Bearbeitungsreglement Versicherungswesen - ÖKK

Weitere Magazine

Empfehlungen

Info

Subsystem Organisationseinheit Welche Datenkategorien ÖKK werden bearbeitet? Legal & Compliance Corporate Services Name/Adresse/Tel., Geburtsdatum, Nationalität, gesetzliche Vertretung, Angaben zur Behinderung, Gesundheit, Massnahmen der sozialen Hilfe, administrative / strafrechtliche Sanktionen, Persönlichkeitsprofil MA Compliance: 3 Rechtsfälle Heilungskosten: 6 Rechtsfälle Taggeld: 7 Rechtsfälle Unfall: 1 Die obige Tabelle entspricht einer Momentaufnahme vom 14.06.2013, dient einer allgemeinen Übersicht und beantwortet folgende Fragen: • Welcher Organisationseinheiten bzw. wie viele ihrer Mitarbeitenden haben Zugriff auf die entsprechende Applikation? • Welche Datenkategorien ÖKK (oder Teile derselben) werden in der entsprechenden Applikation bearbeitet? In der Tabelle wird nicht aufgezeigt, wie viele Mitarbeitende Zugriff auf die einzelnen genannten Datenkategorien haben. Denn innerhalb der Applikation werden die Zugriffsberechtigungen weiter eingeschränkt. Siehe im Zusammenhang mit dem Kernsystem Syrius den Prozessbeschrieb und die Zugriffsberechtigungen in Anhang 2 bzw. der Rollenverteilung zu Syrius 1 . Das Mapping der Datenkategorien ÖKK zu den Datenkategorien EDÖB oder den in der ÖKK umgangssprachlich verwendeten Datenarten ist im Anhang 3 (Datenkategorien) ersichtlich. 5. Benutzer und Datenzugriff 5.1. Benutzer Zugriffsberechtigt auf das ÖKK-Informationssystem Versicherungswesen sind die Mitarbeitenden von ÖKK, soweit sie dies zur Ausübung ihres Auftrags „Durchführung der obligatorischen und privaten Krankenversicherung“ benötigen. Durch die Vergabe von Zugriffsberechtigungen auf Systeme und Applikationen von ÖKK nach dem sog. „Need-to-know-Prinzip“ wird verhindert, dass Dritte Daten unberechtigt bearbeiten können. 5.2. Benutzerverwaltung ÖKK verfolgt ein dreistufiges Konzept bezüglich Zugriffssicherheit (siehe auch Bearbeitungsreglement VAD [03.0014]). • Zugriffssicherheit wird auf Systemebene definiert, d.h. für eine Systemanmeldung wird ein persönlicher Active-Directory-Benutzer-Account bei ÖKK benötigt. • Applikationen (Subsysteme) des ÖKK-Informationssystems Versicherungswesen können nur mit entsprechenden Rechten auf Systemebene gestartet werden, d.h. im Active-Directory muss eine Mitgliedschaft in der entsprechenden Active-Directory-Applikationsgruppe vorhanden sein. • Verfügt die Applikation über eine eigene Benutzerverwaltung, ist zusätzlich ein entsprechendes Benutzer-Account in der Applikation notwendig. Zugriffsberechtigungen auf unterschiedliche 1 Ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx ÖKK| Bearbeitungsreglement ÖKK- Informationssystem Versicherungswesen Version 4.0 26/44
Funktionen (Daten) der Applikation werden in der jeweiligen Applikation mittels Rollen oder Gruppenprofilen dediziert vergeben. 5.2.1. Zugriffskontrollsystem Der Zugriff auf das ÖKK-Netzwerk und Applikationen erfolgt über das zentrale Active-Directory. Jeder Benutzer erhält hierbei einen persönlichen Benutzer-Account. Passwortrichtlinien werden gemäss Weisung Informationssicherheit [03.0011] durchgesetzt. Für Subsysteme, welche eine eigene Benutzerverwaltung resp. ein eigenes Zugriffskontrollsystem besitzen, gelten dieselben Vorgaben gemäss Weisung Informationssicherheit [03.0011]. Tabelle 7: Zugriffskontrollsysteme der Subsysteme Subsystem Syrius 1 Sumex II Cent MediData Medgate OFAC ÖKK DWH (Cognos) 2 Sunet Online Legal&Compliance Zugriffskontrollsystem Eigenes im Subsystem mit integriertem Zugriffskontrollsystem (Benutzer-Accounts mit dem Präfix U) Basiert auf dem Zugriffskontrollsystem von Syrius Kein Zugriff seitens ÖKK Kein Zugriff seitens ÖKK Kein Zugriff seitens ÖKK Kein Zugriff seitens ÖKK Basiert auf dem Active Directory (DWH-Gruppen) Lokal offline Client, zur Zuordnung der von BBT gelieferten Daten zu Kunden im Syrius. Legal & Compliance Ordner: Zugriffsberechtigung nur für Mitarbeiter des Legal & Compliance Teams (zurzeit drei Personen). Versicherungsleistungen Ordner: Zugriff nach dem „Need-to-know-Prinzip“ der Mitarbeiter der Leistungsabteilungen und des Legal & Compliance-Teams. 5.2.2. Vergabe von Zugriffsberechtigungen Die IKS-Anforderungen (siehe auch Bearbeitungsreglement VAD [03.0014]) an die Benutzerverwaltung stellen sicher, dass: • Nur berechtigte Personen auf Applikationen und Daten zugreifen können (inklusive Programme, Tabellen und entsprechende Ressourcen), • Diese Personen nur die für sie vorgesehene Funktionen ausführen können, • Sämtliche Komponenten der Applikation berücksichtigt werden wie Programme, Datenbanken, Betriebssysteme, Netzwerke und Remote Zugriff, • Die Gewaltentrennung eingehalten ist. Auch die Anforderungen an den Prozess zur Vergabe von Berechtigungen sind im Rahmen des IKS festgelegt (siehe auch Bearbeitungsreglement VAD [03.0014] sowie die Liste der Zuordnungen von Personen zu Rollen 3 . • Sämtliche Anträge an die Benutzerverwaltung wie Neuanlagen, Anpassungen in den 1 Die Liste der zugriffsberechtigten Personen und deren Rollenzugehörigkeit ist ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Die zugriffsberechtigten Personen und deren Zuordnung zu Gruppenprofilen (Rollen) kann unter „Active Directory“ eingesehen werden. 3 Die Liste ist ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx ÖKK| Bearbeitungsreglement ÖKK- Informationssystem Versicherungswesen Version 4.0 27/44
Seite 1 und 2: Legal & Compliance Datenschutz Bear
Seite 3 und 4: Inhaltsverzeichnis 1. Begriffe/Abk
Seite 5 und 6: Anhang 1: Kontaktadressen .........
Seite 7 und 8: Art. 84a Datenbekanntgabe 1 Sofern
Seite 9 und 10: Art. 3 Informationspflicht des Vers
Seite 11 und 12: 2.4. Zweck der Datenbearbeitung Der
Seite 13 und 14: Rechnungen, generelle Buchhaltungsf
Seite 15 und 16: MediData Medgate OFAC ÖKK DWH Cogn
Seite 17 und 18: 3.2. Technische Schnittstellen Vers
Seite 19 und 20: 3.3. Genutzte Informatikmittel (Kon
Seite 21 und 22: Organisationseinheit Kurzbeschreibu
Seite 23 und 24: Organisationseinheit Kurzbeschreibu
Seite 25: 4.6. Zugriffe der Organisationeinhe
Seite 29 und 30: Die Zuordnung der einzelnen Rollen
Seite 31 und 32: Tabelle 9: Datenkategorien Subsyste
Seite 33 und 34: 6.3. Datenbearbeitung, Datenbearbei
Seite 35 und 36: Medgate RVK Leistungsdaten, Rechnun
Seite 37 und 38: 8. Technische und organisatorische
Seite 39 und 40: Für die Protokollierung und dein s
Seite 41 und 42: 10.2. Änderungen des Reglements Da
Seite 43 und 44: Anhang 3: Datenkategorien Im Anmeld

Bearbeitungsreglement Versicherungswesen - ÖKK

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?