Risikobasiertes Denken in 9001:2015

Transkript

1 Risikobasiertes Denken in 9001:2015

2 Firmenprofil ecoprotec GmbH gegründet im Jahr 2000 mittelständisches Ingenieurbüro Umweltschutz Qualitätsmanagement Sicherheit (Arbeits-, Betriebs-, Anlagen- und Baustellensicherheit) Branchenübergreifend tätig Unterstützung durch ein Netzwerk von qualitätsgeprüften Kooperationspartnern.

3 Standorte Die ecoprotec GmbH ist deutschlandweit tätig. Unsere Standorte befinden sich in: Paderborn (Hauptsitz) Düsseldorf Dortmund Frankfurt a. M. Hamburg München

4 Leistungsspektrum

5 Vortrag Risikobasiertes Denken in 9001:2015

6 Novellierung HIGH LEVEL STRUCTURE Risikobasiertes Denken Unabhängig von Branche, Größe, Art der Zertifizierung, usw. Risikopotenziale erkennen Kritische Prozessabläufe beurteilen Mögliche Vorbeuge- und Korrekturmaßnahmen ableiten Quelle: DNV GL

7 Risikobewertung Was fordert die Norm? ISO 9001:2015 fordert einen risikobasierten Ansatz bei Festlegung von Prozessabläufen Kein Risikomanagement nach ISO Risiken und Chancen bestimmen Maßnahmen zum Umgang mit Risiken und Chancen planen Risiken eliminieren Risiken minimieren Risiken akzeptieren Wirksamkeit bewerten

8 Risikobewertung Wo fange ich wie an? Führungsprozesse BDSG Input Kernprozesse Output Unterstützende Prozesse

9 Warum BDSG? Wann unterliegt ein Unternehmen den Vorschriften des BDSG? Wenn personenbezogene Daten verarbeitet werden z.b. Mitarbeiterdaten, Lieferantendaten, Kundendaten Wann ist ein betrieblicher Datenschutzbeauftragter zu bestellen? Sobald 10 oder mehr Personen automatisiert Daten verarbeiten Min. 10 Personen die am Computer arbeiten

10 Schnittstelle Datenschutz Ursachen von Datenlecks im Jahresvergleich Hacker-Angriffe 34% 36% 40% Unzureichende Sicherheitsrichtlinien 23% 29% 31% Insider 6% 8% 12% Betrug 2% 1% 1% Diebstahl oder Verlust von Datenträgern 15% 23% 27% Unbekannt 2% 6% 5% Quelle: statista.com

11 Mögliche Risiken Was kann bei Datenschutzverstößen auf uns zukommen? Sanktionen Imageverlust Vertrauensbruch Wettbewerbsrechtliche Konsequenzen

12 Mögliche Risiken Was gilt es zu schützen? Sensible Kontakte Kunden- / Lieferanteninformationen Zahlen, Daten, Fakten Das Know-How des Unternehmens

13 Mögliche Risiken Wo steckt das Risiko? Telearbeitsplätze Kommunikationswege Häufige Reisetätigkeiten Mobile Endgeräte Einsatz Kooperationspartner

14 Datenschutz und Datensicherheit Datenschutz Gefahr: Verletzung von Persönlichkeitsrechten Geschützt: Natürliche Personen 9 BDSG nebst Anlage Datensicherheit Gefahr: Verlust, Zerstörung, Missbrauch durch Unbefugte Geschützt: Daten, Hard- und Software Technische und organisatorische Maßnahmen

15 TOM Technische und organisatorische Maßnahmen Datensicherheit nach 9 BDSG und die 8 Gebote Die innerbetriebliche Organisation ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei ist besonderes Augenmerk zu legen auf: Zugangskontrolle Zutrittskontrolle Eingabekontrolle Zugriffskontrolle 9 Auftragskontrolle Verfügbarkeitskontrolle Weitergabekontrolle Gebot der Datentrennung

16 Schnittstelle Datenschutz Diebstahl der Krankenakte von Michael Schumacher Risikobewertung Quelle: Ergebnis

17 Datenschutzorganisation Datenschutzprozesse sind einer Risikobeurteilung zu unterziehen Zusammenarbeit von Datenschutzbeauftragten und Qualitätsmanagementbeauftragten Anlass zur Prüfung der gesamten Datenschutzorganisation Beispiel Durchführung gemeinsamer Audits (QM & DS) Integration DS in MMR

18 Fazit Quelle: Hätte man durch eine Risikobeurteilung Schadensbegrenzung erreicht?!

19 Vielen Dank! ecoprotec GmbH B. A. Patrick Borkowski Fon / Fax / Fragen? Stand B05 Wir danken den Fotografen und Designern von: sxc.hu morguefile.com commons.wikimedia.org photoxpress.com fotolia.de ecoprotec

20 Beispiel: Risikobewertung Nr. Prozess mögliche Risiken mögliche Konsequenz Risikostufe Umgang mit Risiko Vorbeugemaßnahme Korrekturmaßnahme 1 Patientenaufnahme Keine Unterzeichnung der Einwilligungserklärung. Daten werden Sanktionen gegen verantwortliche unberechtigterweise verarbeitet. Verletzung Stelle des Persönlichkeitsrechts des Betroffenen. 3 minimieren Schulung der Mitarbeiter Einführen einer Systematik 2 Behandlung Jeder Mitarbeiter hat Zugriff auf alle Patientenakten. Verletzung des Persönlichkeitsrechts des Betroffenen. Sanktionen gegen verantwortliche Stelle 3 eliminieren Prüfung des Berechtigungskonzeptes, Zugriffskontrolle - 3 Behandlung Unbefugte erhalten Zutritt zu Behandlungsräumen / Patientenzimmer. Verletzung des Persönlichkeitsrechts des Betroffenen. Sanktionen gegen verantwortliche Stelle 3 minimieren Prüfung der Zutrittskontrollen Anpassung an die Erfordernisse 4 Behandlung Informationsweitergabe durch Mitarbeiter an unberechtigte Dritte. Sanktionen, arbeitsrechtliche Konsequenzen 3 minimieren Schulung der Mitarbeiter, Unterzeichnung Verschwiegenheitsverpflichtung Einholen einer Einwilligung der Betroffenen 5 Behandlung Aushang mit Zimmerbelegung öffentlich einsehbar. Verletzung des Persönlichkeitsrechts des Betroffenen. Sanktionen 2 eliminieren Schulung der Mitarbeiter, Prinzip der Datensparsamkeit beachten Aushang entfernen 6 Visite Visistenwagen mit Behandlungsunterlagen ist nicht verschlossen. Informationen über Patienten können durch unbefugte eingesehen werden. Verletzung des Persönlichkeitsrechts des Betroffenen. Sanktionen, Vertrauensbruch 4 eliminieren Schulung der Mitarbeiter, Anweisung Visitenwagen zu verschließen Durchführung regelmäßiger Datenschutzschulungen und - begehungen 7 Visite Behandlungsunterlagen werden im Patientenzimmer vergessen. Sanktionen, Vertrauensbruch, Verletzung des Persönlichkeitsrechts des Betroffenen. 4 minimieren Prüfung des Dokumentationsmediums Unterlagen mitnehmen 8 Behandlungsdokumentation mobiles Endgerät wird geklaut / geht verloren. Datenverlust, Sanktionen, Verletzung des Persönlichkeitsrechts des Betroffenen. 3 minimieren regelmäßige Backups, IT-Richtlinie zum Umgang mit mobilen Endgeräten mobiles Endgerät sperren, Daten löschen 9 Behandlungsdokumentation Daten werden geklaut und veröffentlicht. Sanktionen gegen verantwortliche Stelle, Imageverlust, monetäre Schäden, Verletzung des Persönlichkeitsrechts des Betroffenen. 4 minimieren Penetrationstest, Verschlüsselung sensibler Daten und Datenträger / mobiler Endgeräte, Schulung von Mitarbeitern Veröffentlichung der "Datenpanne", Öffentliche Stellungnahme 10 Patientenverlegung Behandlungsunterlagen gehen bei der Weitergabe an weiterbehandelnden Arzt verloren. Unberechtigte erhalten Einblick in die Krankenakte. Verletzung des Persönlichkeitsrechts des Betroffenen. Sanktionen gegen verantwortliche Stelle, Imageschäden 3 minimieren Prüfung der Weitergabekontrolle (Daten verschlüsseln, Papierdaten in verschlossenen Transportbehältern), Vertrag zur Auftragsdatenverarbeitung Seite 1 von 1 Risikobewertung

21 groß Schwere mittel gering 1 gering mittel groß Wahrscheinlichkeit des Auftretens