2. INHABER, DATENOWNER UND VERWALTER DER DATENSAMMLUNG TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN NACH ART. 9 VDSG... 9

Transkript

1

2 Inhaltsverzeichnis 1. ABKÜRZUNGEN INHABER, DATENOWNER UND VERWALTER DER DATENSAMMLUNG APPLIKATION ART UND ZWECK DER DATENSAMMLUNG ERFASSTE PERSONENDATEN UND HERKUNFT DER DATEN DATENAUSTAUSCH / SCHNITTSTELLENBESCHREIBUNG Datenaustausch / Schnittstellen mit externen Stellen Daten-Import Daten-Export Datenaustausch / Schnittstellen mit internen Stellen Daten-Import Daten-Export DATENÜBERMITTLUNG INS AUSLAND ZUGRIFFSBERECHTIGUNG TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN NACH ART. 9 VDSG Zugangskontrolle Personenträgerkontrolle Authentifizierung Bekanntgabekontrolle Chiffrierung Speicherkontrolle Mobile Speichergeräte Home Office Protokollierung Programmentwicklung Backup / Restore Schulung VERFAHREN ZUR AUSÜBUNG DES AUSKUNFTSRECHTS (ART. 21 ABS. 2 LIT. I VDSG) MITGELTENDE BESTIMMUNGEN Weisung Handbuch Prozess SCHLUSSBESTIMMUNG UND INKRAFTTRETEN...13 Bearbeitungsreglement Datensammlung Seite 2 von 13

3 1. Abkürzungen Datensammlung DMS DRG DSB DSG EDÖB KVG MCD Datensammlung Dokumenten Management System (elektronisches Archiv) Diagnosis Related Groups. Dabei handelt es sich um ein Patientenklassifikationssystem, das Patienten anhand von medizinischen und weiteren Kriterien, wie z.b. Diagnosen, Behandlungen, Aufenthaltsdauer usw., in möglichst homogene Gruppen einteilt Datenschutzbeauftragter der Sanitas Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Datenschutzgesetz) Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Bundesgesetz vom 18. März 1994 über die Krankenversicherung (Krankenversicherungsgesetz) Das Minimal Clinical Dataset bezeichnet die Angaben, welche für die Krankenversicherung zur Kontrolle der Spitalrechnungen nötig sind. Dazu gehören auch die Diagnosen und Prozeduren. VDSG Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 VVG VA VAD Bundesgesetz vom 2. April 1908 über den Versicherungsvertrag (Versicherungsvertragsgesetz) Vertrauensarzt Vertrauensärztlicher Dienst 2. Inhaber, Datenowner und Verwalter der Datensammlung Inhaberin der Datensammlung gem. Art. 3 lit. 1 DSG ist die Sanitas Grundversicherungen AG. Die Sanitas Gruppengesellschaften haben die Leistungserbringung innerhalb der Sanitas Gruppe mit Vertrag vom 28. Juni 2008 geregelt. Die Inhaberin der Datensammlung schliesst mit den anderen Gruppengesellschaften eine jährlich neu auszuhandelnde Dienstleistungsvereinbarung ab, in der die zu erbringenden Dienstleistungen geregelt werden. Die Sanitas Grundversicherungen AG betreibt für die in der OKP tätigen Gesellschaften der Sanitas Gruppe eine Datenannahmestelle gemäss Art. 59a KVV. Die Datensammlung liegt im Zuständigkeitsbereich des Departements/Bereichs BC & ICT. Bearbeitungsreglement Datensammlung Seite 3 von 13

4 Da es sich aber bei den bearbeiteten Daten in erster Linie um hochsensitive Personendaten für die Leistungsabwicklung handelt, ist der Leiter des Dept. Leistungen insbesondere für Fragen der Zugriffe und der diversen Leistungsprozesse zuständig. Zudem obliegen auch dem Datenschutzbeauftragten von Sanitas diverse Aufgaben im Rahmen seines Aufgabengebiets. Datenowner gemäss Weisung A-0015 «Datensammlungen und Bearbeitungsreglemente» ist der Leiter DAS. Er trägt die Gesamtverantwortung für die Datensammlung. Verwalter der Datensammlung ist der Leiter IT-Delivery Leistungen. Er ist für die administrativen Belange der Datensammlung zuständig. Da die Sanitas einen Datenschutzbeauftragten (DSB) ernannt hat, ist diese Datensammlung nicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 16 VDSG gemeldet. 3. Applikation Die Datensammlung läuft auf der Applikation Kolumbus. Der Betrieb der Applikation wurde gestützt auf Art. 84 KVG bzw. Art. 10a DSG an die Bedag Informatik AG ausgelagert. Der Applikationsowner bei Sanitas ist der Leiter IT Delivery Leistungen. Die Server, auf denen die Applikation betrieben wird, stehen im: Rechenzentrum 1: Wettingen, Hardstrasse 73 Rechenzentrum 2: Bern, Engehaldenstrasse 12 Der Vertrag mit der Bedag Informatik AG (Vertrag Nr. 1264) enthält im Anhang 4 spezifische Datenschutz- und Datenbearbeitungsklauseln. 4. Art und Zweck der Datensammlung Im Kolumbus werden die Datensätze mit den medizinischen Rechnungsdaten (MCD) gemäss SwissDRG, welche Sanitas von den Spitälern erhält, bearbeitet. Mit Kolumbus wird mittels einer vollständig automatisierten Rechnungskontrolle, auch Dunkelprüfung genannt, eine Triage der Rechnungen vorgenommen. Sog. unauffällige Rechnungen werden zur Zahlung freigegeben, ohne dass ein Mitarbeitender der Leistungsadministration von Sanitas die Rechnung und namentlich das MCD sieht. Auffällige Rechnungen werden zur genaueren Überprüfung herausgefiltert und der Leistungsadministration von Sanitas zur Einsicht zur Verfügung gestellt. Bei der Datensammlung handelt es sich um eine automatisierte Datensammlung gemäss Art. 21 VDSG. Von einem Spital einverlangte MCD auf Papier werden umgehend nach der Erfassung im Kolumbus vernichtet, unaufgefordert zugestellte MCD werden sofort vernichtet. Bearbeitungsreglement Datensammlung Seite 4 von 13

5 5. Erfasste Personendaten und Herkunft der Daten In der Datensammlung werden Daten von natürlichen Personen gesammelt. Zudem ist über die ZSR- Nummer ersichtlich, welcher Leistungserbringer / welches Spital die Behandlung durchgeführt bzw. die Rechnung und das MCD zugestellt hat. Folgende Kategorien von Personendaten werden in der Datensammlung erfasst: Kategorie Stammdaten Vertragsdaten Leistungsdaten Rechnungsdaten Leistungserbringer Beschreibung Name, Vorname, Adresse, Geburtsdatum, Geschlecht, Mitarbeiter- Flag Policen-Nr., Versicherungsbeginn / -ende, Demographische Daten DRG-Hauptdiagnose, Nebendiagnosen, CHOP-Code, Behandlungsdatum (Eintritt/Austritt), Behandlungsgrund, Eintrittsindikation, Eintrittsund Entlassungsart, Ort vor Spitaleintritt, Ort und Behandlung nach Austritt, Geburtsinformationen, Intensiv-Datensatz Fallnummer, Rechnungsnummer, Abrechnungsdatum, Rechnungsbetrag ZSR-Nummer, Name und Adresse des Spitals Bei den Leistungsdaten handelt es sich um besonders schützenswerte Daten gemäss Art. 3 lit. c DSG, sofern sie einem Versicherten zugeordnet werden können. Bearbeitungsreglement Datensammlung Seite 5 von 13

6 6. Datenaustausch / Schnittstellenbeschreibung 6.1. Datenaustausch / Schnittstellen mit externen Stellen In den nachfolgenden Tabellen ist der Datenaustausch (Datenimport bzw. export) mit Dritten ausserhalb der Sanitas Gruppe dargestellt Daten-Import Von Zweck Daten/-kategorie Periodizität (z.b. wöchentlich, monatlich, sporadisch) Auslöser (manuell / System) Medium ( , CD, Batch- Filetransfer, etc.) Gesetzliche/ Vertragliche Grundlage Vertrag mit Datenlieferant 1 Leistungserbringer Leistungsabrechnung Siehe Ziff. 5 laufend System Filetransfer Art. 42 / 56 KVG Art. 59a KVV Mit Spitälern - Bemerkungen: Daten-Export Empfänger Zweck Daten/-kategorie Periodizität (z.b. wöchentlich, monatlich, sporadisch) Auslöser (manuell / System) Medium ( , CD, Batch- Filetransfer, etc.) Gesetzliche/ Vertragliche Grundlage Vertrag mit Datenempfänger - - Bemerkungen: Es gibt keinen Datenexport 1 Sanitas-ID gemäss Vertragsdatenbank ContractX, bzw. pauschal Vertrag mit Leistungserbringer. Bearbeitungsreglement Datensammlung Datenannahmestelle Sanitas Seite 6 von 13

7 6.2. Datenaustausch / Schnittstellen mit internen Stellen In den nachfolgenden Tabellen ist der Datenaustausch mit anderen Datensammlungen bzw. mit anderen Stellen/Bereichen innerhalb der Sanitas Gruppe dargestellt Daten-Import Von Zweck Daten/-kategorie Periodizität (z.b. wöchentlich, monatlich, sporadisch) Auslöser (manuell / System) Medium ( , CD, Batch-Filetransfer, etc.) Heureka Import von elektronsich Siehe Ziff. 5 Montag bis Samstag, mehr- System (Quarz- Java-Programm, Webservice Schnitt- übermittelten Rechnungs mals täglich Scheduler) stelle und MCD Daten Heureka Import der Versicherungsnehmer Stammdaten Stammdaten Montag bis Freitag (Delta) System Datenbankreplikation Leistungerbringer Vertragdatenbank Import der Spitalbaserates sowie der kantonalen Kostenteiler und kantonalen Referenzbaserates Referenzdaten jährlich manuell Excel-File Bemerkungen: Bearbeitungsreglement Datensammlung Seite 7 von 13

8 Daten-Export Nach Zweck Daten/-kategorie Periodizität (z.b. wöchentlich, monatlich, sporadisch) Auslöser (manuell / System) Medium ( , CD, Batch-Filetransfer, etc.) Kolumbus-DWH Erstellung von Es werden alle wöchentlich System DB Script Auswertungen, insb. zur Datenkategorien ins DWH Regelwerkseinstellung überführt Bemerkungen: Die Daten im DWH werden anonymisiert, d.h. die Personen, welche Auswertungen vornehmen, sehen keine Versichertennamen und keine Kunden-, Vertrags- oder Rechnungsnummer. Bearbeitungsreglement Datensammlung Seite 8 von 13

9 7. Datenübermittlung ins Ausland Es werden keine Daten ins Ausland übermittelt. 8. Zugriffsberechtigung Der Zugriff auf die Datensammlung wird nur berechtigten Personen gewährt. Zugriff haben grundsätzlich alle in der obligatorischen Grundversicherung tätigen Gruppengesellschaften. Zugriff auf die Datensammlung haben Mitarbeitende aus den drei Segmenten bzw. der sechs Service Center von Sanitas (sog. SB-DRG). Es erhalten nur diejenigen Mitarbeitenden Zugriff auf Kolumbus, welche diesen für die Erledigung ihrer Arbeit effektiv benötigen. Die Anzahl der zugriffsberechtigten Personen richtet sich nach der Anzahl zu bearbeitender DRG-Rechnungen pro Segment. Zudem wird die Stellvertretung sichergestellt. Für komplexe Fälle wird zudem der Zugriff auch speziell ausgebildeten Codiererinnen gewährt. Fälle von Mitarbeitenden von Sanitas werden nur bestimmten Personen, welche organisatorisch dem VAD unterstellt sind, zugewiesen (Siehe Weisung A-0003). MCD, die vom Leistungserbringer gestützt auf Art. 42 Abs. 4 KVG mit dem sog. VA-Flag versehen werden, werden im Kolumbus verarbeitet. Auffällige Rechnungen werden ausgelenkt und von Mitarbeitenden im VAD bearbeitet, welche vom VA hierfür benannt werden. Die individuellen Zugriffsberechtigungen sind im Zugriffskonzept der Datenannahmestelle geregelt. Zugriff auf die Datensammlung haben ca. 20 Personen. Externe Dritte haben mit Ausnahme der Bedag Informatik AG keinen Zugriff. Administrative Zugriffe auf die Datenbanken der Umsysteme haben nur wenigen Personen der IT bzw. der Outsourcing-Partner. 9. Technische und organisatorische Massnahmen nach Art. 9 VDSG 9.1. Zugangskontrolle Sämtliche Räumlichkeiten von Sanitas sind elektronisch vor dem Zugang durch unbefugte Personen gesichert. Details sind im Zutrittskonzept und in der daraus abgeleiteten Weisung A-0017 «Zutritt von Gebäuden und Räumen Badgeverwaltung» geregelt. Die Zutritte werden über die Applikation «KA- BA EXOS 9300» für das elektronische Zugriffsmanagement verwaltet und protokolliert. Für die Vergabe von Zutrittsberechtigungen an Mitarbeitende und Dritte werden sämtliche Standorte/Gebäude/Räume aufgrund ihres Schutzbedarfes in (Sicherheits-) Zonen eingeteilt und einer Sicherheitsstufe zugewiesen. Der Schutzbedarf eines Raumes wird anhand der im Raum befindlichen materiellen und immateriellen Werte (z.b. Informationen, Personendaten) sowie anhand der Bedro- Bearbeitungsreglement Datensammlung Datenannahmestelle Sanitas Seite 9 von 13

10 hungslage bestimmt. Die Räume des VAD oder technische Räume sind der höchsten Schutzzone zugewiesen und dürfen nur von namentlich bekannten Personen betreten werden. Die Räume des VAD sind von der Administration getrennt. Als zusätzliche Sicherheitsmassnahme wurde für die Mitarbeitenden mit Zugriff auf ausgesteuerte MCD separate Büros eingerichtet, die batchgesichert sind. In diese Räumlichkeiten haben nur für die Bearbeitung von MCD berechtigte Mitarbeitende Zutritt. Der Zutritt zu den Räumen der Bedag Informatik AG bzw. der IBM Schweiz AG ist ebenfalls gesichert (Siehe Zutrittskonzept der Bedag bzw. von IBM) Personenträgerkontrolle Durch informationstechnische Vorkehrungen können ausschliesslich berechtigte Personen Daten in Kolumbus und in den weiteren Umsystemen bearbeiten bzw. einsehen Authentifizierung Der Zugriff auf die Systeme von Sanitas ist durch die User-ID kombiniert mit einem zeitlich befristeten Passwort geschützt. Der Umgang mit Passwörtern ist in der Weisung A-0021 «Informatik- und Telekommunikationsmittel am Arbeitsplatz» geregelt Bekanntgabekontrolle Nicht nötig, da keine Daten an Dritte bekannt gegeben werden Chiffrierung Da die Daten genügend gesichert sind und eine Chiffrierung vom Gesetzgeber nicht verlangt wird, werden die Daten nicht chiffriert Speicherkontrolle Die Benutzer haben aufgrund ihrer Rolle und den damit verbundenen Zugriffsrechten im Kolumbus die Möglichkeit, Datenfelder zu mutieren bzw. Simulationen durchzuführen, welche zu Mutationen führen können 9.7. Mobile Speichergeräte Der Umgang mit mobilen Speichergeräten ist in der Weisung A-0013 geregelt. Bearbeitungsreglement Datensammlung Seite 10 von 13

11 9.8. Home Office Die VDI Technologie (Virtuell Desktop Infrastruktur) erlaubt das Log-In vom privaten Computer auf die gesamten Sanitas IT Applikationen. Damit wird das Arbeiten von zuhause aus grundsätzlich möglich (Siehe Weisung A-0022 «Home Office bei Sanitas»). Der Zugang ist nur mit einem Sicherheits-Token möglich Protokollierung Die Bearbeitung von Daten durch berechtigte Benutzer wird im Kolumbus protokolliert. Es werden für die Ereignisse Anlage, Letzte Bearbeitung, Stornierung, Freigabe und Prüfstatus jeweils Datum/Zeit und der User festgehalten. Diese Informationen werden während eines Jahres revisionssicher aufbewahrt. Innerhalb Heureka werden die via EDI eingegangenen MCD Daten in einer separaten DB2-Datenbank gespeichert und somit vollständig dem Zugriff der Administration entzogen Programmentwicklung Es wird eine Trennung zwischen Entwicklung, Test und Produktion eingehalten Backup / Restore Das Backup der Daten ist im Vertrag Nr. 1273, Servicevertrag Nr. 5.1 mit der Bedag Informatik AG geregelt. Die Wiederbeschaffung ist dank des Backup Systems innert 1 Tages möglich Schulung Die zugriffsberechtigten Mitarbeitenden werden regelmässig fach- und anwendungstechnisch sowie in Bezug auf den Datenschutz geschult. 10. Verfahren zur Ausübung des Auskunftsrechts (Art. 21 Abs. 2 lit. i VDSG) Das Auskunftsrecht wird detailliert in der Weisung A-0018 «Auskunftsverfahren nach Datenschutzgesetz behandelt» geregelt. Grundsätzlich gilt, dass Auskunftsbegehren schriftlich und unter Beilage eines Identitätsnachweises erfolgen müssen. 11. Mitgeltende Bestimmungen Folgende Weisungen, Handbücher und Prozesse sind auf die Datensammlung bzw. dieses Reglement anwendbar: Bearbeitungsreglement Datensammlung Seite 11 von 13

12 11.1. Weisung Nummer Titel Betrifft insb. Ziffer im Reglement A-0003 Umgang mit Mitarbeiterdaten in der Sanitas 8 A-0013 Umgang mit mobilen Speichermedien 9.7 A-0014 Datenschutz A-0015 Datensammlungen und Bearbeitungsreglemente A-0017 Zutritt zu Gebäuden und Räumen - Badgeverwaltung 9.1 A-0018 Auskunftsverfahren nach Datenschutzgesetz 11 A-0021 Informatik- und Telekommunikationsmittel am Arbeitsplatz 9.3 A-0022 Home Office bei Sanitas 9.8 L.W-0240 L.W-0244 Medizinische Prüfung SwissDRG-Rechnungen bei zertifizierter Datenannahmestelle Umgang mit medizinischen Daten und KOLUMBUS bei zertifizierter Datenannahmestelle Handbuch Titel Betrifft insb. Ziffer im Reglement KOLUMBUS SwissDRG , Anwenderhandbuch KOLUMBUS SwissDRG Prozess Name/Nummer Titel EDI DRG Admin Abrechnung EDI MCD Kolumbus Abrechnung Einstellungen Regelwerk Kolumbus Papier DRG Admin Abrechnung Papier MCD Kolumbus Abrechnung Bearbeitungsreglement Datensammlung Seite 12 von 13

13 12. Schlussbestimmung und Inkrafttreten Der Datenowner bzw. der Verwalter kontrolliert mindestens einmal pro Jahr, im Rahmen der Überprüfung nach IKS, ob das Bearbeitungsreglement und die interne Anmeldung der Datensammlung beim DSB noch aktuell sind. Er meldet das Ergebnis seiner Kontrolle dem DSB von Sanitas. Das Reglement tritt am in Kraft. Bearbeitungsreglement Datensammlung Seite 13 von 13