatz 1 mit einer einmaligen Identifikationsnummer versehen. Das Departement legt die gesamtschweizerisch einheitliche Struktur der Datensätze fest. 2 Diagnosen und Prozeduren nach Artikel 59 Absatz 1 Buchstabe c sind entsprechend den Klassifikationen für die medizinische Statistik der Krankenhäuser nach Ziffer 62 des Anhangs der Verordnung vom 30. Juni über die Durchführung von statistischen Erhebungen des Bundes zu codieren. 3 Der Leistungserbringer leitet die Datensätze mit den administrativen und den medizinischen Angaben nach Artikel 59 Absatz 1 gleichzeitig mit der Rechnung an die Datenannahmestelle des Versicherers weiter. Es muss Version /55

10 sichergestellt werden, dass ausschliesslich diese Datenannahmestelle Zugang zu den medizinischen Angaben erhält. 4 Die Datenannahmestelle bestimmt, für welche Rechnungen eine weitere Prüfung benötigt wird, und leitet die dazu notwendigen Angaben an den Versicherer weiter. Der Versicherer darf der Datenannahmestelle keine Weisungen bezüglich der Datenweitergabe in Bezug auf einzelne Rechnungen erteilen. 5 Verlangt der Versicherer vom Leistungserbringer im Laufe der Prüfung zusätzliche Auskünfte medizinischer Natur im Sinne von Artikel 42 Absatz 4 des Gesetzes, so hat der Versicherer die versicherte Person über ihre Wahlmöglichkeit nach Artikel 42 Absatz 5 des Gesetzes zu informieren. 6 Jeder Versicherer muss über eine Datenannahmestelle verfügen. Diese muss nach Artikel 11 des Bundesgesetzes vom 19. Juni über den Datenschutz zertifiziert sein. 7 Der Versicherer informiert den Beauftragten nach Artikel 26 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz unaufgefordert über die Zertifizierung oder Rezertifizierung seiner Datenannahmestelle. Der Beauftragte kann von der Datenannahmestelle oder von der Zertifizierungsstelle jederzeit die für die Zertifizierung oder Rezertifizierung relevanten Dokumente einfordern. Der Beauftragte veröffentlicht eine Liste der zertifizierten Datenannahmestellen. Art. 59a bis KVV kündigt eine Departementsverordnung in den Bereichen Rehabilitation und Psychiatrie an. Diese ist jedoch noch nicht entstanden DSG Weitere datenschutzrechtlich relevante Bestimmungen ergeben sich aus dem Bundesgesetz über den Datenschutz (DSG). So sind insbesondere die Grundsätze der Datenbearbeitung nach Art. 4 DSG zu beachten: Rechtmässigkeit der Datenbearbeitung (Art. 4 Abs. 1 DSG), Bearbeitung nach Treu und Glauben (Art. 4 Abs. 2 DSG), zweckgebundene Datenbearbeitung (Art. 4 Abs. 3 DSG), Erkennbarkeit der Datenbeschaffung (Art. 4 Abs. 4 DSG) und unter Umständen die Einwilligung der betroffenen Person (Art. 4 Abs. 5 DSG). Art. 4 Grundsätze 1 Personendaten dürfen nur rechtmässig bearbeitet werden 2 Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. 3 Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. 4 Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. 5 Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. Neben diesen Grundsätzen verlangt das Datenschutzgesetz auch, dass der Bearbeiter sich der Richtigkeit der bearbeiteten Daten vergewissert und gegebenenfalls diese berichtigt bzw. vernichtet falls sie im Hinblick auf den bei der Beschaffung angegebenen Zweck unrichtig oder unrichtig oder Unvollständig sind. Die betroffene Person hat gemäss Art. 5 Abs. 2 DSG auch ein Anspruch auf Berichtigung der Daten. Eine weitere Anforderung des Datenschutzgesetzes betrifft die Datensicherheit, sprich die technischen oder organisatorischen Massnahmen zum Schutz vor unbefugtem bearbeiten. Art. 7 Datensicherheit Version /55

11 1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 2 Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit. Zur Datensicherheit bei ÖKK vergleiche Weisung Informationssicherheit [ ]. Art. 10a DSG legt analog zu Art. 84 KVG die Grundlage für die Datenbearbeitung durch Dritte, insbesondere wenn ÖKK als privater Krankenversicherer auftritt. Art. 10a Datenbearbeitung durch Dritte 1 Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn: a.. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2 Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. 3 Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber. Ähnlich wie Art. 3 VVG ergibt sich auch aus Art. 14 DSG eine Informationspflicht des Versicherers bzw. des Inhabers der Datensammlung. Diese bezieht sich auf das Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen. Art. 14 Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen 1 Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden. 2 Der betroffenen Person sind mindestens mitzuteilen: a. der Inhaber der Datensammlung; b. der Zweck des Bearbeitens; c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist. 3 Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen. 4 Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betroffene Person bereits informiert wurde oder, in Fällen nach Absatz 3, wenn: a. die Speicherung oder die Bekanntgabe der Daten ausdrücklich im Gesetz vorgesehen ist; oder b. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist. 5 Der Inhaber der Datensammlung kann die Information unter den in Artikel 9 Absätze 1 und 4 genannten Voraussetzungen verweigern, einschränken Ziel des Bearbeitungsreglements Das Bearbeitungsreglement umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und den Betrieb der elektronischen und manuellen Datenbearbeitung der DAS ÖKK. Es enthält Angaben über das für den Datenschutz und die Datensicherheit verantwortliche Organ, über die Herkunft der Daten und die Zwecke, für welche sie regelmässig bekannt gegeben werden und beschreibt das Verfahren für die Erteilung der Zugriffsberechtigungen auf die Module des elektronischen Informationssystems DAS. Version /55

12 2.4. Zweck der Datenbearbeitung Der Zweck der Datenbearbeitung der DAS besteht in der Abwicklung der Prüfung und Vergütung von stationären Rechnungen. Akut-stationäre Rechnungen nach KVG werden von Mitarbeitern des Teams SwissDRG am Hauptsitz von ÖKK in Landquart vorgenommen. Gemäss Art. 42 Abs. 3 KVG muss der Leistungserbringer dem Schuldner eine detaillierte und verständliche Rechnung zustellen. Er muss ihm auch alle Angaben machen, die er benötigt, um die Berechnung der Vergütung und die Wirtschaftlichkeit der Leistung überprüfen zu können. Die Leistungserbringer haben auf der Rechnung die Diagnosen und Prozeduren nach den Klassifikationen in den jeweiligen vom zuständigen Departement herausgegebenen schweizerischen Fassungen codiert aufzuführen. Der Bundesrat erlässt ausführende Bestimmungen zur Erhebung, Bearbeitung und Weitergabe der Daten unter Wahrung des Verhältnismässigkeitsprinzips. Nach Art. 59a KVV gelten für die Übermittlung von Rechnungen im stationären Bereich zusätzliche Anfordernisse: Der Leistungserbringer muss die Datensätze mit den administrativen und den medizinischen Angaben gleichzeitig mit der Rechnung an die Datenannahmestelle des Versicherers weiterleiten. Es muss sichergestellt werden, dass ausschliesslich diese Datenannahmestelle Zugang zu den medizinischen Angaben erhält. Gemäss Art. 59a bis KVV, der auf 1. Januar 2013 in Kraft getreten ist, wird der Bundesrat auch für den ambulanten Bereich und für die Bereiche Rehabilitation und Psychiatrie zusätzliche Ausführungsbestimmungen zur Rechnungstellung erlassen. Dies ist jedoch noch nicht geschehen, so dass hier einstweilen keine zusätzlichen, krankenversicherungsrechtlichen Regeln zu beachten sind. Gemäss Art. 42 KVG kann der Versicherer zusätzliche Auskünfte medizinischer Natur verlangen. Der Leistungserbringer ist in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in jedem Fall verpflichtet, medizinische Angaben nur dem VA des Versicherers nach Art. 57 KVG bekannt zu geben. Zwischen den Versicherern und den Leistungserbringern werden Tarifverträge abgeschlossen. Für die Abwicklung der stationären Leistungen sieht Art. 49 KVG diagnosebasierte Fallpauschalen (SwissDRG) vor. Dem Versicherer müssen Angaben über Haupt- und Nebendiagnosen sowie Behandlungen und Prozeduren auf der Rechnung mitgeteilt werden. Diese Informationen sind im «Minimal Clinical Dataset» (MCD) enthalten. Für die Abwicklung von ambulanten Leistungen (Ärzte und Spitäler) wurde durch FMH und santésuisse das TARMED-Tarifwerk entwickelt und vom Bundesrat als allgemeinverbindlich erklärt. Es gilt für alle ambulanten ärztlichen Behandlungen in Arztpraxen und Spitälern, jedoch nicht für Leistungen im zahnärztlichen Bereich, Laboranalysen, Physio- und Ergotherapie, Logopädie, Ernährungsberatung, Stoma- und Hebammenleistungen sowie Leistungen der Chiropraktiker. Nach Art. 56 KVG sind die Krankenversicherer verpflichtet, zur Wirtschaftlichkeit der Leistungen beizutragen, indem sie in den Tarifverträgen mit den Leistungserbringern Massnahmen zur Sicherstellung der Wirtschaftlichkeit der Leistungen vorsehen und vertraglich eine Methode zur Kontrolle der Wirtschaftlichkeit festlegen Vertrauensärztlicher Dienst Gemäss Art. 57 KVG bestellen die Versicherer Vertrauensärzte beziehungsweise Vertrauensärztinnen. Die Vertrauensärzte von ÖKK beraten intern zu medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. Sie überprüfen insbesondere die Voraussetzungen der Leistungspflicht des Versicherers. Die Vertrauensärzte der ÖKK sind in ihrem Urteil unabhängig. Weder ÖKK noch Leistungserbringer noch deren Verbände können ihnen Weisungen erteilen. Die Leistungserbringer müssen den Vertrauensärzten die zur Erfüllung ihrer Aufgaben notwendigen Angaben liefern. Ist es nicht möglich, diese Angaben anders zu erlangen, so können Vertrauensärzte Version /55

13 Versicherte auch persönlich untersuchen; sie müssen den behandelnden Arzt vorher benachrichtigen und nach der Untersuchung über das Ergebnis informieren. Die Vertrauensärzte geben den zuständigen Stellen der Versicherer nur diejenigen Angaben weiter, die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen, den Risikoausgleich zu berechnen oder eine Verfügung zu begründen. Dabei wahren sie die Persönlichkeitsrechte der Versicherten. Die eidgenössischen Dachverbände der Ärzte sowie der Versicherer regeln die Weitergabe der Angaben sowie die Weiterbildung und die Stellung der Vertrauensärzte und Vertrauensärztinnen. Aufgrund der Unabhängigkeit und der klaren Systemgrenzen wird für den VAD ÖKK ein spezielles Bearbeitungsreglement VAD [ ] erstellt ÖKK-Informationssystem DAS Das vorliegende Bearbeitungsreglement gilt für das ÖKK-Informationssystem DAS welches die nachfolgend gelisteten Subsysteme (vgl. dazu auch Ziff ) beinhaltet. Der Zweck der Datenbearbeitung ist pro Subsystem aufgeführt. Alle aufgeführten Subsysteme enthalten sowohl KVG-Daten als auch VVG-Daten. Tabelle 1: Zweck der Datenbearbeitung in den Subsystemen Syrius Die Administration von Kundendaten (Adressmutationen, Kontomutationen, Deckungsänderung) erfolgt in Syrius. Diese Kundendaten werden bei der Belegzuweisung zu Validierungszwecken verwendet. Die gesamte Leistungsverarbeitung wird in Syrius vorgenommen: Deckungsprüfung o Eingabe von Rechnungen im System (nach Leistungsarten, Pflicht- und Nichtpflichtleistungen, Limiten) o Prüfung Leistungsaufschub o Prüfung Leistungspflicht (Unfall, MV, IV etc.) Geldfluss o Berechnung Kostenbeteiligung nach Pflegelauf o Auszahlung der Leistungen an Kunden, zuständige Sozialbehörde oder Leistungserbringer (mit Leistungsabrechnung) o Rückforderung der Kostenbeteiligung an Kunden (mit Leistungsabrechnung) o Prämienabrechnungen an Kunden o Mahnwesen Auskünfte an Kunden werden aufgrund der in Syrius enthaltenen Informationen vorgenommen. Auskunftserteilung an den Kunden über verarbeitete oder noch nicht verarbeitete Rechnungen, generelle Buchhaltungsfragen, Leistungspflicht, Fragen zu Leistungsabrechnungen, Fragen zu nicht versicherten Leistungen, Duplikats-Auslösungen Kolumbus Auskunftserteilung an Leistungserbringer (tiers payant, tiers soldant, tiers garant) zu Kostengutsprachen, bestehende Versicherungsdeckung Auskunftserteilung an Sozialbehörden zu Leistungsabrechnungen, Zahlungen, Leistungsaufstellungen, Duplikats-Auslösungen Limitationsüberprüfungen, welche vom Gesetz vorgeschrieben werden, werden aufgrund der Daten in Syrius vorgenommen (z.b. gemäss KLV, MiGeL, SL, TarMed) Prüfsoftware für SwissDRG-Rechnungen: Fachliche (medizinisch/tarifarisch) und Kostenprüfung, Expertensystem mit Optimierungsvorschläge der Behandlungen (Überprüfung der ICD-Codes und CHOP-Codes) Version /55

14 2.5. Verantwortliche Stellen ÖKK ist verantwortlich für die Durchführung der obligatorischen und privaten Krankenversicherung im stationären wie im ambulanten Bereich gemäss den Art KVG bzw. gemäss VVG. Zu dieser Aufgabe trägt auch die DAS ihren Teil bei, indem die stationären Rechnungen automatisch und manuell geprüft werden. Somit ist ÖKK Inhaberin der Datensammlung bzw. des ÖKK- Informationssystems DAS, in welchem die betreffenden Daten erfasst und weiterbearbeitet werden. Mit den hier dargestellten Massnahmen sorgt ÖKK für die Einhaltung der Vorschriften. Den Applikationseignern der ÖKK obliegt die technische Verantwortung bezüglich der einzelnen Applikationen. Für die einzelnen Datensammlungen werden Dateneigner ernannt. Dateneigner stellen die Einhaltung der datenschutzrechtlichen Anforderungen in technischer und organisatorischer Hinsicht sicher. Sie bestimmen die zum Bearbeiten der Daten befugten Personen und deren Zugriffrechte nach dem sog. Need-to-know-Prinzip. Die Applikationseigner (technische Verantwortliche) der Subsysteme und die Dateneigner beaufsichtigen, dass sich die Mitarbeitenden an die Weisungen, das vorliegende Bearbeitungsreglement und seine Anhänge halten. Die Funktionen des Applikations- und des Dateneigners können durch ein und dieselbe Person wahrgenommen werden. ÖKK hat einen Betrieblichen Datenschutzverantwortlichen (BDSV) bestimmt, der die Verantwortung für die Einhaltung des Datenschutzes trägt. Der BDSV ist beim EDÖB gemeldet Schweigepflicht nach Art. 33 ATSG und Art. 321 StGB Sämtliche Mitarbeitenden der ÖKK unterstehen der Schweigepflicht nach Art. 33 ATSG. Bei Verletzungen der Schweigepflicht unterstehen sie spezialgesetzlich den Strafbestimmungen des Art. 92 KVG. Die Mitarbeitenden sind über die Sanktionen informiert. Zusammen mit dem Arbeitsvertrag unterzeichnen Mitarbeitende die Geheimhaltungs- und Schweigepflichtvereinbarung. Mitarbeitende der DAS unterschreiben zudem einen Arbeitsvertrag Hilfspersonen VAD womit sie dem ärztlichen Berufsgeheimnis i.s.v. Art. 321 StGB unterstehen. 3. Systeme zur Datenbearbeitung 3.1. Struktur des ÖKK-Informationssystems DAS Allgemeines Die Leistungsrechnungen werden von den Leistungserbringern entweder an die DAS oder auf Wunsch des Versicherten oder in begründeten Fällen vom zuständigen Leistungserbringer an den Vertrauensärztlichen Dienst (VAD) zugestellt. Leistungsabrechnungen im stationären Bereich werden gemäss Art. 58a KVV der DAS übermittelt, sobald diese zertifiziert und operativ ist. Im ÖKK-Informationssystem DAS und seinen Subsystemen (Abwicklung der Prüfung und Vergütung von stationären Rechnungen nach KVG) werden die Daten erfasst. Dieses ist modular aufgebaut. Für die Abwicklung der Vergütung der Behandlungen sind nachfolgende Subsysteme mit folgenden Inhalten betroffen: Version /55

15 Subsysteme des ÖKK-Informationssystems DAS Das ÖKK-Informationssystem DAS besteht aus zwei unterschiedlichen Subsystemen. Tabelle 2: Subsysteme ÖKK-Informationssystem DAS Syrius Kernapplikation für die Durchführung des Versicherungsgeschäfts für Privat- und Unternehmenskunden. Syrius ist das wichtigste Subsystem von ÖKK. Es stellt das eigentliche Nervenzentrum dar, da mit dieser Anwendung die zentralen Prämien- und Leistungsdaten verarbeitet werden. Syrius ist eine speziell für Krankenkassen entwickelte Anwendung, die durch Centris AG in Solothurn betrieben wird. Versicherungspolicen, Leistungsabrechnungen, Mahnungen, etc. werden in der Regel vor Ort in Solothurn erstellt und an die Kunden versandt. Syrius basiert auf mandantenfähigen, produkt- und segmentbezogenen Anwendungen. Das Syrius Resolution ist modular aufgebaut und unterteilt in die Prämien-, Leistungs- und Debitorenanwendung. Kolumbus Elektronisches Prüfsystem für stationäre SwissDRG-Rechnungen -> fachliche Prüfung und Kostenprüfung, Vorschlag optimierte Abrechnungsvarianten Systemgrenzen/-übersicht Die Subsysteme des ÖKK-Informationssystem DAS sind in der nachfolgenden Systemübersicht blau markiert. Bei sämtlichen anderen Systemen handelt es sich um Umsysteme. Version /55

16 Abbildung 1: Systemgrenzen des ÖKK-Informationssystems DAS Der gesamte Betrieb der nachfolgend aufgelisteten Subsysteme, der notwendige Server und die Datenbanken inkl. Erteilung der Zugriffsberechtigungen werden durch die Outsourcer/Dienstleister im Auftrag von ÖKK wahrgenommen. Tabelle 3: Outsourcing / Dienstleister von Subsystemen Subsystem Outsourcer Kurzbeschrieb der vertraglichen Vereinbarung Syrius Centris AG, Solothurn Dienstleistungsvertrag für Destinatäre zwischen Rückversicherungs-Verband der öffentlichen Krankenkassen RVK und RESO, Stiftung Rechenzentrum für Krankenversicherung Vereinbarung zwischen ÖKK und Centris AG betreffend Betriebskosten Centris und Projektkosten SHP Einführung Die Service-Level Agreements (SLA), welche Bestimmungen zum Datenschutz und Datenbearbeitung enthalten. Vereinbarung zwischen ÖKK und Centris AG betreffend zur Verfügung stellen von Daten an den RVK Subsystem Dienstleister Kurzbeschrieb der vertraglichen Vereinbarung Kolumbus innovas GmbH, D-Köln Dienstleistungs-Vereinbarung zwischen innovas GmbH, Theodor-Heuss-Ring 19-21, D Köln und ÖKK Krankenund Unfallversicherungen AG, Bahnhofstrasse 13, 7302 Landquart Die Datenübertragung zwischen ÖKK und den Outsourcern/Dienstleistern erfolgt über virtuelle Punktzu-Punkt-Verbindungen zwischen dem Rechenzentrum der ÖKK und dem Rechenzentrum der Outsourcer/Dienstleister. Die Besonderheit der technischen Schnittstellen im Rahmen der Leistungserbringung für Partnerversicherungen (Insourcing; vgl. Kapitel 6.2.3) sind im Anhang 6 dargestellt Technische Schnittstellen (gemäss Prozess V7-Leistungsprozess ÖKK) Verschiedene technische Schnittstellen ermöglichen den direkten Kontakt mit Leistungserbringern. In der Schnittstellenbeschreibung werden folgende Angaben zur Datenweitergabe (Bekanntgabe) festgehalten: Von wem stammen die Daten? Wer erhält die Daten? Zu welchem Zweck werden die Daten weitergegeben? Welche Daten werden weitergegeben? In welcher Periodizität werden die Daten weitergegeben (Intervall)? Von wem wurde die Weitergabe initiiert? Mit Hilfe welcher Medien werden die Daten weitergegeben? Version /55

17 Tabelle 4: Technische Schnittstellen ÖKK Leistungser bringer (Spitäler) Dispatcher Centris Dispatcher Centris Syrius (E- Claim/CBPM) Elektronischer Empfang von Rechnungen und MCD. Administrative Prüfung der Rechnungen MCD und Rechnungsdaten Stammdaten, Rechnungsdaten Von Nach Zweck Datenarten ÖKK Periodizität Auslöser Medium Der elektronischer Postkorb ist immer eingeschaltet. Posteingang im Dispatcher wird im 15 Minuten-Rhythmus geprüft und der Eingang triagiert. Dispatcher Centris SFTP-Server ÖKK Administrative Prüfung der MCD MCD SFTP- Server ÖKK Kolumbus Medizinisch-tarifarische Prüfung der Rechnungen MCD Syrius (E- Claim CBPM) SHP DWH Übertragung von Managementinformationen Stammdaten und Rechnungsdaten Nach Bedarf Manuell Elektroni sch SHP DWH Kolumbus Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen Stammdaten, Rechnungsdaten Täglich Automa tisch Elektroni sch Der Vergleich zwischen den terminologischen Datenkategorien des EDÖB und jener von ÖKK ist im Anhang 3 (Datenkategorien) aufgeführt Genutzte Informatikmittel (Konfiguration) ÖKK Die Informatikabteilung von ÖKK führt ein zentrales Inventar aller Informatiksysteme mit den entsprechenden Konfigurationen, welche durch die ÖKK Abteilungen Betrieb Informatik bzw. Applikationen betreut werden. Weisungen im Umgang mit Informatiksystemen und Endgeräten sind der Weisung Informationssicherheit [ ] zu entnehmen Centris Die notwendigen Informatikmittel (Applikation, Datenbank, Betriebssystem, Netzwerk) werden vollständig durch die Centris AG betreut. Der Bezug der IT-Dienstleistungen ist vertraglich geregelt. Für die Applikation Syrius besteht eine vertragliche Vereinbarung, in der die Centris AG die Verantwortung für die Durchführung der Bearbeitung personenbezogener oder sonstiger sensitiver Daten gemäss den schriftlichen Weisungen des Kunden sowie unter Einhaltung der geltenden Datenschutzbestimmungen und der firmeneigenen Richtlinien zur technischen und organisatorischen Datensicherung übernimmt Innovas GmbH Auch für die Applikation Kolumbus besteht eine vertragliche Vereinbarung zwischen der ÖKK Kranken- und Unfallversicherungen AG und der Innovas GmbH, in welcher festgehalten wird, dass der Version /55

18 Austausch von personenbezogenen Daten nach dem Zweck des Vertrages grundsätzlich ausgeschlossen ist. Sollten dennoch schützenswerte Personendaten zukommen, gilt die IT- Datenschutz-Vereinbarung von ÖKK, welche für alle IT-Dienstleister von ÖKK verbindlich ist Dokumentationen Unterlagen über die Planung und Realisierung des ÖKK-Informationssystems DAS liegen bei der ÖKK Informatik vor. Für den Betrieb führt die ÖKK eine IKS-Dokumentation, auf die in einzelnen Kapiteln des vorliegenden Bearbeitungsreglements verwiesen wird Softwareentwicklung Es wird eine Trennung zwischen Test und Produktion eingehalten. ÖKK macht keine Softwareentwicklung. Diese wird an externe Dienstleister vergeben oder direkt durch den Software-Hersteller vorgenommen. Anträge für die Weiterentwicklung des Systems werden zusammengefasst und im Rahmen des Release- und Change Managements von ÖKK umgesetzt. Outsourcer sind ebenfalls in den Prozessen integriert. Die gesamten Prozesse werden nachvollziehbar dokumentiert Ausbildung der Benutzer Für die verschiedenen Subsysteme werden die Benutzer in internen Kursen geschult Benutzerhandbücher und Bearbeitungsrichtlinien Zu den verschiedenen Subsystemen gibt es Benutzerhandbücher. Weiter wird in Weisungen, Reglementen und Leistungshandbüchern sowie in Listen die Datenbearbeitung festgelegt. Diese werden von den zuständigen Organisationseinheiten regelmässig aktualisiert. Publiziert sind diese im ÖKK-Intranet Piazza. Die Fachführungen der zuständigen Organisationseinheiten schaffen mittels spezifischen Anweisungen einen gleichbleibenden Level der Leistungsbeurteilung nach KVG. 4. Beteiligte Organisationseinheiten 4.1. Service-Center Heilungskosten Ostschweiz (Hauptsitz) Die Abwicklung der Vergütung der akut-stationären Rechnungen nach KVG und VVG wird von Mitarbeitenden der DAS oder dem Service-Center Heilungskosten Ostschweiz vorgenommen. Für diese Aufgabe bearbeiten sie Personendaten inkl. besonders schützenswerte Personendaten im ÖKK-Informationssystem DAS bzw. in den spezifischen Subsystemen Zentrale Organisationseinheiten (OE) Die Mitarbeitenden der nachfolgenden Organisationseinheiten von ÖKK haben Zugriff auf Informationen mit hoher Datenschutzrelevanz (Klassifizierungsstufe D3 gemäss Weisung Informationssicherheit [ ]) auf die Applikation Kolumbus im ÖKK-Informationssystem DAS: Version /55

19 Tabelle 5: Kurzbeschreibung der Organisationseinheiten Organisationseinheit Kurzbeschreibung OE/Aufgaben MA Intern Prüfstelle Swiss- DRG (Teil der DAS) VA Prüfung von stationären Swiss DRG Rechnungen nach KVG Der Vertrauensarzt gemäss Art. 57 KVG ist ein Organ der sozialen Krankenversicherung. Er berät ÖKK in medizinischen Fachfragen sowie in Fragen der Vergütung und der Tarifanwendung. 7 (5 DAS MA, 2 VA) VAD Vertrauensärztlicher Dienst 7 (5 Hilfspersonen VA + 2 VA) IT-DWH Das Datawarehouse ist zuständig für die zentrale Datenbereitstellung für das Reporting von ÖKK. Zudem werden Schnittstellen zu Umsystemen (Fachapplikationen) oder zum oder vom DWH betrieben. Das DWH besteht aus den Quellsystemen SHP DWH und ÖKK DWH Cognos. Dort wo es Sinn macht, werden Daten zu Reportingzwecken vom DWH über Schnittstellen in Fachapplikationen geliefert. PKUV Führung der Kranken- und Unfallversicherung für ÖKK Mitarbeitende Die im nachfolgenden Organigramm grau hinterlegten zentralen Organisationseinheiten der ÖKK sind an der Datensammlung beteiligt. Version /55

20 * Der Vertrauensärztliche Dienst (VAD) ist nur organisatorisch angegliedert **DAS (SwissDRG-Prüfstelle) ist fachlich dem VAD unterstellt und organisatorisch der Abteilung Heilungskosten Abbildung 2: An der Datensammlung Kolumbus beteiligte OE s 4.3. Vertrauensärztlicher Dienst Die Rechnungen nach Art. 42 Abs. 5 KVG werden in den VAD-Systemen bearbeitet. Der VAD hat die vollständige Verantwortung für diese Systeme. Siehe hierzu das separate Bearbeitungsreglement VAD [ ] Sachbearbeiter medizinische Prüfstelle SwissDRG Die spezialisierten Mitarbeiter haben den Vollzugriff auf die medizinischen Daten (Diagnosen und Prozeduren) für die Überprüfung der konkreten Diagnose- und Prozedurencodes PKUV Die ÖKK Kranken- und Unfallversicherungen AG betreibt eine Personalkranken- und Unfallversicherung für ihre Mitarbeiter und deren Angehörige. Es handelt sich bei den Daten, welche die PKUV bearbeitet, um die gleichen Daten wie diejenigen, welche ÖKK KUV bearbeitet. Die Personalkrankenversicherung ist personell und organisatorisch von der ÖKK KUV AG getrennt. Rechnungen (Swiss DRG-Rechnungen), welche die PKUV bearbeitet, sind ausgelenkte Rechnungen der Datenannahmestelle von ÖKK, welche in einem separaten Postkorb für die PKUV gelangen. Es Version /55

21 findet keine separate Datenzusammenführung statt (MCD-Rechnungen), sondern die Daten gelangen wie sämtliche anderen Daten über die Datenannahmestelle von ÖKK an die PKUV Extern (Outsourcer/Dienstleister) Outsourcer/Dienstleister erhalten im Rahmen ihres Auftrages, den sie für die ÖKK ausführen, Zugriff auf die Subsysteme (Centris AG) Zugriffe der Organisationseinheiten auf Subsysteme Anhand der nachfolgenden Tabelle ist ersichtlich, wie viele Mitarbeitende (Spalte MA) pro Organisationseinheit auf die einzelnen Subsysteme Zugriff haben. Tabelle 6: Anzahl Zugriffe pro Organisationseinheiten Subsystem Organisationseinheit Welche Datenkategorien ÖKK werden bearbeitet? Syrius Alle Abteilungen mit Kundenkontakt Name/Adresse/Tel, Geburtsdatum, Familienverhältnisse, Nationalität, AHV- Nummer, Gesetzliche Vertretung, Angehörige, Angaben zur Behinderung, Gesundheit, Massnahmen der sozialen Hilfe ÖKK Informatik 9 Centris AG 9 Kolumbus VA Name/Adresse/Tel, Geburtsdatum, 2 DAS Familienverhältnisse, Nationalität, AHV- Nummer, Gesundheit, Intimsphäre, 5 PKUV Massnahmen der sozialen Hilfe 3 MA 395 Die obige Tabelle entspricht einer Momentaufnahme vom , dient einer allgemeinen Übersicht und beantwortet folgende Fragen: Welcher Organisationseinheiten bzw. wie viele ihrer Mitarbeitenden haben Zugriff auf die entsprechende Applikation? Welche Datenkategorien ÖKK (oder Teile derselben) werden in der entsprechenden Applikation bearbeitet? In der Tabelle wird nicht aufgezeigt, wie viele Mitarbeitende Zugriff auf die einzelnen genannten Datenkategorien haben. Denn innerhalb der Applikation werden die Zugriffsberechtigungen weiter eingeschränkt. Siehe im Zusammenhang mit dem Kernsystem Syrius den Prozessbeschrieb und die Zugriffsberechtigungen in Anhang 2 bzw. die Rollenverteilung zu Syrius 1 bzw. zu Kolumbus. Das Mapping der Datenkategorien ÖKK zu den Datenkategorien EDÖB oder den in der ÖKK umgangssprachlich verwendeten Datenarten ist im Anhang 3 (Datenkategorien) ersichtlich. 1 Siehe unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. Version /55

22 5. Benutzer und Datenzugriff 5.1. Benutzer Zugriffsberechtigt auf das ÖKK-Informationssystem DAS sind die Mitarbeitenden von ÖKK, soweit sie dies zur Ausübung ihres Auftrags Abwicklung der Prüfung und Vergütung von akut-stationären Rechnungen. benötigen. Durch die Vergabe von Zugriffsberechtigungen auf Systeme und Applikationen von ÖKK nach dem sog. Need-to-know-Prinzip wird verhindert, dass Dritte Daten unberechtigt bearbeiten können Benutzerverwaltung ÖKK verfolgt ein dreistufiges Konzept bezüglich Zugriffssicherheit (siehe auch Bearbeitungsreglement VAD [ ]). Zugriffssicherheit wird auf Systemebene definiert, d.h. für eine Systemanmeldung wird ein persönlicher Active-Directory-Benutzer-Account bei ÖKK benötigt. Applikationen (Subsysteme) des ÖKK-Informationssystems DAS können nur mit entsprechenden Rechten auf Systemebene gestartet werden, d.h. im Active-Directory muss eine Mitgliedschaft in der entsprechenden Active-Directory-Applikationsgruppe vorhanden sein. Verfügt die Applikation über eine eigene Benutzerverwaltung, ist zusätzlich ein entsprechendes Benutzer-Account in der Applikation notwendig. Zugriffsberechtigungen auf unterschiedliche Funktionen (Daten) der Applikation werden in der jeweiligen Applikation mittels Rollen oder Gruppenprofilen dediziert vergeben. Zugriff auf Subsystem Kolumbus ist auf MA Team SwissDRG (sind in 3 verschiedene Sachbearbeiter-Gruppen unterteilt SB-VAD, SB-DS und SB) und Vertrauensärzte beschränkt. Ebenso ist der Zugriff auf das Laufwerk N/SwissDRG (administrative Daten) auf das Team SwissDRG, Leiter VAD und den Leiter Versicherungsleistungen und Leiterin Servicecenter Heilungskosten Ostschweiz beschränkt. Der Zugriff auf den Ordner N/VAD/SwissDRG (medizinische Daten sowie Korrespondenz, welche solche enthält) auf dem Laufwerk N auf das Team SwissDRG und den VAD ist ebenso begrenzt Zugriffskontrollsystem Der Zugriff auf das ÖKK-Netzwerk und die ÖKK-Applikationen erfolgt über das zentrale Active- Directory. Jeder Benutzer erhält hierbei einen persönlichen Benutzer-Account. Passwortrichtlinien werden gemäss Weisung Informationssicherheit [ ] durchgesetzt. Für das Subsystem Kolumbus gibt es ein eigenständiges Rollenkonzept (siehe Anhang 2). Tabelle 7: Zugriffskontrollsysteme der Subsysteme Subsystem Syrius Organisationseinheit Eigenes im Subsystem mit integriertem Zugriffskontrollsystem (Benutzer-Accounts mit dem Präfix U). Kolumbus Die Zugriffsberechtigung wird auf Antrag vom Personalbereich/DSMS- Manager vom BDSV nach Prüfung erteilt. Version /55

23 Vergabe von Zugriffsberechtigungen Die IKS-Anforderungen (siehe auch Bearbeitungsreglement VAD [ ] und Rollenverteilung zu Syrius 1 ) an die Benutzerverwaltung stellen sicher, dass: Nur berechtigte Personen auf Applikationen und Daten zugreifen können (inklusive Programme, Tabellen und entsprechende Ressourcen), Diese Personen nur die für sie vorgesehene Funktionen ausführen können, Sämtliche Komponenten der Applikation berücksichtigt werden wie Programme, Datenbanken, Betriebssysteme, Netzwerke und Remote Zugriff, Die Gewaltentrennung eingehalten ist. Auch die Anforderungen an den Prozess zur Vergabe von Berechtigungen sind im Rahmen des IKS festgelegt (siehe auch Bearbeitungsreglement VAD [ ] und der Rollenverteilung zu Syrius 2 ). Sämtliche Anträge an die Benutzerverwaltung wie Neuanlagen, Anpassungen in den Benutzerberechtigungen oder Löschungen müssen schriftlich oder elektronisch durch autorisierte Personen genehmigt werden. Im Falle der Berechtigungsvergabe ist zu spezifizieren, welche Berechtigungen der Benutzer erhalten soll. Im Falle einer Anpassung in den Benutzerberechtigungen ist zu spezifizieren, welche Berechtigungen gelöscht werden sollen bzw. welche Berechtigungen neu vergeben werden sollen. Bei der Benutzerverwaltung muss folgende Gewaltentrennung eingehalten werden: o Der Antragsteller darf nicht gleichzeitig den Antrag genehmigen. o Derjenige, der den Antrag genehmigt, muss dem Antragsteller hierarchisch übergeordnet sein. Ausnahmen bestehen auf Stufe Bereichsleiter. o Der Antragsteller und derjenige, der den Antrag genehmigt, dürfen den Antrag nicht ausführen. o Derjenige, der Zugriffsverstösse überwacht, darf nicht Antragssteller sein. Er darf auch nicht derjenige sein, der die Anträge genehmigt oder ausführt. o Diejenigen, die Administratoren-Aktionen durchführen können, dürfen nicht die Überwachung der Administratoren-Aktionen ausführen. Die geforderte Gewaltentrennung wird wie folgt umgesetzt: Tabelle 8: Gewaltentrennung bei Vergabe von Zugriffsberechtigungen Rolle Verantwortlich Antragsteller Personalwesen Fachbereich Mitarbeiter oder Leiter ÖKK Mitarbeiter Fachbereich -> Genehmigung ÖKK Support (1st und 2nd Level) -> Umsetzung ÖKK Leiter Markt (Privat- und Unternehmenskunden, Marketingkommunikation, Märkte) oder Stv. ÖKK Leiter Finanzen und Controlling oder Stv. ÖKK Leiter Leistungen und Kooperationen oder Stv. ÖKK Leiter Informatik und Logistik: Die Berechtigung für den ÖKK SYRIUS Support oder Stv. ÖKK Support setzt den Berechtigungsauftrag um oder leitet diesen an den Outsourcer weiter. Beim Outsourcer ist definiert, von welchen Personen Berechtigungsaufträge entgegengenommen werden dürfen. 1 Siehe unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Siehe unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. Version /55

24 Der Standardzugriff (Terminalclient, ) am ÖKK-Arbeitsplatz wird durch die Abteilung Betrieb Informatik vorgenommen. Im Anhang 2: Prozess Zugriffsberechtigungen ist der Prozess zur Vergabe/Mutation/Entzug von Zugriffsberechtigungen am Beispiel von Syrius und Kolumbus dokumentiert. Der gesamte Prozess ist formularbasiert und kann somit nachvollzogen werden. Nach Abschluss des Prozesses wird das Formular im Personaldossier abgelegt. Für den Zugriff auf Syrius ist ein Username und Passwort notwendig. Die Vergabe der Zugriffsberechtigungen in Syrius ist wie folgt geregelt: 1. User wird einer Rolle zugewiesen. 2. Den Rollen werden entsprechende Zugriffsberechtigungen in Form von Tasks und Processes erteilt. Die Zuordnung der einzelnen Rollen zu Task und Processes ist im System hinterlegt und kann bei der Centris AG eingefordert werden. Die Liste der Zuordnungen von Personen zu Rollen kann bei ÖKK eingesehen werden 1. Die Vergabeprozess für Zugriffsberechtigungen weitere Subsysteme (auf welche ÖKK zugriffsberechtigt ist) erfolgt analog dem Zugriffsberechtigungsprozess für Syrius Aufhebung der Zugriffsberechtigung Die Benutzer des ÖKK-Informationssystems DAS sind nur so lange zugriffsberechtigt, als sie die Daten für die Ausübung ihrer Arbeitsfunktion benötigen. Bei Austritt sowie bei Aufgabenwechseln innerhalb von ÖKK wird die Zugriffsberechtigung entzogen und die für den neuen Aufgabenbereich benötigten Zugriffsberechtigungen müssen neu beantragt werden. Die Aufhebung der Zugriffe erfolgt analog der Erteilung der Zugriffsberechtigung durch die Vorgesetzten mittels formalisiertem Prozess (siehe auch Bearbeitungsreglement VAD [ ] und der Rollenverteilung Syrius Zugriffskontrolle in der Test-Umgebung Die Test- und Produktionssysteme werden strikte getrennt. Die Zugriffsberechtigungen auf den Testsystemen sind analog den Produktionssystemen zu handhaben Administrative Zugriffe Administratoren des ÖKK-Informationssystems DAS verfügen über einen persönlichen und dedizierten Administratoren-Accounts. Im Rahmen des IKS wird festgelegt, dass Log-Aufzeichnungen von Administratoren-Aktionen geführt werden müssen (siehe Infrastruktur Benutzerverwaltung, Realisierungskonzept [ ]) Administrative Zugriffe auf das Subsystem Syrius hat nur die Centris AG Periodische Kontrollen Im Rahmen des IKS [ ] und dem Realisierungskonzept Syrius Benutzerverwaltung 3 ) werden jährlich folgende Kontrollen durchgeführt und Nachweise gefordert: 1 Vgl. unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Vgl. unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 3 Siehe Dokument ÖKK IKS IT Standards & Prozesse, Syrius Benutzerverwaltung, Realisierungskonzept, vgl. Laufwerk N / IKS- Betrieb / ITGC / 20_Syrius / IKS_IT_Realisierungskonzept_Benutzerverwaltung_SYRIUS_V6 0_ docx. Version /55

25 Kolumbus Syrius Ablage und Nachvollziehbarkeit des formalisierten Zugriffsberechtigungsprozesses. Erstellung einer Benutzerliste aus den Subsystemen mit entsprechenden Berechtigungen, die von den Fachbereichen zu prüfen und zu genehmigen ist. Nachweis, dass die Überwachung von Zugriffsverstössen periodisch erfolgt ist. Nachweis, dass die Log-Aufzeichnungen von Administratoren-Aktionen periodisch überprüft werden. Nachweis, dass die geforderten Passwort- und Sicherheitseinstellungen erfüllt wurden. Zusätzlich werden folgenden Kontrollen durchgeführt. Stichproben bezüglich der Einhaltung von Weisungen. Periodische Stichproben durch die Vorgesetzten. 6. Bearbeitung der Daten/Datenkategorien 6.1. Datenherkunft/Datenbeschaffung Die Daten stammen von Leistungserbringern gemäss KVG und VVG. Folgende Datenkategorien werden pro Subsystem bearbeitet: Tabelle 9: Datenkategorien Subsystem Syrius Name/Adresse/Tel. Religion, Weltanschauung Geburtsdatum Politische Gesinnung, Parteizugehörigkeit Familienverhältnisse Gesundheit Nationalität Intimsphäre AHV-Nummer Rassenzugehörigkeit Gesetzliche Vertretung Massnahmen der sozialen Hilfe Angehörige Administrative/strafrechtliche Sanktionen Angaben zur Behinderung Persönlichkeitsprofil Tabelle 10: Datenkategorien Subsystem Kolumbus Name/Adresse/Tel. Religion, Weltanschauung Geburtsdatum Politische Gesinnung, Parteizugehörigkeit Familienverhältnisse Gesundheit Nationalität Intimsphäre AHV-Nummer Rassenzugehörigkeit Gesetzliche Vertretung Massnahmen der sozialen Hilfe Angehörige Administrative/strafrechtliche Sanktionen Angaben zur Behinderung Persönlichkeitsprofil MCD (Minimal Clinical Dataset) Medizinische Daten (Krankenakten) 6.2. Datenbearbeitung, Datenbearbeitung durch Dritte und Datenbekanntgabe Version /55

26 Datenbearbeitung nach Art. 42 KVG i.v.m. Art. 84 KVG Die Datenbearbeitung erfolgt gestützt auf Art. 42 i.v.m. Art. 84 KVG. Die Bearbeitung der Diagnosedaten erfolgt ausschliesslich zur Überprüfung der Rechnungen auf die durch Art. 56 KVG vorgegebene Pflicht des Krankenversicherers, die Einhaltung der Wirtschaftlichkeit zu überprüfen. Im Falle der Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG (stationäre Leistungen) werden zusätzlich die Ausführungsbestimmungen nach Art. 59a KVV berücksichtigt Elektronische Bearbeitung Der Ablauf der elektronische Bearbeitung stationärer SwissDRG Rechnungen kann der Abbildung 1 (Systemgrenzen des ÖKK-Informationssystem DAS) entnommen werden und gilt als Hauptbearbeitungsmechanismus Bearbeitung von Papierrechnungen Vernachlässigbar selten kann es vorkommen, dass Papierrechnung bei ÖKK eingehen. Diese werden von der Poststelle, sofern sie mit vertraulich, z.h. SwissDRG-Team 1 oder VAD gekennzeichnet sind, direkt und persönlich an die Mitarbeitenden des SwissDRG-Teams oder des VAD ausgehändigt. Bei Postsendungen ohne Vermerk werden diese auf der Poststelle geöffnet. Sind darin Papierrechnungen enthalten wird die Postsendung nicht weiterverarbeitet, sondern direkt dem SwissDRG-Team zugestellt (Details zur betriebsinternen Postzustellung sind der Weisung Postwesen zu entnehmen). In Fällen wo zusätzlich nicht angeforderte Papier-MCD in der Postsendung sind, werden diese ebenfalls dem SwissDRG-Team zugestellt und dort sofort vernichtet, sofern keine entsprechende Rechnung elektronisch oder separat per Post eingegangen ist. Für den Fall, dass solche Postsendungen irrtümlich durch andere Abteilungen ÖKK geöffnet werden, sind sämtliche Mitarbeitende angewiesen, die Sendung ohne weitere Kenntnisnahme oder andere Bearbeitung direkt dem SwissDRG-Team zu übergeben. Alle erhaltenen Papierrechnungen (ohne MCD) werden ausschliesslich vom SwissDRG-Team manuell im Kernsystem (Syrius) verarbeitet. Die Rechnungsprüfung erfolgt nach einer internen Triagierung, welche im Flussdiagramm Prozess Bearbeitung manuell Papier-Rechnungen Typ DRG_MCD ([ ] beschrieben ist. Vereinzelt werden Papierrechnungen einer ausführlichen Prüfung unterzogen. In diesen Fällen werden über den VAD beim Leistungserbringer die notwendigen Dokumente wie MCD, Austrittsbericht, Operationsbericht eingeholt Datenbearbeitung durch Dritte nach Art. 84 KVG bzw. 10a DSG (Outsourcing) Gemäss Art. 84 KVG ist ÖKK als mit der Durchführung der sozialen Krankenversicherung betrautes Organ befugt, Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile, durch Dritte bearbeiten zu lassen. Bei der Bearbeitung von Personendaten durch Dritte, die sogenannten Outsourcingnehmer, sind stets die massgeblichen Anforderungen des DSG, insbesondere Art. 10a DSG, zu berücksichtigen. Diese Bestimmung statuiert, dass der Outsourcingnehmer die Daten nur so bearbeiten darf, wie es die ÖKK selbst es tun dürfte und dass sich die ÖKK zu vergewissern hat, dass der Outsourcingnehmer die Datensicherheit gewährleistet. Sie bietet die gesetzliche Grundlage für das Outsourcing in den Fällen, in denen ÖKK als privater Krankenversicherer nach VVG auftritt. Datenbekanntgabe nach Art. 84a KVG: 1 Das SwissDRG-Team untersteht dem VAD mittels Arbeitsvertrag Hilfspersonen VAD; vgl. Kapitel 2.6 Schweigepflicht nach Art. 33 ATSG und Art. 321 StGB. Version /55

27 Die weitere Datenbekanntgabe ist abschliessend in Art. 84a KVG geregelt. So können im Einzelfall und auf schriftlich begründetes Gesuch hin Daten gemäss den spezifischen Anforderungen namentlich an Strafgerichte und Strafuntersuchungsbehörden sowie mit schriftlicher Einwilligung der versicherten Person an Dritte weitergegeben werden Datenbearbeitung im Auftrag der Partnerversicherungen (Insourcing) ÖKK bearbeitet im ÖKK-Informationssystem DAS in Anwendung von Art. 84 KVG Personendaten im Rahmen der Durchführung der obligatorischen Krankenversicherung für andere Krankenversicherer (Partnerversicherungen), welche basierend auf Vereinbarungen diese Bearbeitung an ÖKK übertragen haben. Die Vertragspartner sind unter Anhang 5 dieses Reglementes ersichtlich. Grundsätzlich erfolgen die Datenbearbeitungen im Auftrag von Partnerversicherungen gemäss den gleichen Prozessen und Abläufen wie für ÖKK selbst. Die Schnittstellen der Zusammenarbeit sowie allfällige Besonderheiten in den Datenbearbeitungsprozessen sind wie folgt geregelt und abgebildet: Die Datenbearbeitung für die Krankenversicherung Flaachtal (KVF), die ebenfalls der ÖKK- Gruppe angehört, ist im Bearbeitungsreglement KVF geregelt. Die technischen Schnittstellen sind im Anhang 6 dieses Bearbeitungsreglementes beschrieben. Die Datenbearbeitung sowie Netzwerkverbindung /-anbindung für externe Krankenversicherer sind in den jeweiligen Outsourcing-Vertragswerken umfassend geregelt. Die technischen Schnittstellen sind im Anhang 6 dieses Bearbeitungsreglementes beschrieben Liste Bekanntgabe der Daten Im ÖKK-Informationssystem DAS gilt eine Holschuld für Mitarbeitende, d.h. die involvierten Organisationseinheiten werden nicht automatisch mit Daten beliefert bzw. Mitarbeitende können Daten nicht weiterleiten, sondern müssen sich die notwendigen Daten abholen. Hierfür werden entsprechende Zugriffsberechtigungen benötigt. Für die Weitergabe von Daten an Dritte sind die Regelungen aus der Weisung Datenschutz [ ] zu befolgen (Kapitel Weitergabe von Personendaten). Auskünfte an die versicherten Personen (Kunden) werden nur nach den Vorgaben aus der Weisung Datenschutz [ ] erteilt (Kapitel Auskünfte). Daten aus dem ÖKK-Informationssystem DAS werden gemäss der Liste der technischen Schnittstellen Kap. 3.2 elektronisch oder an die nachfolgend aufgeführten Empfänger via anderen Medien bekanntgegeben. ÖKK hat mit allen Datenempfängern vertragliche Vereinbarungen abgeschlossen Auswertung und Messung Zur Prüfung, ob die bestehenden Auslenkungskriterien korrekt sind, werden Auswertungen vorgenommen. Es gibt folgende Auswertungskriterien: - Verhältnismässigkeit der Auslenkungsquote - Anteil Verhältnis Rechnungen Dunkelverarbeitungen Rechnungen aus Vorlagen (Auslenkung von PS I und PS II) - Auswertung Verhältnis von Einsparpotential und effektiv erreichter Einsparungen auf ausgelenkten Rechnungen Auf Basis dieser Erkenntnisse beurteilen wir, ob die bestehenden Auslenkungskriterien angepasst werden müssen oder nicht. Version /55

28 Die Auswertung erfolgt monatlich und wird durch den IT-Betrieb (Verantwortung Leiter IT-Betrieb) ausgeführt. Dies wird durch ein SQL-Skript vollzogen. Die Software SQL-Studio stellt eine automatisierte Verarbeitung und Zustellung sicher. Die Ergebnisse der Auswertung werden automatisch via Mail an den DSMS Owner (mit Kopie an den DSMS Manager) zugestellt. 7. Datenaufbewahrung und -löschung 7.1. Aufbewahrungsdauer, Löschung der Daten Im Allgemeinen Die Aufbewahrungsdauer der Daten entspricht den spezifischen gesetzlichen Bestimmungen und beträgt 10 Jahre (unter Berücksichtigung von Art. 127 OR, um die Folgen einer allfälligen Beweislosigkeit entgegenwirken zu können), sofern sich aus dem Inhalt keine längere Dauer ergibt. Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind die Daten aus dem ÖKK-Informationssystem DAS unwiederbringlich zu löschen sowie die Dokumente zu vernichten Im Besonderen: Fallakten Kolumbus Zur Bearbeitung und Überprüfung ausgelenkter Fälle im Kolumbus werden zusätzliche medizinische Berichte beim Leistungserbringer direkt durch das DRG-Team angefordert. Die medizinischen Berichte werden zwecks Bearbeitung und/oder Überprüfung zwischen den verschiedenen Prüfstufen nach Erhalt ausschliesslich in den Räumlichkeiten der DAS eingescannt und im Kolumbus unter dem zugehörigen Fall abgespeichert. Die eingescannten Berichte werden in einem Zwischenordner abgespeichert und von dort ins Kolumbus übertragen. Nach dem Scann-Vorgang werden die Papier-Berichte in einem nicht einsehbaren Container in den Räumlichkeiten der DAS gesammelt und wöchentlich durch ein DRG-Teammitglied persönlich geschreddert. Der elektronische Zwischenordner wird wöchentlich manuell gelöscht. Nach Abschluss des Falls werden die medizinischen Berichte im Kolumbus gemäss Kapitel archiviert. Nach Archivierung ist der Fall im Kolumbus, sofern nötig, nur noch vom VAD einsehbar Aufbewahrung der diagnosebasierten Daten nach Art. 59 Abs. 1 ter KVV Auf die diagnosebasierten Daten (MDS-Daten) sowie Diagnosedaten (z.b. CHOP), welche der Administration für die Abwicklung der Vergütung übermittelt werden, hat entsprechend den spezifischen gesetzlichen Bestimmungen während ihrer Aufbewahrungsdauer ausschliesslich der VAD Zugriff. Die Daten werden nicht zusätzlich pseudonymisiert, sondern die Daten werden dem Zugriff der Administration vollständig entzogen. Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind die Daten aus dem ÖKK-Informationssystem DAS unwiederbringlich zu löschen. Version /55

29 8. Technische und organisatorische Massnahmen 8.1. Räume mit besonderen Sicherheitsanforderungen Am Hauptsitz sind sämtliche Räumlichkeiten der ÖKK, in welchen besonders schützenswerte Personendaten bearbeitet werden, elektronisch und/oder mechanisch vor dem Zutritt unbefugter Personen gesichert. Das elektronische Schliesssystem am Hauptsitz (mittels persönlichem Badge) basiert auf einer eigenen Benutzerverwaltung. Die Logistik führt ein Protokoll über den Betrieb der Schliessvorrichtungen. Besonders sensitive Räume, wie DAS-Räume, VAD-Räume, die Technikräume und die Rechenzentren, sind wie folgt gesichert: Die elektronischen Datenträger in den von der ÖKK betriebenen Rechenzentren und dezentrale Server sind mit einer erhöhten Sicherheitsanforderung (Badge und Code) ausschliesslich für den Zugang spezifisch berechtigter Personen gesichert. Die elektronischen Datenträger in dezentralen Servern und Computern, welche nicht durch die IT der ÖKK betrieben werden, sind denselben Sicherheitsvorkehrungen unterstellt, wie diejenigen, welche durch diese selbst betrieben werden. Die Zugangskontrolle der DAS-Räume wird nachfolgend in Kapitel 8.2 sowie im Anhang 4 reglementiert. Die Zugangskontrolle der VAD-Räume wird im Bearbeitungsreglement Vertrauensärztlicher Dienst VAD [ ] sowie in Anhang 4 reglementiert Zugangskontrolle Die Mitarbeiter DAS, welche über einen Vertrag Hilfspersonen VAD verfügen, haben vollen Zutritt zu den Räumlichkeiten der DAS. Die Vergabe der Zugangsrechte erfolgt durch den DSMS-Owner DAS bei der Einstellung resp. bei Ausscheiden aus dem Arbeitsverhältnis. Die Zutritts- und Zugriffsberechtigungen sind in der ISMS Tool Box Pro dokumentiert. Andere Mitarbeiter der Versicherung können sich während der Anwesenheit der Mitarbeiter der DAS, zwecks Rücksprachen und Besprechungen, bei der DAS aufhalten. Mitarbeiter der Logistik und IT-Mitarbeiter können notwendige Arbeiten unter Aufsicht eines Mitarbeiters der DAS erledigen. Schlüssel können nicht an Drittpersonen weitergegeben werden. Die Abteilung Logistik und Liegenschaften führt ein Protokoll über den Betrieb der Schliessvorrichtungen. Ebenfalls in der Abteilung Logistik und Liegenschaften wird eine Liste der zutrittsberechtigten Personen geführt. In der Weisung Informationssicherheit [ ] werden Mitarbeitende verpflichtet, als vertraulich klassifizierte Unterlagen wegzuschliessen und den Computer vor Verlassen des Arbeitsplatzes zu sperren. Die Entsorgung von Papierdokumenten ist in der Weisung Datenschutz [ ] geregelt. Elektronische Datenträger werden durch ein zertifiziertes Entsorgungsunternehmen im Auftrag und unter Begleitung der Abteilung Betrieb Informatik fachgerecht entsorgt Notfallzutritt Die Räume der DAS sind nur durch berechtigte Personen zu betreten. Die Personen, welche zu diesen Räumen Zutritt haben, wurden vom DSMS-Owner DAS bestimmt. Die Logistik programmiert die Schlüssel bzw. die Badges dieser Mitarbeitenden entsprechend dessen Angaben. Es wird elektronisch dokumentiert, welche Personen Zutritt zu den Räumen des DAS haben. Diese Personen können die Räume des DAS dann mittels der programmierten Badges betreten. Betritt eine berechtigte Person den Raum, so verschliesst sich die Türe automatisch, sobald die Türe wieder ins Schloss fällt. Die Türen sind von innen her immer zu öffnen, indem die Türklinke nach unten gedrückt Version /55

30 wird. Von aussen her ist kein Zutritt möglich. In einer Notfallsituation ist es Personen ohne Zutrittsberechtigung nicht möglich, den Raum zu öffnen. Um die Türe im Notfall dennoch öffnen zu können, ist das Team Logistik telefonisch oder direkt zu kontaktieren. Nur die Mitarbeitenden der Logistik haben Zugang zum Generalpass, dem Pass, mit welchem sich sämtliche Türen des gesamten Gebäudes von aussen öffnen lassen. Der Logistikmitarbeitende begibt sich in das Untergeschoss, wo sich der Tresor befindet, in welchem der Generalpass aufbewahrt wird. Nur die Mitarbeitenden der Logistik haben den Code, mit welchem sich der Tresor öffnen lässt. Im Tresor befindet sich eine Liste, in welcher Datum, Zeit, Artikel (Generalpass) und der Grund der Entnahme einzutragen ist, das Journal. Der Eintrag ist zu visieren. Die Logistik öffnet dann den Raum. Danach wird der Generalpass durch die Logistik wieder im Untergeschoss in den Tresor gebracht und ein entsprechender Eintrag in das Journal vermerkt. Sämtliche erfolgten Zutritte in die zutrittsgeschützten Räume können nachkontrolliert werden. Jedes Betreten löst einen Eintrag im sogenannten Zutrittslogbuch aus. Wird die Türe durch den Generalpass geöffnet, so ist dies elektronisch im Zutrittslogbuch vermerkt. Das Zutrittslogbuch kann mit dem Journal abgeglichen werden, um zu prüfen, welche Person mittels Generalpass die zutrittsgeschützten Räume betreten hat Personendatenträgerkontrollen Durch informationstechnische Vorkehrungen ist es ausschliesslich berechtigten Personen möglich, Daten auf den elektronischen Datenträgern zu bearbeiten. Nur berechtigte Personen erhalten Zugriff auf das ÖKK-Informationssystem DAS und auf die Subsysteme. In der Weisung Informationssicherheit [ ] werden Weisungen für den Umgang mit klassifizierten Informationen/Daten der Stufe D3 ( hohe Datenschutzrelevanz ) und V3 ( ÖKK-VERTRAULICH ) erlassen. Die Bearbeitung der Daten erfolgt dabei ausschliesslich über Citrix Transportkontrolle Drucken/Massenversand Grosse Druckaufträge für den Massenversand werden nicht durch ÖKK vorgenommen, sondern durch die Centris AG. Dort werden diese Daten miteinander verknüpft, gedruckt und maschinell verpackt. Wenn der Massenversand erfolgreich erledigt wurde, werden die Daten gelöscht. Für das Alltagsgeschäft befindet sich ein Multifunktions-Drucker in den Räumlichkeiten der DAS Physische Datenträger Die Speicherung von D3-/V3-Daten auf physischen Datenträgern zum Transport erfolgt ausschliesslich verschlüsselt (siehe auch Weisung Informationssicherheit [ ]). Für den Transport per Kurier oder Post sind die Vorgaben der Weisung Informationssicherheit [ ] zu befolgen Netzwerk Das interne ÖKK-Netzwerk wird generell als vertraulich eingestuft. Datentransfers ausserhalb des Netzwerk erfolgen verschlüsselt oder mittels definierter Punkt zu Punkt Verbindung. ÖKK ist Teilnehmer des HIN-Netzwerkes, welches den verschlüsselten Mailversand zwischen allen Teilnehmenden ermöglicht (bspw. Ärzte, Spitäler). Version /55

31 8.6. Bekanntgabekontrolle Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, werden über die Schnittstellen identifiziert. Die Liste der technischen Schnittstellen ist in Kap. 3.2 ersichtlich Speicherkontrolle Die Benutzer erhalten spezifische Berechtigungen für Mutationen in den entsprechenden Subsystemen, die sie für die Erfüllung der nach dem Krankenversicherungsgesetz übertragenen Aufgaben benötigen. Die Berechtigungen werden periodisch überprüft (siehe auch Kap. 5.3) Daten dürfen nur auf Subsystemen von ÖKK oder den Outsourcer gespeichert werden. Eine Speicherung der D3- und V3-Daten auf privaten Geräten und in der Cloud ist gemäss Weisung Informationssicherheit [ ] untersagt. Anonymisierung und Pseudonymisierung von Daten ist in der Weisung Datenschutz [ ] definiert Benutzerkontrolle/Zugriffskontrolle Die Nutzung der Subsysteme, die schreibenden und lesenden Zugriffe sowie die Nutzung von Funktionen zur Datenübertragung werden durch Zugriffsberechtigungen gesteuert. Weisungen und Umsetzung der Zugriffskontrolle sind Kap. 5 zu entnehmen Eingabekontrolle/Protokollierung Die Nachvollziehbarkeit der Eingaben, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden, wird mittels Protokollierungen belegt (sowohl bei den Applikationen Syrius als auch Kolumbus). Für die Protokollierung und den sog. Audit Trail werden die in den Applikationen standardmässig vorhandenen Funktionalitäten und Logfiles verwendet. Die Protokollierung wird in Anwendung von Art. 10 VDSG durchgeführt. D. h., die Protokolle werden während eines Jahres revisionsgerecht festgehalten. Sie sind ausschliesslich den Organen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt und dürfen nur für diesen Zweck verwendet werden. Über die Protokollierung werden die Mitarbeitenden im Rahmen der ordentlichen Ausbildung und mittels Weisung Informationssicherheit [ ] informiert Massnahmen im Bereich der Endgeräte Es dürfen nur ÖKK-eigene Endgeräte oder speziell freigegebene Geräte am internen Netzwerk angeschlossen werden. Siehe Weisung Informationssicherheit [ ], die von sämtlichen Mitarbeitenden der ÖKK unterzeichnet wird. Die Endgeräte sind in zutrittsgeschützten Zonen platziert. Für den Umgang mit und die Datenspeicherung auf mobilen Endgeräten sind Vorgaben in der Weisung Informationssicherheit [ ] erlassen worden. Version /55

32 Ausgedruckte Daten werden so aufbewahrt, dass Drittpersonen (z.b. Raumpflegepersonal) diese nicht einsehen und/oder kopieren können. Diese Daten werden in Anwendung der Weisung Informationssicherheit [ ] verschlossen aufbewahrt Benutzerunterstützung und Meldepflicht Fachlich werden die Benutzer durch die Fachführungen der OE unterstützt. Die technische Unterstützung bezüglich Informatikmittel wird durch die ÖKK Informatik sowie von den jeweiligen Applikationseignern erbracht Die Benutzer sind über die Klassifizierung der im ÖKK-Informationssystem DAS bearbeitbaren Daten und die Vorschriften im Umgang mit dem System sowie den Daten orientiert. Die Bestimmungen sind in der Weisung Informationssicherheit [ ] beschrieben. Mögliche Sanktionen bei vorsätzlichen oder fahrlässigen Verletzungen der Informatiksicherheit sind den Benutzern bekannt. Sämtliche Benutzer sind verpflichtet, folgende Feststellungen den Applikationseignern zu melden: Fehler in den erfassten Daten; Fehler bei der Identität der registrierten Person (beispielsweise ungleiche Angaben zur gleichen Person in den verschiedenen Subsystemen); Fehler in den Stammdaten oder deren Strukturen; Beobachtete oder vermutete Schwachstellen bzw. Sicherheitsmängel des Systems; Nicht umgesetzte oder nicht eingehaltene Sicherheitsmassnahmen; Unvorhergesehene Ereignisse, die eine Auswirkung auf die Informatiksicherheit haben können; Bezüglich Datensammlung besteht gemäss Weisung Datenschutz [ ] eine Meldepflicht zu Handen des BDSV. 9. Rechte der Versicherten 9.1. Informationspflicht des Versicherers Art. 14 DSG verlangt die Information der betroffenen Person, wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschafft werden. Aufgrund des gesetzlichen Auftrags nach KVG zur Bearbeitung von Gesundheitsdaten gilt die Ausnahmeregelung nach Art. 14 Abs. 4 lit. a DSG, wonach die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die Speicherung oder die Bekanntgabe ausdrücklich durch das Gesetz vorgesehen ist Bekanntgabe von medizinischen Daten an Vertrauensärzte Die versicherte Person kann nach Art. 42 Abs. 5 KVG verlangen, dass der Leistungserbringer die medizinischen Angaben nur dem Vertrauensarzt oder der Vertrauensärztin des Versicherers nach Artikel 57 KVG bekannt gegeben wird. Ebenso ist in begründeten Fällen der Leistungserbringer berechtigt, anstelle der versicherten Person diese Vorgehensweise zu wählen. Version /55

33 9.3. Auskünfte über Datenbearbeitungen Jede Person kann von ÖKK Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Das Auskunftsrecht richtet sich nach Art. 8 f. DSG sowie Art. 1 f. VDSG. Die Auskunftsgesuche sind unter Beilage einer Kopie eines amtlichen Ausweises an die im Anhang 1 (Kontaktadressen) vermerkte Adresse zu richten. Das Auskunftsverfahren ist in der Weisung Datenschutz [ ] geregelt Berichtigungs- und Löschungsrechte Die Berichtigungs- und Löschungsrechte betroffener Personen richten sich nach Art. 5 Abs. 2 und Art. 25 DSG. Die Gesuche sind an die im Anhang 1 (Kontaktadressen) vermerkte Adresse zu richten. 10. Abschliessende Bestimmungen Anhänge Die im vorliegenden Bearbeitungsreglement erwähnten Anhänge sind integrierende Bestandteile dieses Bearbeitungsreglements: Anhang 1 (Kontaktadressen) Anhang 2 (Prozesse Zugriffsberechtigungen) Anhang 3 (Datenkategorien) Anhang 4 (Checklisten Personal DAS/VAD) Anhang 5 (Vertragspartner Insourcing) Anhang 6 (Technische Informationen Partnerversicherer) Die jeweiligen Applikationseigner verwalten die sie betreffenden Dokumentationen. Das Bearbeitungsreglement wird durch den BDSV geführt Änderungen des Reglements Das Bearbeitungsreglement wird gemäss Art. 11 VDSG regelmässig von den Eignern der Datensammlungen aktualisiert. Dieses Reglement kann jederzeit geändert werden. Änderungen bedürfen der Schriftform und der Zustimmung des Vorsitzenden der Geschäftsleitung und des BDSV. Verantwortung für die Nachführung dieses Bearbeitungsreglements trägt der BDSV Inkrafttreten Dieses Reglement inkl. Anhänge tritt per in Kraft. Version /55

34 Anhang 1: Kontaktadressen Auskunfts-, Berichtigungs- und Löschungsgesuch sind zu richten an: Auskunft zu Datenschutzfragen erteilt: Auskunft zu fachlichen Fragen erteilt: ÖKK Betrieblicher Datenschutzverantwortlicher Bahnhofstrasse Landquart Version /55

35 Anhang 2: Prozess Zugriffsberechtigungen Abbildung 3: Zugriffsberechtigungsprozess Syrius Version /55

36 Rollenbeschrieb KOLUMBUS Viewer Erfasser Sachbearbeiter Sachbearbeiterin DS Sachbearbeiterin VAD Sachbearbeiter MA Sachbearbeiterin VIP Regelkonfigurator Batchsteuerung Administrator Darf Fälle anschauen, nichts erfassen oder ändern und hat keinen Zugriff Auf Verwaltungsfunktionen (z.b. Regeleditor). Wie die Rolle "Viewer", darf aber zusätzlich Fälle erfassen und ändern. Wie die Rolle "Erfasser", darf aber auch Rechnungen freigeben oder zurückweisen sowie die Regeln im Regeleditor anschauen. Zusatzrolle für den "Sachbearbeiter", wenn dieser auch vertrauensärztliche Fälle bearbeiten dürfen soll. Das Kennzeichen wird mit dem Behandlungsfall übergeben (Datenschutz besonders schützenswert). Neue Rolle in KOLUMBUS SwissDRG ab Release Der Sachbearbeiter VAD darf zu jedem Zeitpunkt Einsicht in alle Falldaten nehmen. Dabei ist es unerheblich, ob die Daten beanstandenswert sind oder nicht. Zusatzrolle für den "Sachbearbeiter", wenn dieser auch Mitarbeiter- Fälle bearbeiten dürfen soll. Zusatzrolle für den Sachbearbeiter, wenn dieser auch VIP Fälle bearbeiten dürfen soll. Ändernder Zugriff auf das Regelwerk. Rolle zur Berechtigung der Ausführung von Batch-Operationen (z.b. Fallimport). Sämtliche Berechtigungen für alle Funktionen!! Viewer 3 MA Datawarehouse / Applikationen Erfasser -- Sachbearbeiter -- Sachbearbeiter DS 3 MA DAS Sachbearbeiter VAD 1 MA DAS Sachbearbeiter MA Team von 2 MA PUKV Sachbearbeiter VIP -- Regelkonfigurator 1 MA DAS; Genehmigung / Deaktivierung von Regeln erfolgt über BDSV Batchsteuerung ICT wird durch einen User (xkolumbus) geregelt Administrator ICT Postkörbe OE Prüfstufe I OE Prüfstufe II OE Prüfstufe III OE RVK Standard Postkorb Dunkelverarbeitung. Fälle chronologisch absteigend angeordnet Sachbearbeiterin PSII (siehe Tabelle oben) ordnen Sie die Fälle nach der Rollenzuteilung zu Postkorb der Vertrauensärzte. Wird von den Sachbearbeiterin PS II zur vertrauensärztlichen Abklärung manuell gefüllt. Dieser Postkorb wird durch die PS II (VA) zur weiteren Abklärung wenn notwendig) manuell gefüllt. Haben alle OE Zugriff. Version /55

37 Benutzerverwaltung Zugriffe KOLUMBUS (ÖKK Benutzer) Aktivität Ereignis / Ergebnis Wer Beschreibung / Hilfsmittel Antragsteller Benutzerberechtigung beantragen, ändern, löschen Ausgefüllter ÖKK Antrag (Zugriffsantrag KOLUMBUS) Die Zugriffsberechtigung wird ausschliesslich mit dem Zugriffsantrag für KOLUMBUS angefordert. Der Antrag wird hierzu ausgedruckt, ausgefüllt und den unterschriftsberechtigten Personen (BDSV, DSMS Owner, DSMS Manager, IT) zur Unterschrift weitergeleitet. Antrag genehmigen Ja Genehmigter Zugriffsantrag KOLUMBUS Fachbereiche DSMS Manager Der Fachbereich DSMS Manager prüft den Zugriffsantrag KOLUMBUS mittels Unterschrift. Der Zugriffsantrag wird an den Fachbereich DSMS Owner weitergeleitet. Genehmigter Zugriffsantrag KOLUMBUS (DSMS Manager) Genehmigter Zugriffsantrag KOLUMBUS Fachbereich DSMS Owner Der Fachbereich DSMS Owner prüft den Zugriffsantrag KOLUMBUS mittels Unterschrift. Der Zugriffsantrag wird an den Fachbereich BDSV weitergeleitet. Genehmigter Zugriffsantrag KOLUMBUS (DSMS Owner) ja Genehmigter Zugriffsantrag KOLUMBUS Fachbereich BDSV Der Fachbereich BDSV prüft den Zugriffsantrag KOLUMBUS mittels Unterschrift. Der Zugriffsantrag wird an den Fachbereich ICT weitergeleitet. Genehmigter Zugriffsantrag KOLUMBUS (BDSV) ja Genehmigter Zugriffsantrag KOLUMBUS Fachbereich ICT Der Fachbereich ICT prüft den Zugriffsantrag KOLUMBUS mittels Unterschrift. Der Zugriffsantrag wird nochmals geprüft und ausgeführt. Genehmigter und ausgeführter Zugriffsantrag KOLUMBUS ja Genehmigter und ausgeführter Zugriffsantrag KOLUMBUS Fachbereich BDSV Der Fachbereich BDSV prüft den von allen Fachbereichen genehmigten und ausgeführten Zugriffsantrag. Das Original des Zugriffsantrags wird beim BDSV abgelegt. Genehmigter Zugriffsantrag KOLUMBUS (alle Fachbereiche) Abgelegter Zugriffsantrag KOLUMBUS (Kopie) Fachbereich Personal Der Fachbereich Personal legt den Zugriffsantrag KOLUMBUS (Kopie) in das Personal-Dossier ab. Rollenbeschreibung Viewer Darf Fälle anschauen, nichts erfassen oder ändern und hat keinen Zugriff auf Verwaltungsfunktionen (z.b. Regeleditor). Erfasser Sachbearbeiter Wie die Rolle "Viewer", darf aber zusätzlich Fälle erfassen und ändern. Wie die Rolle "Erfasser", darf aber auch Rechnungen freigeben oder zurückweisen und darf sich die Regeln im Regeleditor anschauen. Sachbearbeiterin DS Zusatzrolle für den "Sachbearbeiter", wenn dieser auch vertrauensärztliche Fälle bearbeiten dürfen soll. Das Kennzeichen wird mit dem Behandlungsfall übergeben (Datenschutz besonders schützenswert). Sachbearbeiter VAD Sachbearbeiter MA Regelkonfigurator Batchsteuerung Administrator Neue Rolle in KOLUMBUS SwissDRG ab Release Der Sachbearbeiter VAD darf zu jedem Zeitpunkt Einsicht in alle Falldaten nehmen. Dabei ist es unerheblich, ob die Daten beanstandbar sind oder nicht. Zusatzrolle für den "Sachbearbeiter", wenn dieser auch Mitarbeiter- Fälle bearbeiten dürfen soll. Ändernder Zugriff auf das Regelwerk Rolle zur Berechtigung der Ausführung von Batch-Operationen (z.b. Fallimport) Sämtliche Berechtigungen für alle Funktionen Hauptprozess Zugriff- und Rollenverwaltung Version 1.0 Abbildung Prozess 4: Zugriffsantrag Zugriffsberechtigungsprozess KOLUMBUS Kolumbus Status in Arbeit Kontakt Mario Lutz Datum Version /55

38 Anhang 3: Datenkategorien Im Anmeldeformular für Datensammlungen des EDÖB sind verschiedene Kategorien gelistet die jedoch von den verwendeten Datenkategorien der ÖKK abweichen. Zusätzlich wird im vorliegenden Bearbeitungsreglement in den tabellarischen Listen von Datenarten ÖKK gesprochen. Die nachfolgende Tabelle zeigt das Mapping der verschiedenen Datenkategorien und Datenarten. Tabelle 11: Mapping Datenkategorien/-arten Datenkategorien EDÖB Datenkategorien ÖKK Datenarten ÖKK Adresse Name/Adresse/Tel Stammdaten Name, Vorname Geburtsdatum Geburtsdatum Geschlecht AHV-Nummer AHV-Nummer Familie Familienverhältnis Personalien Nationalität Nationalität Gesetzliche Vertretung Angehörige Religion Religion, Weltanschauung Politische Gesinnung, Parteizugehörigkeit Rassenzugehörigkeit Ausbildung Identität Beruf Arbeitsort Sprachen Gesundheit Gesundheit Rechnungs-, Leistungsdaten Gesundheits-, Diagnose- Einkommen Vermögen Finanzielle Situation Betreibungen Versicherungen Angaben zur Behinderung Intimsphäre Beurteilungen Massnahmen der sozialen Hilfe MCD Administrative/strafrechtliche Sanktionen Persönlichkeitsprofil Daten, Unfall- und Krankheitsdaten Zahlungsdaten, Inkassodaten, Mahnungen, Kostengutsprachen Offert- und Antragsdaten Vertragsdaten Deckungsdaten Tarif- und Produktdaten Auswertungs-/Statistikdaten Prämiendaten Version /55

39 Anhang 4 Checklisten Personal DAS/VAD ZertDAS Datenschutz Checklisten Personal Datenannahmestelle DAS Version /55

40 Eintritt DAS Name/Vorname: Funktion: Telefon: Abteilung: Vorgesetzter: Kurzzeichen: Eintritt: Ende Probezeit: Personaladministration vor Eintritt: Verantw. Relevant erledigt Arbeitsvertrag unterschrieben Personalbereich Sozialversicherungsnummer erhalten Personalbereich Angaben zu Bank- oder Postverbindung erhalten Personalbereich Auszug aus Strafregister erhalten Personalbereich Stellen- / Funktionsbeschreibung abgegeben Personalbereich Ja Nein Kinderzulagenantrag erstellt Personalbereich Ja Nein Quellensteuer angemeldet Personalbereich Ja Nein Zutrittsberechtigungen ÖKK und DAS Räumlichkeiten beantragt Personalbereich Zugriffsberechtigungen ÖKK Systeme / Software und Kolumbus beantragt Personalbereich Visitenkarte bestellt Personalbereich Personaldossier erstellt Personalbereich Personaladministration bei Eintritt: Verantw. Relevant erledigt Schlüssel ÖKK und Schlüssel zu Räumlichkeiten DAS abgegeben (Empfangsbestätigung unterschreiben lassen und in Logistik ablegen) Vorgesetzte Stelle Instruktion über Intranet erfolgt Personalbereich Instruktion über rechtliche Grundlagen und regulatorischen Vorgaben erfolgt Weisung Informationssicherheit und Benutzerweisung DAS abgegeben und Einverständniserklärung unterschrieben retour erhalten (Einverständniserklärung im Personaldossier ablegen) Geheimhaltungs- / Vertraulichkeitsvereinbarung, Schweigepflicht unterschrieben (Ablage im Personaldossier) 3_Schweigepflicht.pdf DSMS Manager DSMS Manager Personalbereich Ja Nein Ferienguthabenberechnung gemäss Eintritt erfolgt Personalbereich Instruktion DSMS und Kolumbus durchgeführt DSMS Manger Mitarbeiter im Lohnprogramm erfasst Personalbereich Datum, Visum Personalbereich Datum, Visum DSMS Manager DAS Version /55

41 Mutation / Übertritt DAS Name/Vorname: Funktion: Telefon: Abteilung: Vorgesetzter: Kurzzeichen: Übertrittsdatum: Personaladministration bei einer Mutation: Verantw. Relevant erledigt Auszug aus Strafregister Personalbereich Ja Nein Stellen- / Funktionsbeschreibung abgegeben Personalbereich Änderung der Zutrittsberechtigungen ÖKK und Erweiterung der Zutrittsberechtigungen auf die DAS Räumlichkeiten beantragt Änderung der Zugriffsberechtigungen ÖKK Systeme / Software und Erweiterung Kolumbus beantragt (ACHTUNG: Nicht mehr benötigte Zugriffsberechtigungen müssen entzogen werden) Personalbereich Personalbereich Visitenkarte bestellt Personalbereich Schlüssel zu Räumlichkeiten DAS abgegeben (Empfangsbestätigung unterschreiben lassen und in Logistik ablegen) Instruktion über rechtliche Grundlagen und regulatorischen Vorgaben erfolgt Benutzerweisung DAS abgegeben und Einverständniserklärung unterschrieben retour erhalten (Einverständniserklärung im Personaldossier ablegen) Personalbereich DSMS Manager DSMS Manager Instruktion DSMS und Kolumbus durchgeführt DSMS Manger Datum, Visum Personalbereich Datum, Visum DSMS Manager DAS Austritt DAS Name/Vorname: Letzte Funktion: Eintritt: Letzter Arbeitstag: Privat: Kurzzeichen: Vorgesetzter: Austritt: Eintrittsgespräch: Mobile Privat: Personaladministration: Verantw. Relevant erledigt Ferienabrechnung besprechen und unterzeichnen Vorgesetzte Stelle Auszahlung Ferien Personalbereich Ja Nein Austritt Pensionskasse Personalbereich PK Übertragung Freizügigkeitsleistungs Daten neuer Arbeitgeber ÖKK PVS Version /55

42 Infoschreiben Versicherungen abgegeben Personalbereich Zwischenzeugnis Personalbereich Ja Nein Schlusszeugnis Personalbereich Weiterbildungsverpflichtung Personalbereich Ja Nein Zugriffe deaktivieren / löschen lassen: Freistellung: deaktivieren Austritt: löschen Änderung von allgemeinen Kennwörtern im Bereich DAS (z.b. Administratoren Passwort) beauftragten / durchführen Personalbereich DSMS Manager Ja Nein Zutritt sperren lassen (ÖKK / Räumlichkeiten DAS) Personalbereich Zutrittsmittel und Wertgegenstände der ÖKK zurückerhalten: - Zutrittsmittel (Schlüssel / Badge) - Notebook - Mobile Devices Mitarbeiter wurde darauf aufmerksam gemacht, dass Schweigepflicht und Geheimhaltung weiter bestehen bleiben Vorgesetzte Stelle Personalbereich Datum, Visum Personalbereich Datum, Visum DSMS Manager DAS Version /55

43 ZertDAS Datenschutz Checklisten Personal Vertrauensärztlicher Dienst VAD Version /55

44 Eintritt VAD Name/Vorname: Funktion: Telefon: Abteilung: Vorgesetzter: Kurzzeichen: Eintritt: Ende Probezeit: Personaladministration vor Eintritt: Verantw. Relevant erledigt Arbeitsvertrag unterschrieben Personalbereich Sozialversicherungsnummer erhalten Personalbereich Angaben zu Bank- oder Postverbindung erhalten Personalbereich Auszug aus Strafregister erhalten Personalbereich Stellen- / Funktionsbeschreibung abgegeben Personalbereich Ja Nein Kinderzulagenantrag erstellt Personalbereich Ja Nein Quellensteuer angemeldet Personalbereich Ja Nein Zutrittsberechtigungen ÖKK und VAD Räumlichkeiten beantragt Personalbereich Zugriffsberechtigungen ÖKK Systeme / Software und FileMaker beantragt Personalbereich Visitenkarte bestellt Personalbereich Personaldossier erstellt Personalbereich Personaladministration bei Eintritt: Verantw. Relevant erledigt Schlüssel ÖKK und Schlüssel zu Räumlichkeiten VAD abgegeben (Empfangsbestätigung unterschreiben lassen und in Logistik ablegen) Vorgesetzte Stelle Instruktion über Intranet erfolgt Personalbereich Instruktion über rechtliche Grundlagen und regulatorischen Vorgaben erfolgt Weisung Informationssicherheit und Benutzerweisung VAD abgegeben und Einverständniserklärung unterschrieben retour erhalten (Einverständniserklärung im Personaldossier ablegen) DSMS Manager DSMS Manager Geheimhaltungs- / Vertraulichkeitsvereinbarung, Schweigepflicht unterschrieben (Ablage im Personaldossier) [3_Schweigepflicht.pdf] Personalbereich Ja Nein Ferienguthabenberechnung gemäss Eintritt erfolgt Personalbereich Instruktion DSMS und FileMaker durchgeführt DSMS Manger Mitarbeiter im Lohnprogramm erfasst Personalbereich Datum, Visum Personalbereich Datum, Visum DSMS Manager VAD Version /55

45 Mutation / Übertritt VAD Name/Vorname: Funktion: Telefon: Abteilung: Vorgesetzter: Kurzzeichen: Übertrittsdatum: Personaladministration bei einer Mutation: Verantw. Relevant erledigt Auszug aus Strafregister Personalbereich Ja Nein Stellen- / Funktionsbeschreibung abgegeben Personalbereich Änderung der Zutrittsberechtigungen ÖKK und Erweiterung der Zutrittsberechtigungen auf die VAD Räumlichkeiten beantragt Änderung der Zugriffsberechtigungen ÖKK Systeme / Software und Erweiterung FileMaker beantragt (ACHTUNG: Nicht mehr benötigte Zugriffsberechtigungen müssen entzogen werden) Personalbereich Personalbereich Visitenkarte bestellt Personalbereich Schlüssel zu Räumlichkeiten VAD abgegeben (Empfangsbestätigung unterschreiben lassen und in Logistik ablegen) Instruktion über rechtliche Grundlagen und regulatorischen Vorgaben erfolgt Benutzerweisung VAD abgegeben und Einverständniserklärung unterschrieben retour erhalten (Einverständniserklärung im Personaldossier ablegen) Logistik DSMS Manager DSMS Manager Instruktion DSMS und FileMaker durchgeführt DSMS Manger Datum, Visum Personalbereich Datum, Visum DSMS Manager VAD Austritt VAD Name/Vorname: Letzte Funktion: Eintritt: Letzter Arbeitstag: Privat: Kurzzeichen: Vorgesetzter: Austritt: Eintrittsgespräch: Mobile Privat: Personaladministration: Verantw. Relevant erledigt Ferienabrechnung besprechen und unterzeichnen Vorgesetzte Stelle Auszahlung Ferien Personalbereich Ja Nein Austritt Pensionskasse Personalbereich PK Übertragung Freizügigkeitsleistungs Daten neuer Arbeitgeber ÖKK PVS Infoschreiben Versicherungen abgegeben Personalbereich Version /55

46 Zwischenzeugnis Personalbereich Ja Nein Schlusszeugnis Personalbereich Weiterbildungsverpflichtung Personalbereich Ja Nein Zugriffe deaktivieren / löschen lassen: Freistellung: deaktivieren Austritt: löschen Änderung von allgemeinen Kennwörtern im Bereich VAD (z.b. Administratoren Passwort) beauftragten / durchführen Personalbereich DSMS Manager Ja Nein Zutritt sperren lassen (ÖKK / Räumlichkeiten VAD) Personalbereich Zutrittsmittel und Wertgegenstände der ÖKK zurückerhalten: - Zutrittsmittel (Schlüssel / Badge) - Notebook - Mobile Devices Mitarbeiter wurde darauf aufmerksam gemacht, dass Schweigepflicht und Geheimhaltung weiter bestehen bleiben Vorgesetzte Stelle Personalbereich Datum, Visum Personalbereich Datum, Visum DSMS Manager VAD Version /55

47 Anhang 5: Insourcing Vertragspartner Zu Ziff , Insourcing: Angabe der Vertragspartner Folgende Versicherungen haben die Bearbeitung von Personendaten im Bereich der Durchführung der obligatorischen Krankenversicherung an ÖKK übertragen: - Krankenversicherung Flaachtal AG (KVF) - Agrisano Krankenkasse AG - KMU Krankenversicherung (Stand ; Inbetriebnahme voraussichtlich ) Folgende Versicherung haben die Bearbeitung von Personendaten im Bereich Zusatzversicherungen (VVG) an die ÖKK übertragen: - ÖKK Versicherungen AG Version /55

48 Anhang 6: Technische Schnittstelle zu Insourcing- Vertragspartner gemäss Anhang 5 Verschiedene technische Schnittstellen ermöglichen den direkten Kontakt mit Leistungserbringern, welche für die Partnerversicherungen Leistungen erbringen. ÖKK wurde daher ermächtigt, Daten des Partnerversicherers direkt über die eigenen Schnittstellen zur Datenannahmestelle zu empfangen. In der Schnittstellenbeschreibung werden folgende Angaben zur Datenweitergabe (Bekanntgabe) festgehalten: Von wem stammen die Daten? Wer erhält die Daten? Zu welchem Zweck werden die Daten weitergegeben? Welche Daten werden weitergegeben? In welcher Periodizität werden die Daten weitergegeben (Intervall)? Von wem wurde die Weitergabe initiiert? Mit Hilfe welcher Medien werden die Daten weitergegeben? Die technische Beschreibung der verwendeten Netzwerke inkl. der Massnahmen zur Sicherstellung angemessener Übertragungssicherheit sind im jeweiligen Outsourcingvertrag umschrieben. 1. Technische Schnittstellen und genutzte Informatikmitteln von KVF Schnittstellen KVF: Auslöser Leistungserbringer (Spitäler) Medidata Centris (Dispatcher) Centris (Dispatcher) SFTP-Server ÖKK SFTP-Server Centris Medidata Centris: (Dispatcher) SFTP-Server Centris SFTP-Server ÖKK Kolumbus BBTi Elektronischer Empfang von Rechnungen und MCD Elektronischer Empfang von Rechnungen und MCD. Elektronischer Empfang von Rechnungen Administrative Prüfung der MCD Medizinisch-tarifarische Prüfung der Rechnungen Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen MCD und Rechnungsdaten MCD und Rechnungsdaten Rechnungsdaten MCD MCD Rechnungsdaten und Stammdaten Von Nach Zweck Datenarten KVF Periodizität Täglich / elektronisch Medium Täglich / elektronisch / elektronisch (sftp-server) Manuell Nach Bedarf Elektronisch Version /55

49 BBTi Kernsystem Kolumbus Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen Rechnungsdaten und Stammdaten Manuell Nach Bedarf Elektronisch Centris Die notwendigen Informatikmittel (Applikation, Datenbank, Betriebssystem, Netzwerk) werden vollständig durch die Centris AG betreut. Der Bezug der IT-Dienstleistungen ist vertraglich geregelt. Für den Empfang und den Transport der Daten, die Triage der DRG-Belege und die Weiterleitung der MCD besteht eine vertragliche Vereinbarung, in der die Centris AG die Verantwortung für die Durchführung der Bearbeitung personenbezogener oder sonstiger sensitiver Daten gemäss den schriftlichen Weisungen des Kunden sowie unter Einhaltung der geltenden Datenschutzbestimmungen und der firmeneigenen Richtlinien zur technischen und organisatorischen Datensicherung übernimmt. Innovas GmbH Auch für die Applikation Kolumbus besteht eine vertragliche Vereinbarung zwischen der ÖKK Kranken- und Unfallversicherungen AG und der Innovas GmbH, in welcher festgehalten wird, dass der Austausch von personenbezogenen Daten nach dem Zweck des Vertrages grundsätzlich ausgeschlossen ist. Sollten dennoch schützenswerte Personendaten zukommen, gilt die IT- Datenschutz-Vereinbarung von ÖKK, welche für alle IT-Dienstleister von ÖKK verbindlich ist. BBT Die Firma BBT AG in Root-Längenbold liefert die Software BBTI (Kernapplikation) der KFV. Die Zusammenarbeit zwischen KVF und der Firma BBT AG ist in einem Dienstleistungsvertrag geregelt, in welchem sich die Firma BBT AG verpflichtet sämtliche notwendigen Datenschutz- und Datensicherheitsmassnahmen organisatorischer, technischer und rechtlicher Natur vorzukehren und dabei die erhöhten Anforderungen des Datenschutzes im Hinblick auf besonders schützenswerte Daten zu beachten. Temporäre Zwischenlösung Aufgrund eines technischen Problems kann der oben beschriebene Prozess nicht umgesetzt werden. Bis zur Problemlösung wird der datenschutzrechtlich gangbare Prozess wie folgt angewendet: 1. sämtliche Leistungserbringer wurden mittels Serienbrief (Leistungserbringer sind eruiert) aufgefordert, auf dem elektronischen Weg nur noch die Rechnung im Format XML 4.4 OHNE MCD zu übermitteln. 2. Die Rechnung im Format XML 4.4 geht elektronisch zu Medidata und von dort ins BBTi. Dies entspricht dem bisherigen Vorgehen. 3. Die Rechnung wird von den zuständigen Sachbearbeiterinnen Flaachtal geprüft und in einen definierten Status gesetzt. 4. Die Abteilung DWH kann anhand des definierten Status erkennen, dass die entsprechende Rechnung zur Überprüfung in Kolumbus bereit ist. 5. Via bereits bestehende Schnittstelle (BBTi zu Kolumbus) werden die Rechnungen täglich automatisch ins Kolumbus importiert (ohne MCD). 6. In Kolumbus bestehen definierte Regeln: Prüfung von Rechnungen ohne MCD (sind gegenwärtig deaktiviert. Aktivierung kann zeitnahe und ohne grossen Aufwand erfolgen). 7. Anhand der definierten Prüfregeln im Kolumbus werden Rechnungen anhand des DRG ausgelenkt. Version /55

50 8. Bei auffälligen Rechnungen (ausgelenkt) werden MCD und sonstige Unterlagen beim Leistungserbringer einverlangt. Dieses Prozedere erfolgt über das DRG-Team z.h. des VAD und ist bereits zertifiziert. 9. Die nun eingeforderten MCD s werden manuell im Kolumbus erfasst. Danach startet die normale Dunkelverarbeitung (so wie es bereits gehandhabt wird, wenn wir Rechnung und MCD zusammen erhalten würden). 2. Technische Schnittstellen und genutzte Informatikmitteln von Agrisano Schnittstellen Agrisano: Von Nach Zweck Datenarten Agrisano Auslöser Leistungserbringer (Spitäler) Medidata H-Net Centris (Dispatcher) Centris (Server) Medidata H-Net Centris (Dispatcher) Centris (Server) Kalahari Elektronischer Empfang von Rechnungen und MCD Elektronischer Empfang von Rechnungen und MCD Empfang von Rechnungen Administrative Prüfung der Rechnungen MCD und Rechnungsdaten MCD und Rechnungsdaten Rechnungsdaten Rechnungsdaten Periodizität Medium Täglich / elektronisch / elektronisch (sftp-server) Centris (Dispatcher) SFTP-Server ÖKK Kalahari SFTP-Server ÖKK SFTP-Server ÖKK Kolumbus SFTP-Server ÖKK Kolumbus Administrative Prüfung der MCD Medizinisch-tarifarische Prüfung der Rechnungen Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen MCD MCD Stammdaten und Rechnungsdaten Stammdaten und Rechnungsdaten Nach Bedarf Nach Bedarf Manuell Manuell Elektronisch Elektronisch Centris Die notwendigen Informatikmittel (Applikation, Datenbank, Betriebssystem, Netzwerk) werden vollständig durch die Centris AG betreut. Der Bezug der IT-Dienstleistungen ist vertraglich geregelt. Für den Empfang und den Transport der Daten, die Triage der DRG-Belege und die Weiterleitung der MCD besteht eine vertragliche Vereinbarung, in der die Centris AG die Verantwortung für die Durchführung der Bearbeitung personenbezogener oder sonstiger sensitiver Daten gemäss den schriftlichen Weisungen des Kunden sowie unter Einhaltung der geltenden Version /55

51 Datenschutzbestimmungen und der firmeneigenen Richtlinien zur technischen und organisatorischen Datensicherung übernimmt. Innovas GmbH Auch für die Applikation Kolumbus besteht eine vertragliche Vereinbarung zwischen der ÖKK Kranken- und Unfallversicherungen AG und der Innovas GmbH, in welcher festgehalten wird, dass der Austausch von personenbezogenen Daten nach dem Zweck des Vertrages grundsätzlich ausgeschlossen ist. Sollten dennoch schützenswerte Personendaten zukommen, gilt die IT- Datenschutz-Vereinbarung von ÖKK, welche für alle IT-Dienstleister von ÖKK verbindlich ist. Kernsystem Kalahari Die Agrisano Krankenkasse AG bearbeitet Daten mit einem selber entwickelten und betreuten EDV-Programm (Kalahari). Kalahari ist eine klassische Client Server Anwendung, in Powerbuilder programmiert, auf dem Datenmanagementsystem (DMS) MS SQL Server basierend. Mit Kalahari werden sämtliche Versichertendaten gepflegt (Versicherungsverträge, Debitoren- Kreditorenbuchhaltung, Leistungsverarbeitung usw.). Das DMS wird durch den Geschäftsbereich IT der Agrisano betrieben. Sämtliche Mitarbeiterinnen und Mitarbeiter sind bei ihrer Tätigkeit an die gesetzlichen Vorgeben gebunden. Version /55

52 3. Technische Schnittstellen und genutzte Informatikmitteln von KMU (nicht vollständig Angaben Mandant fehlen) Schnittstellen KMU: Auslöser Leistungserbringer (Spitäler) Medidata H-Net Centris (Dispatcher) Centris (Server) Medidata H-Net Centris (Dispatcher) Centris (Server) TDA Elektronischer Empfang von Rechnungen und MCD Elektronischer Empfang von Rechnungen und MCD Empfang von Rechnungen Administrative Prüfung der Rechnungen MCD und Rechnungsdaten MCD und Rechnungsdaten Rechnungsdaten Rechnungsdaten TDA Syrius Freigabe Rechnungen Rechnungsdaten Nach Bedarf Von Nach Zweck Datenarten kmu Periodizität Medium Täglich / elektronisch / elektronisch (sftp-server) Centris (Dispatcher) SFTP-Server ÖKK Syrius SFTP-Server ÖKK SFTP-Server ÖKK Kolumbus SFTP-Server ÖKK Kolumbus Administrative Prüfung der MCD Medizinisch-tarifarische Prüfung der Rechnungen Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen Übertragung von Managementinformationen Medizinisch-tarifarische Prüfung von Rechnungen, Durchführen von Plausibilitätskontrollen MCD MCD Stammdaten und Rechnungsdaten Stammdaten und Rechnungsdaten Täglich / elektronisch / elektronisch (sftp-server) Täglich / elektronisch / elektronisch (sftp-server) Nach Bedarf Nach Bedarf Manuell Manuell Elektronisch Elektronisch Centris Centris ist ein Dienstleister für Kranken- und Unfallversicherer. Die notwendigen Informatikmittel (Applikation, Datenbank, Betriebssystem, Netzwerk, usw.) werden vollständig durch die Centris AG betreut. Der Bezug der IT-Dienstleistungen ist vertraglich geregelt. Innovas GmbH Auch für die Applikation Kolumbus besteht eine vertragliche Vereinbarung zwischen der ÖKK Kranken- und Unfallversicherungen AG und der Innovas GmbH, in welcher festgehalten wird, dass der Version /55

53 Austausch von personenbezogenen Daten nach dem Zweck des Vertrages grundsätzlich ausgeschlossen ist. Sollten dennoch schützenswerte Personendaten zukommen, gilt die IT- Datenschutz-Vereinbarung von ÖKK, welche für alle IT-Dienstleister von ÖKK verbindlich ist. Syrius Kernapplikation für die Durchführung des Versicherungsgeschäfts für Privat- und Unternehmenskunden. Syrius ist das wichtigste System von KMU. Es stellt das eigentliche Nervenzentrum dar, da mit dieser Anwendung die zentralen Prämien- und Leistungsdaten verarbeitet werden. Syrius ist eine speziell für Krankenkassen entwickelte Anwendung. Syrius basiert auf mandantenfähigen, produkt- und segmentbezogenen Anwendungen. Das Syrius Resolution ist modular aufgebaut und unterteilt in die Prämien-, Leistungs- und Debi-torenanwendung. Version /55

54 Anhang 7: Bearbeitung von Papierrechnung DRG und MCD [ ] Version /55