Richtlinie zur Informationssicherheitspolitik der EGK-Gesundheitskasse

Transkript

1 Richtlinie zur Informationssicherheitspolitik der EGK-Gesundheitskasse Die EGK-Gesundheitskasse umfasst die Stiftung EGK-Gesundheitskasse mit den ihr angegliederten Aktiengesellschaften: EGK Grundversicherungen AG (Versicherungsträger der obligatorischen Krankenpflegeversicherung nach KVG), EGK Privatversicherungen AG (Versicherungsträger der Zusatzversicherungen nach VVG) sowie EGK Services AG. EGK-Gesundheitskasse Brislachstrasse 2, 4242 Laufen T , F info@egk.ch,

2 Wichtige Informationen zum Dokument Dokumentenklasse: ICT-Rahmendokumentation Dokumententitel: Richtlinie zur Informationssicherheitspolitik der EGK-Gesundheitskasse Verantwortlicher Autor: Kilian Schmidlin Dateiname: Informationssicherheitspolitik V1.2 Erstellung begonnen am: Letzte Bearbeitung am: Seitenzahl: 8 Vertraulichkeitsstufe: V1 öffentlich Versionsnummer: 1.2 Bearbeitungsstatus: Freigegeben Freigabe am: Freigegeben durch: Geschäftsleitung Die EGK-Gesundheitskasse umfasst die Stiftung EGK-Gesundheitskasse mit den ihr angegliederten Aktiengesellschaften: EGK Grundversicherungen AG (Versicherungsträger der obligatorischen Krankenpflegeversicherung nach KVG), EGK Privatversicherungen AG (Versicherungsträger der Zusatzversicherungen nach VVG) sowie EGK Services AG. EGK-Gesundheitskasse Brislachstrasse 2, 4242 Laufen T , F info@egk.ch,

3 Inhaltsverzeichnis Inhaltsverzeichnis Geltungsbereich Zweck Sicherheitsziele der EGK ICT-Betrieb Grundsätze Verantwortung Klassifizierung von Daten / Informationen / Dokumenten Abkürzungsverzeichnis Überprüfung Änderungsnachweis

4 1 Geltungsbereich Die Firmenbezeichnung EGK-Gesundheitskasse, nachfolgend EGK genannt, umfasst die Stiftung EGK-Gesundheitskasse mit den ihr angegliederten Aktiengesellschaften: EGK Grundversicherungen AG (Versicherungsträger der obligatorischen Krankenpflegeversicherung nach KVG), EGK Privatversicherungen AG (Versicherungsträger der Zusatzversicherungen nach VVG) sowie EGK Services AG. Die Informationssicherheitspolitik der EGK gilt für alle Firmen der EGK-Gruppe. 2 Zweck Entsprechend dem Leitbild der EGK-Gesundheitskasse schützen und respektieren wir die Privatsphäre unserer Kunden. Dies bedeutet, dass wir sorgfältig mit den uns zur Verfügung gestellten und von uns bearbeiteten Daten umgehen. So ist es auch im Verhaltenskodex und in mehreren Reglementen festgehalten. Diese Grundsätze geben den Rahmen für die Informationssicherheitspolitik der EGK vor. Informationen und Daten, insbesondere Personen- und Gesundheitsdaten der Versicherten, sind für die Erfüllung unseres gesetzlichen Auftrags gemäss KVG in der Obligatorischen Krankenpflegeversicherung (Grundversicherung) sowie für die vertragskonforme Abwicklung der Zusatzversicherungen nach VVG von zentraler Bedeutung. Unsere Datenschutz- und Sicherheitsmassnahmen dienen dazu, schädigende Ereignisse möglichst zu verhindern, respektive deren Häufigkeit und Auswirkungen zu reduzieren sowie in einem tragbaren und verhältnismässigen Rahmen zu halten. 3 Sicherheitsziele der EGK Aufrechterhaltung der zentralen Geschäftsprozesse. Hohes Sicherheitsniveau, Stabilität, Kontinuität und Qualität bei der Bearbeitung von Daten und Informationen sowie der Erbringung von Dienstleistungen unter Berücksichtigung der gesetzlichen Vorgaben, des Prinzips der Verhältnismässigkeit und vertretbaren ökonomischen Aspekten. Verhinderung von Reputations- oder finanziellen Schäden für die EGK durch Verlust von Daten oder Informationen, beziehungsweise durch Kenntnisnahme von Daten und Informationen durch unberechtigte Dritte. Hohes Sicherheits- und Datenschutzbewusstsein der Mitarbeitenden auf allen Stufen und in allen Geschäftsbereichen. 4 ICT-Betrieb Die EGK hat den Betrieb ihrer Kernapplikation an die Centris AG in Solothurn ausgelagert. Diese ist ein professioneller, zertifizierter Branchendienstleister, der für mehrere Krankenversicherer die Swiss Health Platform SHP betreibt. Die Centris AG nimmt auch für den elektronischen Prozess im Bereich DRG-Rechnungen die Funktion als zertifizierte Datenannahmestelle (DAS) der EGK wahr. Sie ist dafür beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als solche registriert und anerkannt. Zur SHP-Umgebung gehören insbesondere die Systeme Syrius ASE, CBPM, SUMEX II, DWH, OA und das Archivsystem FileNet. Die EGK Services AG ist verantwortlich für die Bereitstellung und den Unterhalt der EGK-eigenen ICT-Infrastruktur und EGK-Umsysteme, die Anbindung an die Centris AG sowie die Koordination und Durchführung aller mit der ICT zusammenhängenden Arbeiten. Es bestehen BCM-Konzepte (Business Continuity Management) um bei ausserordentlichen Ereignissen und Störfällen die Aufrechterhaltung und Weiterführung der Geschäftstätigkeit und das Funktionieren der Kernapplikation SHP sowie der notwendigen Umsysteme bei der Centris AG und der EGK sicherzustellen, Weitere wichtige Outsourcing-Partner der EGK bei der Datenbearbeitung sind die Swiss Post Solutions (SPS) als Scanning Dienstleister sowie die Cent Systems AG (Cent) für die OCR-Erkennung. 2

5 5 Grundsätze Bei der Bearbeitung von Daten und Informationen sind die gesetzlichen, vertraglichen und internen Bestimmungen jederzeit einzuhalten. Bei sensiblen Daten und Informationen von Versicherten sind insbesondere die spezialrechtlichen Grundsätze des Bundesgesetzes über den Datenschutz (DSG) sowie des Bundesgesetzes über die Krankenversicherung (KVG) zu beachten. Es ist ein Datenbearbeitungsreglement gemäss Art. 84b KVG zu erstellen, das öffentlich zugänglich ist. Es ist sicherzustellen, dass die Verfügbarkeit, die Integrität und die vertrauliche Behandlung von Daten und Informationen der EGK, von ihren Versicherten, Mitarbeitenden und Partnern jederzeit gewährleistet sind. Die Kontinuität der Geschäftstätigkeit ist auch bei aussergewöhnlichen Ereignissen und Situationen sicherzustellen und die von der FINMA anerkannten Mindeststandards für Versicherungsunternehmen sind einzuhalten. Es ist ein Datensicherungskonzept zu erstellen, welches die Rahmenbedingungen für organisatorische und technische Massnahmen zur Datensicherheit festhält. Schutzobjekte (Informationen, Applikationen, Systeme) werden auf ihren Schutzbedarf hin überprüft und es werden entsprechende Schutzmassnahmen getroffen. Daten und Informationen sind zu klassifizieren. Zum Schutz von Informationen müssen kryptographische Schlüssel mit einem absehbaren Enddatum versehen werden. Die Klassifizierungsstufen sind unabhängig von der Applikation, auf welcher die Daten und Informationen zur Verfügung gestellt werden. Applikationsänderungen haben nach einem definierten Change-Management-Prozess zu erfolgen. Die Aufbewahrung von Daten, Informationen und Unterlagen richtet sich nach den gesetzlichen Vorgaben; im Zweifelsfalle gilt eine Aufbewahrungsfrist von 10 Jahren. Werden Daten und Informationen an Dritte weitergegeben, so ist vertraglich zu vereinbaren, wie diese Informationen verwendet, bearbeitet und genutzt werden dürfen. Die Datenweitergabe erfolgt anonymisiert oder über verschlüsselte Datenträger und Kanäle. Im individuellen verkehr muss bei der Übermittlung von personenbezogenen Daten das Verschlüsselungsverfahren angewandt werden. Das Mail-System der EGK bietet diese Möglichkeit an. Die Mitarbeitenden werden in Bezug auf Datenschutz und Informationssicherheit aus- und weitergebildet. Es wird sichergestellt, dass sie die für ihren Bereich geltenden Bearbeitungsreglemente kennen und anwenden. Durch ein rollenbasiertes Berechtigungskonzept wird sichergestellt, dass die Mitarbeitenden nur auf jene Daten und Informationen Zugriff haben, die sie im Rahmen ihrer Tätigkeit benötigen. 3

6 6 Verantwortung Die Verantwortung für die Daten- und Informations-Sicherheit sowie die Datenverfügbarkeit und -Integrität liegt beim Leiter ICT der EGK. Die Bereichsleiter/innen sowie die Führungskräfte in den einzelnen Bereichen sind für die Umsetzung innerhalb ihres Zuständigkeitsbereichs verantwortlich. Die Mitarbeitenden sind aufgefordert, entdeckte oder vermutete Sicherheitsprobleme der Bereichsleitung oder dem/der Betrieblichen Datenschutzbeauftragten zu melden. 7 Klassifizierung von Daten / Informationen / Dokumenten Es finden die folgenden Klassifizierungsstufen Anwendung: Stufe Personendaten Dokumente / Informationen / Daten V1 öffentlich öffentlich V2 intern intern V3 schützenswerte Personendaten (sensitive Daten) vertraulich V4 besonders schützenswerte Personendaten (hochsensitive Daten) geheim Stufe V1 Personendaten dürfen nur dann öffentlich zugänglich gemacht werden, wenn sie so anonymisiert sind, dass keine Rückschlüsse auf die betroffenen Personen gezogen werden können. Dokumente, Informationen und Daten, die öffentlich sind, dürfen an Dritte weitergegeben oder veröffentlicht werden, nachdem diese durch die Kommunikationsstelle der EGK freigegeben worden sind - Stufe V2 Personendaten dürfen dann intern zugänglich sein, wenn sie für die Geschäftstätigkeit und den Kundenkontakt notwendig sind (z.b. Stammdaten der Versicherten). Bei vertraglich geregelter Bekanntgabe an Dritte (z.b. Outsourcing) darf der Empfänger die Daten in dem Rahmen bearbeiten, wie der Dateninhaber und -verantwortliche die Daten selber auch bearbeiten dürfte, eine Datenweitergabe an Dritte ist nur im Einverständnis mit der EGK gestattet. Dokumente, Informationen und Daten, die als intern klassifiziert sind, dürfen nur innerhalb der EGK verwendet und weitergegeben werden. Sie dürfen jedoch auf Anfrage den Aufsichtsbehörden oder Kontrollorganen zur Kenntnis gebracht werden. 4

7 Stufe V3 Schützenswerte Personendaten dürfen nur zum erlaubten Zweck von den dazu berechtigten Mitarbeitenden bearbeitet werden. Die Bekanntgabe an Dritte (z.b. Outsourcing) darf nur mit gesetzlicher oder vertraglicher Grundlage erfolgen, wobei der Empfänger die Daten in dem Rahmen bearbeiten darf, wie der Dateninhaber und -verantwortliche die Daten selber auch bearbeiten dürfte, eine Datenweitergabe an Dritte ist nur im Einverständnis mit der EGK gestattet. Als vertraulich klassifizierte Dokumente, Informationen und Daten dürfen nur dem definierten Empfängerkreis bekannt gegeben und von diesem nur mit Bewilligung des Inhabers an Dritte weitergegeben werden. Stufe V4 Besonders schützenswerte Personendaten (z.b. individuelle Arztberichte, MCD) dürfen nur von einem kleinen, ausgewählten Kreis von Mitarbeitenden bearbeitet werden. Diese Personen unterstehen einer speziellen, zusätzlich zum Arbeitsvertrag unterzeichneten Schweigepflicht. Als geheim klassifizierte Dokumente, Informationen und Daten werden ausschliesslich einem kleinen, definierten Empfängerkreis bekannt gegeben und dürfen nur mit schriftlichem Einverständnis des Inhabers an Dritte weitergegeben werden. 8 Abkürzungsverzeichnis BCM CENT DAS DRG DSG EDÖB FINMA ICT KVG MCD OCR SHP SPS VVG Business Continuity Management (deutsch: Betriebliches Kontinuitätsmanagement) Cent Systems AG Datenannahme-Stelle Diagnosis Related Groups (deutsch: diagnosebezogene Fallgruppen für stationäre Spitalrechnungen) Datenschutz-Gesetz Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Eidgenössische Finanzmarktaufsicht Information and communications technology (deutsch: Informations- und Kommunikations-Technologie) Krankenversicherungs-Gesetz Minimal clinical dataset (deutsch: Medizinischer Datensatz) Optical character recognition (deutsch: optische Zeichenerkennung) Swiss Health Platform (Kernapplikation der EGK/Centris AG) Swiss Post Solutions, Tochtergesellschaft der Swiss Post Versicherungsvertrags-Gesetz 9 Überprüfung Die vorliegende Richtlinie zur Informationssicherheitspolitik tritt mit Genehmigung durch die Geschäftsleitung mit sofortiger Wirkung in Kraft. Sie wird jährlich im Oktober durch die Geschäftsleitung überprüft und verabschiedet. Bei Bedarf kann sie jederzeit angepasst werden. 5

8 10 Änderungsnachweis Änderungsnachweis Versionsnummer Bearbeitungsstatus Datum Bearbeiter Änderung / Bemerkung 0.1 Initialfassung K. Schmidlin 1.0 Freigegeben K. Schmidlin 1.1 Freigegeben K. Schmidlin Anpassungen an neue Systemumgebung 1.2 Freigegeben K. Schmidlin Integration BCM div. kleine Anpassungen 6