Bearbeitungsreglement

Transkript

1 Bearbeitungsreglement Name: Termplate.dcx Einrdnung: Fachlich Typ des Vrgabedkumentes Weisung Reglement Erlass Checkliste Arbeitsanweisung Ablauf Genehmigt durch/am Vrstand Geschäftsführung [Veröffentlichungsdatum] VerfasserIn Vrstand Geschäftsführung Leitung Leistungen Leitung Marketing/Prdukte Geltungsbereich Geschäftsführung Geschäftsleitung Buchhaltung Spezialteam Kundenberatung Assistenz Datum Versin Ersteller Freigabe Freigabe durch Odette Hänsli Yvnne Dempfle Peter Odermatt Yvnne Dempfle Peter Odermatt Yvnne Dempfle Peter Odermatt Yvnne Dempfle M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 1 vn 11

2 1. Interne 1.1 Verantwrtlichkeiten Die Gesamtverantwrtung für den trägt das Leitungsrgan. Diese Verantwrtung ist nicht übertragbar. Für die Umsetzung des es im Betrieb ist Yvnne Dempfle, Geschäftsführerin verantwrtlich. Für IT-Themen wie das Betriebssystem, Anwendungen, die Datenbank, das Netzwerk und die Datensicherheit ist die Infrmatikabteilung zuständig. Kntaktstelle bezüglich datenschutzrechtlicher Fragen: Fragen in Zusammenhang mit dem sind an flgende Stelle zu richten: KLuG Krankenversicherung Yvnne Dempfle Geschäftsführerin Gubelstrasse Zug Organigramm Die KLuG Krankenversicherung beschäftigt zehn Mitarbeitende. 1.3 plitik resp. leitbild Die KLuG Krankenversicherung verpflichtet sich zur Einhaltung der geltenden vrschriften und den speziellen branchenspezifischen Vrschriften und setzt sich für eine kntinuierliche Verbesserung der Wirksamkeit des es ein. 1.4 Zweckmässigkeit Die KLuG Krankenversicherung bearbeitet Persnendaten ausschliesslich zum Zweck der ihr gesetzlich übertragenen Aufgaben der im Rahmen der Zustimmung der betrffenen Persnen. Es werden nur M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 2 vn 11

3 diejenigen Persnendaten erfasst, welche für die Geschäftstätigkeit ntwendig sind. 1.5 Verhältnismässigkeit Es werden nur s viele Persnendaten bearbeitet, wie zwingend ntwendig, um den Zweck zu erreichen. Zugriffsrechte werden äusserst restriktiv vergeben. Jeder Mitarbeiter resp. jede Mitarbeiterin kann nur auf diejenigen Daten zugreifen, die für die Erfüllung der Aufgaben ntwendig sind. 1.6 Aufbewahrung und Archivierung Die KLuG Krankenversicherung verwahrt Persnendaten nur s lange, wie sie gesetzlich dazu verpflichtet ist. Unterliegen die Daten keinen Aufbewahrungsvrschriften, werden sie nur s lange aufbewahrt, wie sie für die Zweckerreichung vn Bedeutung sind. 1.7 Datensicherheit Es werden alle geeigneten technischen und rganisatrischen Sicherheitsmassnahmen getrffen, um die verwalteten Persnendaten vr unberechtigtem der unrechtsmässigen Zugriff, Verlust, Vernichtung der Beschädigung zu schützen. 1.8 Anmeldung der Datensammlungen beim EDÖB Durch die Meldung des beauftragen (DSB) entfällt die Pflicht der Meldung der Datensammlungen an den EDÖB. 1.9 Dkumentierte Przessabläufe Alle Przessabläufe inkl. Angaben zu Verantwrtlichkeiten sind in den Handbüchern definiert und dkumentiert. Einsichtnahmen in Przesse können bei flgender Persn vereinbart werden: KLuG Krankenversicherung Peter Odermatt Leiter Leistungen Gubelstrasse Zug peter.dermatt@klug.ch M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 3 vn 11

4 1.10 Datenfluss Der Datenfluss wird im Knfrmitätsnachweis über die Felder Herkunft und Empfänger dkumentiert. 2. IT-Struktur 2.1 Struktur Datenbearbeitungssystem Die nachflgende Grafik zeigt die IT Struktur auf, in welche das autmatisierte Datenbearbeitungssystem eingegliedert ist. SUVA Leistungserbringer SECON Siddhartha VAD-SW RVK pdas HELSANA DMS File-Share KLuG Die Mitarbeitenden können via ihren Cmputer (Client) auf die Daten auf dem Server zugreifen, die sie für die Erfüllung ihrer Aufgaben brauchen. Alle Daten werden auf einem Back-up-Server sicherheitsgespeichert (dupliziert). Der Vertrauensarzt kann auf die Daten zugreifen, die er für die Erfüllung seiner Aufgabe braucht. Ausser den beiden vertrauensärztlichen Hilfspersnen können M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 4 vn 11

5 keine Mitarbeitenden der Krankenkasse auf die Daten des Vertrauensarztes zugreifen. Weder die Patienten nch die Ärzte resp. Spitäler können auf die Daten zugreifen. 2.2 Eingesetzte Infrmatikmittel KLuG benutzt die Systemsftware Siddhartha zur Verwaltung der Versichertendaten, Versichertenbetreuung und Leistungsabwicklung. Zusätzlich wird das System Therefre zur elektrnischen Dkumentenarchivierung eingesetzt. Bei beiden Systemen sind Berechtigungsregeln hinterlegt, welche garantieren, dass jeder Mitarbeiter nur auf diejenigen Daten zugreift, die für die Erfüllung der Aufgaben ntwendig sind. 2.3 Datenannahmestelle gemäss Art. 59a KVV KLuG besitzt eine zertifizierte Datenannahmestelle für die Bearbeitung vn elektrnischen DRG Rechnungen nach Art. 59a KVV, swie für die Bearbeitung vn DRG Rechnungen in Papierfrm. Die Geschäftsleitung der KLuG versichert, dass die Datenannahmestelle und der VA/VAD weisungsunabhängig handeln und nur die für eine weitere Prüfung ntwendigen Daten an den Versicherer (KLuG) weitergeben. Die MCD-Prüfung geschieht bei der Secn AG, wbei die annymisierten MCD-Daten mit der SUMEX- Dienstleistung der SUVA bei der SUVA durchgeführt wird. Die MCD-Daten werden bei der Secn AG verschlüsselt gespeichert. Nur der VA/VAD der KLuG kann auf diese Daten zugreifen, wenn dieser das verlangt (Art. 59a KVV). Die versicherungstechnischen Prüfungen geschehen im System Siddhartha der KLuG. Das Regelwerk für die versicherungstechnischen Prüfungen wird nach einem vrgegebenen Przess definiert, eingeführt, überprüft und angepasst. Die Regeländerung wird vr ihrer Umsetzung mit der beauftragten der Secn AG auf Knfrmität und Machbarkeit überprüft. DRG Rechnungen bei denen swhl die MCD-Prüfung (Secn AG/SUVA) und der Prüfung auf der Basis des KLuG Regelwerks (im Siddhartha) keine weiteren Prüfungen ntwendig sind, werden autmatisch zur Zahlung freigegeben. Die MCD-Daten, die nicht ausgelenkt werden, sind nicht im Zugriff der Mitarbeitenden der KLuG. Sllte ein Leistungserbringer DRG Rechnungen in Papierfrm an KLuG senden, dann werden diese durch die Mitarbeitende der Datenannahmestelle (Psteingang) zurückgewiesen und nicht bearbeitet. Ein Brief mit dem Hinweis, dass der Leistungserbringer die Rechnungsstellung in elektrnischer Frm vrnehmen sll, wird versandt, mit dem auch die Rechnungsunterlagen zurückgesendet werden. Im Nrmalfall erflgt die Umstellung auf elektrnische Übermittlung. Sllte der Leistungserbringer nch nicht in der Lage sein die Leistungsabrechnung elektrnisch zu übermitteln was sehr selten bis gar nicht vrkmmt - dann wird diese DRG Rechnung zur Prüfung ausgelenkt. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 5 vn 11

6 Die Mitarbeitende der Datenannahmestelle (Psteingang) ist unabhängig vn der Leistungsabrechnung und dem VA/VAD. 2.4 Outsurcing Zwischen allen externen Dienstleistungsunternehmen und KLuG bestehen Zusammenarbeitsverträge. Diese Partner bestätigen mit der Vertragsunterzeichnung die Einhaltung der bestimmungen für sich und deren Hilfspersnen. Für die elektrnische Rechnungsprüfung vm Typus DRG (Art. 59a KVV) hat KLuG die Secn AG als Dienstleister für die Prüfung der MCD s beauftragt. Die Secn AG ist für diese Dienstleistung nach VDSZ zertifiziert. Die Prüfung der annymisierten MCD-Daten erflgt bei der SUVA. Dienstleister: HELSANA: RVK: SECON: Betreibt die Sftware Siddhartha und ist Prvider der elektrnischen Datenannahmestelle. CENT: Wandelt TARMED und LABOR-Rechnungen in elektrnische XML-Files (4.4) um. Übermittelt die Daten an SECON. SSS (Schaden Service Schweiz): Prüft die Unfall-Anzeigen auf Regressmöglichkeit. CANON: Betreiber der Sftware Therefre welche zur elektrnischen Dkumentenarchivierung eingesetzt wird. Byte-Link: Externer IT-Dienstleister vn KLuG 3. Zugriffe 3.1 Zugriffsdifferenzierung Es werden nur die ntwendigsten Zugriffsrechte auf Netzwerke, Prgramme und Daten an Benutzer vergeben. Jeder Mitarbeitende erhält nur Zugriff auf genau diejenigen Daten, die er zur Erfüllung seiner Aufgabe unbedingt braucht. Die Geschäftsführerin entscheidet über die Vergabe und den Umfang der Zugriffsrechte. Sie entscheidet anhand der in der Weisung bezüglich Vergabe und Umfang der Zugriffsrechte definierten Regeln. Die Zugriffrechte sind auf die Funktin und Tätigkeitsfelder jeder Persn zugeschnitten. Des Weiteren wird für jede Berechtigung entscheiden, b eine Leseberechtigung genügt, der Änderungsberechtigungen vergeben werden müssen. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 6 vn 11

7 Die Zugriffsrechte sind im Detail in der Zugriffsliste pr Mitarbeitenden festgehalten. Die Liste wird regelmässig durch das Management überprüft. 3.2 Authentisierung durch Passwörter Der Mitarbeitende hat eine persönliche Identifikatin (Benutzername) und ein Passwrt. Die Weitergabe des persönlichen Passwrts ist untersagt. Die Weisung bezüglich der Zusammensetzung der Passwörter (Anzahl Stellen, Snderzeichen etc.) liegt schriftlich vr und ist allen Mitarbeitenden bekannt. 4. Datensicherheit Für die Gewährleistung der Datensicherheit d.h. dem Schutz vn Daten während der Datenverarbeitung, -speicherung der transprt vr Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung, werden flgende Massnahmen angewendet: 4.1 Organisatrische Massnahmen Erstellung vn Sicherheitskpien auf einem separaten Speichermedium. Getrennte Aufbewahrung der Sicherheitskpien. Alle Cmputer sind passwrtgeschützt. Mindestens zehnstellige Passwörter, die flgende Merkmale aufweisen müssen: mindestens eine Zahl, einen Buchstaben, ein Snderzeichen. Autmatische Bildschirmsperrung nach 15 Minuten hne Aktivität. Alle Mitarbeitenden werden jährlich auf die Themen und Datensicherheit geschult. Die Mitarbeitenden der IT bilden sich regelmässig in Security Themen weiter. 4.2 Technische Massnahmen Es besteht ein Back-up-Knzept. Eine Firewall ist eingerichtet und wird regelmässig aktualisiert. Virenprüfung: die IT-Abteilung ist verantwrtlich, dass alle Cmputer immer über den aktuellsten Virenschutz verfügen. Zutrittskntrllen zum Serverraum und Dkumentatin der Zutritte. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 7 vn 11

8 5. Interne und externe Kntrllen In Ergänzung zu Kapitel 4 Datensicherheit sind flgende Massnahmen und Kntrllen im Unternehmen implementiert: Die Einhaltung der datenschutzrechtlichen Bestimmungen wird intern flgendermassen sichergestellt und kntrlliert: 5.1 Massnahmen auf Unternehmungsebene schriftlich festgehaltene plitik, die allen Mitarbeitenden bekannt ist - und Datensicherheitsrichtlinien resp. -knzept Regelungen vn Aufgaben, Verantwrtlichkeiten und Kmpetenzen bezüglich und Datensicherheit in den Pflichtenheften der Mitarbeitenden. Thematisierung des es und der Datensicherheit in allen Stellenbeschreibungen und Arbeitsverträgen. Die Zugänge zu den Bürs swie zum Archiv sind gesichert. Jährliche Schulung aller Mitarbeitenden bezüglich und Datensicherheit. Weisungen betreffend Umgang mit und Telefn. Das System zeichnet die Zugriffe auf Daten, den Zeitpunkt swie den Umfang der Zugriffe (lesen, verändern etc.) auf. 5.2 Kntrllen durch das Management Das Leitungsrgan und die Geschäftsleitung nehmen ihre Führungs- und Überwachungsaufgaben durch flgende Kntrllen wahr: Prüfen der Bereiche der Internen Kntrlle und Ableiten vn Massnahmen. Prüfung der Umsetzung der plitik. Srgfältige Auswahl und Instruktin aller externer Dienstleister, die auf Daten zugreifen können der denen Daten weitergegeben werden. Verfassen vn - und Datensicherheits-Vertragsklauseln mit allen Dienstleistern, die auf Daten zugreifen können der denen Daten weitergegeben werden swie Kntrlle, b die Dienstleister die Vrschriften bezüglich und Datensicherheit einhalten. Peridische Prüfung der Zugriffsrechte swie des Umfangs der Zugriffsrechte jedes Mitarbeitenden anhand der Zugriffsliste. Auswertung der Systemaufzeichnungen bezüglich Zugriffe auf Daten, Zeitpunkt swie Umfang der Zugriffe und Abgleich mit der Zugriffsliste. des Weiteren lebt das Management seine Vrbildfunktin aktiv und täglich und stellt die ntwendigen Mittel für die kntinuierliche Verbesserung des es und der Datensicherheit bereit. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 8 vn 11

9 5.3 Kntrllen auf Przessebene Prüfung der Knfrmität vr Einrichtung einer Datensammlung und Dkumentatin im Knfrmitätsnachweis. Jährliche Kntrlle des Knfrmitätsnachweises (Vllständigkeit, Krrektheit, ist die Datenbearbeitung immer nch zweckmässig? Ist der Empfänger der Daten nch krrekt etc.). 5.4 IT-Kntrllen Der Grssteil der IT-Kntrllen wurde bereits unter Datensicherheit erläutert. Hier sind nur nch die ergänzenden aufgelistet. Prtkllierung der Eingaben und Veränderungen Regelmässige IT-Audits durch externen Auditr gemäss IT-Strategie 5.5 Interne Audits Jährliche Kntrlle durch die Interne Revisin und den betrieblichen verantwrtlichen Diese Kntrllen sind in das umfassende Interne Kntrllsystem des Unternehmens integriert. 6. Auskunftsbegehren 6.1 Frm, Inhalt und Anschrift Geregelt in: Art. 8ff DSG und Art. 1 ff VDSG Auskunftsbegehren sind schriftlich zusammen mit einer Kpie der ID der des Passes an flgende Adresse und Kntaktpersn zu senden: KLuG Krankenversicherung Peter Odermatt Leiter Leistungen Gubelstrasse Zug peter.dermatt@klug.ch Diese Persn resp. sein Stellvertreter trägt die Verantwrtung für eine termingetreue Bearbeitung des Antrags. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 9 vn 11

10 6.2 Auskunftsbegehren über die Gesundheit Daten über die Gesundheit des Gesuchstellers werden an einen vm Gesuchsteller bestimmten Arzt übermittelt, nicht an den Gesuchsteller persönlich. 6.3 Przessablauf Der interne Przessablauf ist in Przess-Dkumentatin geregelt. 7. Archivierung und Vernichtung Archivierungspflichtige Dkumente werden während der gesetzlich verlangten Dauer archiviert und vr Veränderungen der unbefugten Zugriffen geschützt. Die Zutritte zum Archiv werden sehr restriktiv vergeben und prtklliert. Die Prtklle werden aufbewahrt. Nach Ablauf der gesetzlichen Archivierungsfrist werden die Dkumente vernichtet, da die rechtliche Grundlage (Zweckmässigkeit) wegfällt. Der Ablauf der Aufbewahrung, Archivierung und Vernichtung ist in einem Datenaufbewahrungsund Archivierungsknzept festgehalten. Die Aufbewahrungsdauer für jede Datensammlung ist im Knfrmitätsnachweis ersichtlich. 8. Verfahren, wenn eine betrffene Persn die Bekanntgabe der Bearbeitung ihrer Daten verbietet Eine betrffene Persn kann die Bekanntgabe der die Bearbeitung ihrer Daten verbieten. Beide Begehren sind an flgende Kntaktpersn zu richten: KLuG Krankenversicherung Peter Odermatt Leiter Leistungen Gubelstrasse Zug M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 10 vn 11

11 Diese Persn resp. sein Stellvertreter trägt die Verantwrtung für eine termingetreue Bearbeitung des Antrags. Przessablauf Die internen Przessabläufe sind in den Przess-Dkumentatinen im Clevernet/ geregelt. M:\\Bearbeitungsreglement\neu\Bearbeitungsreglement.dcx Seite 11 vn 11