Wir sind immer für Sie da! Datenschutz in der GKV - Wie sicher sind Ihre Daten? - Herausforderungen und Perspektiven in der GKV Kundentag der IKK-Akademie Hagen, 09. Juni 2011 HBSN AG
Inhalt 1 Vorstellung der HBSN AG 2 Datenschutz aktuelle Herausforderungen generelle Anforderungen in der GKV spezielle Anforderungen Auftragsdatenverarbeitung (ADV) 3 Umsetzung der Anforderungen in der Praxis 3.1 Basis-/Sicherheits-Check 3.2 ISMS Informations-Sicherheits-Management-System 3.3 Prüfgemeinschaft zur Dienstleister-Auditierung 4 Fazit/Erfolgsfaktoren Seite 2
Inhalt Vorstellung der HBSN AG Seite 3
Geschäftsfelder Beratung Strategie und Management Prozesse/ Organisationsentwicklung Menschen/ Personalentwicklung IT-Systeme/Integration Datenschutz/ Informationssicherheit Projektmanagement Prävention, Gesundheitsförderung Galileo Low Fett 30 Body Analyzer VitaCube Nutriathletic Entwicklung Konzepte Seite 4
Geschäftsfelder Beratung Strategie und Management Prozesse/ Organisationsentwicklung Menschen/ Personalentwicklung IT-Systeme/Integration Datenschutz/ Informationssicherheit Projektmanagement Seite 5
Das Leistungsspektrum der HBSN AG berücksichtigt Management / Strategie Prozesse ------ Organisationsentwicklung Menschen ----- Personalentwicklung IT-Systeme ------- Integration Datenschutz/Informationssicherheit Projektmanagement und verbindet diese Elemente im Projektmanagement miteinander. Seite 6
Unterstützung im Datenschutz/ Informationssicherheit Datenschutz/Informationssicherheit Herausforderungen Der Schutz von personenbezogenen Daten ist sensibel und gewinnt zunehmend an Bedeutung Der interne Stellenwert ist als verbesserungswürdig anzusehen Die Einführung der egk oder das Internet verschärfen den Handlungsbedarf Datenschutz- und Datensicherheit müssen sich zu einem zentralen Thema in der Organisation entwickeln Die Auditierung von externen Dienstleistern ist zu organisieren Die Thematik ist gegenüber den Mitarbeitern auf allen Ebenen zu kommunizieren Unterstützung der HBSN AG Durchführung Penetrationstest: Schwachstellenprüfung Ihrer Onlinedienste, Webservices und IT-Systeme Durchführung Basis-Check Durchführung Sicherheitsinterviews Prüfung vorhandener IT-Sicherheitsdokumentationen Prüfung organ./techn. Maßnahmen zur IT-Sicherheit Durchführung Sicherheits-Check Aufnahme aller relevanten Prozesse Prüfung der Einhaltung rechtl./sicherheitsrelevanter Anforderungen Prüfung vorhandener Verträge auf Vollständigkeit Durchführung einer einfachen Schutzbedarfs- und Risikoanalyse ISMS-Einführung Bildung Prüfgemeinschaft zur Auditierung von ADV-Dienstleistern Begehung und Auditierung von Krankenk. und deren Dienstleistern in Vorbereitung auf GKV-spezifische TÜV-Zertifikate Seite 7
Inhalt Datenschutz aktuelle Herausforderungen generelle Anforderungen in der GKV spezielle Anforderungen ADV Seite 8
Feinkost Daten Schmidt.wmv Seite 9
Datenschutz und Datensicherheit in der Öffentlichkeit Banken BKK Gesundheit IKK Weser Ems Neckermann Sony Solche Vorkommnisse bewirken eine Verunsicherung und erhöhen die Sensibilität der Versicherten. Sind Sie darauf vorbereitet? Seite 10
Sind Sie sicher, dass alle Beteiligten sorgfältig mit IHREN Daten umgehen? Homepage Netze DTA Krankenkasse Dritte Mitarbeiter Software Seite 11
Besondere Rahmenbedingungen in der GKV Herausforderungen und Maßnahmen in der GKV Der Schutz von personenbezogenen Daten sowie Sozialdaten ist sensibel und gewinnt zunehmend an Bedeutung. Der interne Stellenwert ist häufig als verbesserungswürdig anzusehen. Durch die Nutzung des Internet verschärft sich der Handlungsbedarf. Datenschutz und Informationssicherheit entwickeln sich zu einem zentralen Thema in der GKV-Organisation. Die Thematik ist gegenüber den Mitarbeitern auf allen Ebenen zu kommunizieren. Die Auditierung von externen Dienstleistern ist zu organisieren. In der GKV sind Datenschutz und Informationssicherheit von besonderer Bedeutung. Seite 12
Datenschutzanforderungen generelle Anforderungen in der GKV Gesetzliche Grundlagen und Vorgaben in der GKV Gesetzliche Grundlagen SGB I: 35 SGB X: 67 bis 85a (ADV: 80 SGB X und 78a SGB X) BDSG (SGB geht vor BDSG nach 1 Abs. 3 BDSG) SigG, SigV StGB: 201-206 (insbesondere 202, 202a-c StGB) (TKG, TDG, TDDSG) Weitere Vorgaben BVA Bundesamt für Sicherheit in der Informationstechnik gematik Im Bereich des Datenschutzes wird die GKV mit vielfältigen Anforderungen konfrontiert. Seite 13
Datenschutzanforderungen spezielle Anforderungen ADV Historie 2009 Sept. 2009 Feb. 2010 März 2010 Aug. 2010 bis heute 22. März 2011 HBSN AG entwickelt mit dem TÜV Rheinland Anforderungskataloge für GKVn und GKV-Dienstleister zur Konkretisierung der ISO 27001 bzw. des BSI-Grundschutzes Novelle des BDSG, insbesondere 11 BDSG Datenschutzvorfall bei einer GKV. Herr Schaar positioniert sich in den Medien. HBSN AG bildet eine erste Prüfgemeinschaft und beginnt mit der Begehung von ADV-Dienstleistern Novelle des SGB, insbesondere 80 SGB X Wunsch zahlreicher Kassen nach Prüfgemeinschaften Bildung größerer Prüfgemeinschaft, um den Aufwand der Kassen zu reduzieren. Seite 14
Problem: Belastungen durch hohes Prüfaufkommen in der Praxis Durch die vielen Marktteilnehmer ergeben sich hohe Belastungen durch Prüfungen auf Seiten der Kassen wie auf Seiten der Dienstleister Sicht KK Sicht DL Vernetzte Sicht DL1 KK1 KK1 DL1 DL2 KK2 KK2 DL2 KK DL3 KK3 DL KK3 DL3 DL4 KK4 KK4 DL4 DLn KKm KKm 1 : n - Beziehung m : 1 - Beziehung m : n - Beziehung DLn KK = Krankenkasse DL = Dienstleister Seite 15
Inhalt Umsetzung der Anforderungen in der Praxis Basis-/Sicherheits-Check ISMS-Einführung Prüfgemeinschaft zur DL-Auditierung Seite 16
Umsetzung im Datenschutz/ Informationssicherheit Prozess gemanagter Datenschutz Erfüllung organisatorischer Anforderungen Erfüllung technischer Anforderungen Einhaltung Datenschutz-Standards: ISO/IEC 27001, BSI-Grundschutz, etc. Einhaltung gesetzlicher Grundlagen: BDSG, SGB, TKG, etc. Die Unterstützungsleistungen orientieren sich an vorhandenen Standards und verbinden diese Regelungen miteinander. Seite 17
Umsetzung der organisatorischen und technischen Anforderungen Erfüllung organisatorischer Anforderungen Erfüllung technischer Anforderungen Grundlagen Ernennung eines DSB und eines ISB Auftragsdatenverarbeitung (Verträge) Unterauftragsverhältnisse Mitarbeiter (Awareness, Verträge) Prozesse Interne/externe Auditierungen Vorabkontrollen, Changemanagement Beschaffungsprozess, Inventarisierung Incidentmanagement Dokumentationen Informationssicherheitsleitlinie Sicherheitsrichtlinien Notfallkonzept etc. Informations- und kommunikationstechnische Infrastruktur Bautechnische Infrastruktur Vulnerability Management Systemhärtung Mobiler Schadcode Firewall-Systeme Datenübertragung Monitoring (eigene und fremde Dienste) Protokollierung Backups Passworte Lagerung und Entsorgung Trennungskontrolle etc. Seite 18
Inhalt Schutzziele Analyse der Ausgangslage erste Schutzbedarfs-/Risikoeinschätzung 3.1Basis-/Sicherheits-Check Ableitung von Verbesserungen Seite 19
Schutzziele Seite 20
Basis-/Sicherheits-Check Zielsetzung/Vorgehen Bestandsaufnahme/Analyse der Ausgangslage Einhaltung der BDSG- und SGB-Anforderungen Organisation der Informationssicherheit Prozesse der Datenverarbeitung, -speicherung und weitergabe Dienstleister-Verträge und Auftragsdatenverarbeitung erste Schutzbedarfseinschätzung (BSI-Schutzbedarfskategorien) erste Risikoeinschätzung (Bedrohungen, Eintrittswahrscheinlichkeit, Schadenhöhe) Ableitung Verbesserungen/Maßnahmenplan Ein erster Check dient der Beurteilung der Ausgangslage und Ableitung erster Verbesserungs-Maßnahmen. Seite 21
Inhalt Ausgangslage Vorgehen zur Implementierung 3.2ISMS-Umsetzung Umsetzungsschritte Seite 22
ISMS: Ausgangslage ISMS-Zielsetzung Das Informations-Sicherheits-Management-System (ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern. Ein ISMS ist ein systematischer Ansatz, sensitive Unternehmensinformationen so zu verwalten, dass sie sicher bleiben. Es umfasst Prozesse, Menschen und IT-Systeme Eine ISMS-Umsetzung unterstützt Sie ganzheitlich, den Anforderungen gerecht zu werden. Seite 23
ISMS: Umsetzungsschritte ISMS-Umsetzungsschritte 6 5 1 Erstellung einer Informationssicherheitsleitlinie 2 3 4 Erarbeitung einer Schutzbedarfsanalyse Durchführung einer Risikoanalyse Implementierung von Maßnahmen und Strukturen zur Sicherstellung der Nachhaltigkeit Erstellung von Datenschutz-, Datensicher heits-, Notfall- und Audithandbuch Vorbereitung und Durchführung von internen und externen Audits Die Die ISMS-Umsetzungsschritte bauen bauen aufeinander auf. auf Seite 24
Datenschutz: Projektverlauf und Zuständigkeiten Initiierung und Analyse Grundlagen und Maßnahmen Assessment und Zertifizierung Monitoring Informationssicherheitsleitlinie Schutzbedarfsanalyse Risikoanalyse Informationssicherheitskonzept Datenschutzhandbuch Notfallkonzept Bewertung der IT-Sicherheit Erteilung des Zertifikates technische und organisatorische Stichproben Audithandbücher Umsetzung konkreter Maßnahmen Seite 25
Inhalt zur Dienstleister- Auditierung Ziele/Nutzen Unser Vorgehen 3.3Prüfgemeinschaft Inhalte und Ablauf eines Audits Seite 26
Prüfgemeinschaft: Ziele/Nutzen Prüfgemeinschaften KK1 KK2 KK3 KK4 KKm DL KK-Gemeinschaft = 1 Prüfung! Nutzen für die Kassen: Gemeinschaftliche Umsetzung der gesetzlichen Verpflichtung (vollständige und frühzeitige Berücksichtigung der Datenschutzanforderungen) Gemeinschaftliche Prüfung von Dienstleistern, die für mehrere Kassen tätig sind (auf der Basis der bestehenden Dienstleisterverträge) Nutzen für die Dienstleister: Vermeidung von Mehrfachbegehungen durch Bündelung der Kassenauditierungen Prüfgemeinschaften verschaffen enorme Entlastung. = Krankenkassen = Dienstleister Seite 27
Prüfgemeinschaft: Unser Vorgehen Die Kassen unserer Prüfgemeinschaft haben uns ADV-Dienstleister mitgeteilt, die für gemeinschaftliche Auditierung vorzusehen sind Auf Basis der Rückmeldungen (Anzahl der Nennungen und Prioritätswünsche) terminieren wir Auditierungen mit den Dienstleistern Im Zuge der Terminabstimmung/Auditplanung erfolgt eine Zuordnung des Dienstleisters zu einem Komplexitätsgrad (Festlegung des Auditumfanges) Sobald wir einen Audittermin mit einem Dienstleister vereinbart haben, teilen wir diesen den Kassen unserer Prüfgemeinschaft mit Die Kassen entscheiden je Dienstleister-Auditierung über Ihre Beteiligung an der jeweiligen gemeinschaftlichen Prüfung/dem jeweiligen Auditierungstermin Wir führen die jeweilige Auditierung durch bei einer Mindest- Teilnehmerzahl von 3 Kassen Wir freuen uns über die positive Resonanz auf unser Vorgehen. Seite 28
Inhalte und Ablauf eines Audits Thema Datenschutzgrundlagen Zutritt Zugang Zugriff Dokumentation Technische Maßnahmen Organisatorische Maßnahmen Verträge Beispiele Datenschutzbeauftragter (Ernennung, Ressourcen, Organigramm), Verfahrensverzeichnis, Datenschutzerklärungen,... Physikalische Sicherung, Alarmsicherung, Besucherrichtlinie, Schlüsselverzeichnis,... Prozesse zur Vergabe und Entzug von Berechtigungen, Passwortregelungen,... Zugriffsrechte, Rollenkonzepte,... Notfallhandbuch, Datenschutzhandbuch, Dienstanweisungen,... Netzwerk, Firewall, Email-Verschlüsselung, Backup,... Incident Management, Audits (intern, extern), Entsorgung,... insbesondere mit Auftragsdatenverarbeitern HBSN AG 08.06.2011 Seite 29
Inhalt Fazit / Erfolgsfaktoren Verantwortung der Krankenkassen generell Verantwortung der Krankenkassen bei ADV Zentrale Umsetzungsschritte / kritische Erfolgsfaktoren Seite 30
Datenschutzanforderungen Verantwortung der Krankenkassen generell Datenschutz in der GKV Der Datenschutz hat eine besondere Bedeutung für eine GKV (Schutz von Sozialdaten)! Jede Krankenkasse hat sicherzustellen, dass Datenschutz und Informationssicherheit adäquat umgesetzt werden. Basis-/Sicherheits-Checks und ISMS-Einführung unterstützen eine Krankenkasse ein hohes Sicherheitsniveau zu erreichen. Der Datenschutz stellt besondere Anforderungen an eine Krankenkasse und deren Dienstleister. Seite 31
Datenschutzanforderungen Verantwortung der Krankenkassen bei ADV Auftragsdatenverarbeitung in der GKV Die Auftragsdatenverarbeitung hat enorme Bedeutung für die Sicherheitssituation einer Krankenkasse. Wenn eine Krankenkasse die Verarbeitung von Sozialdaten an einen externen Dienstleister auslagert, bleibt diese für den Datenschutz verantwortlich. Sie hat sicherzustellen, dass Datenschutz und Informationssicherheit von dem Auftragnehmer adäquat umgesetzt werden. Viele Wenige Die Auftragsdatenverarbeitung stellt besondere Anforderungen an eine Krankenkasse und deren Dienstleister. Seite 32
zentrale Umsetzungsschritte/ kritische Erfolgsfaktoren Schulung/Sensibilisierung der Mitarbeiter Awareness!!! Beseitigung organisatorischer Schwachstellen Passwortrichtlinie Benutzer-/Rollenkonzept Richtlinien für Telearbeit, insbesondere Heimarbeitsplätze und Laptops Verpflichtungserklärungen/Schulungsnachweise Entsorgungsrichtlinie Regelmäßige interne/externe Auditierungen Etc. Beseitigung technischer Schwachstellen Internetportale Technische Prüfung von Software E-Mail-Verschlüsselung Etc. Mal zugegeben. Wie sieht es bei Ihnen hierzu aus? Seite 33
Sind IHRE Daten sicher? HBSN AG 08.06.2011 Seite 34
HBSN AG Wir lassen Sie nicht im Regen stehen! HBSN AG Wir sind immer für Sie da! Dipl.-Kfm. Ralf Gorschlüter Gesundheitsökonom (EBS) Geschäftsbereichsleiter Beratung im Gesundheitswesen Katernberger Str. 107 45327 Essen Tel.: 0201 890602 30 Mail: gorschlueter@hbsn-ag.de Internet: www.hbsn-ag.de www.formedo.de HBSN AG