Bearbeitungsreglement sodalis - Sodalis Krankenversicherer
Bearbeitungsreglement sodalis - Sodalis Krankenversicherer
Bearbeitungsreglement sodalis - Sodalis Krankenversicherer
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
Muster-<strong>Bearbeitungsreglement</strong> (öffentlich)<br />
für die <strong>Krankenversicherer</strong> des RVK<br />
1. BESCHREIBUNG DES UNTERNEHMENS<br />
Die <strong>sodalis</strong> gesundheitsgruppe ist eine Krankenversicherung gemäss KVG. Ausserdem<br />
werden diverse Zusatzversicherungen gemäss VVG angeboten. Unser Tätigkeitsgebiet<br />
beschränkt sich auf die Kantone Wallis und Bern.<br />
2. ORGANISATION<br />
2.1 DAS SYSTEM<br />
Die nachfolgende, grafische Übersicht zeigt die von der Datenbearbeitung betroffenen<br />
Umsysteme auf:<br />
OCOM<br />
BBT<br />
IT-Surplus<br />
Bambus<br />
RVK<br />
Leistungs<br />
-erbringer<br />
Versichert<br />
e<br />
<strong>sodalis</strong><br />
gesundheitsgruppe<br />
Bar<br />
Informatik<br />
Fux<br />
campagna<br />
Vertrauensarzt<br />
Vertrauens<br />
Zahnarzt<br />
1
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
Oder auch im EFQM zu finden als:<br />
2.2 ORGANIGRAMM<br />
Das aktuelle Organigramm befindet sich im Ordner S: Allgemein / EFQM <strong>sodalis</strong> / 1<br />
Führung / 2 Organisation<br />
Insgesamt arbeiten 36 Mitarbeitende mit diesem System.<br />
Verantwortliche Stelle zur Aktualisierung des Organigramms: Personalverantwortlicher<br />
<strong>sodalis</strong> gesundheitsgruppe<br />
2.3 VERANTWORTLICHKEITEN<br />
Die Gesamtverantwortung für den Datenschutz trägt die Geschäftsleitung. Diese<br />
Verantwortung ist nicht übertragbar.<br />
Alle weiteren Aufgaben, Kompetenzen und Verantwortlichkeiten betreffend Datenschutz<br />
und Sicherheit sind in den entsprechenden Stellenbeschreibungen festgehalten. Die<br />
Leiterin / der Leiter der Organisationeinheit (Personal) verfügt über aktuelle Version aller<br />
Stellenbeschreibungen.<br />
Der betriebliche Datenschutzbeauftragte berät das Unternehmen in der Umsetzung und<br />
Einhaltung des Datenschutzes und nimmt die entsprechenden Kontrollen vor. Er trägt<br />
2
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
jedoch nicht die Verantwortung für die Einhaltung der Bestimmungen des<br />
Datenschutzes, diese liegt in jedem Fall beim Inhaber der Datensammlung.<br />
Verantwortliche Stelle zur Führung und Aktualisierung der Stellenbeschreibungen:<br />
Personalverantwortlicher <strong>sodalis</strong> gesundheitsgruppe<br />
2.4 PROZESSABLÄUFE<br />
Die Prozessabläufe sind im SCODi unter Kapitel 5 dokumentiert. Die aktuellen<br />
Prozessabläufe können beim Q-Verantwortlichen eingesehen werden.<br />
Insbesondere folgende Prozesse sind in Bezug auf den Datenschutz wesentlich:<br />
• Vertrauensarzt / besonders schützenswerte Daten<br />
• Vertrauensarzt, Zahnarzt / besonders schützenswerte Daten<br />
• KG stationär / besonders schützenswerte Daten<br />
• Neuantrag / besonders schützenswerte Daten<br />
• Datensammlung Prozess<br />
• Auskunftsbegehren<br />
Verantwortliche Stelle: Q-Verantwortlicher<br />
2.5 ANMELDUNG DER DATENSAMMLUNGEN BEIM EDÖB<br />
Da die <strong>sodalis</strong> gesundheitsgruppe über einen dem EDÖB gemeldeten, betrieblichen<br />
Datenschutzverantwortlichen nach Art. 12a und 12b VDSG verfügt, ist sie gemäss Art 11a<br />
Abs. 5 lit. e DSG vom Führen eines öffentlich zugänglichen Registers der Datensammlungen<br />
und von der Pflicht zur Anmeldung der Datensammlung befreit.<br />
Die Konformität der einzelnen Datensammlung, die Personendaten erhält, wird vor<br />
Implementierung sowie kontinuierlich für alle bestehenden Datensammlungen geprüft und im<br />
Konformitätsnachweis dokumentiert.<br />
Verantwortliche Stelle Führung und Aktualisierung Konformitätsnachweises:<br />
Datenschutzverantwortlicher <strong>sodalis</strong> gesundheitsgruppe<br />
2.6 AUSKUNFTSBEGEHREN<br />
Die gesetzlichen Grundlagen betreffend Auskunftsbegehren sind im EFQM <strong>sodalis</strong> / 3<br />
Mitarbeiterinnen und Mitarbeiter / Datenschutz im Detail festgehalten. Der dazugehörige<br />
Prozessablauf ist in Scodi4P Viewer auch als Prozess hinterlegt.<br />
3
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
Daten über die Gesundheit des Gesuchsstellers werden an einen vom Gesuchsteller<br />
bestimmten Arzt übermittelt, nicht an den Gesuchssteller persönlich.<br />
Verantwortliche Stelle Prozessablauf Auskunftsbegehren: Datenschutzverantwortlicher<br />
<strong>sodalis</strong> gesundheitsgruppe<br />
2.7 KONTROLLVERFAHREN<br />
Folgende technische und organisatorische Massnahmen werden getroffen, um die<br />
Einhaltung des Datenschutzes sicher zu stellen:<br />
Was? Zuständige Stelle? Ort der Aufbewahrung?<br />
Zugriffs- und<br />
Berechtigungskonzept 1<br />
Security Konzept bbti fehlt<br />
noch<br />
EDV: ThBl, MaWa<br />
4
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
Good Priv@cy Auditierung<br />
(Auditberichte)<br />
Audits der internen Revision<br />
(Auditberichte)<br />
Security Konzept<br />
Monitoring (Aufzeichnung<br />
der Zugriffe, Logfiles)<br />
Schutz vor Datenklau und<br />
Datenmissbrauch 2<br />
Aufbewahrungs- und<br />
Archivierungskonzept<br />
Datenschutzverantwortlicher EFQM / 99 / Unterlagen /<br />
Audit<br />
Datenschutzverantwortlicher EFQM <strong>sodalis</strong> / 3<br />
Mitarbeiterinnen und<br />
Mitarbeiter / Datenschutz<br />
Ergebnisse:<br />
S:\Allgemein\EFQM<br />
<strong>sodalis</strong>\9<br />
Schlüsselergebnisse\Audit<br />
DSM und QM<br />
Geschäftsleitung<br />
Alle Mitarbeiter, alle IT- Alle Mitarbeiter, alle IT-<br />
Beteiligten<br />
Beteiligten<br />
Datenschutzverantwortlicher EFQM <strong>sodalis</strong> / 3<br />
Mitarbeiterinnen und<br />
Mitarbeiter / Datenschutz<br />
Verantwortliche Stelle: Datenschutzverantwortlicher <strong>sodalis</strong> gesundheitsgruppe<br />
3. IT-SYSTEM<br />
3.1 INFORMATIKMITTEL<br />
Die nachfolgende Grafik zeigt die IT Struktur auf, in welche das automatisierte<br />
Datenbearbeitungssystem eingegliedert ist<br />
Patienten<br />
Client<br />
Drucker<br />
Aussenstelle<br />
(z.B. IT-<br />
Dienstleister)<br />
Ärzte / Spitäler<br />
Vertrauensarzt<br />
Client<br />
Server<br />
Client<br />
IT-Abteilung<br />
Backup<br />
5
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
Die Mitarbeitenden können via ihren Computer (Client) auf die Daten auf dem Server<br />
zugreifen, die sie für die Erfüllung ihrer Aufgaben brauchen. Alle Daten werden auf<br />
einem Backup-Server sicherheitsgespeichert (dupliziert). Lediglich die IT-Abteilung kann<br />
auf die Backups zugreifen. Der Vertrauensarzt kann auf die Daten zugreifen, die er für<br />
die Erfüllung seiner Aufgabe braucht. Die Mitarbeitenden der Krankenkasse können<br />
nicht auf die Daten des Vertrauensarztes zugreifen – stimmt bei uns so nicht.<br />
Weder die Patienten noch die Ärzte resp. Spitäler können auf diese Daten zugreifen.<br />
Verantwortliche Stelle: IT-Verantwortlicher <strong>sodalis</strong> gesundheitsgruppe<br />
3.2 APPLIKATION<br />
BBTI Krankenkassensoftware der Firma BBT<br />
Unterlagen über die Applikation<br />
Unterlagen bezüglich der Planung der Applikation sind im Ordner S: / Allgemein / EFQM<br />
<strong>sodalis</strong> / Partnerschaften - Ressourcen abgelegt 3 .<br />
Unterlagen bezüglich der Realisierung der Applikation sind im Ordner S: / Allgemein / EFQM<br />
<strong>sodalis</strong> / Partnerschaften - Ressourcen abgelegt 4 .<br />
Unterlagen bezüglich des Betriebs der Applikation sind im Ordner S: / Allgemein / EFQM<br />
<strong>sodalis</strong> / Partnerschaften - Ressourcen abgelegt 5 .<br />
Verantwortliche Stelle Gesamtverantwortung Applikation: Verantwortlicher der<br />
Geschäftsleitung für den Bereich Informatik<br />
3.3 INTEGRIERTE SYSTEME<br />
• RVK: Verband der kleineren und mittleren Krankenversicherungen<br />
• Bar-Informatik: Softwarefirma <strong>sodalis</strong><br />
• Swiss Interbancing: Übermittlung der LSV-Aufträge<br />
• Surplus Reader, Mike Kurth<br />
• Fux Campagna<br />
• BBT Software<br />
Verantwortliche Stelle für das System inkl. Der integrierten Systeme: Verantwortlicher der<br />
Geschäftsleitung für den Bereich Informatik<br />
6
<strong>Bearbeitungsreglement</strong> öffentlich <strong>sodalis</strong> gesundheitsgruppe<br />
SCHNITTSTELLENBESCHREIBUNG<br />
Die Schnittstellenbeschreibungen sind im Konformitätsnachweis in folgenden Spalten<br />
ersichtlich:<br />
• Herkunft der Daten: Spalte „f“<br />
• Empfänger der Daten: Spalte „g“<br />
• Periodizität der Datenweitergabe: Spalte „h“<br />
• Zweck der Datenweitergabe: Spalte „i“<br />
• Medium der Datenweitergabe: Spalte „j“<br />
• Zweck der Datenbearbeitung: Spalte „k/l“<br />
Die verantwortliche Stelle Datenschutzverantwortlicher <strong>sodalis</strong> ist in Besitz des aktuellen<br />
Konformitätsnachweises.<br />
7