Bearbeitungsreglement betreffend Umgang mit Personendaten. Version Hauptsitz

Transkript

1 Bearbeitungsreglement betreffend Umgang mit Personendaten Version Hauptsitz Agrisano Krankenkasse AG Agrisano Versicherungen AG Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 1 von 13

2 Inhalt 1. INTERNE ORGANISATION IT-STRUKTUR ZUGRIFFE DATENSICHERHEIT KONTROLLE AUSKUNFTSBEGEHREN UND AKTENEINSICHT DER BETROFFENEN PERSON DATENBEARBEITUNG UND DATENBEARBEITUNG DURCH DRITTE EXTERNE WEITERGABE VON PERSONENDATEN ARCHIVIERUNG UND VERNICHTUNG VERBOT BEKANNTGABE & BEARBEITUNG VON DATEN Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 2 von 13

3 1. INTERNE ORGANISATION Verantwortlichkeiten Die Gesamtverantwortung für den Datenschutz trägt das Leitungsorgan. Diese Verantwortung ist nicht übertragbar. Für die Umsetzung des Datenschutzes im Betrieb ist der betriebliche Datenschutzbeauftragte verantwortlich. Für IT-Themen wie das Betriebssystem, die Anwendungen, die Datenbank, das Netzwerk und die Datensicherheit ist die Informatikabteilung verantwortlich. Der betriebliche Datenschutzverantwortliche (BDSV der Agrisano Unternehmungen) kontrolliert die Einhaltung des Datenschutzes, berät die Geschäftsleitung und die Mitarbeitenden und unterstützt sie bei der operativen Umsetzung des Datenschutzes im Betrieb. Kontaktstelle bezüglich datenschutzrechtlichen Fragen Fragen in Zusammenhang mit dem Datenschutz sind an folgende Stelle zu richten: Organigramm Agrisano BDSV Laurstrasse Brugg Für das Organigramm vgl. Anhang B und C. Die Agrisano Krankenkasse AG beschäftigt über hundert Mitarbeitende 1. Datenschutzpolitik resp. Datenschutzleitbild Für die Datenschutzpolitik bzw. das Datenschutzleitbild der Agrisano Krankenkasse AG und Agrisano Versicherungen AG (nachfolgend «Agrisano» genannt) vgl. Anhang A. Anmeldung der Datensammlungen beim EDÖB Da die Agrisano über einen dem EDÖB gemeldeten, betrieblichen Datenschutzverantwortlichen nach Art. 12a und 12b VDSG verfügt, ist sie gemäss Art. 11a Abs. 5 lit. e DSG vom Führen eines öffentlich zugänglichen Registers der Datensammlungen und von der Pflicht zur Anmeldung der Datensammlung befreit. Die Konformität jeder einzelnen Datensammlung, die Personendaten enthält, wird vor Implementierung sowie kontinuierlich für alle bestehenden Datensammlungen geprüft und im Konformitätsnachweis dokumentiert. 1 Die Agrisano Versicherungen AG verfügt über keine eigenen Mitarbeitenden. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 3 von 13

4 Dokumentierte Prozessabläufe Alle Prozessabläufe inkl. Angaben zu Verantwortlichkeiten sind in einem internen Qualitätsmanagementsystem (QMS) definiert und dokumentiert. Einsichtnahmen in Prozesse können bei folgender Person vereinbart werden: Datenfluss Agrisano BDSV Laurstrasse Brugg Der Datenfluss wird im Konformitätsnachweis über die Felder «Herkunft» und «Empfänger» dokumentiert. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 4 von 13

5 2. IT-STRUKTUR Die nachfolgende Grafik zeigt die IT Struktur auf, in welche das automatisierte Datenbearbeitungssystem eingegliedert ist. Die Mitarbeitenden können via ihren Computer (Client) auf die Daten auf dem Server zugreifen, die sie für die Erfüllung ihrer Aufgaben brauchen. Lediglich die IT-Abteilung kann auf die Back-ups zugreifen. Der Vertrauensarzt kann auf die Daten zugreifen, die er für die Erfüllung seiner Aufgabe braucht. Nur die Mitarbeitenden des Vertrauensärztlichen Dienstes der Krankenkasse können auf die Daten des Vertrauensarztes zugreifen. Weder die Patienten noch die Ärzte resp. Spitäler können auf die Daten zugreifen. Eingesetzte Informatikmittel Die Agrisano organisiert ihre IT-Mittel mit Active Directory (AD) von Microsoft. Zur Bereitstellung der Dienste werden virtualisierte Windows Server eingesetzt. Die Arbeitsplätze sind mit Microsoft Betriebssystemen und MS-Office ausgerüstet. Als Datenbankmanagementsystem wird MS SQL- Server eingesetzt. Der Zugriff auf die Daten erfolgt mit einer mittels Powerbuilder erstellten Anwendung. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 5 von 13

6 3. ZUGRIFFE Zugriffsdifferenzierung Es werden nur die notwendigen Zugriffsrechte auf Netzwerke, Programme und Daten an Benutzer vergeben. Jeder Mitarbeitende erhält nur Zugriff auf diejenigen Daten, die er zur Erfüllung seiner Aufgabe braucht. Ihren Aufgaben entsprechend werden Benutzerinnen und Benutzer in Gruppen zusammengefasst. Die Zugriffsrechte der Gruppen sind auf die Funktion und Tätigkeitsfelder zugeschnitten. Des Weiteren wird für jede Gruppe entschieden, ob eine Leseberechtigung genügt oder Änderungsberechtigungen vergeben werden müssen. Die Vergabe von Zugriffsrechten wird in der Weisung «Vergabe und Umfang von Zugriffsrechten» geregelt. Die Zugriffsrechte der einzelnen Berechtigungsgruppen und die Mitglieder der Gruppen können bei der IT auf Antrag des Datenschutzbeauftragten oder Managements angefordert werden. Die vergebenen Zugriffsrechte werden regelmässig durch das Management überprüft. Authentisierung durch Passwörter Der Mitarbeitende hat eine persönliche Identifikation (Benutzername) und ein Passwort. Die Weitergabe des persönlichen Passworts ist untersagt. Passwörter müssen in regelmässigen Intervallen gewechselt werden. Ihre Zusammensetzung muss einer durch das AD vorgegebene Komplexität entsprechen. Der Umgang mit Passwörtern und die Anforderungen an ihre Zusammensetzung sind in der Richtlinie «Benutzung der IT-Anlage» (Anhang E) festgelegt. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 6 von 13

7 4. DATENSICHERHEIT Für die Gewährleistung der Datensicherheit, d.h. dem Schutz von Daten während der Datenverarbeitung, -speicherung oder -transport vor Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung, werden folgende Massnahmen angewendet: Massnahmen Regelung betreffend Zugang zu Informatikmitteln. Back-up-Konzept zur Datensicherung. Automatische Bildschirmsperrung. Alle Mitarbeitenden werden periodisch auf die Themen Datenschutz und Datensicherheit sensibilisiert. Es bestehen Informationsschutz-und Sicherheitsleitlinien 2 (Richtlinie «Benutzung der IT- Anlage» [Anhang E], Sicherheits- und Archivierungskonzept [Anhang F] und Konformitätsnachweise und Berechtigungskonzept). Die Mitarbeitenden der IT bilden sich regelmässig weiter. Alle Computer sind passwortgeschützt. Mindestens 6-stellige Passwörter. Zugangskontrolle durch das AD (Netzwerk, Dienste, Arbeitsstationen usw.). Durch das AD vorgegebene Richtlinien und Vergabe von Berechtigungen. Spiegelung der Speichersysteme an einen entfernten Standort. Einsatz ausfallsicherer Speichersysteme. Eine Firewall ist eingerichtet und wird regelmässig aktualisiert. Virenprüfung und Spamfilter: Die IT-Abteilung ist darum besorgt, dass alle Computer über den aktuellsten Virenschutz verfügen. Vertrauliche Daten 3 werden nur per Post oder verschlüsselter übermittelt. Das Rechenzentrum befindet sich in einem speziell gesicherten Raum (Brandschutz, Klimatisierung und Alarmierung). Der Zutritt steht nur befugten Personen zu. Es verfügt über eine unterbrechungsfreie Stromversorgung, mit der die Anlagen bei Stromausfall eine beschränkte Zeit mit Elektrizität versorgt werden können. 2 Informationssicherheit definiert die Rechte und Pflichten aller Mitarbeitenden bei der Bearbeitung von Informationen und der Benutzung von Hard- und Software für geschäftliche Zwecke. 3 Darunter fallen die besonders schützenwerte Personendaten. Besonders schützenwerte Personendaten sind Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen. Insbesondere folgende Daten können Informationen über die Gesundheit einer Person enthalten: Aufzeichnung über den Verlauf einer Behandlung, Beschreibung von Symptomen, Diagnosen, ärztliche Verordnungen / Berichte / Spitalberichte, Therapien, Medikamente, Überweisungen, Laborresultate, Tarifpositionen, Aufzeichnungen von bildgebenden Verfahren. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 7 von 13

8 5. KONTROLLE In Ergänzung zu Kapitel 4 «Datensicherheit» sind folgende Massnahmen und Kontrollen im Unternehmen implementiert: Die Einhaltung der datenschutzrechtlichen Bestimmungen wird intern folgendermassen sichergestellt und kontrolliert: Massnahmen auf Unternehmungsebene Schriftlich festgehaltene Datenschutzpolitik (Anhang A), die allen Mitarbeitenden bekannt ist. Regelungen von Aufgaben, Verantwortlichkeiten und Kompetenzen bezüglich Datenschutz und Datensicherheit in den Pflichtenheften der Mitarbeitenden. Thematisierung des Datenschutzes und der Datensicherheit in allen Stellenbeschreibungen und Arbeitsverträgen. Die Zugänge zu den Stockwerken sowie zum Archiv sind gesichert. Schulung aller Mitarbeitenden bezüglich Datenschutz und Datensicherheit. Weisungen betreffend Umgang mit und Telefon. Das System zeichnet die Zugriffe auf Daten auf. Kontrollen durch das Management Das Leitungsorgan und die Geschäftsleitung nehmen ihre Führungs- und Überwachungsaufgaben durch folgende Kontrollen wahr: Prüfen der Bereiche durch interne Kontrollen und Ableiten von Massnahmen. Prüfung der Umsetzung der Datenschutzpolitik. Sorgfältige Auswahl und Instruktion aller externer Dienstleister, die auf Daten zugreifen können oder an denen Daten weitergegeben werden. Verfassen von Datenschutz- und Datensicherheits-Vertragsklauseln mit allen Dienstleistern, die auf Daten zugreifen können oder an denen Daten weitergegeben werden sowie Kontrolle, ob die Dienstleister die Vorschriften bezüglich Datenschutz und Datensicherheit einhalten. Periodische Prüfung der Zugriffsrechte sowie des Umfangs der Zugriffsrechte jeder Funktion. Des Weiteren lebt das Management seine Vorbildfunktion aktiv und täglich und stellt die notwendigen Mittel für die kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit bereit. Kontrollen auf Prozessebene Prüfung der Konformität einer Datensammlung und Dokumentation im Konformitätsnachweis. Jährliche Kontrolle des Konformitätsnachweises (Vollständigkeit, Korrektheit; ist die Datenbearbeitung immer noch zweckmässig? Ist der Empfänger der Daten noch korrekt etc.). Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 8 von 13

9 Interne Audits Jährliche Kontrolle durch den betrieblichen Datenschutzbeauftragten. Jährliche Kontrolle durch den IKS-Ausschuss. Diese Kontrollen sind in das interne Kontrollsystem (IKS) des Unternehmens integriert. 6. AUSKUNFTSBEGEHREN UND AKTENEINSICHT DER BETROFFENEN PERSON Auskunftsbegehren: Form, Inhalt und Anschrift - Art. 8 ff. DSG, Art. 1 ff. VDSG Auskunftsbegehren sind schriftlich zusammen mit einer Kopie der ID oder des Passes an folgende Adresse und Kontaktperson zu senden: Agrisano BDSV Laurstrasse Brugg Diese Person resp. sein Stellvertreter trägt die Verantwortung für eine termingetreue Bearbeitung des Antrags. Auskunftsbegehren über die Gesundheit Daten über die Gesundheit des Gesuchstellers, die einen gewissen Komplexitätsgrad aufweisen, werden an einen vom Gesuchsteller bestimmten Arzt übermittelt und nicht an den Gesuchsteller persönlich. Der interne Prozessablauf ist in der Prozess-Dokumentation (Anhang D) geregelt. Akteneinsicht Akteneinsichtsgesuche der versicherten Person nach Art. 47 ATSG sind ebenfalls an den Datenschutzverantwortlichen zu richten bzw. weiterzuleiten. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 9 von 13

10 7. DATENBEARBEITUNG UND DATENBEARBEITUNG DURCH DRITTE Datenbearbeitung nach Art. 42 KVG i.v.m. Art. 84 KVG im Allgemeinen Die Datenbearbeitung erfolgt gestützt auf Art. 42 KVG i.v.m. Art. 84 KVG. Die Bearbeitung der Diagnosedaten erfolgt ausschliesslich zur Überprüfung der Rechnungen auf die durch Art. 42 KVG und Art. 56 KVG vorgegebene Pflicht des Krankenversicherers, die Berechnung der Vergütung und die Wirtschaftlichkeit der Leistung zu prüfen. Im Falle der Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG (stationäre Leistungen) werden zusätzlich die Ausführungsbestimmungen nach Art. 59a KVV berücksichtigt. Datenbearbeitung durch Dritte nach Art. 84 KVG (Outsourcing) Gemäss Art. 84 KVG ist die Agrisano als mit der Durchführung der sozialen Krankenversicherung betrautes Organ befugt, Personendaten einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile durch Dritte bearbeiten zu lassen. Bei der Bearbeitung von Personendaten durch Dritte die sogenannten Outsourcingnehmer sind stets die massgeblichen Anforderungen des DSG, insbesondere Art. 10a DSG zu berücksichtigen. Diese Bestimmung statuiert, dass der Outsourcingnehmer die Daten nur so bearbeiten darf, wie es die Agrisano selbst tun dürfte und dass diese sich zu vergewissern hat, dass der Outsourcingnehmer die Datensicherheit gewährleistet. Sie bietet die gesetzliche Grundlage für das Outsourcing in den Fällen, in denen die Agrisano als privater Krankenversicherer nach VVG auftritt. Umfassendes Outsourcing der Datenannahmestelle (DAS) im Bereich der elektronischen Bearbeitung Die elektronische Bearbeitung stationärer SwissDRG-Rechnungen (Prüfungsstufe 1) erfolgt durch die zertifizierte DAS der ÖKK Gruppe (vgl. hierzu das entsprechende Bearbeitungsreglement DAS der ÖKK und den Outsourcingvertrag [inkl. Abbildung Prüfprozess SwissDRG-Rechnungen via DAS ÖKK unter Einsatz von Kolumbus] zwischen der ÖKK und der Agrisano). Ein Mitglied der Geschäftsleitung bewilligt den Auslenkungsprozess. Diese Bewilligung wird schriftlich festgehalten. Die manuelle Prüfung der ausgelenkten SwissDRG-Belege (Prüfungsstufe 2) findet bei der Agrisano durch eigene Stellen statt. Der entsprechende Prozess ist im Datenschutzmanagementsystem (DSMS) geregelt. Bearbeitung von Papierrechnungen in eigener Datenannahmestelle Vernachlässigbar selten kann es vorkommen, dass Papierrechnungen vom Typus SwissDRG bei der Agrisano eingehen. Diese werden von der internen Poststelle sofern sie mit z.h. VAD DRG gekennzeichnet sind, direkt im Postfach VAD DRG im Postbüro hinterlegt. Bei Postsendungen ohne Vermerk werden diese auf der Poststelle geöffnet. Sind darin SwissDRG- Papierrechnungen enthalten, wird die Postsendung nicht weiterverarbeitet, sondern direkt ins Postfach VAD DRG gelegt. In Fällen wo zusätzlich nicht angeforderte Papier-MCD in der Postsendung sind, werden diese ebenfalls direkt in das Postfach VAD DRG gelegt. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 10 von 13

11 Für den Fall, dass solche Postsendungen irrtümlich durch andere Abteilungen der Agrisano geöffnet werden, sind sämtliche Mitarbeitende angewiesen, die Sendung ohne weitere Kenntnisnahme oder andere Bearbeitung direkt in das Postfach VAD DRG zu legen. Alle erhaltenen Papierrechnungen (ohne MCD) werden manuell im Kernsystem (Kalahari) verarbeitet. Die Rechnungsprüfung erfolgt nach einer internen Triagierung. Vereinzelt werden Papierrechnungen einer ausführlichen Prüfung unterzogen. Für diese werden über den VAD DRG beim Leistungserbringer die notwendigen Dokumente wie MCD, Austrittsbericht, Operationsbericht eingeholt. Die nachfolgende Grafik illustriert die Datenbearbeitung im Rahmen der DAS: 8. EXTERNE WEITERGABE VON PERSONENDATEN Externe Weitergabe und Verwaltungshilfe Eine externe Weitergabe von Personendaten erfolgt nur an Berechtigte. Auskünfte medizinischer Art sind nur nach Rücksprache mit dem vertrauensärztlichen Sekretariat zu gewähren. Massgebend für die externe Weitergabe von Personendaten 4 sind insbesondere folgende Grundlagen: Art. 84a KVG und Art. 97 UVG (Datenbekanntgabe); Art. 120 KVV (Informationspflicht der Versicherer); Art. 32 ATSG, Art. 82 KVG und Art. 98 UVG (Verwaltungshilfe); Art. 47 ATSG (Akteneinsicht); Datenschutzgesetz (DSG); Gegebenenfalls Vollmacht des Versicherungsnehmers. 4 Personendaten (Daten): Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Vgl. auch Fussnote 2 oben betreffend besonders schützenswerte Personendaten und Art. 3 DSG bezüglich Definition der Datenschutzbegriffe im Allgemeinen. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 11 von 13

12 Gesuche um Verwaltungshilfe und Akteneinsicht sind vom Datenschutzverantwortlichen oder seinem Stellvertreter mit zu unterzeichnen. Legitimation Vor der Weitergabe von Personendaten ist die Berechtigung des Empfängers sicher zu stellen. Will eine Drittperson Auskünfte über den Versicherungsnehmer und besteht diesbezüglich keine Rechtsgrundlage, so muss dafür eine schriftliche Vollmacht vorliegen - dies gilt auch für Rechtsvertreter, Sozialhilfebehörden, Privatversicherer usw. Die Vollmacht muss Angaben über den genauen Umfang der Vollmacht enthalten. Bei unmündigen Versicherten (Kinder und Jugendliche unter 18 Jahren) sind die Auskünfte gegenüber dem gesetzlichen Vertreter (Eltern) zu gewähren. Ein Ehepartner ist ohne Vollmacht nicht berechtigt, Informationen über den Partner einzuholen. Telefonische Auskünfte sind dann möglich, wenn das Prinzip der Verhältnismässigkeit gewahrt bleibt. Die auskunftsverlangende Person ist auch bei telefonischen Anfragen auf deren Identität zu prüfen. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 12 von 13

13 9. ARCHIVIERUNG UND VERNICHTUNG Archivierungspflichtige Dokumente werden mindestens während der gesetzlich verlangten Dauer archiviert und vor Veränderungen oder unbefugten Zugriffen geschützt. Die Zutritte zum Archiv werden restriktiv vergeben. Der Ablauf der Aufbewahrung, Archivierung und Vernichtung ist in einem Datenaufbewahrungs- und Archivierungskonzept festgehalten (Anhang F). 10. VERBOT BEKANNTGABE & BEARBEITUNG VON DATEN Eine betroffene Person kann die Bekanntgabe oder die Bearbeitung ihrer Daten verbieten. Beide Begehren sind an folgende Kontaktperson zu richten: Agrisano BDSV Laurstrasse Brugg Diese Person resp. ihr Stellvertreter trägt die Verantwortung für eine termingetreue Bearbeitung des Antrags. Inkrafttreten Das revidierte Dokument ist am durch die Geschäftsleitung der Agrisano genehmigt worden und tritt per in Kraft. Agrisano Bearbeitungsreglement betreffend Umgang mit Personendaten Seite 13 von 13