EDV-Datenschutzweisung - April 2008 Zahnmed. Kliniken der Universität Bern Freiburgstrasse 7 3010 Bern Offizieller Briefkopf folgt in der Final Version Bern, im April 2008 Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern) Inhaltsübersicht 1. Allgemeine Bestimmungen 2. Vernetzt eingesetzte und lokal eingesetzte, klinikeigene Informatikmittel 3. Besonderes für vernetzt eingesetzte Informatikmittel 4. Besonderes für lokal eingesetzte, klinikeigene Informatikmittel 5. Privat eingesetzte Informatikmittel am Arbeitsplatz 6. E-Mail 7. Internet 8. Umgang mit Patientendaten 9. Schlussbestimmungen Anhang Referenzen Benutzererklärung DatenschutzweisungZMKSitzung090326.doc 1 / 7 Entwurf V. 0.9
1. Allgemeine Bestimmungen Dieses Dokument erläutert den Umgang mit Informatiksystemen und Daten an den Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern). 1.1. Weiterführende Informationen 1.1.1. Die Weisung kann nicht alle Informationen zum Datenschutz und der Datensicherheit enthalten. Sind Fragen offen, ist es Aufgabe des Mitarbeitenden, sich fehlende Informationen einzuholen. Dazu stehen folgende Möglichkeiten zur Verfügung: Erste Ansprechpersonen sind die Informatikverantwortlichen der Kliniken, der Ressortleiter Informatik und die Klinikleitung Weiterführende Dokumentationen können bei den Informatikverantwortlichen eingeholt werden. Regierungsratsbeschlüsse und Weisungen des Organisationsamtes sind einzuhalten Es gelten die Weisungen der Universität und des Kantons Bern 1.2. Geltungsbereich 1.2.1. Diese Weisung bezweckt die Gewährleistung der Datensicherheit und den Schutz der Persönlichkeit von Personen, deren Daten an den ZMK Bern elektronisch bearbeitet werden. 1.2.2 Die Datenschutzweisung regelt den Umgang mit Patientendaten innerhalb der ZMK und gegen aussen. 1.2.3. Sie gilt für die Mitarbeitenden der ZMK. 1.2.4. Sie betrifft die Installation, die Inbetriebnahme und den Einsatz von vernetzt und lokal eingesetzten Hardware- und Softwareprodukten sowie die Verwendung von Datenträgern (CD, DVD, Flash Speicher etc.) am Arbeitsplatz. 1.3. Weiterführende Informationen Weisungen der Universität und des Med. Dekanates Weisungen über die Benutzung der IT-Ressourcen an der Universität Bern vom Feb. 2008 Intranet der Uni Weitere Informationen befinden sich im Intranet der Universität Bern www.unibe.ch unter Rechtsdienst und Personal 2. Vernetzt eingesetzte und lokal eingesetzte, klinikeigene Informatikmittel 2.1. Zuständig und verantwortlich für die Installation, Konfiguration und die Inbetriebnahme von Computern und Software-Produkten sind die von den Kliniken beauftragten Informatikverantwortlichen. 2.2. Die Konfiguration an den Systemen der ZMK darf von den Benutzern nicht verändert werden. Alle Änderungen gehen über die Informatikverantwortlichen. 2.3. Jeder Benutzer ist verantwortlich für die sachgemässe Anwendung und Bedienung der ihm zur Verfügung gestellten Informatikmittel und die ihm zugänglichen Software-Anwendungen. 2.4. Der Zugriff auf den Computer und die Daten wird mit dem persönlichen Passwort des Benutzers geschützt. Persönliche Passwörter sind, wie persönliche Schlüssel, vor dem Zugang von unbefugten Dritten zu schützen und dürfen anderen Mitarbeitenden nicht weitergegeben werden. Für die Geheimhaltung des persönlichen Passwortes ist jeder Benutzer verantwortlich. Beim Verlassen des Arbeitsplatzes ist der Zugriff auf den Computer und die Daten solcherart zu schützen, das kein unberechtigter Zugriff möglich ist. Sperren mit dem Passwort (Arbeitsstation sperren, Bildschirmschoner mit Passwort), Einschliessen oder Abstellen. DatenschutzweisungZMKSitzung090326.doc 2 / 7 Entwurf V. 0.9
3. Besonderes für vernetzt eingesetzte Informatikmittel 3.1. Ein Computer, welcher Zugriff auf das ZMK PatiNetz hat (Netzwerkkarte mit fixer IP-Nummer oder DHCP) gehört in diese Kategorie. 3.2. Zugriffsberechtigungen sowie deren Änderungen auf Datenablagen werden durch die Angehörigkeit zu einer Organisationseinheit definiert und allenfalls durch den Vorgesetzten einer Organisationseinheit präzisiert und den Informatikverantwortlichen zur Ausführung mitgeteilt. 3.3. Berechtigungen sowie deren Änderungen in Applikationen werden durch den Applikationsverantwortlichen definiert und den Informatikverantwortlichen zur Ausführung mitgeteilt oder mit ihnen zusammen vorgenommen. Insbesondere sind die Informatikverantwortlichen der Kliniken verantwortlich für die korrekte Lizenzierung. 3.4. Es ist untersagt, vertrauliche Daten der Klinik wie Personal- und Patientendaten, welche auf lokal eingesetzten Systemen erfasst, bearbeitet und gespeichert werden, zur Weiterbearbeitung in einer für Dritte lesbaren Form nach Hause zu nehmen. 3.5. Auf das Ende des Arbeitsverhältnis hin, hat der Benutzer persönlichen sowie alten Dateien und noch vorhandene Mails korrekt zu löschen. Die Übergabe der noch aktuellen Dateien erfolgt in Absprache mit dem Vorgesetzten. 4. Besonderes für lokal eingesetzte, klinikeigene Informatikmittel 4.1. Ein Computer, welcher keinen Zugriff auf das ZMK PatiNetz hat gehört in diese Kategorie. 4.2. Es ist untersagt, vertrauliche Daten der Klinik wie Personal- und Patientendaten, welche auf lokal eingesetzten Systemen erfasst, bearbeitet und gespeichert werden, zur Weiterbearbeitung in einer für Dritte lesbaren Form nach Hause zu nehmen. 4.3. Für die Sicherstellung der Daten und der Aufbewahrung des Sicherungsmediums sind die Benutzer verantwortlich. Die Informatikverantwortlichen stehen beratend zur Verfügung. 4.4. Datenträger müssen beim Einlesen in die klinikeigenen Personal-Computer auf Viren überprüft werden. Bei erkanntem oder vermutetem Virenbefall ist der Personal-Computer auszuschalten und dem Informatikverantwortlichen der Klinik Meldung zu erstatten. Aktualisierungen der Virenschutzprogramme sind durch die Benutzer bei den Informatikverantwortlichen einzufordern. 4.5. Bei Beendigung des Arbeitsverhältnisses übergibt der Benutzer dem Vorgesetzten die noch aktuellen Dateien. Alle übrigen vom Benutzer erstellten Daten sind von ihm korrekt zu löschen. 5. Privat eingesetzte Informatikmittel am Arbeitsplatz 5.1. Der Einsatz von privaten Informatikarbeitsmitteln am Computernetz in den Kliniken ist nur mit der Einwilligung der Informatikverantwortlichen der ZMK Bern erlaubt (Ressortleiters Informatik, Informatikbetreuer ZMK). Sie erhalten dafür Zugriff mit Administratorenrechte auf diese Maschinen. Insbesondere sind Vorbedingungen für den Gebrauch der Geräte: Aktualisertes Betriebssystem und Anwendungen, ein aktives Virenschutzprogramm auf aktuellem Stand. Sobald Patientendaten gelagert werden, sind diese korrekt zu schützen. 5.2. Es ist untersagt, vertrauliche Daten der Klinik wie Personal- und Patientendaten, welche auf lokal eingesetzten Systemen erfasst, bearbeitet und gespeichert werden, zur Weiterbearbeitung in einer für Dritte lesbaren Form nach Hause zu nehmen. 6. E-Mail 6.1. Das Mail darf nicht zum Versenden von schützenswerten Daten (vertraulichen Klinikdaten wie Personal- und Patientendaten) verwendet werden ausser diese werden entsprechend verschlüsselt 6.2. Das Mail ist ein Arbeitsmittel. Die Nutzung für private Zwecke ist auf ein Minimum zu beschränken und der Speicherplatz verantwortungsvoll zu verwenden. 6.3. Die Nutzung des Mails für private, kommerzielle Zwecke ist nicht gestattet. 6.4 Im Weiteren gelten die Weisungen der Universität. 7. Internet 7.1. Für einen Internetanschluss ist grundsätzlich keine Bewilligung notwendig, zur Freischaltung des Zuganges muss jedoch die Einwilligung des Ressortleiters Informatik eingeholt und dessen Weisungen eingehalten werden 7.2. Internetanschlüsse müssen durch die Informatikverantwortlichen der Kliniken regelmässig kontrolliert werden. Sie führen Buch über Ort, Computertyp, Anschlussdetails und Lizenzen. DatenschutzweisungZMKSitzung090326.doc 3 / 7 Entwurf V. 0.9
7.3. Das Internet ist ein Arbeitsmittel. Die Nutzung für private Zwecke ist auf ein Minimum zu beschränken und hat ausserhalb der Arbeitszeit zu erfolgen. 7.4. Die Internetzugriffe werden automatisch mittels Proxy-Server der Universität festgehalten und gemäss deren Vorgaben aufbewahrt. 8. Umgang mit Patientendaten 8.1. Umschreibung 8.1.1. Die Patientendaten sind dem Persönlichkeitsschutz unserer Patienten unterstellt. 8.1.2. Patientendaten dürfen nicht an Unberechtigte weitergegeben werden. 8.1.3. Sie dürfen nicht unverschlüsselt über Computernetzwerke an Dritte ausserhalb des Patientennetzes weitergeleitet werden. 8.1.4 Auswertungen, Vorträge und Publikationen sind anonym zu führen. Falls nicht möglich ist die Einwilligung der Patienten einzuholen. 9. Schlussbestimmungen 9.1. Zuständigkeiten 9.1.1. Jeder Mitarbeitende bestätigt mit der Unterzeichnung der Benutzererklärung, davon Kenntnis genommen zu haben und verpflichtet sich damit zur Einhaltung derselben. Bei Fragen wendet er sich an die Informatikverantwortlichen. 9.1.2. Wird beobachtet, dass eine Widerhandlung gegen die EDV-Datenschutzweisung vorliegt, hat der Mitarbeitende dies dem Informatikverantwortlichen der Klinik und dem Ressortleiter Informatik der ZMK Bern zu melden. Die beiden entscheiden über zu ergreiffende Massnahmen. 9.1.3. Anpassungen der vorliegenden EDV-Datenschutzweisung erfolgen über die Direktion der ZMK, welche diese genehmigt und für die ZMK Bern in Kraft setzt. 9.2. Gültigkeit Die vorliegende EDV-Datenschutzweisung tritt für ZMK Bern auf den 1. XXX 2008 in Kraft. Direktion Zahnmed. Kliniken der Universität Bern Beilage: Anhang Verteiler: - Direktionsgruppe ZMK - Ressort Informatik der Zahnmed. Kliniken - Klinikdirektionen (6) der Zahnmed. Kliniken - Informatikverantwortliche der sechs Kliniken - Alle Mitarbeiterinnen und Mitarbeiter der drei Kliniken, welche Informatikmittel einsetzen Kopie ZMK. an: - Datenschutzbeauftragter der Universität Bern DatenschutzweisungZMKSitzung090326.doc 4 / 7 Entwurf V. 0.9
Anhang Referenzen: Universität Bern - Weisungen über die Benutzung der IT-Ressourcen an der Universität Bern vom 12.02.2008 (pdf) - Regierungsratsbeschluss: Weisungen für den Umgang mit Passwörtern vom 17.06.1998 (pdf) - Weisungen der Universitätsleitung über das Netzwerk der Universität Bern vom 29.10.2001 (pdf) Intranet - Weitere Informationen befinden sich im Intranet der Uni Bern unter Rechtsdienst http://www.rechtsdienst.unibe.ch/rs.html DatenschutzweisungZMKSitzung090326.doc 5 / 7 Entwurf V. 0.9
EDV-Benutzererklärung Mit der Unterzeichnung der EDV-Benutzererklärung bestätigt die Mitarbeiterin / der Mitarbeiter, die EDV-Datenschutzweisung persönlich erhalten und von dessen Inhalt Kenntnis genommen zu haben. Die unterzeichnete EDV-Benutzererklärung verpflichtet die Mitarbeiterin / den Mitarbeiter zur Einhaltung der geltenden Richtlinien beim Einsatz und der Verwendung von Informatikmitteln. Mit der Unterzeichnung der EDV-Benutzererklärung nimmt die Mitarbeiterin / der Mitarbeiter davon Kenntnis, dass bei Beendigung des Arbeitsverhältnisses (alle elektronisch verarbeiteten und gespeicherten Daten in den Besitz der Klinik übergehen und)??die vorgesetzte Stelle über die weitere Verwendung der auf den Informatikmitteln zu dieser Zeit gespeicherten Daten entscheidet. Name, Vorname, Klinik / Aufgabenbereich Bitte in Blockschrift ausfüllen... Bestätigung Ich bestätige, obige Richtlinien zur Kenntnis genommen zu haben, insbesondere ist es mir nicht erlaubt Computer oder andere Datenverarbeitungsgeräte ohne Einwilligung des Ressortleiters Informatik resp. dessen Stellvertreters am Patientennetzwerk der ZMK zu betreiben. Die Benutzererklärung wird allen neueintretenden Mitarbeiterinnen und Mitarbeitern durch den Personaldienst abgegeben und dort aufbewahrt. Die an den ZMK der Universität Bern erarbeiteten Daten sind Eigentum der ZMK. Die Mitarbeiter sind für deren Sicherheit verantwortlich. Bei Beendigung des Arbeitsverhältnisses ist der Benutzer besorgt, dass persönliche Dateien vom Computer entfernt werden. Alle übrigen Dateien mit Klinikdaten, Befunddaten, Bilder etc. sind dem Vorgesetzten zugänglich zu machen, welcher über die Langzeitaufbewahrung an der Klinik entscheidet. Dies betrifft ebenfalls die Daten auf den persönlichen Computern und Informatikgeräten. Ort / Datum Unterschrift der Mitarbeiterin / des Mitarbeiters... DatenschutzweisungZMKSitzung090326.doc 6 / 7 Entwurf V. 0.9
Anhang Referenzen: Universität Bern - Weisungen über die Benutzung der IT-Ressourcen an der Universität Bern vom 12.02.2008 (pdf) - Regierungsratsbeschluss: Weisungen für den Umgang mit Passwörtern vom 17.06.1998 (pdf) - Weisungen der Universitätsleitung über das Netzwerk der Universität Bern vom 29.10.2001 (pdf) Intranet - Weitere Informationen befinden sich im Intranet der Uni Bern unter Rechtsdienst http://www.rechtsdienst.unibe.ch/rs.html DatenschutzweisungZMKSitzung090326.doc 7 / 7 Entwurf V. 0.9