Datenschutz in der GKV - IKK Akademie
Datenschutz in der GKV - IKK Akademie
Datenschutz in der GKV - IKK Akademie
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Wir s<strong>in</strong>d immer für Sie da!<br />
© HBSN AG<br />
<strong>Datenschutz</strong> <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
- Wie sicher s<strong>in</strong>d Ihre Daten?<br />
- Herausfor<strong>der</strong>ungen und<br />
Perspektiven <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
Kundentag <strong>der</strong> <strong>IKK</strong>-<strong>Akademie</strong><br />
Hagen, 09. Juni 2011
Inhalt<br />
1 Vorstellung <strong>der</strong> HBSN AG<br />
2 <strong>Datenschutz</strong> – aktuelle Herausfor<strong>der</strong>ungen<br />
� generelle Anfor<strong>der</strong>ungen <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
� spezielle Anfor<strong>der</strong>ungen Auftragsdatenverarbeitung (ADV)<br />
3 Umsetzung <strong>der</strong> Anfor<strong>der</strong>ungen <strong>in</strong> <strong>der</strong> Praxis<br />
3.1 Basis-/Sicherheits-Check<br />
3.2 ISMS – Informations-Sicherheits-Management-System<br />
3.3 Prüfgeme<strong>in</strong>schaft zur Dienstleister-Auditierung<br />
4 Fazit/Erfolgsfaktoren<br />
© HBSN AG 08.06.2011<br />
Seite 2
Inhalt<br />
© HBSN AG 08.06.2011<br />
Vorstellung <strong>der</strong> HBSN AG<br />
Seite 3
Geschäftsfel<strong>der</strong><br />
Beratung<br />
� Strategie und Management<br />
� Prozesse/<br />
Organisationsentwicklung<br />
� Menschen/<br />
Personalentwicklung<br />
� IT-Systeme/Integration<br />
� <strong>Datenschutz</strong>/<br />
Informationssicherheit<br />
� Projektmanagement<br />
© HBSN AG 08.06.2011<br />
Prävention,<br />
Gesundheitsför<strong>der</strong>ung<br />
� Galileo<br />
� Low Fett 30<br />
� Body Analyzer<br />
� VitaCube<br />
� Nutriathletic<br />
� Entwicklung<br />
Konzepte<br />
Seite 4
Geschäftsfel<strong>der</strong><br />
Beratung<br />
� Strategie und Management<br />
� Prozesse/<br />
Organisationsentwicklung<br />
� Menschen/<br />
Personalentwicklung<br />
� IT-Systeme/Integration<br />
� <strong>Datenschutz</strong>/<br />
Informationssicherheit<br />
� Projektmanagement<br />
© HBSN AG 08.06.2011<br />
Seite 5
Das Leistungsspektrum <strong>der</strong> HBSN AG<br />
berücksichtigt …<br />
Prozesse<br />
------<br />
Organisationsentwicklung<br />
Management / Strategie<br />
Menschen<br />
-----<br />
Personalentwicklung<br />
<strong>Datenschutz</strong>/Informationssicherheit<br />
Projektmanagement<br />
IT-Systeme<br />
-------<br />
Integration<br />
…und verb<strong>in</strong>det diese Elemente im Projektmanagement mite<strong>in</strong>an<strong>der</strong>.<br />
© HBSN AG 08.06.2011<br />
Seite 6
Unterstützung im <strong>Datenschutz</strong>/<br />
Informationssicherheit<br />
<strong>Datenschutz</strong>/Informationssicherheit<br />
Herausfor<strong>der</strong>ungen Unterstützung <strong>der</strong> HBSN AG<br />
� Der Schutz von personenbezogenen<br />
Daten ist sensibel und gew<strong>in</strong>nt<br />
zunehmend an Bedeutung<br />
� Der <strong>in</strong>terne Stellenwert ist als<br />
verbesserungswürdig anzusehen<br />
� Die E<strong>in</strong>führung <strong>der</strong> eGK o<strong>der</strong> das<br />
Internet verschärfen den<br />
Handlungsbedarf<br />
� <strong>Datenschutz</strong>- und Datensicherheit<br />
müssen sich zu e<strong>in</strong>em zentralen Thema<br />
<strong>in</strong> <strong>der</strong> Organisation entwickeln<br />
� Die Auditierung von externen<br />
Dienstleistern ist zu organisieren<br />
� Die Thematik ist gegenüber den<br />
Mitarbeitern auf allen Ebenen zu<br />
kommunizieren<br />
� Durchführung Penetrationstest:<br />
Schwachstellenprüfung Ihrer Onl<strong>in</strong>edienste,<br />
Webservices und IT-Systeme<br />
� Durchführung Basis-Check<br />
• Durchführung Sicherheits<strong>in</strong>terviews<br />
• Prüfung vorhandener IT-Sicherheitsdokumentationen<br />
• Prüfung organ./techn. Maßnahmen zur IT-Sicherheit<br />
� Durchführung Sicherheits-Check<br />
• Aufnahme aller relevanten Prozesse<br />
• Prüfung <strong>der</strong> E<strong>in</strong>haltung rechtl./sicherheitsrelevanter<br />
Anfor<strong>der</strong>ungen<br />
• Prüfung vorhandener Verträge auf Vollständigkeit<br />
• Durchführung e<strong>in</strong>er e<strong>in</strong>fachen Schutzbedarfs- und<br />
Risikoanalyse<br />
� ISMS-E<strong>in</strong>führung<br />
� Bildung Prüfgeme<strong>in</strong>schaft zur Auditierung<br />
von ADV-Dienstleistern<br />
� Begehung und Auditierung von Krankenk.<br />
und <strong>der</strong>en Dienstleistern <strong>in</strong> Vorbereitung auf<br />
<strong>GKV</strong>-spezifische TÜV-Zertifikate<br />
© HBSN AG 08.06.2011<br />
Seite 7
Inhalt<br />
© HBSN AG 08.06.2011<br />
<strong>Datenschutz</strong> – aktuelle Herausfor<strong>der</strong>ungen<br />
• generelle Anfor<strong>der</strong>ungen <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
• spezielle Anfor<strong>der</strong>ungen ADV<br />
Seite 8
© HBSN AG 08.06.2011<br />
Fe<strong>in</strong>kost Daten Schmidt.wmv<br />
Seite 9
<strong>Datenschutz</strong> und Datensicherheit<br />
<strong>in</strong> <strong>der</strong> Öffentlichkeit<br />
Banken BKK Gesundheit <strong>IKK</strong> Weser Ems Neckermann Sony<br />
Solche Vorkommnisse bewirken e<strong>in</strong>e Verunsicherung<br />
und erhöhen die Sensibilität <strong>der</strong> Versicherten.<br />
S<strong>in</strong>d Sie darauf vorbereitet?<br />
© HBSN AG 08.06.2011 Seite 10
S<strong>in</strong>d Sie sicher, dass alle Beteiligten<br />
sorgfältig mit IHREN Daten umgehen?<br />
Netze<br />
Dritte<br />
Homepage<br />
Krankenkasse<br />
Software<br />
© HBSN AG 08.06.2011<br />
DTA<br />
Mitarbeiter<br />
Seite 11
Beson<strong>der</strong>e Rahmenbed<strong>in</strong>gungen <strong>in</strong><br />
<strong>der</strong> <strong>GKV</strong><br />
Herausfor<strong>der</strong>ungen und Maßnahmen <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
� Der Schutz von personenbezogenen Daten sowie Sozialdaten ist<br />
sensibel und gew<strong>in</strong>nt zunehmend an Bedeutung.<br />
� Der <strong>in</strong>terne Stellenwert ist häufig als verbesserungswürdig anzusehen.<br />
� Durch die Nutzung des Internet verschärft sich <strong>der</strong> Handlungsbedarf.<br />
� <strong>Datenschutz</strong> und Informationssicherheit entwickeln sich zu e<strong>in</strong>em<br />
zentralen Thema <strong>in</strong> <strong>der</strong> <strong>GKV</strong>-Organisation.<br />
� Die Thematik ist gegenüber den Mitarbeitern auf allen Ebenen zu<br />
kommunizieren.<br />
� Die Auditierung von externen Dienstleistern ist zu organisieren.<br />
In <strong>der</strong> <strong>GKV</strong> s<strong>in</strong>d <strong>Datenschutz</strong> und Informationssicherheit von<br />
beson<strong>der</strong>er Bedeutung.<br />
© HBSN AG 08.06.2011<br />
Seite 12
<strong>Datenschutz</strong>anfor<strong>der</strong>ungen –<br />
generelle Anfor<strong>der</strong>ungen <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
Gesetzliche Grundlagen und Vorgaben <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
� Gesetzliche Grundlagen<br />
• SGB I: § 35<br />
• SGB X: § 67 bis § 85a (ADV: § 80 SGB X und § 78a SGB X)<br />
• BDSG (SGB geht vor BDSG nach § 1 Abs. 3 BDSG)<br />
• SigG, SigV<br />
• StGB: §§ 201-206 (<strong>in</strong>sbeson<strong>der</strong>e § 202, § 202a-c StGB)<br />
• (TKG, TDG, TDDSG)<br />
� Weitere Vorgaben<br />
• BVA<br />
• Bundesamt für Sicherheit <strong>in</strong> <strong>der</strong> Informationstechnik<br />
• gematik<br />
Im Bereich des <strong>Datenschutz</strong>es wird die <strong>GKV</strong> mit vielfältigen<br />
Anfor<strong>der</strong>ungen konfrontiert.<br />
© HBSN AG 08.06.2011<br />
Seite 13
<strong>Datenschutz</strong>anfor<strong>der</strong>ungen –<br />
spezielle Anfor<strong>der</strong>ungen ADV<br />
Historie<br />
2009<br />
Sept. 2009<br />
Feb. 2010<br />
März 2010<br />
Aug. 2010<br />
bis heute<br />
22. März<br />
2011<br />
HBSN AG entwickelt mit dem TÜV Rhe<strong>in</strong>land<br />
Anfor<strong>der</strong>ungskataloge für <strong>GKV</strong>n und <strong>GKV</strong>-Dienstleister zur<br />
Konkretisierung <strong>der</strong> ISO 27001 bzw. des BSI-Grundschutzes<br />
Novelle des BDSG, <strong>in</strong>sbeson<strong>der</strong>e § 11 BDSG<br />
<strong>Datenschutz</strong>vorfall bei e<strong>in</strong>er <strong>GKV</strong>.<br />
Herr Schaar positioniert sich <strong>in</strong> den Medien.<br />
HBSN AG bildet e<strong>in</strong>e erste Prüfgeme<strong>in</strong>schaft und beg<strong>in</strong>nt mit<br />
<strong>der</strong> Begehung von ADV-Dienstleistern<br />
Novelle des SGB, <strong>in</strong>sbeson<strong>der</strong>e § 80 SGB X<br />
Wunsch zahlreicher Kassen nach<br />
Prüfgeme<strong>in</strong>schaften<br />
Bildung größerer Prüfgeme<strong>in</strong>schaft,<br />
um den Aufwand <strong>der</strong> Kassen zu reduzieren.<br />
© HBSN AG 08.06.2011<br />
Seite 14
Problem: Belastungen durch hohes<br />
Prüfaufkommen <strong>in</strong> <strong>der</strong> Praxis<br />
• Durch die vielen Marktteilnehmer ergeben sich hohe Belastungen<br />
• durch Prüfungen auf Seiten <strong>der</strong> Kassen wie auf Seiten <strong>der</strong><br />
Dienstleister<br />
KK<br />
Sicht KK Sicht DL Vernetzte Sicht<br />
DL1<br />
DL2<br />
DL3<br />
DL4<br />
DLn<br />
= Krankenkasse<br />
KK1<br />
DL<br />
1 : n - Beziehung m : 1 - Beziehung m : n - Beziehung<br />
KK DL<br />
KK2<br />
KK3<br />
KK4<br />
KKm<br />
= Dienstleister<br />
© HBSN AG 08.06.2011<br />
Seite 15<br />
KK1<br />
KK2<br />
KK3<br />
KK4<br />
KKm<br />
DL1<br />
DL2<br />
DL3<br />
DL4<br />
DLn
Inhalt<br />
© HBSN AG 08.06.2011<br />
Umsetzung <strong>der</strong> Anfor<strong>der</strong>ungen <strong>in</strong> <strong>der</strong> Praxis<br />
• Basis-/Sicherheits-Check<br />
• ISMS-E<strong>in</strong>führung<br />
• Prüfgeme<strong>in</strong>schaft zur DL-Auditierung<br />
Seite 16
Umsetzung im <strong>Datenschutz</strong>/<br />
Informationssicherheit<br />
Erfüllung organisatorischer<br />
Anfor<strong>der</strong>ungen<br />
Prozess<br />
gemanagter <strong>Datenschutz</strong><br />
E<strong>in</strong>haltung <strong>Datenschutz</strong>-Standards:<br />
Erfüllung technischer<br />
Anfor<strong>der</strong>ungen<br />
ISO/IEC 27001, BSI-Grundschutz, etc.<br />
E<strong>in</strong>haltung gesetzlicher Grundlagen: BDSG, SGB, TKG, etc.<br />
Die Unterstützungsleistungen orientieren sich an vorhandenen<br />
Standards und verb<strong>in</strong>den diese Regelungen mite<strong>in</strong>an<strong>der</strong>.<br />
© HBSN AG 08.06.2011<br />
Seite 17
Umsetzung <strong>der</strong> organisatorischen<br />
und technischen Anfor<strong>der</strong>ungen<br />
Erfüllung organisatorischer Anfor<strong>der</strong>ungen<br />
� Grundlagen<br />
� Ernennung e<strong>in</strong>es DSB und e<strong>in</strong>es ISB<br />
� Auftragsdatenverarbeitung (Verträge)<br />
� Unterauftragsverhältnisse<br />
� Mitarbeiter (Awareness, Verträge)<br />
� Prozesse<br />
� Interne/externe Auditierungen<br />
� Vorabkontrollen, Changemanagement<br />
� Beschaffungsprozess, Inventarisierung<br />
� Incidentmanagement<br />
� Dokumentationen<br />
• Informationssicherheitsleitl<strong>in</strong>ie<br />
• Sicherheitsrichtl<strong>in</strong>ien<br />
• Notfallkonzept<br />
• etc.<br />
© HBSN AG 08.06.2011<br />
Erfüllung technischer Anfor<strong>der</strong>ungen<br />
� Informations- und kommunikationstechnische<br />
Infrastruktur<br />
� Bautechnische Infrastruktur<br />
� Vulnerability Management<br />
� Systemhärtung<br />
� Mobiler Schadcode<br />
� Firewall-Systeme<br />
� Datenübertragung<br />
� Monitor<strong>in</strong>g (eigene und fremde Dienste)<br />
� Protokollierung<br />
� Backups<br />
� Passworte<br />
� Lagerung und Entsorgung<br />
� Trennungskontrolle<br />
� etc.<br />
Seite 18
Inhalt<br />
3.1<br />
Basis-/Sicherheits-Check<br />
� Schutzziele<br />
� Analyse <strong>der</strong> Ausgangslage<br />
� erste Schutzbedarfs-/Risikoe<strong>in</strong>schätzung<br />
� Ableitung von Verbesserungen<br />
© HBSN AG 08.06.2011<br />
Seite 19
Schutzziele<br />
© HBSN AG 08.06.2011<br />
Seite 20
Basis-/Sicherheits-Check<br />
Zielsetzung/Vorgehen<br />
� Bestandsaufnahme/Analyse <strong>der</strong> Ausgangslage<br />
• E<strong>in</strong>haltung <strong>der</strong> BDSG- und SGB-Anfor<strong>der</strong>ungen<br />
• Organisation <strong>der</strong> Informationssicherheit<br />
• Prozesse <strong>der</strong> Datenverarbeitung, -speicherung und –weitergabe<br />
• Dienstleister-Verträge und Auftragsdatenverarbeitung<br />
� erste Schutzbedarfse<strong>in</strong>schätzung (BSI-Schutzbedarfskategorien)<br />
� erste Risikoe<strong>in</strong>schätzung (Bedrohungen,<br />
E<strong>in</strong>trittswahrsche<strong>in</strong>lichkeit, Schadenhöhe)<br />
� Ableitung Verbesserungen/Maßnahmenplan<br />
E<strong>in</strong> erster Check dient <strong>der</strong> Beurteilung <strong>der</strong> Ausgangslage und<br />
Ableitung erster Verbesserungs-Maßnahmen.<br />
© HBSN AG 08.06.2011<br />
Seite 21
Inhalt<br />
3.2<br />
ISMS-Umsetzung<br />
� Ausgangslage<br />
© HBSN AG 08.06.2011<br />
� Vorgehen zur Implementierung<br />
� Umsetzungsschritte<br />
Seite 22
ISMS: Ausgangslage<br />
ISMS-Zielsetzung<br />
� Das Informations-Sicherheits-Management-System (ISMS) ist<br />
e<strong>in</strong>e Aufstellung von Verfahren und Regeln <strong>in</strong>nerhalb e<strong>in</strong>es<br />
Unternehmens, welche dazu dienen, die Informationssicherheit<br />
dauerhaft zu def<strong>in</strong>ieren, zu steuern, zu kontrollieren, aufrecht zu<br />
erhalten und fortlaufend zu verbessern.<br />
� E<strong>in</strong> ISMS ist e<strong>in</strong> systematischer Ansatz, sensitive<br />
Unternehmens<strong>in</strong>formationen so zu verwalten, dass sie sicher<br />
bleiben.<br />
� Es umfasst Prozesse, Menschen und IT-Systeme<br />
E<strong>in</strong>e ISMS-Umsetzung unterstützt Sie ganzheitlich, den<br />
Anfor<strong>der</strong>ungen gerecht zu werden.<br />
© HBSN AG 08.06.2011<br />
Seite 23
ISMS: Umsetzungsschritte<br />
ISMS-Umsetzungsschritte<br />
1<br />
Erstellung<br />
e<strong>in</strong>er<br />
Informationssicherheitsleitl<strong>in</strong>ie<br />
2<br />
Erarbeitung<br />
e<strong>in</strong>er<br />
Schutzbedarfsanalyse<br />
Durchführung<br />
e<strong>in</strong>er<br />
Risikoanalyse<br />
Die Die ISMS-Umsetzungsschritte Umsetzungsschritte bauen bauen aufe<strong>in</strong>an<strong>der</strong> auf. auf<br />
© HBSN AG 08.06.2011<br />
3<br />
4<br />
Erstellung<br />
von <strong>Datenschutz</strong>-,<br />
Datensicher<br />
heits-,<br />
Notfall- und<br />
Audithandbuch<br />
5<br />
Implementierung<br />
von<br />
Maßnahmen<br />
und<br />
Strukturen<br />
zur Sicherstellung<br />
<strong>der</strong><br />
Nachhaltigkeit<br />
6<br />
Vorbereitung<br />
und<br />
Durchführung<br />
von<br />
<strong>in</strong>ternen<br />
und<br />
externen<br />
Audits<br />
Seite 24
<strong>Datenschutz</strong>: Projektverlauf und<br />
Zuständigkeiten<br />
Initiierung und<br />
Analyse<br />
• Informationssicherheitsleitl<strong>in</strong>ie<br />
• Schutzbedarfsanalyse<br />
• Risikoanalyse<br />
Grundlagen und<br />
Maßnahmen<br />
• Informationssicherheitskonzept<br />
• <strong>Datenschutz</strong>handbuch<br />
• Notfallkonzept<br />
• Audithandbücher<br />
• Umsetzung konkreter<br />
Maßnahmen<br />
© HBSN AG 08.06.2011<br />
Assessment und<br />
Zertifizierung<br />
• Bewertung <strong>der</strong><br />
IT-Sicherheit<br />
• Erteilung des<br />
Zertifikates<br />
Monitor<strong>in</strong>g<br />
• technische und<br />
organisatorische<br />
Stichproben<br />
Seite 25
Inhalt<br />
3.3 Prüfgeme<strong>in</strong>schaft<br />
© HBSN AG 08.06.2011<br />
zur Dienstleister-<br />
Auditierung<br />
� Ziele/Nutzen<br />
� Unser Vorgehen<br />
� Inhalte und Ablauf e<strong>in</strong>es Audits<br />
Seite 26
Prüfgeme<strong>in</strong>schaft: Ziele/Nutzen<br />
Prüfgeme<strong>in</strong>schaften<br />
KK1<br />
KK2<br />
KK3<br />
KK4<br />
KKm<br />
KK-Geme<strong>in</strong>schaft = 1 Prüfung!<br />
= Krankenkassen<br />
DL<br />
Prüfgeme<strong>in</strong>schaften verschaffen enorme Entlastung.<br />
= Dienstleister<br />
Nutzen für die Kassen:<br />
� Geme<strong>in</strong>schaftliche Umsetzung <strong>der</strong><br />
gesetzlichen Verpflichtung<br />
(vollständige und frühzeitige<br />
Berücksichtigung <strong>der</strong><br />
<strong>Datenschutz</strong>anfor<strong>der</strong>ungen)<br />
� Geme<strong>in</strong>schaftliche Prüfung von<br />
Dienstleistern, die für mehrere Kassen<br />
tätig s<strong>in</strong>d (auf <strong>der</strong> Basis <strong>der</strong><br />
bestehenden Dienstleisterverträge)<br />
Nutzen für die Dienstleister:<br />
� Vermeidung von Mehrfachbegehungen<br />
durch Bündelung <strong>der</strong><br />
Kassenauditierungen<br />
© HBSN AG 08.06.2011<br />
Seite 27
Prüfgeme<strong>in</strong>schaft: Unser Vorgehen<br />
� Die Kassen unserer Prüfgeme<strong>in</strong>schaft haben uns ADV-Dienstleister<br />
mitgeteilt, die für geme<strong>in</strong>schaftliche Auditierung vorzusehen s<strong>in</strong>d<br />
� Auf Basis <strong>der</strong> Rückmeldungen (Anzahl <strong>der</strong> Nennungen und<br />
Prioritätswünsche) term<strong>in</strong>ieren wir Auditierungen mit den Dienstleistern<br />
� Im Zuge <strong>der</strong> Term<strong>in</strong>abstimmung/Auditplanung erfolgt e<strong>in</strong>e Zuordnung des<br />
Dienstleisters zu e<strong>in</strong>em Komplexitätsgrad (Festlegung des Auditumfanges)<br />
� Sobald wir e<strong>in</strong>en Auditterm<strong>in</strong> mit e<strong>in</strong>em Dienstleister vere<strong>in</strong>bart haben,<br />
teilen wir diesen den Kassen unserer Prüfgeme<strong>in</strong>schaft mit<br />
� Die Kassen entscheiden je Dienstleister-Auditierung über Ihre Beteiligung<br />
an <strong>der</strong> jeweiligen geme<strong>in</strong>schaftlichen Prüfung/dem jeweiligen<br />
Auditierungsterm<strong>in</strong><br />
� Wir führen die jeweilige Auditierung durch bei e<strong>in</strong>er M<strong>in</strong>dest-<br />
Teilnehmerzahl von 3 Kassen<br />
Wir freuen uns über die positive Resonanz auf unser Vorgehen.<br />
© HBSN AG 08.06.2011<br />
Seite 28
Inhalte und Ablauf e<strong>in</strong>es Audits<br />
Thema<br />
<strong>Datenschutz</strong>grundlagen<br />
Zutritt<br />
Zugang<br />
Zugriff<br />
Dokumentation<br />
Technische Maßnahmen<br />
Organisatorische Maßnahmen<br />
Verträge<br />
© HBSN AG<br />
<strong>Datenschutz</strong>beauftragter (Ernennung, Ressourcen,<br />
Organigramm), Verfahrensverzeichnis,<br />
<strong>Datenschutz</strong>erklärungen, ...<br />
Physikalische Sicherung, Alarmsicherung,<br />
Besucherrichtl<strong>in</strong>ie, Schlüsselverzeichnis, ...<br />
Prozesse zur Vergabe und Entzug von Berechtigungen,<br />
Passwortregelungen, ...<br />
Zugriffsrechte, Rollenkonzepte, ...<br />
Notfallhandbuch, <strong>Datenschutz</strong>handbuch,<br />
Dienstanweisungen, ...<br />
Netzwerk, Firewall, Email-Verschlüsselung, Backup, ...<br />
Incident Management, Audits (<strong>in</strong>tern, extern),<br />
Entsorgung, ...<br />
<strong>in</strong>sbeson<strong>der</strong>e mit Auftragsdatenverarbeitern<br />
08.06.2011<br />
Beispiele<br />
Seite 29
Inhalt<br />
Fazit / Erfolgsfaktoren<br />
� Verantwortung <strong>der</strong> Krankenkassen generell<br />
� Verantwortung <strong>der</strong> Krankenkassen bei ADV<br />
� Zentrale Umsetzungsschritte / kritische<br />
Erfolgsfaktoren<br />
© HBSN AG 08.06.2011<br />
Seite 30
<strong>Datenschutz</strong>anfor<strong>der</strong>ungen –<br />
Verantwortung <strong>der</strong> Krankenkassen<br />
generell<br />
<strong>Datenschutz</strong> <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
� Der <strong>Datenschutz</strong> hat e<strong>in</strong>e beson<strong>der</strong>e Bedeutung für<br />
e<strong>in</strong>e <strong>GKV</strong> (Schutz von Sozialdaten)!<br />
� Jede Krankenkasse hat sicherzustellen, dass<br />
<strong>Datenschutz</strong> und Informationssicherheit<br />
adäquat umgesetzt werden.<br />
� Basis-/Sicherheits-Checks und ISMS-E<strong>in</strong>führung<br />
unterstützen e<strong>in</strong>e Krankenkasse e<strong>in</strong> hohes<br />
Sicherheitsniveau zu erreichen.<br />
Der <strong>Datenschutz</strong> stellt beson<strong>der</strong>e Anfor<strong>der</strong>ungen<br />
an e<strong>in</strong>e Krankenkasse und <strong>der</strong>en Dienstleister.<br />
© HBSN AG 08.06.2011<br />
Seite 31
<strong>Datenschutz</strong>anfor<strong>der</strong>ungen –<br />
Verantwortung <strong>der</strong> Krankenkassen bei<br />
ADV<br />
Auftragsdatenverarbeitung <strong>in</strong> <strong>der</strong> <strong>GKV</strong><br />
� Die Auftragsdatenverarbeitung hat enorme<br />
Bedeutung für die Sicherheitssituation e<strong>in</strong>er<br />
Krankenkasse.<br />
� Wenn e<strong>in</strong>e Krankenkasse die Verarbeitung von<br />
Sozialdaten an e<strong>in</strong>en externen Dienstleister<br />
auslagert, bleibt diese für den <strong>Datenschutz</strong><br />
verantwortlich.<br />
� Sie hat sicherzustellen, dass <strong>Datenschutz</strong> und<br />
Informationssicherheit von dem Auftragnehmer<br />
adäquat umgesetzt werden.<br />
Viele<br />
Wenige<br />
Die Auftragsdatenverarbeitung stellt beson<strong>der</strong>e Anfor<strong>der</strong>ungen<br />
an e<strong>in</strong>e Krankenkasse und <strong>der</strong>en Dienstleister.<br />
© HBSN AG 08.06.2011<br />
Seite 32
zentrale Umsetzungsschritte/<br />
kritische Erfolgsfaktoren<br />
� Schulung/Sensibilisierung <strong>der</strong> Mitarbeiter –<br />
Awareness !!!<br />
� Beseitigung organisatorischer Schwachstellen<br />
• Passwortrichtl<strong>in</strong>ie<br />
• Benutzer-/Rollenkonzept<br />
• Richtl<strong>in</strong>ien für Telearbeit, <strong>in</strong>sbeson<strong>der</strong>e Heimarbeitsplätze<br />
und Laptops<br />
• Verpflichtungserklärungen/Schulungsnachweise<br />
• Entsorgungsrichtl<strong>in</strong>ie<br />
• Regelmäßige <strong>in</strong>terne/externe Auditierungen<br />
• Etc.<br />
� Beseitigung technischer Schwachstellen<br />
• Internetportale<br />
• Technische Prüfung von Software<br />
• E-Mail-Verschlüsselung<br />
• Etc.<br />
Mal<br />
zugegeben.<br />
Wie sieht<br />
es bei<br />
Ihnen<br />
hierzu aus?<br />
© HBSN AG 08.06.2011<br />
Seite 33
S<strong>in</strong>d IHRE Daten sicher?<br />
© HBSN AG<br />
08.06.2011<br />
Seite 34
HBSN AG –<br />
Wir lassen Sie<br />
nicht im Regen stehen!<br />
Wir s<strong>in</strong>d immer für Sie da!<br />
© HBSN AG<br />
HBSN AG<br />
Dipl.-Kfm. Ralf Gorschlüter<br />
Gesundheitsökonom (EBS)<br />
Geschäftsbereichsleiter Beratung<br />
im Gesundheitswesen<br />
Katernberger Str. 107<br />
45327 Essen<br />
Tel.: 0201 – 890602 – 30<br />
Mail: gorschlueter@hbsn-ag.de<br />
Internet: www.hbsn-ag.de<br />
www.formedo.de