Bearbeitungsreglement Versicherungswesen - ÖKK
Bearbeitungsreglement Versicherungswesen - ÖKK
Bearbeitungsreglement Versicherungswesen - ÖKK
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Legal & Compliance<br />
Datenschutz<br />
<strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem<br />
<strong>Versicherungswesen</strong><br />
Dokumenten-Nr.<br />
Autor<br />
Dokumenten-Eigner<br />
Dokumenten-Bereich/Art<br />
Dokumenten-Status<br />
Klassifizierung<br />
Geltungsbereich<br />
03.0005_RE_<strong>Bearbeitungsreglement</strong>_<strong>Versicherungswesen</strong><br />
Dr. Alexander Lacher<br />
Lacher Alexander (<strong>ÖKK</strong>)<br />
(03) Risk Management/Legal&Compliance/Governance/Reglement<br />
(RE)<br />
(03) Freigegeben<br />
<strong>ÖKK</strong>-INTERN (V2)<br />
<strong>ÖKK</strong><br />
Version 4.0<br />
Gültig von 16.09.2013<br />
Gültig bis<br />
(ohne Datum<br />
unbeschränkt)<br />
[Gültig bis]
Änderungs- und Freigabekontrolle (Versionsverlauf):<br />
Version Prüfstelle Prüfdatum Art der Änderung Freigabestelle Freigabedatum<br />
1.8 Dinner, Heinrich 16.09.2013 Anpassungen Dinner, Heinrich 16.09.2013<br />
Verteiler:<br />
Empfänger Datum Art der Mitteilung/Verteilung<br />
Alle <strong>ÖKK</strong>-Mitarbeitenden 04.2013 Intranet, physische Abgabe<br />
04.–12.2013 Schulungen, Rollout i.e.S.<br />
Interessierte Öffentlichkeit 04.2013 Internet, BDSV (auf Anfrage)<br />
Wo sich das vorliegende Reglement auf andere Weisungen oder Dokumente bezieht, sei zur<br />
besseren Übersicht das Verzeichnis aller Weisungen (Dokument 03.0000_WS_Weisungsverzeichnis)<br />
zu berücksichtigen.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 2/44
Inhaltsverzeichnis<br />
1. Begriffe/Abkürzungen ............................................................................. 6<br />
2. Allgemeine Bestimmungen ..................................................................... 6<br />
2.1. Einführung ....................................................................................................................... 6<br />
2.2. Rechtliche Grundlagen ................................................................................................... 6<br />
2.2.1. KVG ................................................................................................................... 6<br />
2.2.2. VVG ................................................................................................................... 8<br />
2.2.3. DSG ................................................................................................................... 9<br />
2.3. Ziel des <strong>Bearbeitungsreglement</strong>s .................................................................................10<br />
2.4. Zweck der Datenbearbeitung ........................................................................................11<br />
2.4.1. Vertrauensärztlicher Dienst .............................................................................12<br />
2.4.2. <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> ..............................................12<br />
2.5. Verantwortliche Stellen .................................................................................................13<br />
2.6. Schweigepflicht nach Art. 33 ATSG ..............................................................................14<br />
3. Systeme zur Datenbearbeitung ............................................................ 14<br />
3.1. Struktur des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> .....................................14<br />
3.1.1. Allgemeines .....................................................................................................14<br />
3.1.2. Subsysteme des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> .................14<br />
3.1.3. Systemgrenzen/-übersicht ...............................................................................15<br />
3.2. Technische Schnittstellen .............................................................................................17<br />
3.3. Genutzte Informatikmittel (Konfiguration) .....................................................................19<br />
3.3.1. <strong>ÖKK</strong> .................................................................................................................19<br />
3.3.2. Centris ..............................................................................................................19<br />
3.4. Dokumentationen ..........................................................................................................19<br />
3.4.1. Softwareentwicklung ........................................................................................19<br />
3.4.2. Ausbildung der Benutzer .................................................................................20<br />
3.4.3. Benutzerhandbücher und Bearbeitungsrichtlinien ...........................................20<br />
4. Beteiligte Organisationseinheiten ........................................................ 20<br />
4.1. Agenturen/Service-Centers Heilungskosten .................................................................20<br />
4.2. Zentrale Organisationseinheiten (OE) ..........................................................................20<br />
4.3. Vertrauensärztlicher Dienst ..........................................................................................24<br />
4.4. Codierexperten .............................................................................................................24<br />
4.5. Extern (Outsourcer/Dienstleister) .................................................................................24<br />
4.6. Zugriffe der Organisationeinheiten auf Subsysteme ....................................................25<br />
5. Benutzer und Datenzugriff .................................................................... 26<br />
5.1. Benutzer ........................................................................................................................26<br />
5.2. Benutzerverwaltung ......................................................................................................26<br />
5.2.1. Zugriffskontrollsystem ......................................................................................27<br />
5.2.2. Vergabe von Zugriffsberechtigungen ..............................................................27<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 3/44
5.2.3. Aufhebung der Zugriffsberechtigung ...............................................................29<br />
5.2.4. Zugriffskontrolle in der Test-Umgebung ..........................................................29<br />
5.2.5. Administrative Zugriffe .....................................................................................29<br />
5.3. Periodische Kontrollen ..................................................................................................29<br />
6. Bearbeitung der Daten/Datenkategorien ............................................. 30<br />
6.1. Datenherkunft/Datenbeschaffung .................................................................................30<br />
6.2. Datenkategorien............................................................................................................30<br />
6.3. Datenbearbeitung, Datenbearbeitung durch Dritte und Datenbekanntgabe ................33<br />
6.3.1. Datenbearbeitung nach Art. 42 KVG i.V.m. Art. 84 KVG ................................33<br />
6.3.2. Datenbearbeitung durch Dritte nach Art. 84 KVG bzw. 10a DSG ...................33<br />
6.3.3. Datenbekanntgabe nach Art. 84a KVG ...........................................................33<br />
6.3.4. Datenbearbeitung im Auftrag für Partnerversicherungen (Insourcing)............33<br />
6.3.5. Liste Bekanntgabe der Daten ..........................................................................33<br />
7. Datenaufbewahrung und -löschung .................................................... 36<br />
7.1. Archivierungspflicht .......................................................................................................36<br />
7.2. Aufbewahrungsdauer, Löschung der Daten .................................................................36<br />
7.3. Aufbewahrung der diagnosebasierten Daten nach Art. 59 Abs. 1 ter KVV ....................36<br />
8. Technische und organisatorische Massnahmen ............................... 37<br />
8.1. Zugangskontrolle ..........................................................................................................37<br />
8.2. Personendatenträgerkontrollen ....................................................................................37<br />
8.3. Transportkontrolle .........................................................................................................37<br />
8.3.1. Dezentrales Drucken .......................................................................................37<br />
8.3.2. Drucken/Massenversand .................................................................................38<br />
8.3.3. Physische Datenträger ....................................................................................38<br />
8.3.4. Netzwerk ..........................................................................................................38<br />
8.4. Bekanntgabekontrolle ...................................................................................................38<br />
8.5. Speicherkontrolle ..........................................................................................................38<br />
8.6. Benutzerkontrolle/Zugriffskontrolle ...............................................................................38<br />
8.7. Eingabekontrolle/Protokollierung ..................................................................................38<br />
8.8. Massnahmen im Bereich der Endgeräte ......................................................................39<br />
8.9. Benutzerunterstützung und Meldepflicht ......................................................................39<br />
9. Rechte der Versicherten ....................................................................... 40<br />
9.1. Informationspflicht des Versicherers.............................................................................40<br />
9.2. Bekanntgabe von medizinischen Daten an Vertrauensärzte .......................................40<br />
9.3. Auskünfte über Datenbearbeitungen ............................................................................40<br />
9.4. Berichtigungs- und Löschungsrechte ...........................................................................40<br />
10. Abschliessende Bestimmungen .......................................................... 40<br />
10.1. Anhänge ........................................................................................................................40<br />
10.2. Änderungen des Reglements .......................................................................................41<br />
10.3. Inkrafttreten ...................................................................................................................41<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 4/44
Anhang 1: Kontaktadressen ......................................................................... 41<br />
Anhang 2: Prozess Zugriffsberechtigungen ............................................... 42<br />
Anhang 3: Datenkategorien .......................................................................... 43<br />
Abbildungsverzeichnis<br />
ABBILDUNG 1: SYSTEMGRENZEN <strong>ÖKK</strong>-INFORMATIONSSYSTEM VERSICHERUNGSWESEN 15<br />
ABBILDUNG 2: AN DER DATENSAMMLUNG BETEILIGTE OE‘S 24<br />
ABBILDUNG 3: ZUGRIFFSBERECHTIGUNGSPROZESS SYRIUS 42<br />
Tabellenverzeichnis<br />
TABELLE 1: ZWECK DER DATENBEARBEITUNG IN DEN SUBSYSTEMEN 12<br />
TABELLE 2: SUBSYSTEME <strong>ÖKK</strong>-INFORMATIONSSYSTEM VERSICHERUNGSWESEN 14<br />
TABELLE 3: OUTSOURCING VON SUBSYSTEMEN 16<br />
TABELLE 4: TECHNISCHE SCHNITTSTELLEN 17<br />
TABELLE 5: KURZBESCHREIBUNG DER ORGANISATIONSEINHEITEN 20<br />
TABELLE 6: ANZAHL ZUGRIFFE PRO ORGANISATIONSEINHEITEN 25<br />
TABELLE 7: ZUGRIFFSKONTROLLSYSTEME DER SUBSYSTEME 27<br />
TABELLE 8: GEWALTENTRENNUNG BEI VERGABE VON ZUGRIFFSBERECHTIGUNGEN 28<br />
TABELLE 9: DATENKATEGORIEN SUBSYSTEM SYRIUS 31<br />
TABELLE 10: DATENKATEGORIEN SUBSYSTEM SUMEX II 31<br />
TABELLE 11: DATENKATEGORIEN SUBSYSTEM CENT 31<br />
TABELLE 12: DATENKATEGORIEN SUBSYSTEM MEDIDATA 31<br />
TABELLE 13: DATENKATEGORIEN SUBSYSTEM MEDGATE 31<br />
TABELLE 14: DATENKATEGORIEN SUBSYSTEM OFAC 32<br />
TABELLE 15: DATENKATEGORIEN SUBSYSTEM <strong>ÖKK</strong> DWH (COGNOS) 32<br />
TABELLE 16: DATENKATEGORIEN SUBSYSTEM SUNET ONLINE 32<br />
TABELLE 17: DATENKATEGORIEN SUBSYSTEM LEGAL & COMPLIANCE 32<br />
TABELLE 18: LISTE DER BEKANNTGABE DER DATEN 34<br />
TABELLE 19: MAPPING DATENKATEGORIEN/-ARTEN 43<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 5/44
1. Begriffe/Abkürzungen<br />
Sämtliche Begriffe und Abkürzungen finden sich in Anhang 1 und 2 der Mutterweisung<br />
(03.0001_WS_Mutterweisung).<br />
2. Allgemeine Bestimmungen<br />
2.1. Einführung<br />
Gestützt auf Art. 21 VDSG i.V.m. Art. 11 VDSG i.V.m. Art. 84b KVG hat die <strong>ÖKK</strong> Kranken- und<br />
Unfallversicherungen AG (hiernach „<strong>ÖKK</strong>“) für die automatisierte Datenbearbeitung im Rahmen der<br />
Durchführung der Krankenversicherung nach KVG und VVG, die besonders schützenswerte Daten<br />
oder Persönlichkeitsprofile betrifft, das vorliegende <strong>Bearbeitungsreglement</strong> erstellt.<br />
Am 4. März 2013 hat die Geschäftsleitung von <strong>ÖKK</strong> die vollständig überarbeitete Leitlinie Datenschutz<br />
[03.0019] genehmigt. Diese bildet zusammen mit der Weisung Datenschutz [03.0009], der Weisung<br />
Informationssicherheit [03.0011] und dem Pflichtenheft BDSV [03.0010] einen integralen Bestandteil<br />
dieses <strong>Bearbeitungsreglement</strong>s.<br />
Ebenfalls bilden die im Rahmen des IKS zu den finanzrelevanten Subsystemen laufend nachgeführten<br />
und überwachten Dokumentationen einen integralen Bestandteil des vorliegenden<br />
<strong>Bearbeitungsreglement</strong>s. Es ist geplant, Im Jahre 2013 die Datenschutzmanagementsysteme des<br />
vertrauensärztlichen Dienstes und der Datenannahmestelle zu zertifizieren.<br />
2.2. Rechtliche Grundlagen<br />
2.2.1. KVG<br />
Art. 84 KVG schafft die gesetzliche Grundlage für das Bearbeiten von Personendaten im Bereich der<br />
obligatorischen Krankenversicherungen, auch durch Dritte (Outsourcing):<br />
Art. 84 Bearbeiten von Personendaten<br />
Die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten<br />
Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Daten und<br />
Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem<br />
Gesetz übertragenen Aufgaben zu erfüllen, namentlich um:<br />
a. für die Einhaltung der Versicherungspflicht zu sorgen;<br />
b. die Prämien zu berechnen und zu erheben;<br />
c. Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen<br />
anderer Sozialversicherungen zu koordinieren;<br />
d. den Anspruch auf Prämienverbilligungen nach Artikel 65 zu beurteilen sowie die Verbilligungen zu<br />
berechnen und zu gewähren;<br />
e. ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen;<br />
f. die Aufsicht über die Durchführung dieses Gesetzes auszuüben;<br />
g. Statistiken zu führen;<br />
h. die Versichertennummer der AHV zuzuweisen oder zu verifizieren;<br />
i. den Risikoausgleich zu berechnen.<br />
Art. 84a KVG regelt die Bekanntgabe von Daten im Krankenversicherungsbereich an Dritte:<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 6/44
Art. 84a Datenbekanntgabe<br />
1 Sofern kein überwiegendes Privatinteresse entgegensteht, dürfen Organe, die mit der Durchführung, der<br />
Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betraut sind, Daten in Abweichung von<br />
Artikel 33 ATSG bekannt geben:<br />
2 …<br />
a. anderen mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses<br />
Gesetzes betrauten Organen, wenn die Daten für die Erfüllung der ihnen nach diesem Gesetz<br />
übertragenen Aufgaben erforderlich sind;<br />
b. Organen einer anderen Sozialversicherung, wenn sich in Abweichung von Artikel 32 Absatz 2 ATSG<br />
eine Pflicht zur Bekanntgabe aus einem Bundesgesetz ergibt;<br />
b bis Organen einer anderen Sozialversicherung für die Zuweisung oder Verifizierung der<br />
Versichertennummer der AHV;<br />
c. den für die Quellensteuer zuständigen Behörden, nach den Artikeln 88 und 100 des Bundesgesetzes<br />
vom 14. Dezember 1990 über die direkte Bundessteuer sowie den entsprechenden kantonalen<br />
Bestimmungen;<br />
d. den Organen der Bundesstatistik, nach dem Bundesstatistikgesetz vom 9. Oktober 1992;<br />
e. Stellen, die mit der Führung von Statistiken zur Durchführung dieses Gesetzes betraut sind, wenn die<br />
Daten für die Erfüllung dieser Aufgabe erforderlich sind und die Anonymität der Versicherten gewahrt<br />
bleibt;<br />
f. den zuständigen kantonalen Behörden, wenn es sich um Daten nach Artikel 22a handelt und diese für<br />
die Planung der Spitäler und Pflegeheime sowie für die Beurteilung der Tarife erforderlich sind;<br />
g. den Strafuntersuchungsbehörden, wenn die Anzeige oder die Abwendung eines Verbrechens die<br />
Datenbekanntgabe erfordert;<br />
g bis dem Nachrichtendienst des Bundes (NDB) oder den Sicherheitsorganen der Kantone zuhanden des<br />
NDB, wenn die Voraussetzungen von Artikel 13a des Bundesgesetzes vom 21. März 1997 über<br />
Massnahmen zur Wahrung der inneren Sicherheit (BWIS) erfüllt sind;<br />
h. im Einzelfall und auf schriftlich begründetes Gesuch hin:<br />
1. Sozialhilfebehörden, wenn die Daten für die Festsetzung, Änderung oder Rückforderung von<br />
Leistungen beziehungsweise für die Verhinderung ungerechtfertigter Bezüge erforderlich sind,<br />
2. Zivilgerichten, wenn die Daten für die Beurteilung eines familien- oder erbrechtlichen Streitfalles<br />
erforderlich sind,<br />
3. Strafgerichten und Strafuntersuchungsbehörden, wenn die Daten für die Abklärung eines<br />
Verbrechens oder eines Vergehens erforderlich sind,<br />
4. Betreibungsämtern, nach den Artikeln 91, 163 und 222 des Bundesgesetzes vom 11. April 1889<br />
über Schuldbetreibung und Konkurs,<br />
5. den Kindes- und Erwachsenenschutzbehörden nach Artikel 448 Absatz 4 ZGB,<br />
6. dem NDB oder den Sicherheitsorganen der Kantone zuhanden des NDB, wenn die<br />
Voraussetzungen von Artikel 13a BWIS erfüllt sind.<br />
3 Daten, die von allgemeinem Interesse sind und sich auf die Anwendung dieses Gesetzes beziehen, dürfen in<br />
Abweichung von Artikel 33 ATSG veröffentlicht werden. Die Anonymität der Versicherten muss gewahrt<br />
bleiben.<br />
4 Die Versicherer sind in Abweichung von Artikel 33 ATSG befugt, den Sozialhilfebehörden oder anderen für<br />
Zahlungsausstände der Versicherten zuständigen kantonalen Stellen die erforderlichen Daten bekannt zu<br />
geben, wenn Versicherte fällige Prämien oder Kostenbeteiligungen nach erfolgloser Mahnung nicht bezahlen.<br />
5 In den übrigen Fällen dürfen Daten in Abweichung von Artikel 33 ATSG an Dritte wie folgt bekannt gegeben<br />
werden:<br />
a. nicht personenbezogene Daten, sofern die Bekanntgabe einem überwiegenden Interesse entspricht;<br />
b. Personendaten, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das<br />
Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse der<br />
versicherten Person vorausgesetzt werden darf.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 7/44
6 Es dürfen nur die Daten bekannt gegeben werden, welche für den in Frage stehenden Zweck erforderlich<br />
sind.<br />
7 Der Bundesrat regelt die Modalitäten der Bekanntgabe und die Information der betroffenen Person.<br />
8 Die Daten werden in der Regel schriftlich und kostenlos bekannt gegeben. Der Bundesrat kann die Erhebung<br />
einer Gebühr vorsehen, wenn besonders aufwendige Arbeiten erforderlich sind.<br />
Art. 84b KVG regelt den Datenschutz bei der Durchführung der Krankenversicherung nach KVG wie<br />
folgt:<br />
Art. 84b Sicherstellung des Datenschutzes durch die Versicherer<br />
Die Versicherer treffen die erforderlichen technischen und organisatorischen Massnahmen zur Sicherstellung<br />
des Datenschutzes; sie erstellen insbesondere die gemäss Verordnung vom 14. Juni 1993 zum Bundesgesetz<br />
über den Datenschutz notwendigen <strong>Bearbeitungsreglement</strong>e. Diese werden dem oder der Eidgenössischen<br />
Datenschutz- und Öffentlichkeitsbeauftragten zur Beurteilung vorgelegt und sind öffentlich zugänglich.<br />
Art. 21 VDSG i.V.m. Art. 84b KVG regelt schliesslich die Pflicht zur Erstellung eines<br />
<strong>Bearbeitungsreglement</strong>s für bestimmte automatisierte Datensammlungen:<br />
Art. 21 <strong>Bearbeitungsreglement</strong><br />
1<br />
Die verantwortlichen Bundesorgane erstellen ein <strong>Bearbeitungsreglement</strong> für automatisierte<br />
Datensammlungen, die:<br />
a. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten;<br />
b. durch mehrere Bundesorgane benutzt werden;<br />
c. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen<br />
zugänglich gemacht werden; oder<br />
d. mit anderen Datensammlungen verknüpft sind.<br />
2 Das verantwortliche Bundesorgan legt seine interne Organisation in dem <strong>Bearbeitungsreglement</strong> fest. Dieses<br />
umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die<br />
Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht<br />
erforderlichen Angaben (Art. 16) sowie Angaben über:<br />
• das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ;<br />
• die Herkunft der Daten;<br />
• die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;<br />
• die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach<br />
Artikel 20;<br />
• die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;<br />
• Art und Umfang des Zugriffs der Benutzer der Datensammlung;<br />
• die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung,<br />
Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;<br />
• die Konfiguration der Informatikmittel;<br />
• das Verfahren zur Ausübung des Auskunftsrechts.<br />
3 Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese<br />
verständlichen Form zur Verfügung gestellt.<br />
2.2.2. VVG<br />
Art. 3 Abs. 1 lit. g VVG verpflichtet den Versicherer, die potenziellen Kunden unter anderem über<br />
folgende Punkte vor Vertragsabschluss zu informieren: „Bearbeitung der Personendaten<br />
einschliesslich Zweck und Art der Datensammlung, sowie Empfänger und Aufbewahrung der Daten.“<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 8/44
Art. 3 Informationspflicht des Versicherers<br />
1<br />
Der Versicherer muss den Versicherungsnehmer vor Abschluss des Versicherungsvertrages verständlich über<br />
die Identität des Versicherers und den wesentlichen Inhalt des Versicherungsvertrages informieren. Er muss<br />
informieren über:<br />
a. Die Versicherten Risiken;<br />
b. Den Umfang des Versicherungsschutzes;<br />
c. Die geschuldeten Prämien und weitere Pflichten des Versicherungsnehmers;<br />
d. Laufzeit und Beendigung des Versicherungsvertrags;<br />
e. Die für die Überschussmittlung und die Überschussbeteiligung geltenden Berechnungsgrundlagen und<br />
Verteilungsgrundsätze und –methoden;<br />
f. die Rückkaufs- und Umwandlungswerte;<br />
g. die Bearbeitung von Personendaten einschliesslich Zweck und Art der Datensammlung, sowie<br />
Empfänger und Aufbewahrung der Daten.<br />
2 Diese Angaben sind dem Versicherungsnehmer so zu übergeben, dass er sie kennen kann, wenn er den<br />
Versicherungsvertrag beantragt oder annimmt. In jedem Fall muss er zu diesem Zeitpunkt im Besitz der<br />
Allgemeinen Versicherungsbedingungen und der Information nach Absatz 1 Buchstabe g sein.<br />
3 Bei Kollektivverträgen, die anderen Personen als dem Versicherungsnehmer einen direkten Leistungsanspruch<br />
verleihen, ist der Versicherungsnehmer verpflichtet, diese Personen über den wesentlichen Inhalt des Vertrages<br />
sowie dessen Änderungen und Auflösung zu unterrichten. Der Versicherer stellt dem Versicherungsnehmer die<br />
zur Information erforderlichen Unterlagen zur Verfügung.<br />
2.2.3. DSG<br />
Weitere datenschutzrechtlich relevante Bestimmungen ergeben sich aus dem Bundesgesetz über den<br />
Datenschutz (DSG). So sind insbesondere die Grundsätze der Datenbearbeitung nach Art. 4 DSG zu<br />
beachten: Rechtmässigkeit der Datenbearbeitung (Art. 4 Abs. 1 DSG), Bearbeitung nach Treu und<br />
Glauben (Art. 4 Abs. 2 DSG), zweckgebundene Datenbearbeitung (Art. 4 Abs. 3 DSG), Erkennbarkeit<br />
der Datenbeschaffung (Art. 4 Abs. 4 DSG) und unter Umständen die Einwilligung der betroffenen<br />
Person (Art. 4 Abs. 5 DSG).<br />
Art. 4 Grundsätze<br />
1 Personendaten dürfen nur rechtmässig bearbeitet werden.<br />
2 Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.<br />
3 Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus<br />
den Umständen ersichtlich oder gesetzlich vorgesehen ist.<br />
4 Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene<br />
Person erkennbar sein.<br />
5 Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese<br />
Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von<br />
besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem<br />
ausdrücklich erfolgen.<br />
Neben diesen Grundsätzen verlangt das Datenschutzgesetz auch, dass der Bearbeiter sich der Richtigkeit der<br />
bearbeiteten Daten vergewissert und gegebenenfalls diese berichtigt bzw. vernichtet falls sie im Hinblick auf den<br />
bei der Beschaffung angegebenen Zweck unrichtig oder unrichtig oder Unvollständig sind. Die betroffene Person<br />
hat gemäss Art. 5 Abs. 2 DSG auch ein Anspruch auf Berichtigung der Daten.<br />
Eine weitere Anforderung des Datenschutzgesetzes betrifft die Datensicherheit, sprich die<br />
technischen oder organisatorischen Massnahmen zum Schutz vor unbefugtem bearbeiten.<br />
Art. 7 Datensicherheit<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 9/44
1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes<br />
Bearbeiten geschützt werden.<br />
2 Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit.<br />
Zur Datensicherheit bei <strong>ÖKK</strong> vergleiche Weisung Informationssicherheit [03.0011].<br />
Art. 10a DSG legt analog zu Art. 84 KVG die Grundlage für die Datenbearbeitung durch Dritte,<br />
insbesondere wenn <strong>ÖKK</strong> als privater Krankenversicherer auftritt.<br />
Art. 10a Datenbearbeitung durch Dritte<br />
1 Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn:<br />
a .<br />
die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und<br />
b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.<br />
2 Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.<br />
3<br />
Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.<br />
Ähnlich wie Art. 3 VVG ergibt sich auch aus Art. 14 DSG eine Informationspflicht des Versicherers<br />
bzw. des Inhabers der Datensammlung. Diese bezieht sich auf das Beschaffen von besonders<br />
schützenswerten Personendaten und Persönlichkeitsprofilen.<br />
Art. 14 Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und<br />
Persönlichkeitsprofilen<br />
1 Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders<br />
schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch<br />
dann, wenn die Daten bei Dritten beschafft werden.<br />
2 Der betroffenen Person sind mindestens mitzuteilen:<br />
a. der Inhaber der Datensammlung;<br />
b. der Zweck des Bearbeitens;<br />
c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist.<br />
3 Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der<br />
Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu<br />
erfolgen.<br />
4 Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betroffene Person bereits informiert<br />
wurde oder, in Fällen nach Absatz 3, wenn:<br />
a. die Speicherung oder die Bekanntgabe der Daten ausdrücklich im Gesetz vorgesehen ist; oder<br />
b. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.<br />
5 Der Inhaber der Datensammlung kann die Information unter den in Artikel 9 Absätze 1 und 4 genannten<br />
Voraussetzungen verweigern, einschränken.<br />
2.3. Ziel des <strong>Bearbeitungsreglement</strong>s<br />
Das <strong>Bearbeitungsreglement</strong> umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren<br />
und den Betrieb der elektronischen Datenbearbeitung.<br />
Es enthält Angaben über das für den Datenschutz und die Datensicherheit verantwortliche Organ,<br />
über die Herkunft der Daten und die Zwecke, für welche sie regelmässig bekannt gegeben werden<br />
und beschreibt das Verfahren für die Erteilung der Zugriffsberechtigungen auf die Module des<br />
elektronischen Informationssystems <strong>Versicherungswesen</strong>.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 10/44
2.4. Zweck der Datenbearbeitung<br />
Der Zweck der Datenbearbeitung ist im KVG bzw. VVG geregelt. Als obligatorischer und privater<br />
Krankenversicherer ist <strong>ÖKK</strong> verantwortlich für die Durchführung der Krankenversicherung nach KVG<br />
und VVG. Die Abteilung Legal & Compliance bearbeitet zudem Personendaten, unter anderem auch<br />
besonders schützenswerte Personendaten, mit dem Zweck der Überprüfung der Rechtmässigkeit des<br />
unternehmerischen Handelns und der von den Versicherten gestellten Leistungsansprüche.<br />
Art. 84 KVG bestimmt, dass die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der<br />
Durchführung des Gesetzes betrauten Organe befugt sind, die Personendaten, einschliesslich<br />
besonders schützenswerter Daten und Persönlichkeitsprofile, zu bearbeiten, die sie benötigen, um die<br />
Ihnen nach dem Gesetz übertragenen Aufgaben zu erfüllen.<br />
Die obligatorische Krankenpflegeversicherung übernimmt die Kosten für die Leistungen gemäss den<br />
Art. 25–31 KVG, somit die Kosten für die Leistungen, die der Diagnose<br />
oder Behandlung einer Krankheit und ihrer Folgen dienen, Kosten bezüglich medizinischer<br />
Prävention, von Pflegeleistungen bei Krankheit, von Geburtsgebrechen, von Unfällen, der<br />
Mutterschaft und schliesslich von zahnärztlichen Behandlungen.<br />
Voraussetzung der Kostenübernahme bildet gemäss Art. 32 KVG, dass die Massnahmen wirksam,<br />
zweckmässig und wirtschaftlich sind.<br />
Gemäss Art. 42 Abs. 3 KVG muss der Leistungserbringer dem Schuldner eine detaillierte und<br />
verständliche Rechnung zustellen. Er muss ihm auch alle Angaben machen, die er benötigt, um die<br />
Berechnung der Vergütung und die Wirtschaftlichkeit der Leistung überprüfen zu können. Die<br />
Leistungserbringer haben auf der Rechnung die Diagnosen und Prozeduren nach den Klassifikationen<br />
in den jeweiligen vom zuständigen Departement herausgegebenen schweizerischen Fassungen<br />
codiert aufzuführen. Der Bundesrat erlässt ausführende Bestimmungen zur Erhebung, Bearbeitung<br />
und Weitergabe der Daten unter Wahrung des Verhältnismässigkeitsprinzips.<br />
Nach Art. 59a KVV gelten für die Übermittlung von Rechnungen im stationären Bereich zusätzliche<br />
Anfordernisse: Der Leistungserbringer muss die Datensätze mit den administrativen und den<br />
medizinischen Angaben gleichzeitig mit der Rechnung an die Datenannahmestelle des Versicherers<br />
weiterleiten. Es muss sichergestellt werden, dass ausschliesslich diese Datenannahmestelle Zugang<br />
zu den medizinischen Angaben erhält.<br />
Gemäss Art. 59a bis KVV, der auf 1. Januar 2013 in Kraft getreten ist, wird der Bundesrat auch für den<br />
ambulanten Bereich und für die Bereiche Rehabilitation und Psychiatrie zusätzliche<br />
Ausführungsbestimmungen zur Rechnungstellung erlassen. Dies ist jedoch noch nicht geschehen, so<br />
dass hier einstweilen keine zusätzlichen, krankenversicherungsrechtlichen Regeln zu beachten sind.<br />
Gemäss Art. 42 KVG kann der Versicherer zusätzliche Auskünfte medizinischer Natur verlangen. Der<br />
Leistungserbringer ist in begründeten Fällen berechtigt und auf Verlangen der versicherten Person in<br />
jedem Fall verpflichtet, medizinische Angaben nur dem VA des Versicherers nach Art. 57 KVG<br />
bekannt zu geben.<br />
Zwischen den Versicherern und den Leistungserbringern werden Tarifverträge abgeschlossen.<br />
Für die Abwicklung der stationären Leistungen sieht Art. 49 KVG diagnosebasierte Fallpauschalen<br />
(SwissDRG) vor. Dem Versicherer müssen Angaben über Haupt- und Nebendiagnosen sowie<br />
Behandlungen und Prozeduren auf der Rechnung mitgeteilt werden. Diese Informationen sind im<br />
«Minimal Clinical Dataset» (MCD) enthalten.<br />
Für die Abwicklung von ambulanten Leistungen (Ärzte und Spitäler) wurde durch FMH und<br />
santésuisse das TARMED-Tarifwerk entwickelt und vom Bundesrat als allgemeinverbindlich erklärt.<br />
Es gilt für alle ambulanten ärztlichen Behandlungen in Arztpraxen und Spitälern, jedoch nicht für<br />
Leistungen im zahnärztlichen Bereich, Laboranalysen, Physio- und Ergotherapie, Logopädie,<br />
Ernährungsberatung, Stoma- und Hebammenleistungen sowie Leistungen von Chiropraktikern.<br />
Nach Art. 56 KVG sind die Krankenversicherer verpflichtet, zur Wirtschaftlichkeit der Leistungen<br />
beizutragen, indem sie in den Tarifverträgen mit den Leistungserbringern Massnahmen zur<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 11/44
Sicherstellung der Wirtschaftlichkeit der Leistungen vorsehen und vertraglich eine Methode zur<br />
Kontrolle der Wirtschaftlichkeit festlegen.<br />
2.4.1. Vertrauensärztlicher Dienst<br />
Gemäss Art. 57 KVG bestellen die Versicherer Vertrauensärzte beziehungsweise<br />
Vertrauensärztinnen. Die Vertrauensärzte von <strong>ÖKK</strong> beraten intern bei medizinischen Fachfragen<br />
sowie bei Fragen zur Vergütung und der Tarifanwendung. Sie überprüfen insbesondere die<br />
Voraussetzungen der Leistungspflicht des Versicherers.<br />
Die Vertrauensärzte der <strong>ÖKK</strong> sind in ihrem Urteil unabhängig. Weder <strong>ÖKK</strong> noch Leistungserbringer<br />
noch deren Verbände können ihnen Weisungen erteilen.<br />
Die Leistungserbringer müssen den Vertrauensärzten die zur Erfüllung ihrer Aufgaben notwendigen<br />
Angaben liefern. Ist es nicht möglich, diese Angaben anders zu erlangen, so können Vertrauensärzte<br />
Versicherte auch persönlich untersuchen; sie müssen den behandelnden Arzt vorher benachrichtigen<br />
und nach der Untersuchung über das Ergebnis informieren.<br />
Die Vertrauensärzte geben den zuständigen Stellen der Versicherer nur diejenigen Angaben weiter,<br />
die notwendig sind, um über die Leistungspflicht zu entscheiden, die Vergütung festzusetzen, den<br />
Risikoausgleich zu berechnen oder eine Verfügung zu begründen. Dabei wahren sie die<br />
Persönlichkeitsrechte der Versicherten.<br />
Die eidgenössischen Dachverbände der Ärzte sowie der Versicherer regeln die Weitergabe der<br />
Angaben sowie die Weiterbildung und die Stellung der Vertrauensärzte und Vertrauensärztinnen.<br />
Aufgrund der Unabhängigkeit und der klaren Systemgrenzen wird für den VAD <strong>ÖKK</strong> ein spezielles<br />
<strong>Bearbeitungsreglement</strong> VAD [03.0014] erstellt.<br />
2.4.2. <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong><br />
Das vorliegende <strong>Bearbeitungsreglement</strong> gilt für das <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong><br />
sowohl im KVG-Bereich als auch im VVG-Bereich, welches die nachfolgend gelisteten Subsysteme<br />
(vgl. dazu auch Ziff. 3.1.2) beinhaltet. Der Zweck der Datenbearbeitung ist pro Subsystem aufgeführt.<br />
Alle aufgeführten Subsysteme enthalten sowohl KVG-Daten als auch VVG-Daten.<br />
Tabelle 1: Zweck der Datenbearbeitung in den Subsystemen<br />
Syrius<br />
Die Administration von Kundendaten (Adressmutationen, Kontomutationen, Deckungsänderung)<br />
erfolgt in Syrius. Diese Kundendaten werden bei der Belegzuweisung zu Validierungszwecken<br />
verwendet.<br />
Die gesamte Leistungsverarbeitung wird in Syrius vorgenommen:<br />
• Deckungsprüfung<br />
o Eingabe von Rechnungen im System (nach Leistungsarten, Pflicht- und Nichtpflichtleistungen,<br />
Limiten)<br />
o Prüfung Leistungsaufschub<br />
o Prüfung Leistungspflicht (Unfall, MV, IV etc.)<br />
• Geldfluss<br />
o Berechnung Kostenbeteiligung nach Pflegelauf<br />
o Auszahlung der Leistungen an Kunden, zuständige Sozialbehörde oder<br />
Leistungserbringer (mit Leistungsabrechnung)<br />
o Rückforderung der Kostenbeteiligung an Kunden (mit Leistungsabrechnung)<br />
o Prämienabrechnungen an Kunden<br />
o Mahnwesen<br />
Auskünfte an Kunden werden aufgrund der in Syrius enthaltenen Informationen vorgenommen.<br />
• Auskunftserteilung an den Kunden über verarbeitete oder noch nicht verarbeite<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 12/44
Rechnungen, generelle Buchhaltungsfragen, Leistungspflicht, Fragen zu<br />
Leistungsabrechnungen, Fragen zu nicht versicherten Leistungen, Duplikats-Auslösungen<br />
• Auskunftserteilung an Leistungserbringer (tiers payant, tiers soldant, tiers garant) zu<br />
Kostengutsprachen, bestehende Versicherungsdeckung<br />
• Auskunftserteilung an Sozialbehörden zu Leistungsabrechnungen, Zahlungen,<br />
Leistungsaufstellungen, Duplikats-Auslösungen<br />
Limitationsüberprüfungen, welche vom Gesetz vorgeschrieben werden, werden aufgrund der<br />
Daten in Syrius vorgenommen. (bspw. gemäss KLV, MiGeL, SL, TarMed)<br />
Sumex II • Empfangen von elektronischen Rechnungen direkt vom Leistungserbringer (vertragliche<br />
Anforderung)<br />
• Automatisches Tarifprüfungssystem (TarMed, LOA, SL, Analyseliste etc. sind hinterlegt)<br />
• Automatisierte Rechnungsverarbeitung<br />
Cent<br />
MediData<br />
Medgate<br />
OFAC<br />
<strong>ÖKK</strong> DWH<br />
Cognos<br />
Sunet<br />
Online<br />
Legal &<br />
Compliance<br />
Der Prozess dient der Automatisierung der Rechnungsverarbeitung (Einscannen der<br />
Papierrechnung und anschliessendes Weiterleiten an Centris).<br />
Austausch von Dokumenten zur fachlichen und medizinischen Prüfung<br />
• Stufe 1: Schema XML 4.3 Prüfung<br />
• Stufe 2: Fachliche Prüfung<br />
• KVG und VVG<br />
KVG und VVG (für die Berechtigungsprüfung der Dienstleistung erforderlich)<br />
Plausibilisierung der Berechtigung von Versicherungsleistungen<br />
Die Daten werden erfasst, damit z.B. Produkte unabhängig der Gruppierung in Syrius gruppiert<br />
und ausgewertet werden können.<br />
Die Schadensmeldungen werden nach CCPM übermittelt. Dort werden die Daten von den<br />
entsprechenden Sachbearbeitern bearbeitet und in Syrius dem Kunden zugeordnet.<br />
Überprüfung der Rechtmässigkeit des unternehmerischen Handelns und Vertretung der<br />
unternehmerischen Interessen, sowie interner Rechtsdienst der <strong>ÖKK</strong><br />
Das Subsystem Syrius kann als Haupt-Subsystem bezeichnet werden. Die gelisteten Subsysteme<br />
werden in den nächsten Kapiteln eingehend beschrieben.<br />
2.5. Verantwortliche Stellen<br />
<strong>ÖKK</strong> ist verantwortlich für die Durchführung der obligatorischen und privaten Krankenversicherung im<br />
stationären wie im ambulanten Bereich gemäss den Art. 25 – 31 KVG bzw. gemäss VVG. Somit ist sie<br />
Inhaberin der Datensammlung bzw. des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong>, in welchem<br />
die betreffenden Daten erfasst und weiterbearbeitet werden.<br />
Mit den hier dargestellten Massnahmen sorgt <strong>ÖKK</strong> für die Einhaltung der Vorschriften.<br />
Den Applikationseignern der <strong>ÖKK</strong> obliegt die technische Verantwortung bezüglich den einzelnen<br />
Applikationen.<br />
Für die einzelnen Datensammlungen werden Dateneigner ernannt. Dateneigner stellen die<br />
Einhaltung der datenschutzrechtlichen Anforderungen in technischer und organisatorischer Hinsicht<br />
sicher. Sie bestimmen die zum Bearbeiten der Daten befugten Personen und deren Zugriffrechte nach<br />
dem sog. „Need-to-know-Prinzip“<br />
Die Applikationseigner (technische Verantwortliche) der Subsysteme und die Dateneigner<br />
beaufsichtigen, dass sich die Mitarbeitenden an die Weisungen, das vorliegende<br />
<strong>Bearbeitungsreglement</strong> und seine Anhänge halten.<br />
Die Funktionen des Applikations- und des Dateneigners können durch ein und dieselbe Person<br />
wahrgenommen werden.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 13/44
<strong>ÖKK</strong> hat einen Betrieblichen Datenschutzbeauftragten (BDSV) bestimmt, der die Verantwortung für<br />
die Einhaltung des Datenschutzes trägt. Der BDSV ist beim EDÖB gemeldet.<br />
2.6. Schweigepflicht nach Art. 33 ATSG<br />
Sämtliche Mitarbeitenden unterstehen für die obligatorische Krankenversicherung der Schweigepflicht<br />
nach Art. 33 ATSG.<br />
Bei Verletzungen der Schweigepflicht unterstehen sie spezialgesetzlich den Strafbestimmungen des<br />
Art. 92 KVG. Die Mitarbeitenden sind über die Sanktionen informiert.<br />
Zusammen mit dem Arbeitsvertrag unterzeichnen Mitarbeitende eine Geheimhaltungs- und<br />
Schweigepflichtvereinbarung.<br />
3. Systeme zur Datenbearbeitung<br />
3.1. Struktur des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong><br />
3.1.1. Allgemeines<br />
Die Leistungsrechnungen werden von den Leistungserbringern entweder an die Administration oder<br />
auf Wunsch des Versicherten oder in begründeten Fällen vom zuständigen Leistungserbringer an den<br />
Vertrauensärztlichen Dienst (VAD) zugestellt. Leistungsabrechnungen im stationären Bereich werden<br />
gemäss Art. 58a KVV der Datenannahmestelle <strong>ÖKK</strong> (DAS) übermittelt, sobald diese zertifiziert und<br />
operativ ist.<br />
Im <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> und seinen Subsystemen (Durchführung der<br />
obligatorischen und privaten Krankenversicherung) werden die Daten erfasst. Dieses ist modular<br />
aufgebaut. Für die Abwicklung der Vergütung der Behandlungen sind nachfolgende Subsysteme mit<br />
folgenden Inhalten betroffen:<br />
3.1.2. Subsysteme des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong><br />
Das <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> besteht aus 9 unterschiedlichen Subsystemen.<br />
Tabelle 2: Subsysteme <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong><br />
Syrius<br />
Sumex II<br />
Cent<br />
Kernapplikation für die Durchführung des Versicherungsgeschäfts für Privat- und<br />
Unternehmenskunden.<br />
Syrius ist das wichtigste Subsystem von <strong>ÖKK</strong>. Es stellt das eigentliche Nervenzentrum dar, da<br />
mit dieser Anwendung die zentralen Prämien- und Leistungsdaten verarbeitet werden.<br />
Syrius ist eine speziell für Krankenkassen entwickelte Anwendung, die durch Centris AG in<br />
Solothurn betrieben wird. Versicherungspolicen, Leistungsabrechnungen, Mahnungen, etc.<br />
werden in der Regel vor Ort in Solothurn erstellt und an die Kunden versandt.<br />
Syrius basiert auf mandantenfähigen, produkt- und segmentbezogenen Anwendungen. Das<br />
Syrius Resolution ist modular aufgebaut und unterteilt in die Prämien-, Leistungs- und Debitorenanwendung.<br />
Elektronisches Prüfsystem der stationären und ambulanten Rechnungen.<br />
Das Scanning der TARMED-Papier-Rechnungen wird durch den externen Scanninganbieter<br />
CENT Systems AG erledigt. Die TARMED-Papier-Rechnungen werden von den Agenturen<br />
täglich an die CENT-Systems AG zum Scannen gesendet. Die Papierrechnungen werden<br />
eingescannt und elektronisch der Centris weitergeleitet.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 14/44
MediData<br />
Medgate<br />
OFAC<br />
<strong>ÖKK</strong> DWH<br />
Cognos<br />
Sunet<br />
Online<br />
Legal &<br />
Compliance<br />
Elektronisches Kommunikationssystem für den Austausch von elektronischen Dokumenten<br />
(Rechnungen, Rechnungsantworten, Mahnungen, Kostengutsprachen). Transcodierung der<br />
Rechnungen.<br />
Elektronische Schnittstelle in ein Kommunikationssystem für die Telemedizin.<br />
Elektronisches Kommunikationssystem für den Austausch von elektronischen Dokumenten<br />
(Rechnungen, Rechnungsantworten, Mahnungen, Kostengutsprachen). Transcodierung der<br />
Rechnungen.<br />
Struktur- und Gruppierungsdaten für Centris SHP DWH.<br />
Strukturtabellen um Produkte, Verträge, Organisationen im SHP DWH zu gruppieren.<br />
Webbasierte Online Lösung für die elektronische Schadensabwicklung für Kunden im Bereich<br />
Unternehmenskunden und Privatkunden.<br />
Sowie Offline (lokaler Client) Lösung für die elektronische Schadensabwicklung innerhalb <strong>ÖKK</strong>.<br />
Hierbei handelt es sich um zwei Ordner („Compliance“ und „Versicherungsleistungen“). Der<br />
Ordner „Compliance“ ist in Unterordnern nach allen behandelten Rechtsgebieten (wie Vertrags-,<br />
Arbeits- oder Gesellschaftsrecht) gegliedert und enthält auch „Rechtsfälle Heilungskosten“,<br />
„Rechtsfälle Taggeld“ und „Rechtsfälle Unfall“. Darin werden pendente und erledigte Rechtsfälle<br />
gespeichert/bearbeitet.<br />
3.1.3. Systemgrenzen/-übersicht<br />
Die Subsysteme des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> sind in der nachfolgenden<br />
Systemübersicht blau markiert. Bei sämtlichen anderen Systemen handelt es sich um Umsysteme.<br />
Abbildung 1: Systemgrenzen <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong><br />
Der gesamte Betrieb der nachfolgend aufgelisteten Subsysteme, der notwendige Server und die<br />
Datenbanken inkl. Erteilung der Zugriffsberechtigungen werden durch die Outsourcer/Dienstleister im<br />
Auftrag von <strong>ÖKK</strong> wahrgenommen.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 15/44
Tabelle 3: Outsourcing von Subsystemen<br />
Subsystem Outsourcer/Dienstleister Kurzbeschrieb der vertraglichen Vereinbarungen<br />
Syrius Centris AG, Solothurn Dienstleistungsvertrag für Destinatäre zwischen<br />
Rückversicherungs-Verband der öffentlichen Krankenkassen<br />
RVG und RESO, Stiftung Rechenzentrum für<br />
Krankenversicherung<br />
Vereinbarung zwischen <strong>ÖKK</strong> und Centris AG betreffend<br />
Betriebskosten Centris 2011-2017 und Projektkosten „SHP<br />
Einführung“<br />
Die Service-Level Agreements (SLA), welche Bestimmungen zum<br />
Datenschutz und Datenbearbeitung enthalten<br />
Vereinbarung zwischen <strong>ÖKK</strong> und Centris AG betreffend<br />
Zurverfügungstellung von Daten an den RVK.<br />
Sumex II Centris AG, Solothurn Anhang zum Dienstleistungsvertrag (s.o.) Sumex TMS<br />
zwischen <strong>ÖKK</strong> und Centris AG.<br />
Cent<br />
MediData<br />
CENT Systems AG,<br />
Kriegstetten<br />
MediData, Root<br />
Längenbold<br />
Dienstleistungsvertrag zwischen Cent Systems AG und <strong>ÖKK</strong><br />
betreffend Zentrales Scanning und OCR-Erkennung in der<br />
Leistungsabrechnung von TarMed Rechnungen.<br />
Rahmenvertrag über die Dienstleistungen für die<br />
Leistungsabrechnung.<br />
Medgate Medgate AG, Basel Vertrag über die Zusammenarbeit zur Erbringung von<br />
Compliance System-Leistungen.<br />
OFAC OFAC, Genf Vereinbarung zwischen <strong>ÖKK</strong> und OFAC betreffend den<br />
elektronischen Datenaustausch im Rahmen des Tiers-Payant-<br />
Systems.<br />
Sunet<br />
Online<br />
Legal &<br />
Compliance<br />
BBT, Root Längenbold<br />
• Advokatur und<br />
Notariat Degiacomi<br />
Riedi Schreiber<br />
Schmid Philipp<br />
Sonder, Chur<br />
• Studio legale e notarile<br />
Gugiarri-Guerra,<br />
Lugano-Agno<br />
• Nouvjur-Etude<br />
d’avocats-Jean-Michel<br />
Duc, Lausanne<br />
• CMS von Erlach<br />
Henrici AG, Zürich<br />
• UK Rechtsdienst,<br />
Luzern<br />
• Fürsprecher Rudolf<br />
Luginbühl, Buttisholz<br />
Vereinbarung zwischen <strong>ÖKK</strong> und Centris AG betreffend<br />
Zuverfügungstellung von Daten an den RVK.<br />
Zusammenarbeitsvertrag zwischen <strong>ÖKK</strong> Kranken- und<br />
Unfallversicherungen AG, Bahnhofstrasse 13, 7302 Landquart<br />
und Rudolf Luginbühl, Fürsprecher, Mülacher 28b, 6018<br />
Buttisholz.<br />
Mit den anderen Anwaltskanzleien basiert die Zusammenarbeit<br />
auf einem anwaltlichen Mandatsverhältnis.<br />
Die Datenübertragung zwischen <strong>ÖKK</strong> und den Outsourcern/Dienstleistern erfolgt über virtuelle Punktzu-Punkt-Verbindungen<br />
zwischen dem Rechenzentrum der <strong>ÖKK</strong> und dem Rechenzentrum der<br />
Outsourcer/Dienstleister.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 16/44
3.2. Technische Schnittstellen<br />
Verschiedene technische Schnittstellen ermöglichen den direkten Kontakt mit Leistungserbringern. In<br />
der Schnittstellenbeschreibung werden folgende Angaben zur Datenweitergabe (Bekanntgabe)<br />
festgehalten:<br />
• Von wem stammen die Daten?<br />
• Wer erhält die Daten?<br />
• Zu welchem Zweck werden die Daten weitergegeben?<br />
• Welche Daten werden weitergegeben?<br />
• In welcher Periodizität werden die Daten weitergegeben (Intervall)?<br />
• Von wem wurde die Weitergabe initiiert?<br />
• Mit Hilfe welcher Medien werden die Daten weitergegeben?<br />
Tabelle 4: Technische Schnittstellen<br />
Von Nach Zweck Datenarten<br />
<strong>ÖKK</strong><br />
Sunet<br />
Online<br />
Syrius<br />
Unfall – und<br />
Krankheitsmeldungen<br />
Syrius Netregress Regressabklärungen/<br />
Netregress Syrius<br />
Forderungen<br />
Syrius<br />
Office<br />
Integration<br />
Syrius<br />
Offert Tool<br />
UK<br />
Office<br />
Integration<br />
Syrius<br />
Offert Tool<br />
UK<br />
Syrius<br />
Versand von<br />
Korrespondenz<br />
Import von Word-<br />
Vorlagen<br />
Erstellung von<br />
Offerten<br />
Syrius <strong>ÖKK</strong>LICK Erstellung von<br />
<strong>ÖKK</strong>LICK Syrius<br />
Offerten<br />
Syrius<br />
Kolumbus<br />
Kolumbus<br />
Syrius<br />
Überprüfen von<br />
Rechnungen,<br />
Durchführung von<br />
Plausibilitätskontrollen<br />
Syrius<br />
Syrius<br />
Syrius<br />
Sage<br />
Finanzen<br />
PLZ<br />
Produktesteuerung<br />
Buchhaltung<br />
Zuweisung von<br />
Tarifen und<br />
Produkten zu PLZ<br />
Aktualisierung der<br />
<strong>ÖKK</strong> Hausärzte<br />
Stammdaten,<br />
Rechnungsdat<br />
en<br />
Periodizität Auslöser Medium<br />
Stündlich<br />
Unfall- und<br />
Krankheitsdaten<br />
Automatisch<br />
Elektronisch<br />
Monatlich Manuell Manueller<br />
Datenabgleich<br />
Stammdaten Bei Bedarf Manuell Elektronisch<br />
-<br />
Stammdaten,<br />
Vertragsdaten<br />
Tarif- und<br />
Produktdaten<br />
Stammdaten,<br />
Vertragsdaten<br />
Stammdaten,<br />
Rechnungsdaten<br />
Stammdaten,<br />
Rechnungsund<br />
Zahlungsdaten<br />
Tarif- und<br />
Produktdaten<br />
Adressen<br />
Bei Bedarf<br />
Vertragsabschluss<br />
Elektronisch<br />
Bei Bedarf<br />
Bei Bedarf Manuell Elektronisch<br />
Syrius Prämienpool Austausch von<br />
Prämienpool<br />
Syrius<br />
Prämieninformationen<br />
Vertragsabschluss<br />
Elektronisch<br />
Kolumbus ist noch nicht in Betrieb!<br />
Monatlich Manuell Elektronisch<br />
Bei Bedarf Manuell Elektronisch<br />
Hausarztlisten<br />
Wöchentlich<br />
Automatisch<br />
Elektronisch<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 17/44
Von Nach Zweck Datenarten<br />
<strong>ÖKK</strong><br />
Syrius<br />
Brokerplattform<br />
Übertragung von<br />
Managementinformationen<br />
Syrius Cent Datenlieferung für<br />
den Scanningprozess<br />
Syirus Sumex II Prüfung von<br />
Rechnungen<br />
SHP DWH Medgate Feststellung, ob eine<br />
Person berechtigt ist,<br />
<strong>ÖKK</strong> Dienstleistungen<br />
zu beziehen<br />
SHP DWH <strong>ÖKK</strong> DWH Aufbereitung von<br />
Syrius Daten für<br />
Auswertungen<br />
Periodizität Auslöser Medium<br />
Täglich<br />
Stammdaten<br />
Alle Daten<br />
Cent Sumex II Digitalisierung der<br />
Tarmed Rechnungen<br />
<strong>ÖKK</strong> DWH Wincard CRM Übertragung von<br />
Managementinformationen<br />
<strong>ÖKK</strong> DWH CRM PK Vervollständigung der<br />
CRM-Daten<br />
FileMaker<br />
App<br />
Dokumentation<br />
Workflow,<br />
Empfehlungen von<br />
VA-Anfragen<br />
Online<br />
Online<br />
Bei Bedarf<br />
(Spez.<br />
Reports<br />
Täglich<br />
Täglich<br />
Täglich<br />
Täglich<br />
Manuell<br />
Intern,<br />
Agentur,<br />
Leistungsabteilung<br />
Personendaten<br />
Keine<br />
Personendaten<br />
Automatisch<br />
Elektronisch<br />
Stammdaten Täglich Automatisch<br />
Elektronisch<br />
Syrius SAP DWH Übertragung von<br />
Managementinformationen<br />
Auswertungsdaten<br />
Elektronisch<br />
Stammdaten,<br />
Gesundheitsund<br />
Rechnungsdaten<br />
Elektronisch<br />
Wöchentlich<br />
Automatisch<br />
Elektronisch<br />
Täglich<br />
(Standardreports)<br />
Automatisch<br />
Elektronisch<br />
Elektronisch<br />
MediData Sumex II Rechnungsprüfung Stammdaten,<br />
Sumex II MediData<br />
Rechnungsdaten<br />
Automatisch<br />
Elektronisch<br />
OFAC Sumex II Rechnungsprüfung Stammdaten,<br />
Sumex II OFAC<br />
Rechnungsdaten<br />
Automatisch<br />
Elektronisch<br />
Stammdaten,<br />
Rechnungsdaten<br />
Automatisch<br />
Elektronisch<br />
Keine<br />
Personendaten<br />
Automatisch<br />
Elektronisch<br />
Offertdaten Täglich Automatisch<br />
Elektronisch<br />
Täglich Manuell Papier,<br />
elektronisch<br />
Der Vergleich zwischen den terminologischen Datenkategorien des EDÖB und jener von <strong>ÖKK</strong> ist im<br />
Anhang 3 (Datenkategorien) aufgeführt.<br />
Besondere Versicherungsmodelle gemäss Art. 41 Abs. 4 KVG<br />
Um den Versicherten eine besondere Versicherungsform gemäss Art. 41 Abs. 4 KVG bzw.<br />
Art. 99 KVV anzubieten, arbeitet <strong>ÖKK</strong> mit Medgate und dem RVK zusammen. Diesen Organisationen<br />
stellt <strong>ÖKK</strong> Stamm- und Leistungsdaten der Versicherten zur Verfügung, damit die Ärzte dieser<br />
Organisationen ihre Aufgabe gemäss Art. 41 Abs. 4 KVG wahrnehmen können. Diese Organisationen<br />
stellen <strong>ÖKK</strong> Überweisungsdaten für die Leistungskontrolle zur Verfügung.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 18/44
3.3. Genutzte Informatikmittel (Konfiguration)<br />
3.3.1. <strong>ÖKK</strong><br />
Die Informatikabteilung von <strong>ÖKK</strong> führt ein zentrales Inventar aller Informatiksysteme mit den<br />
entsprechenden Konfigurationen, welche durch die <strong>ÖKK</strong> Abteilungen Betrieb Informatik bzw.<br />
Applikationen betreut werden.<br />
Weisungen im Umgang mit Informatiksystemen und Endgeräten sind der Weisung<br />
Informationssicherheit [03.0011] zu entnehmen.<br />
3.3.2. Centris<br />
Die notwendigen Informatikmittel (Applikation, Datenbank, Betriebssystem, Netzwerk) werden<br />
vollständig durch die Centris AG betreut. Der Bezug der IT-Dienstleistungen ist vertraglich geregelt.<br />
Für die durch <strong>ÖKK</strong> von der Centris AG bezogenen IT-Dienstleistungen der Applikationen Sumex<br />
wurde ein entsprechender Rahmenvertrag abgeschlossen.<br />
• Die Centris AG verpflichtet sich, ihre Mitarbeitenden sowie andere Hilfspersonen und<br />
beigezogene Dritte, die Bestimmungen des Datenschutzgesetzes sowie die Schweigepflicht<br />
nach Art. 33 ATSG einzuhalten. Dies umfasst auch die Vornahme der nötigen technischen<br />
und organisatorischen Sicherheitsmassnahmen.<br />
• Die Centris AG verpflichtet sich zudem, den Kreis der Mitarbeitenden, die zu den<br />
Kundendaten Zugang haben, auf das Notwendige einzuschränken.<br />
• Die Centris AG verpflichtet sich, Kunden-Daten nicht an Dritte weiterzugeben und sorgt dafür,<br />
dass Dritte keinen Zugang zu diesen Daten erhalten.<br />
Die <strong>ÖKK</strong> ist berechtigt, die Einhaltung der Datenschutz- und Geheimhaltungsanforderungen zu<br />
überprüfen.<br />
Für die Applikation Syrius besteht ebenfalls eine vertragliche Vereinbarung, in der die Centris AG<br />
die Verantwortung für die Durchführung der Bearbeitung personenbezogener oder sonstiger sensitiver<br />
Daten gemäss den schriftlichen Weisungen des Kunden sowie unter Einhaltung der geltenden<br />
Datenschutzbestimmungen und der firmeneigenen Richtlinien zur technischen und organisatorischen<br />
Datensicherung übernimmt.<br />
3.4. Dokumentationen<br />
Unterlagen über die Planung und Realisierung des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong><br />
liegen bei der <strong>ÖKK</strong> Informatik vor.<br />
Für den Betrieb führt die <strong>ÖKK</strong> eine IKS-Dokumentation auf die in einzelnen Kapiteln des vorliegenden<br />
<strong>Bearbeitungsreglement</strong>s verwiesen wird.<br />
3.4.1. Softwareentwicklung<br />
Es wird eine Trennung zwischen Test und Produktion eingehalten.<br />
<strong>ÖKK</strong> macht keine Softwareentwicklung. Diese wird an externe Dienstleister vergeben oder direkt<br />
durch den Software-Hersteller vorgenommen.<br />
Anträge für die Weiterentwicklung des Systems werden zusammengefasst und im Rahmen des<br />
Release- und Change Managements von <strong>ÖKK</strong> umgesetzt. Outsourcer sind ebenfalls in den<br />
Prozessen integriert. Die gesamten Prozesse werden nachvollziehbar dokumentiert.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 19/44
3.4.2. Ausbildung der Benutzer<br />
Für die verschiedenen Subsysteme werden die Benutzer in internen Kursen geschult.<br />
3.4.3. Benutzerhandbücher und Bearbeitungsrichtlinien<br />
Zu den verschiedenen Subsystemen gibt es intern erstellte Benutzerhandbücher.<br />
Weiter wird in Weisungen, Reglementen und Leistungshandbüchern sowie in Listen die<br />
Datenbearbeitung festgelegt. Diese werden von den zuständigen Organisationseinheiten regelmässig<br />
aktualisiert. Publiziert sind diese im <strong>ÖKK</strong>-Intranet „Piazza“.<br />
Die Fachführungen der zuständigen Organisationseinheiten schaffen mittels spezifischen<br />
Anweisungen einen gleichbleibenden Level der Leistungsbeurteilung nach KVG.<br />
4. Beteiligte Organisationseinheiten<br />
4.1. Agenturen/Service-Centers Heilungskosten<br />
Die Abwicklung der Vergütung der Rechnungen nach KVG und VVG wird von Mitarbeitenden der<br />
Agenturen oder den Service-Centers Heilungskosten vorgenommen. Für diese Aufgabe bearbeiten<br />
sie Personendaten inkl. besonders schützenswerte Personendaten im <strong>ÖKK</strong>-Informationssystem<br />
<strong>Versicherungswesen</strong> und in den spezifischen Subsystemen.<br />
In den Fällen nach Art. 42 Abs. 5 KVG werden die Rechnungen direkt an den VAD übermittelt und<br />
durch die Vertrauensärzte und deren Hilfspersonen bearbeitet. Diese überprüfen die Leistungen nach<br />
Art. 57 KVG und geben diese zuhanden der Administration zur Zahlung frei. Die Vergütung erfolgt<br />
durch die zuständigen Stellen der Agenturen.<br />
4.2. Zentrale Organisationseinheiten (OE)<br />
Die Mitarbeitenden der nachfolgenden Organisationseinheiten von <strong>ÖKK</strong> haben Zugriff auf<br />
Informationen mit hoher Datenschutzrelevanz (Klassifizierungsstufe D3 gemäss Weisung<br />
Informationssicherheit [03.0011]) im <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong>:<br />
Tabelle 5: Kurzbeschreibung der Organisationseinheiten<br />
Organisationseinheit Kurzbeschreibung OE/Aufgaben MA<br />
Intern<br />
Privatkunden<br />
Unternehmenskunden<br />
Marketingkommunikation<br />
Steuerung der Kundenbindung sowie Verkauf und Beratung von<br />
Einzelkunden. Sicherung der Rentabilität im Grund- und<br />
Zusatzversicherungsbereich.<br />
Steuerung des Verkaufs und Beratung von Unternehmenskunden. 6<br />
Ist verantwortlich für den Marktauftritt von <strong>ÖKK</strong>. Sie ist unterteilt in die<br />
Bereiche Sponsoring, Eventmarketing, Media sowie Corporate Design.<br />
Das Sponsoring Team kümmert sich um den gesamten Sponsoring Auftritt<br />
und den Werbeartikeleinkauf. Im Bereich Media werden sämtliche Kampagnen<br />
sowie Verkaufsförderungs-Aktionen organisiert und umgesetzt. Das<br />
Eventteam sorgt für bleibende Eindrücke bei Events sowie einen emotionalen<br />
Webauftritt. Corporate Design ist zuständig für die Wiedererkennung der<br />
Marke <strong>ÖKK</strong> im Markt. Zudem ist Corporate Design zuständig für die<br />
Kundenbindung und den Auftritt der <strong>ÖKK</strong> Agenturen.<br />
14<br />
9<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 20/44
Organisationseinheit Kurzbeschreibung OE/Aufgaben MA<br />
Rechnungswesen<br />
Controlling<br />
Finanzen<br />
Leistungseinkauf<br />
Managed Care<br />
Kooperationen<br />
Versicherungs-<br />
Unternehmen<br />
Gesundheitsmanagement<br />
Das Team Rechnungswesen ist für die Durchführung des Zahlungsverkehrs<br />
bei <strong>ÖKK</strong> verantwortlich. Darin eingeschlossen ist die Verarbeitung der<br />
Fehlerlisten aus Syrius. Zudem ist es zuständig für Auslandszahlungen der<br />
Leistungsabteilung.<br />
Die Finanzbuchhaltung bucht Post- und Bankbelege, erstellt und überwacht<br />
Daueraufträge für regelmässige Zahlungen und stimmt die Durchlaufskonti mit<br />
den Debitoren- und Kreditoren-Nebenbüchern ab. Zudem erstellt sie den<br />
Jahresabschluss.<br />
In der Kreditorenbuchhaltung werden die Betriebsrechnungen<br />
(Verwaltungskosten) verarbeitet. Für die Fachbereiche und Projekte werden<br />
Berichte erstellt, damit diese ihre Budgets laufend unter Kontrolle haben.<br />
Weitere Aufgaben: Liquiditätsplanung, Verarbeitung der Individuellen<br />
Prämienverbilligungen (IPV) für alle Kantone und die Steuerabrechnung<br />
(Staatssteuern und Mehrwertsteuer).<br />
Ausserdem bietet das Team den Agenturen telefonischen Support bei Fragen<br />
zum Zahlungsverkehr.<br />
Im Controlling werden Reportings, Forecasts und Abschlüsse gemacht. Weiter<br />
beliefert das Team Controlling die Ämter mit Statistik-Daten und führt<br />
Analysen durch. Die Leitung von Planungs- und Prämienprozessen sowie die<br />
Begleitung des IKS gehören ebenfalls zu den Aufgaben des Controllings.<br />
Die Abteilung Finanzen führt die Wertschriftenanlagen der <strong>ÖKK</strong> Gruppe.<br />
Die Abteilung Finanzen beantragt Anpassungen des Anlagereglements oder<br />
strategische Änderungen in der Vermögensallokation. Die Finanzabteilung<br />
überwacht deren Umsetzung und rapportiert an die GL, den VR, die<br />
Stiftungsräte und an die FINMA. Jährlich wird für jede Gesellschaft ein<br />
Performancebericht mit Rückblick auf das vergangene Börsenjahr erstellt.<br />
Zudem wird eine Beurteilung des Anlageverhaltens der beteiligten Banken<br />
erstellt und eine Markteinschätzung der kommenden Monate vorgenommen.<br />
Die Finanzabteilung ist in der internen Anlagekommission vertreten.<br />
Die Finanzabteilung steht in einem regelmässigen Kontakt mit den<br />
Aufsichtsbehörden. Sie ermittelt unter anderem für jede Gesellschaft in einem<br />
Solvenztest die bestehenden Risiken. Die Bewertung der Risikofähigkeit, wird<br />
der Aufsichtsbehörde jeder Gesellschaft jährlich in einem sogenannten<br />
Solvenzbericht (Swiss Solvency Test; SST) mitgeteilt.<br />
Die Finanzabteilung erstellt schliesslich Steuererklärungen und steht in<br />
Kontakt zu Steuerverwaltungen.<br />
Der Leistungseinkauf führt Vertragsverhandlungen für die Grund- und<br />
Zusatzversicherungen. Im Bereich Leistungscontrolling erfolgt die aktive<br />
Überwachung und Analyse der Kostenentwicklung. Zudem werden Managed<br />
Care Modelle betreut und gefördert.<br />
Die Kooperationsmodelle bieten potentiellen Partnern die Risikoträgerschaft<br />
für Zusatzversicherungen an. Ausserdem sucht die Abteilung aktive<br />
Kooperationsmöglichkeiten mit kleinen und mittleren Krankenversicherungen.<br />
Je nach Bedürfnis des Partners werden fachspezifische Modelle, Produkte<br />
und Dienstleistungen angeboten.<br />
Kooperationen VU integriert die Fachbereiche Services VU,<br />
Partnermanagement und Produktmanagement.<br />
Das <strong>ÖKK</strong> Gesundheitsmanagement setzt bei der Gesundheitsprävention an,<br />
begleitet Mitarbeiter bei der beruflichen Wiedereingliederung sowie der<br />
medizinischen Behandlung und unterstützt die Unternehmung darin,<br />
Absenzen zu senken.<br />
Leistungen Taggeld Diese Abteilung ist für die Abwicklung der Taggeldleistungen verantwortlich. 12<br />
Leistungen Unfall<br />
Die Abteilung Leistungen Unfall wickelt Personenschäden aus dem Bereich<br />
der obligatorischen Unfallversicherung gemäss UVG ab.<br />
12<br />
4<br />
2<br />
1<br />
4<br />
10<br />
12<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 21/44
Organisationseinheit Kurzbeschreibung OE/Aufgaben MA<br />
Heilungskosten<br />
VA<br />
VAD<br />
IT-Architektur<br />
IT-Betrieb<br />
IT-Applikationen<br />
IT-DWH<br />
Projektmanagement<br />
Unternehmenskommunikation<br />
Corporate Services<br />
Markt<br />
Outsourcer/Dienstleister<br />
Centris<br />
OFAC<br />
Folgende Fälle werden von der Abteilung Heilungskosten verarbeitet:<br />
Zahnunfälle, ausserkantonale Psychiatrie, Rehabilitationen & Kuren,<br />
Transport, Rettung, Suchaktionen, Fahrt- und Auslandspesen (ausser Brillen<br />
und Dental). Zudem bearbeiten die Service-Center Heilungskosten Anfragen<br />
zu Ergotherapie, SVK, Protect-Rechtsschutz und Swiss DRG.<br />
Der Vertrauensarzt gemäss Art. 57 KVG ist ein Organ der sozialen<br />
Krankenversicherung. Er berät <strong>ÖKK</strong> in medizinischen Fachfragen sowie in<br />
Fragen der Vergütung und der Tarifanwendung.<br />
Vertrauensärztlicher Dienst<br />
In der Abteilung Architektur Informatik wird eine leistungsstarke und<br />
zukunftsorientiere ICT-Infrastruktur (ICT=Information and Communications<br />
Technology) geplant, gestaltet und sichergestellt.<br />
IT-Betrieb ist für die Betreuung sämtlicher ICT-Systeme (Support von<br />
Anwenderprogrammen, PC, Drucker) zuständig.<br />
Einführen und Ablösen von Applikationen, Wartung und Weiterentwicklung<br />
von Anwendungen.<br />
IT-Applikationen ist das Verbindungsglied zum Rechenzentrum Centris in<br />
Solothurn, wo die Applikation Syrius betrieben wird. Hier werden alle<br />
Fachanforderungen abgebildet und die Anpassungen umgesetzt. Die<br />
technische Umsetzung der jährlich stattfindenden Prämienrunde wird von<br />
Wangen aus koordiniert.<br />
Das Datawarehouse ist zuständig für die zentrale Datenbereitstellung für das<br />
Reporting von <strong>ÖKK</strong>.<br />
Zudem werden Schnittstellen zu Umsystemen (Fachapplikationen) oder zum<br />
oder vom DWH betrieben.<br />
Das DWH besteht aus den Quellsystemen SHP DWH und <strong>ÖKK</strong> DWH Cognos.<br />
Dort wo es Sinn macht, werden Daten zu Reportingzwecken vom DWH über<br />
Schnittstellen in Fachapplikationen geliefert.<br />
Das Projektmanagement unterstützt die Geschäftsleitung hinsichtlich<br />
Multiprojektcontrolling und die Projektleiter bei der Abwicklung von Projekten.<br />
Anwendungen und Vorlagen werden durch das Projektmanagement-Office<br />
bereitgestellt: pmplus+, Leitfaden, Planung und Konzeptvorlagen.<br />
Die Unternehmenskommunikation ist u.a. zuständig für: Medienarbeit,<br />
Kundenreaktionen, Kunden- und Mitarbeiterzeitschriften, Intranet, Buchstaben,<br />
Wörter, Texte, <strong>ÖKK</strong>-Wording, Textbausteine, Übersetzungen.<br />
Corporate Services ist die zentrale Serviceabteilung für die Bereiche Personal<br />
und Recht.<br />
Der Personalbereich ist aufgeteilt in Personalbetreuung und -entwicklung<br />
sowie Personalversicherung.<br />
Für rechtliche und politische Angelegenheiten ist das Team Legal &<br />
Compliance zuständig. Der Leiter Corporate Services ist derzeit auch<br />
Teamleiter a.i. für das Team Legal & Compliance und seit Mitte 2009 auch<br />
BDSV.<br />
Aufgeteilt in fünf Teilmärkte (Ostschweiz, Südschweiz, Südbünden,<br />
Nordostschweiz, Bern Nordwest und Zentralschweiz) ist der Markt für den<br />
Verkauf von Versicherungsprodukten zuständig.<br />
Die Firma Centris bietet Outsourcing Dienstleistungen für Kranken- und<br />
Unfallversicherer an. Für <strong>ÖKK</strong> betreibt Centris das Kernsystem Syrius.<br />
Die Firma OFAC bietet die Fakturierung der Guthaben Ihrer Mitglieder an<br />
Versicherer oder Versicherte. Für <strong>ÖKK</strong> übernimmt OFAC Aufgaben im Bereich<br />
Rechnungsprüfung/Plausibilisierung der Berechtigung zur Leistungserbringung.<br />
36<br />
8<br />
1<br />
6<br />
7<br />
2<br />
1<br />
6<br />
12<br />
177<br />
k.A.<br />
k.A.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 22/44
Organisationseinheit Kurzbeschreibung OE/Aufgaben MA<br />
MediData AG<br />
Cent Systems AG<br />
Medgate AG<br />
BBT Software AG<br />
EOS AG<br />
RVK<br />
• Advokatur und<br />
Notariat<br />
Degiacomi Riedi<br />
Schreiber<br />
Schmid Philipp<br />
Sonder, Chur<br />
• Studio legale e<br />
notarile<br />
Gugiarri-Guerra,<br />
Lugano-Agno<br />
• Nouvjur-Etude<br />
d’avocats-Jean-<br />
Michel Duc,<br />
Lausanne<br />
• CMS von Erlach<br />
Henrici AG,<br />
Zürich<br />
• UK<br />
Rechtsdienst,<br />
Luzern<br />
• Fürsprecher<br />
Rudolf<br />
Luginbühl,<br />
Buttisholz<br />
Die Firma MediData erbringt effiziente IT-Lösungen für Leistungserbringer,<br />
Kranken- und Unfallversicherer sowie Patienten. Ziel ist die Vernetzung aller<br />
Beteiligten im Gesundheitswesen. Über die Applikation Invoice-Inspector<br />
werden elektronische Rechnungen für <strong>ÖKK</strong> geprüft und transcodiert und über<br />
die Applikation Mediport wird der Austausch von elektronischen Dokumenten<br />
sichergestellt.<br />
Die Firma Cent Systems AG bietet effizientes und individuelles<br />
Datenmanagement für jede Branche und Unternehmensgrösse an. Sie<br />
betreibt für <strong>ÖKK</strong> ein aus Hard- und Software-Komponenten bestehendes<br />
zentrales Scanning inkl. OCR-Erkennung für die Leistungsabrechnung von<br />
Tarmed Rechnungen.<br />
Die Firma Medgate ist der führende Anbieter von telemedizinischen<br />
Leistungen in der Schweiz. Für <strong>ÖKK</strong> stellt Medgate eine spezielle<br />
Telefonnummer zur Verfügung. Die von <strong>ÖKK</strong> gelieferten Daten werden nach<br />
dem Eingang bei Medgate in die Medgate Systeme importiert und sind danach<br />
sofort für die Prüfung der Versicherungsdeckung verbindlich. Die Daten dürfen<br />
nur im Zusammenhang mit diesem Vertrag verwendet werden.<br />
Die Firma BBT Software AG entwickelt Software für Unfall- und<br />
Krankenversicherungen. Für <strong>ÖKK</strong> übernimmt die Firma das Hosting des<br />
Servers für den Empfang von Schadensmeldungen.<br />
Die Firma EOS bietet Kredit- und Forderungsmanagement-Lösungen an. Für<br />
<strong>ÖKK</strong> übernimmt EOS die technische Abwicklung des Betreibungswesens von<br />
der letzten Mahnung über die Betreibung bis zur Fortsetzung der Betreibung,<br />
Verband der kleinen und mittleren Krankenversicherer, Rückversicherungen<br />
und Dienstleistungen für den Gesundheitsmarkt. Der RVK schliesst im Auftrag<br />
von <strong>ÖKK</strong> Verträge mit lokalen Ärztenetzwerken zur Betreuung von<br />
Versicherten mit besonderer Versicherungsform gemäss Art. 41 Abs. 4 KVG<br />
ab.<br />
Hierbei handelt es sich um die externen Partnerkanzleien, mit denen <strong>ÖKK</strong><br />
zusammenarbeitet.<br />
k.A.<br />
k.A.<br />
k.A.<br />
k.A.<br />
k.A.<br />
k.A.<br />
k.A.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 23/44
Die im nachfolgenden Organigramm grau hinterlegten zentralen Organisationseinheiten der <strong>ÖKK</strong> sind<br />
an der Datensammlung beteiligt.<br />
Sitftungsrat<br />
Ausschuss<br />
Generalversammlung<br />
Verwaltungsrat<br />
Vorsitzender<br />
Geschäftsleitung<br />
Markt<br />
Leistung und<br />
Koorperationen<br />
Finanz und<br />
Controlling<br />
Informatik und<br />
Logistik<br />
Unternehmenskommunikation<br />
Unternehmensentwicklung<br />
Corporate<br />
Services<br />
Privatkunden<br />
Gesundheitsmanagement<br />
Versicherungsleistungen<br />
Rechnungswesen<br />
IT-Architektur<br />
Personalbetreuung<br />
Unternehmenskunden<br />
Leistungen<br />
Taggeld<br />
Controlling<br />
IT-Betrieb<br />
Personalentwicklung<br />
Marketingkommunikation<br />
Leistungen<br />
Unfall<br />
Finanzen<br />
IT-<br />
Applikationen<br />
Personalkrankenkasse<br />
Markt<br />
Ostschweiz<br />
Heilungskosten<br />
Projektmanagement<br />
Legal &<br />
Compliance<br />
Markt<br />
Südbünden<br />
Leistungseinkauf<br />
u.<br />
Managed Care<br />
Kooperationen<br />
Versicherungsunternehmen<br />
Logistik und<br />
Liegenschaften<br />
Markt Bern/<br />
Nordwest-<br />
Zentralschweiz<br />
VAD *<br />
IT-DWH<br />
Markt Nordostschweiz<br />
Markt<br />
Südschweiz<br />
Abbildung 2: An der Datensammlung beteiligte OE‘s<br />
4.3. Vertrauensärztlicher Dienst<br />
Die Rechnungen nach Art. 42 Abs. 5 KVG werden in den VAD-Systemen bearbeitet. Der VAD hat die<br />
vollständige Verantwortung für diese Systeme. Siehe hierzu das separate <strong>Bearbeitungsreglement</strong><br />
VAD [03.0014].<br />
4.4. Codierexperten<br />
Die Codierexperten haben den Vollzugriff auf die medizinischen Daten (Diagnosen und Prozeduren)<br />
für die Überprüfung der konkreten Diagnose- und Prozedurencodes.<br />
4.5. Extern (Outsourcer/Dienstleister)<br />
Outsourcer/Dienstleister erhalten im Rahmen ihres Auftrages, den sie für die <strong>ÖKK</strong> ausführen, Zugriff<br />
auf die Subsysteme (bspw. Centris AG).<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 24/44
4.6. Zugriffe der Organisationeinheiten auf Subsysteme<br />
Anhand der nachfolgenden Tabelle ist ersichtlich, wie viele Mitarbeitende (Spalte MA) pro<br />
Organisationseinheit auf die einzelnen Subsysteme Zugriff haben.<br />
Tabelle 6: Anzahl Zugriffe pro Organisationseinheiten<br />
Subsystem Organisationseinheit Welche Datenkategorien <strong>ÖKK</strong> werden<br />
bearbeitet?<br />
Syrius<br />
Alle Abteilungen mit<br />
Kundenkontakt<br />
Name/Adresse/Tel., Geburtsdatum,<br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Gesetzliche Vertretung, Angehörige,<br />
Angaben zur Behinderung, Gesundheit,<br />
Massnahmen der sozialen Hilfe<br />
<strong>ÖKK</strong> Informatik 9<br />
Centris AG 9<br />
Sumex II Leistungen Taggeld Name/Adresse/Tel., Geburtsdatum,<br />
12<br />
Leistungen Unfall<br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Gesetzliche Vertretung, Angehörige, 12<br />
Servicecenter<br />
Angaben zur Behinderung, Gesundheit,<br />
Heilungskosten (Bern<br />
Massnahmen der sozialen Hilfe<br />
36<br />
2 MA, Südschweiz 4 MA,<br />
Ostschweiz 15 MA,<br />
Zürich 15 MA)<br />
<strong>ÖKK</strong> Informatik 3<br />
Centris AG 8<br />
Cent Cent Systems AG Name/Adresse/Tel., Geburtsdatum,<br />
Familienverhältnisse, Nationalität, AHV-<br />
<strong>ÖKK</strong><br />
Nummer, Angaben zur Behinderung,<br />
Gesundheit, Massnahmen der sozialen Hilfe<br />
MediData MediData AG<br />
<strong>ÖKK</strong><br />
Name/Adresse/Tel., Geburtsdatum,<br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Gesetzliche Vertretung, Angehörige,<br />
Angaben zur Behinderung, Gesundheit,<br />
Massnahmen der sozialen Hilfe<br />
Medgate Medgate AG Name/Adresse/Tel., Geburtsdatum,<br />
An die RVK<br />
angeschlossenen<br />
Hausärzte<br />
<strong>ÖKK</strong><br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Gesetzliche Vertretung, Angehörige,<br />
Angaben zur Behinderung, Gesundheit,<br />
Massnahmen der sozialen Hilfe<br />
OFAC OFAC AG Name/Adresse/Tel., Geburtsdatum, AHV-<br />
<strong>ÖKK</strong><br />
Nummer, Angaben zur Behinderung,<br />
Gesundheit, Massnahmen der sozialen Hilfe<br />
<strong>ÖKK</strong> DWH<br />
Cognos<br />
Sunet<br />
Online<br />
Controllling<br />
Name/Adresse/Tel., Geburtsdatum,<br />
4<br />
IT-DWH<br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Gesetzliche Vertretung, Angehörige,<br />
Angaben zur Behinderung, Gesundheit,<br />
Massnahmen der sozialen Hilfe<br />
1<br />
<strong>ÖKK</strong> Mitarbeitende<br />
unterschiedlicher OE‘s<br />
MA<br />
395<br />
6<br />
Kein Zugriff<br />
5-10<br />
Kein Zugriff<br />
200<br />
Zugriff auf vorgefertigte Berichte/Abfragen 179<br />
-<br />
Kein Zugriff<br />
5<br />
Kein Zugriff<br />
<strong>ÖKK</strong><br />
Name/Adresse/Tel., Geburtsdatum,<br />
Kein Zugriff<br />
BBT Software AG<br />
Familienverhältnisse, Nationalität, AHV-<br />
Nummer, Angaben zur Behinderung,<br />
3<br />
Intimsphäre<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 25/44
Subsystem Organisationseinheit Welche Datenkategorien <strong>ÖKK</strong> werden<br />
bearbeitet?<br />
Legal &<br />
Compliance<br />
Corporate Services<br />
Name/Adresse/Tel., Geburtsdatum,<br />
Nationalität, gesetzliche Vertretung, Angaben<br />
zur Behinderung, Gesundheit, Massnahmen<br />
der sozialen Hilfe, administrative /<br />
strafrechtliche Sanktionen, Persönlichkeitsprofil<br />
MA<br />
Compliance: 3<br />
Rechtsfälle<br />
Heilungskosten:<br />
6<br />
Rechtsfälle<br />
Taggeld: 7<br />
Rechtsfälle<br />
Unfall: 1<br />
Die obige Tabelle entspricht einer Momentaufnahme vom 14.06.2013, dient einer allgemeinen<br />
Übersicht und beantwortet folgende Fragen:<br />
• Welcher Organisationseinheiten bzw. wie viele ihrer Mitarbeitenden haben Zugriff auf die<br />
entsprechende Applikation?<br />
• Welche Datenkategorien <strong>ÖKK</strong> (oder Teile derselben) werden in der entsprechenden<br />
Applikation bearbeitet?<br />
In der Tabelle wird nicht aufgezeigt, wie viele Mitarbeitende Zugriff auf die einzelnen genannten<br />
Datenkategorien haben. Denn innerhalb der Applikation werden die Zugriffsberechtigungen weiter<br />
eingeschränkt. Siehe im Zusammenhang mit dem Kernsystem Syrius den Prozessbeschrieb und die<br />
Zugriffsberechtigungen in Anhang 2 bzw. der Rollenverteilung zu Syrius 1 .<br />
Das Mapping der Datenkategorien <strong>ÖKK</strong> zu den Datenkategorien EDÖB oder den in der <strong>ÖKK</strong><br />
umgangssprachlich verwendeten Datenarten ist im Anhang 3 (Datenkategorien) ersichtlich.<br />
5. Benutzer und Datenzugriff<br />
5.1. Benutzer<br />
Zugriffsberechtigt auf das <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> sind die Mitarbeitenden von<br />
<strong>ÖKK</strong>, soweit sie dies zur Ausübung ihres Auftrags „Durchführung der obligatorischen und privaten<br />
Krankenversicherung“ benötigen.<br />
Durch die Vergabe von Zugriffsberechtigungen auf Systeme und Applikationen von <strong>ÖKK</strong> nach dem<br />
sog. „Need-to-know-Prinzip“ wird verhindert, dass Dritte Daten unberechtigt bearbeiten können.<br />
5.2. Benutzerverwaltung<br />
<strong>ÖKK</strong> verfolgt ein dreistufiges Konzept bezüglich Zugriffssicherheit (siehe auch <strong>Bearbeitungsreglement</strong><br />
VAD [03.0014]).<br />
• Zugriffssicherheit wird auf Systemebene definiert, d.h. für eine Systemanmeldung wird ein<br />
persönlicher Active-Directory-Benutzer-Account bei <strong>ÖKK</strong> benötigt.<br />
• Applikationen (Subsysteme) des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> können nur mit<br />
entsprechenden Rechten auf Systemebene gestartet werden, d.h. im Active-Directory muss eine<br />
Mitgliedschaft in der entsprechenden Active-Directory-Applikationsgruppe vorhanden sein.<br />
• Verfügt die Applikation über eine eigene Benutzerverwaltung, ist zusätzlich ein entsprechendes<br />
Benutzer-Account in der Applikation notwendig. Zugriffsberechtigungen auf unterschiedliche<br />
1 Ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 26/44
Funktionen (Daten) der Applikation werden in der jeweiligen Applikation mittels Rollen oder<br />
Gruppenprofilen dediziert vergeben.<br />
5.2.1. Zugriffskontrollsystem<br />
Der Zugriff auf das <strong>ÖKK</strong>-Netzwerk und Applikationen erfolgt über das zentrale Active-Directory. Jeder<br />
Benutzer erhält hierbei einen persönlichen Benutzer-Account. Passwortrichtlinien werden gemäss<br />
Weisung Informationssicherheit [03.0011] durchgesetzt. Für Subsysteme, welche eine eigene<br />
Benutzerverwaltung resp. ein eigenes Zugriffskontrollsystem besitzen, gelten dieselben Vorgaben<br />
gemäss Weisung Informationssicherheit [03.0011].<br />
Tabelle 7: Zugriffskontrollsysteme der Subsysteme<br />
Subsystem<br />
Syrius 1<br />
Sumex II<br />
Cent<br />
MediData<br />
Medgate<br />
OFAC<br />
<strong>ÖKK</strong> DWH (Cognos) 2<br />
Sunet Online<br />
Legal&Compliance<br />
Zugriffskontrollsystem<br />
Eigenes im Subsystem mit integriertem Zugriffskontrollsystem (Benutzer-Accounts<br />
mit dem Präfix U)<br />
Basiert auf dem Zugriffskontrollsystem von Syrius<br />
Kein Zugriff seitens <strong>ÖKK</strong><br />
Kein Zugriff seitens <strong>ÖKK</strong><br />
Kein Zugriff seitens <strong>ÖKK</strong><br />
Kein Zugriff seitens <strong>ÖKK</strong><br />
Basiert auf dem Active Directory (DWH-Gruppen)<br />
Lokal offline Client, zur Zuordnung der von BBT gelieferten Daten zu Kunden im<br />
Syrius.<br />
Legal & Compliance Ordner: Zugriffsberechtigung nur für Mitarbeiter des Legal &<br />
Compliance Teams (zurzeit drei Personen).<br />
Versicherungsleistungen Ordner: Zugriff nach dem „Need-to-know-Prinzip“ der<br />
Mitarbeiter der Leistungsabteilungen und des Legal & Compliance-Teams.<br />
5.2.2. Vergabe von Zugriffsberechtigungen<br />
Die IKS-Anforderungen (siehe auch <strong>Bearbeitungsreglement</strong> VAD [03.0014]) an die<br />
Benutzerverwaltung stellen sicher, dass:<br />
• Nur berechtigte Personen auf Applikationen und Daten zugreifen können (inklusive<br />
Programme, Tabellen und entsprechende Ressourcen),<br />
• Diese Personen nur die für sie vorgesehene Funktionen ausführen können,<br />
• Sämtliche Komponenten der Applikation berücksichtigt werden wie Programme,<br />
Datenbanken, Betriebssysteme, Netzwerke und Remote Zugriff,<br />
• Die Gewaltentrennung eingehalten ist.<br />
Auch die Anforderungen an den Prozess zur Vergabe von Berechtigungen sind im Rahmen des IKS<br />
festgelegt (siehe auch <strong>Bearbeitungsreglement</strong> VAD [03.0014] sowie die Liste der Zuordnungen von<br />
Personen zu Rollen 3 .<br />
• Sämtliche Anträge an die Benutzerverwaltung wie Neuanlagen, Anpassungen in den<br />
1 Die Liste der zugriffsberechtigten Personen und deren Rollenzugehörigkeit ist ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS<br />
\ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx.<br />
2 Die zugriffsberechtigten Personen und deren Zuordnung zu Gruppenprofilen (Rollen) kann unter „Active Directory“ eingesehen<br />
werden.<br />
3<br />
Die Liste ist ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \<br />
Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 27/44
Benutzerberechtigungen oder Löschungen müssen schriftlich oder elektronisch durch<br />
autorisierte Personen genehmigt werden. Im Falle der Berechtigungsvergabe ist zu<br />
spezifizieren, welche Berechtigungen der Benutzer erhalten soll. Im Falle einer Anpassung in<br />
den Benutzerberechtigungen ist zu spezifizieren, welche Berechtigungen gelöscht werden<br />
sollen bzw. welche Berechtigungen neu vergeben werden sollen.<br />
• Bei der Benutzerverwaltung muss folgende Gewaltentrennung eingehalten werden:<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Der Antragsteller darf nicht gleichzeitig den Antrag genehmigen.<br />
Derjenige, der den Antrag genehmigt, muss dem Antragsteller hierarchisch<br />
übergeordnet sein. Ausnahmen bestehen auf Stufe Bereichsleiter.<br />
Der Antragsteller und derjenige, der den Antrag genehmigt, dürfen den Antrag nicht<br />
ausführen.<br />
Derjenige, der Zugriffsverstösse überwacht, darf nicht Antragssteller sein. Er darf<br />
auch nicht derjenige sein, der die Anträge genehmigt oder ausführt.<br />
Diejenigen, die Administratoren-Aktionen durchführen können, dürfen nicht die<br />
Überwachung der Administratoren-Aktionen ausführen.<br />
Die geforderte Gewaltentrennung wird wie folgt umgesetzt:<br />
Tabelle 8: Gewaltentrennung bei Vergabe von Zugriffsberechtigungen<br />
Rolle<br />
Verantwortlich<br />
Antragsteller • Personalwesen<br />
• Fachbereich Mitarbeiter oder Leiter<br />
• <strong>ÖKK</strong> Mitarbeiter<br />
Fachbereich • <strong>ÖKK</strong> Leiter Privatkunden/Finanzen/Controlling oder Stv.<br />
• <strong>ÖKK</strong> Leiter Unternehmenskunden/Marketing oder Stv.<br />
• <strong>ÖKK</strong> Leiter Schadenabwicklung oder Stv.<br />
• <strong>ÖKK</strong> Leiter IT: Die Berechtigung für den <strong>ÖKK</strong> SYRIUS Support oder Stv.<br />
<strong>ÖKK</strong> Support<br />
(1st und 2nd Level)<br />
-> Umsetzung<br />
<strong>ÖKK</strong> Support setzt den Berechtigungsauftrag um oder leitet diesen an den<br />
Outsourcer weiter. Beim Outsourcer ist definiert, von welchen Personen<br />
Berechtigungsaufträge entgegengenommen werden dürfen.<br />
Der Standardzugriff (Terminalclient, E-Mail) am <strong>ÖKK</strong>-Arbeitsplatz wird durch die Abteilung Betrieb<br />
Informatik vorgenommen.<br />
Im Anhang 2: Prozess Zugriffsberechtigungen ist der Prozess zur Vergabe/Mutation/Entzug von<br />
Zugriffsberechtigungen am Beispiel von Syrius dokumentiert. Der gesamte Prozess ist formularbasiert<br />
und kann somit nachvollzogen werden. Nach Abschluss des Prozesses wird das Formular im<br />
Personaldossier abgelegt.<br />
Für den Zugriff auf Syrius ist ein Username und Passwort notwendig. Die Vergabe der<br />
Zugriffsberechtigungen in Syrius ist wie folgt geregelt:<br />
1. User wird einer Rolle zugewiesen.<br />
2. Den Rollen werden entsprechende Zugriffsberechtigungen in Form von Tasks und Processes<br />
erteilt.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 28/44
Die Zuordnung der einzelnen Rollen zu Task und Processes ist im System hinterlegt und kann bei der<br />
Centris AG eingefordert werden. Die Liste der Zuordnungen von Personen zu Rollen kann bei <strong>ÖKK</strong><br />
eingesehen werden 1 .<br />
Die Vergabeprozess für Zugriffsberechtigungen weitere Subsysteme (auf welche <strong>ÖKK</strong><br />
zugriffsberechtigt ist) erfolgt analog dem Zugriffsberechtigungsprozess für Syrius.<br />
5.2.3. Aufhebung der Zugriffsberechtigung<br />
Die Benutzer des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> sind nur so lange zugriffsberechtigt,<br />
als sie die Daten für die Ausübung ihrer Arbeitsfunktion benötigen. Bei Austritten sowie bei<br />
Aufgabenwechseln innerhalb von <strong>ÖKK</strong> wird die Zugriffsberechtigung entzogen und die für den neuen<br />
Aufgabenbereich benötigten Zugriffsberechtigungen müssen neu beantragt werden.<br />
Die Aufhebung der Zugriffe erfolgt analog der Erteilung der Zugriffsberechtigung durch die<br />
Vorgesetzten mittels formalisiertem Prozess (siehe auch <strong>Bearbeitungsreglement</strong> VAD [03.0014] und<br />
Liste Rollenverteilung Syrius (vgl. Fussnote 1).<br />
5.2.4. Zugriffskontrolle in der Test-Umgebung<br />
Die Test- und Produktionssysteme werden strikt getrennt. Die Zugriffsberechtigungen auf den<br />
Testsystemen sind analog den Produktionssystemen zu handhaben.<br />
5.2.5. Administrative Zugriffe<br />
Administratoren des <strong>ÖKK</strong>-Informationssystems <strong>Versicherungswesen</strong> verfügen über persönliche und<br />
dedizierte Administratoren-Accounts.<br />
Im Rahmen des IKS wird festgelegt, dass Log-Aufzeichnungen von Administratoren-Aktionen geführt<br />
werden müssen (siehe Infrastruktur Benutzerverwaltung, Realisierungskonzept [14.0023])<br />
Administrative Zugriffe auf das Subsystem Syrius und Sumex II hat nur die Centris AG.<br />
5.3. Periodische Kontrollen<br />
Im Rahmen des IKS [14.0023] und dem Realisierungskonzept Syrius Benutzerverwaltung 2 werden<br />
jährlich folgende Kontrollen durchgeführt und Nachweise gefordert:<br />
• Ablage und Nachvollziehbarkeit des formalisierten Zugriffsberechtigungsprozesses.<br />
• Erstellung einer Benutzerliste aus den Subsystemen mit entsprechenden Berechtigungen, die<br />
von den Fachbereichen zu prüfen und zu genehmigen ist.<br />
• Nachweis, dass die Überwachung von Zugriffsverstössen periodisch erfolgt ist.<br />
• Nachweis, dass die Log-Aufzeichnungen von Administratoren-Aktionen periodisch überprüft<br />
werden.<br />
• Nachweis, dass die geforderten Passwort- und Sicherheitseinstellungen erfüllt wurden.<br />
Zusätzlich werden folgenden Kontrollen durchgeführt.<br />
• Stichproben bezüglich der Einhaltung von Weisungen.<br />
• Periodische Stichproben durch die Vorgesetzten.<br />
1 Ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx.<br />
2 Dokument <strong>ÖKK</strong> IKS IT Standards & Prozesse, Syrius Benutzerverwaltung, Realisierungskonzept, vgl. Laufwerk N / IKS-<br />
Betrieb / ITGC / 20_Syrius / IKS_IT_Realisierungskonzept_Benutzerverwaltung_SYRIUS_V6 0_20130814.docx.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 29/44
6. Bearbeitung der Daten/Datenkategorien<br />
6.1. Datenherkunft/Datenbeschaffung<br />
Die Daten stammen von Leistungserbringern gemäss KVG und VVG, Versicherten, anderen<br />
Sozialversicherungen, Gerichten und Betreibungsämtern sowie von den in den Umsystemen<br />
verwalteten Versichertenstammdaten.<br />
6.2. Datenkategorien<br />
Folgende Datenkategorien werden pro Subsystem bearbeitet:<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 30/44
Tabelle 9: Datenkategorien Subsystem Syrius<br />
Syrius<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 10: Datenkategorien Subsystem Sumex II<br />
Sumex II<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 11: Datenkategorien Subsystem Cent<br />
Cent<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 12: Datenkategorien Subsystem MediData<br />
MediData<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 13: Datenkategorien Subsystem Medgate<br />
Medgate<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 31/44
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 14: Datenkategorien Subsystem OFAC<br />
OFAC<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 15: Datenkategorien Subsystem <strong>ÖKK</strong> DWH (Cognos)<br />
<strong>ÖKK</strong> DWH (Cognos)<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 16: Datenkategorien Subsystem Sunet Online<br />
Sunet Online<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
Tabelle 17: Datenkategorien Subsystem Legal & Compliance<br />
Legal & Compliance<br />
Name/Adresse/Tel. Religion, Weltanschauung<br />
Geburtsdatum Politische Gesinnung, Parteizugehörigkeit<br />
Familienverhältnisse Gesundheit<br />
Nationalität Intimsphäre<br />
AHV-Nummer Rassenzugehörigkeit<br />
Gesetzliche Vertretung Massnahmen der sozialen Hilfe<br />
Angehörige Administrative/strafrechtliche Sanktionen<br />
Angaben zur Behinderung Persönlichkeitsprofil<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 32/44
6.3. Datenbearbeitung, Datenbearbeitung durch Dritte und<br />
Datenbekanntgabe<br />
6.3.1. Datenbearbeitung nach Art. 42 KVG i.V.m. Art. 84 KVG<br />
Die Datenbearbeitung erfolgt gestützt auf Art. 42 i.V.m. Art. 84 KVG. Die Bearbeitung der<br />
Diagnosedaten erfolgt ausschliesslich zur Überprüfung der Rechnungen auf die durch Art. 56 KVG<br />
vorgegebene Pflicht des Krankenversicherers, die Einhaltung der Wirtschaftlichkeit zu überprüfen.<br />
Im Falle der Rechnungsstellung bei einem Vergütungsmodell vom Typus DRG (stationäre Leistungen)<br />
werden zusätzlich die Ausführungsbestimmungen nach Art. 59a KVV berücksichtigt.<br />
6.3.2. Datenbearbeitung durch Dritte nach Art. 84 KVG bzw. 10a DSG<br />
Gemäss Art. 84 KVG ist <strong>ÖKK</strong> als mit der Durchführung der sozialen Krankenversicherung betrautes<br />
Organ befugt, Personendaten, einschliesslich besonders schützenswerter Daten und<br />
Persönlichkeitsprofile, durch Dritte bearbeiten zu lassen.<br />
Bei der Bearbeitung von Personendaten durch Dritte, die sogenannten „Outsourcingnehmer“, sind<br />
stets die massgeblichen Anforderungen des DSG, insbesondere Art. 10a DSG, zu berücksichtigen.<br />
Diese Bestimmung statuiert, dass der Outsourcingnehmer die Daten die Daten nur so bearbeiten darf,<br />
wie es die <strong>ÖKK</strong> selbst es tun dürfte und dass sich die <strong>ÖKK</strong> zu vergewissern hat, dass der<br />
Outsourcingnehmer die Datensicherheit gewährleistet. Sie bietet die gesetzliche Grundlage für das<br />
Outsourcing in den Fällen, in denen <strong>ÖKK</strong> als privater Krankenversicherer nach VVG auftritt.<br />
6.3.3. Datenbekanntgabe nach Art. 84a KVG<br />
Die weitere Datenbekanntgabe ist abschliessend in Art. 84a KVG geregelt. So können im Einzelfall<br />
und auf schriftlich begründetes Gesuch hin Daten gemäss den spezifischen Anforderungen<br />
namentlich an Strafgerichte und Strafuntersuchungsbehörden sowie mit schriftlicher Einwilligung der<br />
versicherten Person an Dritte weitergegeben werden.<br />
6.3.4. Datenbearbeitung im Auftrag für Partnerversicherungen<br />
(Insourcing)<br />
<strong>ÖKK</strong> bearbeitet im <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> in Anwendung von Art. 84 KVG<br />
Personendaten im Rahmen der Durchführung der obligatorischen Krankversicherung für andere<br />
Krankenversicherer (Partnerversicherungen), welche basierend auf Vereinbarungen diese<br />
Bearbeitung an <strong>ÖKK</strong> übertragen haben. Bei der Partnerversicherung handelt es sich um die<br />
Krankenversicherung Flaachtal AG (KVF).<br />
Zudem bearbeitet <strong>ÖKK</strong> im Zusatzversicherungsbereich (VVG) Daten im Auftrag ihrer<br />
Schwestergesellschaft, der <strong>ÖKK</strong> Versicherungen AG.<br />
Für diese auftragsmässig übernommenen Datenbearbeitungen ist <strong>ÖKK</strong> für die Einhaltung der<br />
Informationspflicht gemäss Art. 14 DSG verantwortlich.<br />
Zudem betreibt <strong>ÖKK</strong> eine von der <strong>ÖKK</strong> Kranken- und Unfallversicherungen AG unabhängige<br />
Personalkranken- und Unfallversicherung für ihre Mitarbeiter und derer Angehörigen. Die<br />
Personalkrankenversicherung ist personell und organisatorisch von der <strong>ÖKK</strong> Kranken- und<br />
Unfallversicherungen AG getrennt.<br />
6.3.5. Liste Bekanntgabe der Daten<br />
Im <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> gilt eine Holschuld für Mitarbeitende, d.h. die<br />
involvierten Organisationseinheiten werden nicht automatisch mit Daten beliefert oder Mitarbeitende<br />
können auch Daten nicht weiterleiten, sondern müssen sich die notwendigen Daten abholen. Hierfür<br />
werden entsprechende Zugriffsberechtigungen benötigt.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 33/44
Für die Weitergabe von Daten an Dritte sind die Regelungen aus der Weisung Datenschutz [03.0009]<br />
zu befolgen (Kapitel Weitergabe von Personendaten).<br />
Auskünfte an die versicherten Personen (Kundinnen und Kunden) werden nur gemäss den Vorgaben<br />
aus der Weisung Datenschutz [03.0009] erteilt (Kapitel Auskünfte).<br />
Daten aus dem <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong> werden gemäss der Liste der<br />
technischen Schnittstellen Kap. 3.2 elektronisch oder an die nachfolgend aufgeführten Empfänger via<br />
andere Medien bekanntgegeben.<br />
<strong>ÖKK</strong> hat mit allen Datenempfängern vertragliche Vereinbarungen abgeschlossen.<br />
Tabelle 18: Liste der Bekanntgabe der Daten<br />
Medium<br />
Empfänger Datenart <strong>ÖKK</strong> Zweck Periodizität<br />
Rechtsgrundlage<br />
Cent<br />
• Cent<br />
• Centris<br />
• Die Schweizerische Post<br />
Rechnungsdaten<br />
Scan<br />
Nach<br />
Bedarf<br />
Transport<br />
der Papierrechnungen<br />
zu Cent.<br />
KVG 84<br />
DL-Vertrag<br />
mit Centris<br />
Papierrechnungen<br />
werden<br />
gescannt<br />
und elektronisch<br />
der<br />
Centris<br />
übermittelt.<br />
Syrius<br />
• Sanacare (Arztpraxis)<br />
• Centramed (Arztpraxen)<br />
• RVK<br />
• Veka-Zentrum<br />
Versichertenkarte<br />
(Prüfung der<br />
Versicherungsdeckung)<br />
• Cent (Stammdaten<br />
Rechnungsscanning)<br />
• Medgate (Telemedizin)<br />
• Postfinance<br />
(Auszahlungen, DD)<br />
• SIX (LSV)<br />
• MediData (E- Rechnungen)<br />
• EOS (Überwachung und<br />
Erstellung von<br />
Betreibungsdokumenten)<br />
• ZMV (Zentrale<br />
Meldestelle für<br />
Versicherungswechsel)<br />
• Kantone (Individuelle<br />
Prämienverbilligung)<br />
• Die Schweizerische Post<br />
Stammdaten,<br />
Leistungsdaten,<br />
Prämiendaten,<br />
Mahnungen,<br />
Kostengutsprachen,<br />
Deckungsdaten<br />
Leistungserbringung<br />
gemäss<br />
Vertrag<br />
(Empfänger)<br />
Nach<br />
Bedarf<br />
Papier und<br />
elektronisch<br />
KVG 84<br />
(Bearbeiter)<br />
KVG 84a I<br />
lit. a<br />
(Leistungserbringer)<br />
DL-Vertrag<br />
mit Centris<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 34/44
Medgate<br />
RVK<br />
Leistungsdaten,<br />
Rechnungsdaten,<br />
ohne<br />
konkrete<br />
Diagnoseangabe<br />
Prüfung d.<br />
Berechtigung<br />
Telemedizin<br />
Nach<br />
Bedarf<br />
Medium<br />
Empfänger Datenart <strong>ÖKK</strong> Zweck Periodizität<br />
Rechtsgrundlage<br />
FTP-Server KVG 84<br />
DL-Vertrag<br />
Medgate<br />
und RVK<br />
MediData<br />
Centris<br />
Rechnungsdaten,<br />
Rechnungsantworten,<br />
Mahnungen<br />
Kostengutsprachen<br />
Zugriff nur<br />
bei Verarbeitungsproblemen<br />
Nach<br />
Bedarf<br />
Elektronisch<br />
verschlüsselt<br />
mit<br />
Authentifizierungssystem<br />
KVG 84a I<br />
lit. a<br />
DL-Vertrag<br />
mit<br />
MediData /<br />
Centris<br />
OFAC<br />
<strong>ÖKK</strong><br />
Rechnungsdaten,<br />
Rechnungsantworten<br />
Mahnungen<br />
Nur bei<br />
Verarbeitungsproblemen<br />
Nach<br />
Bedarf<br />
Elektronisch<br />
verschlüsselt<br />
mit Authentifizierungssystem<br />
KVG 84<br />
und 84a I<br />
lit. a<br />
Kostengutsprachen<br />
Sumex II<br />
<strong>ÖKK</strong><br />
Rechnungsdaten<br />
(Stationäre und<br />
ambulante<br />
Rechnungen)<br />
Prüfen der<br />
Anspruchsberechtigung<br />
Nach<br />
Bedarf<br />
Sichere<br />
Übermittlung<br />
über Serververbindungen<br />
KVG 84a I<br />
lit. a bzw.<br />
Versicherungsvertrag<br />
Sunet Online<br />
<strong>ÖKK</strong><br />
Unfall- und<br />
Krankheitsdaten<br />
(Schadenmeldu<br />
ngen)<br />
Bearbeitung/<br />
Zuordnung<br />
an den<br />
Kunden in<br />
Syrius<br />
Unterscheidung<br />
zwischen<br />
UVG-<br />
Taggeld<br />
und<br />
Krankentaggeld<br />
unterschieden<br />
Nach<br />
Bedarf<br />
Elektronisch<br />
über Serververbindungen<br />
sicher<br />
übermittelt<br />
Versicherungsvertrag<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 35/44
Medium<br />
Empfänger Datenart <strong>ÖKK</strong> Zweck Periodizität<br />
Rechtsgrundlage<br />
Legal & Compliance<br />
• Die Schweizerische Post<br />
• Advokatur und Notariat<br />
Degiacomi Riedi<br />
Schreiber Schmid<br />
Philipp Sonder, Chur<br />
• Studio legale e notarile<br />
Gugiarri-Guerra,<br />
Lugano-Agno<br />
• Nouvjur-Etude<br />
d’avocats-Jean-Michel<br />
Duc, Lausanne<br />
• CMS von Erlach Henrici<br />
AG, Zürich<br />
• UK Rechtsdienst,<br />
Luzern<br />
• Fürsprecher Rudolf<br />
Luginbühl, Buttisholz<br />
Unfall- und<br />
Krankheitsdaten<br />
Durchführung<br />
eines<br />
rechtlichen<br />
Prozesses<br />
und<br />
rechtliche<br />
Beratung<br />
Nach<br />
Bedarf<br />
Post oder<br />
verschlüsselte<br />
E-Mail<br />
(sofern von<br />
der Kanzlei<br />
angeboten)<br />
Mandatsvertrag<br />
mit<br />
Anwaltskanzleien<br />
bzw.<br />
Zusammenarbeitsvertrag<br />
mit<br />
Fürsprecher<br />
Rudolf<br />
Luginbühl<br />
7. Datenaufbewahrung und -löschung<br />
7.1. Archivierungspflicht<br />
Mit Entscheid vom 5. August 2008 hat das Bundesgericht die Unterlagen aus der obligatorischen<br />
Grundversicherung der Krankenversicherer als nicht archivwürdig bezeichnet.<br />
7.2. Aufbewahrungsdauer, Löschung der Daten<br />
Die Aufbewahrungsdauer der Daten entspricht den spezifischen gesetzlichen Bestimmungen und<br />
beträgt 10 Jahre, sofern sich aus dem Inhalt keine längere Dauer ergibt.<br />
Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind die Daten aus dem <strong>ÖKK</strong>-Informationssystem<br />
<strong>Versicherungswesen</strong> unwiederherstellbar zu löschen sowie die Dokumente zu vernichten.<br />
7.3. Aufbewahrung der diagnosebasierten Daten nach Art. 59<br />
Abs. 1 ter KVV<br />
Auf die diagnosebasierten Daten (MDS-Daten) sowie Diagnosedaten (z.B. CHOP), welche der<br />
Administration für die Abwicklung der Vergütung übermittelt werden, hat entsprechend den<br />
spezifischen gesetzlichen Bestimmungen während ihrer Aufbewahrungsdauer ausschliesslich der<br />
VAD Zugriff. Die Daten werden nicht zusätzlich pseudonymisiert, sondern die Daten werden dem<br />
Zugriff der Administration vollständig entzogen.<br />
Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind die Daten aus dem <strong>ÖKK</strong>-Informationssystem<br />
<strong>Versicherungswesen</strong> unwiederbringlich zu löschen.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 36/44
8. Technische und organisatorische Massnahmen<br />
8.1. Zugangskontrolle<br />
Die Räumlichkeiten der Agenturen sind während den Öffnungszeiten frei zugänglich. Es befinden sich<br />
aber jederzeit Mitarbeitende der Agenturen in den Räumlichkeiten, welche externe Personen während<br />
ihrem Aufenthalt in den Räumlichkeiten der Agenturen begleiten.<br />
Am Hauptsitz sind sämtliche Räumlichkeiten der <strong>ÖKK</strong>, in welchen besonders schützenswerte<br />
Personendaten bearbeitet werden, elektronisch und/oder mechanisch vor dem Zutritt unbefugter<br />
Personen gesichert. Das elektronische Schliesssystem am Hauptsitz basiert auf einer eigenen<br />
Benutzerverwaltung. Die Logistik führt ein Protokoll über den Betrieb der Schliessvorrichtungen.<br />
Besonders sensitive Räume, wie VAD-Räume, die Technikräume und die Rechenzentren, sind wie<br />
folgt gesichert:<br />
• Die elektronischen Datenträger in den von der <strong>ÖKK</strong> betriebenen Rechenzentren und<br />
dezentrale Server sind mit einer erhöhten Sicherheitsanforderung (Badge und Code)<br />
ausschliesslich für den Zugang spezifisch berechtigter Personen gesichert.<br />
• Die elektronischen Datenträger in dezentralen Servern und Computern, welche nicht durch die<br />
IT der <strong>ÖKK</strong> betrieben werden, sind denselben Sicherheitsvorkehrungen unterstellt, wie<br />
diejenigen, welche durch diese selbst betrieben werden.<br />
• Die Zugangskontrolle der VAD-Räume ist im <strong>Bearbeitungsreglement</strong> VAD [03.0014]<br />
reglementiert.<br />
In der Weisung Informationssicherheit [03.0011] werden Mitarbeitende verpflichtet, als vertraulich<br />
klassifizierte Unterlagen wegzuschliessen und den Computer vor Verlassen des Arbeitsplatzes zu<br />
sperren.<br />
Die Entsorgung von Papierdokumenten ist in der Weisung Datenschutz [03.0009] geregelt.<br />
Elektronische Datenträger werden durch ein zertifiziertes Entsorgungsunternehmen im Auftrag und<br />
unter Begleitung der Abteilung Betrieb Informatik fachgerecht entsorgt.<br />
8.2. Personendatenträgerkontrollen<br />
Durch informationstechnische Vorkehrungen ist es ausschliesslich berechtigten Personen möglich,<br />
Daten auf den elektronischen Datenträgern zu bearbeiten. Nur berechtigte Personen erhalten Zugriff<br />
auf das <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong>, auf die Subsysteme und insbesondere auch<br />
auf das System des VAD.<br />
In der Weisung Informationssicherheit [03.0011] werden Weisungen für den Umgang mit<br />
klassifizierten Informationen/Daten der Stufe D3 („hohe Datenschutzrelevanz“) und V3 („<strong>ÖKK</strong>-<br />
VERTRAULICH“) erlassen.<br />
Die Bearbeitung der Daten erfolgt dabei ausschliesslich über Citrix.<br />
8.3. Transportkontrolle<br />
8.3.1. Dezentrales Drucken<br />
Das Drucken von Dokumenten erfolgt auf dezentralen Druckern, welche alle in für die Öffentlichkeit<br />
unzugänglichen Bereichen untergebracht sind.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 37/44
Derzeit wird eine Code-Funktion geprüft, mittels welcher der Druck vertraulicher Dokumente künftig<br />
erst nach Eingabe eines Codes am jeweiligen Drucker ausgelöst werden kann.<br />
8.3.2. Drucken/Massenversand<br />
Grosse Druckaufträge für den Massenversand werden nicht durch <strong>ÖKK</strong> vorgenommen, sondern durch<br />
die Centris AG. Dort werden diese Daten miteinander verknüpft, gedruckt und maschinell verpackt.<br />
Wenn der Massenversand erfolgreich erledigt wurde, werden die Daten gelöscht.<br />
8.3.3. Physische Datenträger<br />
Die Speicherung von D3-/V3-Daten auf physischen Datenträgern zum Transport erfolgt<br />
ausschliesslich verschlüsselt (siehe auch Weisung Informationssicherheit [03.0011]).<br />
Für den Transport per Kurier oder Post sind die Vorgaben der Weisung Informationssicherheit<br />
[03.0011] zu befolgen.<br />
8.3.4. Netzwerk<br />
Das interne <strong>ÖKK</strong>-Netzwerk wird generell als vertraulich eingestuft. Datentransfers ausserhalb des<br />
Netzwerk erfolgen verschlüsselt oder mittels definierter Punkt zu Punkt Verbindung.<br />
<strong>ÖKK</strong> ist Teilnehmer des HIN-Netzwerkes, welches den verschlüsselten Mailversand zwischen allen<br />
Teilnehmenden ermöglicht (bspw. Ärzte, Spitäler).<br />
8.4. Bekanntgabekontrolle<br />
Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt<br />
gegeben werden, werden über die Schnittstellen identifiziert. Die Liste der technischen Schnittstellen<br />
ist in Kap. 3.2 ersichtlich.<br />
8.5. Speicherkontrolle<br />
Die Benutzer erhalten spezifische Berechtigungen für Mutationen in den entsprechenden<br />
Subsystemen, die sie für die Erfüllung der nach dem Krankenversicherungsgesetz übertragenen<br />
Aufgaben benötigen. Die Berechtigungen werden periodisch überprüft (siehe auch Kap. 5.3)<br />
Daten dürfen nur auf Systemen von <strong>ÖKK</strong> oder den Outsourcer gespeichert werden. Eine Speicherung<br />
der D3- und V3-Daten auf privaten Geräten und in der „Cloud“ ist gemäss Weisung<br />
Informationssicherheit [03.0011] untersagt.<br />
Anonymisierung und Pseudonymisierung von Daten ist in der Weisung Datenschutz [03.0009]<br />
definiert.<br />
8.6. Benutzerkontrolle/Zugriffskontrolle<br />
Die Nutzung der Subsysteme, die schreibenden und lesenden Zugriffe sowie die Nutzung von<br />
Funktionen zur Datenübertragung werden durch Zugriffsberechtigungen gesteuert.<br />
Weisungen und Umsetzung der Zugriffskontrolle sind dem Kap. 5 zu entnehmen.<br />
8.7. Eingabekontrolle/Protokollierung<br />
Die Nachvollziehbarkeit der Eingaben, welche Personendaten zu welcher Zeit und von welcher<br />
Person eingegeben wurden, wird mittels Protokollierungen belegt.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 38/44
Für die Protokollierung und dein sog. „Audit Trail“ werden die in den Applikationen standardmässig<br />
vorhandenen Funktionalitäten und Logfiles verwendet.<br />
Die Protokollierung wird in Anwendung von Art. 10 VDSG durchgeführt. D. h., die Protokolle werden<br />
während eines Jahres revisionsgerecht festgehalten. Sie sind ausschliesslich den Organen<br />
zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt und dürfen nur für diesen<br />
Zweck verwendet werden.<br />
Über die Protokollierung werden die Mitarbeitenden im Rahmen der ordentlichen Ausbildung und<br />
mittels Weisung Informationssicherheit [03.0011] informiert.<br />
8.8. Massnahmen im Bereich der Endgeräte<br />
Es dürfen nur <strong>ÖKK</strong>-eigene Endgeräte oder speziell freigegebene Geräte am internen Netzwerk<br />
angeschlossen werden. Siehe Weisung Informationssicherheit [03.0011], die von sämtlichen<br />
Mitarbeitenden der <strong>ÖKK</strong> unterzeichnet wird.<br />
Die Endgeräte sind in zutrittsgeschützten Zonen platziert. Für den Umgang mit und die<br />
Datenspeicherung auf mobilen Endgeräten sind Vorgaben in der Weisung Informationssicherheit<br />
[03.0011] erlassen worden.<br />
Ausgedruckte Daten werden so aufbewahrt, dass Drittpersonen (z.B. Raumpflegepersonal) diese<br />
nicht einsehen und/oder kopieren können. Diese Daten werden in Anwendung der Weisung<br />
Informationssicherheit [03.0011] verschlossen aufbewahrt.<br />
8.9. Benutzerunterstützung und Meldepflicht<br />
Fachlich werden die Benutzer durch die Fachführungen der OE unterstützt.<br />
Die technische Unterstützung bezüglich Informatikmittel wird durch die <strong>ÖKK</strong> Informatik sowie von den<br />
jeweiligen Applikationseignern erbracht.<br />
Die Benutzer sind über die Klassifizierung der im <strong>ÖKK</strong>-Informationssystem <strong>Versicherungswesen</strong><br />
bearbeitbaren Daten und die Vorschriften im Umgang mit dem System sowie den Daten orientiert. Die<br />
Bestimmungen sind in der Weisung Informationssicherheit [03.0011] beschrieben. Mögliche<br />
Sanktionen bei vorsätzlichen oder fahrlässigen Verletzungen der Informatiksicherheit sind den<br />
Benutzern bekannt.<br />
Sämtliche Benutzer sind verpflichtet, folgende Feststellungen den Applikationseignern zu melden:<br />
• Fehler in den erfassten Daten;<br />
• Fehler bei der Identität der registrierten Person (Beispielsweise ungleiche Angaben zur<br />
gleichen Person in den verschiedenen Subsystemen);<br />
• Fehler in den Stammdaten oder deren Strukturen;<br />
• Beobachtete oder vermutete Schwachstellen bzw. Sicherheitsmängel des Systems;<br />
• Nicht umgesetzte oder nicht eingehaltene Sicherheitsmassnahmen;<br />
• Unvorhergesehene Ereignisse, die eine Auswirkung auf die Informatiksicherheit haben<br />
können;<br />
• Bezüglich Datensammlung besteht gemäss Weisung Datenschutz [03.0009] eine Meldepflicht<br />
zu Handen des BDSV.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 39/44
9. Rechte der Versicherten<br />
9.1. Informationspflicht des Versicherers<br />
Art. 14 DSG verlangt die Information der betroffenen Person, wenn besonders schützenswerte<br />
Personendaten oder Persönlichkeitsprofile beschafft werden. Aufgrund des gesetzlichen Auftrags<br />
nach KVG zur Bearbeitung von Gesundheitsdaten gilt die Ausnahmeregelung nach Art. 14 Abs. 4 lit. a<br />
DSG, wonach die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die Speicherung<br />
oder die Bekanntgabe ausdrücklich durch das Gesetz vorgesehen ist.<br />
9.2. Bekanntgabe von medizinischen Daten an Vertrauensärzte<br />
Die versicherte Person kann nach Art. 42 Abs. 5 KVG verlangen, dass der Leistungserbringer die<br />
medizinischen Angaben nur dem Vertrauensarzt oder der Vertrauensärztin des Versicherers nach<br />
Artikel 57 KVG bekannt gegeben wird.<br />
Ebenso ist in begründeten Fällen der Leistungserbringer berechtigt, anstelle der versicherten Person<br />
diese Vorgehensweise zu wählen.<br />
9.3. Auskünfte über Datenbearbeitungen<br />
Jede Person kann von <strong>ÖKK</strong> Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Das<br />
Auskunftsrecht richtet sich nach Art. 8 f. DSG sowie Art. 1 f. VDSG. Die Auskunftsgesuche sind unter<br />
Beilage einer Kopie eines amtlichen Ausweises an die im Anhang 1 (Kontaktadressen) vermerkte<br />
Adresse zu richten.<br />
Das Auskunftsverfahren ist in der Weisung Datenschutz [03.0009] geregelt.<br />
9.4. Berichtigungs- und Löschungsrechte<br />
Die Berichtigungs- und Löschungsrechte betroffener Personen richten sich nach Art. 5 Abs. 2 und<br />
Art. 25 DSG. Die Gesuche sind an die im Anhang 1 (Kontaktadressen) vermerkte Adresse zu richten.<br />
10. Abschliessende Bestimmungen<br />
10.1. Anhänge<br />
Die im vorliegenden <strong>Bearbeitungsreglement</strong> erwähnten Anhänge sind integrierende Bestandteile<br />
dieses <strong>Bearbeitungsreglement</strong>s:<br />
• Anhang 1 (Kontaktadressen)<br />
• Anhang 2 (Prozess Zugriffsberechtigungen)<br />
• Anhang 3 (Datenkategorien)<br />
Die jeweiligen Applikationseigner verwalten die sie betreffenden Dokumentationen. Das<br />
<strong>Bearbeitungsreglement</strong> wird durch den BDSV geführt.<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 40/44
10.2. Änderungen des Reglements<br />
Das <strong>Bearbeitungsreglement</strong> wird gemäss Art. 11 VDSG regelmässig von den Eignern der<br />
Datensammlungen aktualisiert. Dieses Reglement kann jederzeit geändert werden. Änderungen<br />
bedürfen der Schriftform und der Zustimmung des Vorsitzenden der Geschäftsleitung und des BDSV.<br />
Verantwortung für die Nachführung dieses <strong>Bearbeitungsreglement</strong>s trägt der BDSV.<br />
10.3. Inkrafttreten<br />
Dieses Reglement inkl. Anhänge tritt per 01. April 2013 in Kraft.<br />
Anhang 1: Kontaktadressen<br />
Auskunfts-, Berichtigungs- und<br />
Löschungsgesuch sind zu richten an:<br />
Auskunft zu Datenschutzfragen erteilt:<br />
Auskunft zu fachlichen Fragen erteilt:<br />
Betrieblicher Datenschutzverantwortlicher<br />
<strong>ÖKK</strong><br />
Bahnhofstrasse 13<br />
7302 Landquart<br />
datenschutz@oekk.ch<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 41/44
Anhang 2: Prozess Zugriffsberechtigungen<br />
Abbildung 3: Zugriffsberechtigungsprozess Syrius<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 42/44
Anhang 3: Datenkategorien<br />
Im Anmeldeformular für Datensammlungen des EDÖB sind verschiedene Kategorien gelistet die<br />
jedoch von den verwendeten Datenkategorien der <strong>ÖKK</strong> abweichen. Zusätzlich wird im vorliegenden<br />
<strong>Bearbeitungsreglement</strong> in den tabellarischen Listen von Datenarten <strong>ÖKK</strong> gesprochen.<br />
Die nachfolgende Tabelle zeigt das Mapping der verschiedenen Datenkategorien und Datenarten.<br />
Tabelle 19: Mapping Datenkategorien/-arten<br />
Datenkategorien EDÖB Datenkategorien <strong>ÖKK</strong> Datenarten <strong>ÖKK</strong><br />
Adresse Name/Adresse/Tel Stammdaten<br />
Name, Vorname<br />
Geburtsdatum<br />
Geburtsdatum<br />
Geschlecht<br />
AHV-Nummer<br />
AHV-Nummer<br />
Familie Familienverhältnis Personalien<br />
Nationalität<br />
Nationalität<br />
Gesetzliche Vertretung<br />
Angehörige<br />
Religion<br />
Religion, Weltanschauung<br />
Politische Gesinnung, Parteizugehörigkeit<br />
Rassenzugehörigkeit<br />
Ausbildung<br />
Identität<br />
Beruf<br />
Arbeitsort<br />
Sprachen<br />
Gesundheit Gesundheit Rechnungs-, Leistungsdaten<br />
Gesundheits-, Diagnose-<br />
Einkommen<br />
Vermögen<br />
Finanzielle Situation<br />
Betreibungen<br />
Versicherungen<br />
Angaben zur Behinderung<br />
Intimsphäre<br />
Beurteilungen<br />
Massnahmen der sozialen Hilfe<br />
Administrative/strafrechtliche Sanktionen<br />
Persönlichkeitsprofil<br />
Daten, Unfall- und<br />
Krankheitsdaten<br />
Zahlungsdaten, Inkassodaten,<br />
Mahnungen,<br />
Kostengutsprachen<br />
Offert- und Antragsdaten<br />
Vertragsdaten<br />
Deckungsdaten<br />
Tarif- und Produktdaten<br />
Auswertungs-/Statistikdaten<br />
Prämiendaten<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 43/44
Genehmigung<br />
Das vorliegende Dokument wurde von der Geschäftsleitung genehmigt.<br />
Landquart,<br />
<strong>ÖKK</strong> Kranken- und Unfallversicherungen AG<br />
Heinrich Dinner<br />
Bereichsleiter Leistungen und Kooperationen<br />
<strong>ÖKK</strong>| <strong>Bearbeitungsreglement</strong> <strong>ÖKK</strong>-<br />
Informationssystem <strong>Versicherungswesen</strong><br />
Version 4.0 44/44