Datenschutz in der GKV - IKK Akademie

Wir sind immer für Sie da! 

© HBSN AG 

Datenschutz in der GKV 

- Wie sicher sind Ihre Daten? 

- Herausforderungen und 

Perspektiven in der GKV 

Kundentag der IKK-Akademie 

Hagen, 09. Juni 2011

Inhalt 

1 Vorstellung der HBSN AG 

2 Datenschutz – aktuelle Herausforderungen 

� generelle Anforderungen in der GKV 

� spezielle Anforderungen Auftragsdatenverarbeitung (ADV) 

3 Umsetzung der Anforderungen in der Praxis 

3.1 Basis-/Sicherheits-Check 

3.2 ISMS – Informations-Sicherheits-Management-System 

3.3 Prüfgemeinschaft zur Dienstleister-Auditierung 

4 Fazit/Erfolgsfaktoren 

© HBSN AG 08.06.2011 

Seite 2

Inhalt 

© HBSN AG 08.06.2011 

Vorstellung der HBSN AG 

Seite 3

Geschäftsfelder 

Beratung 

� Strategie und Management 

� Prozesse/ 

Organisationsentwicklung 

� Menschen/ 

Personalentwicklung 

� IT-Systeme/Integration 

� Datenschutz/ 

Informationssicherheit 

� Projektmanagement 

© HBSN AG 08.06.2011 

Prävention, 

Gesundheitsförderung 

� Galileo 

� Low Fett 30 

� Body Analyzer 

� VitaCube 

� Nutriathletic 

� Entwicklung 

Konzepte 

Seite 4

Geschäftsfelder 

Beratung 

� Strategie und Management 

� Prozesse/ 


� Menschen/ 


� IT-Systeme/Integration 

� Datenschutz/ 


� Projektmanagement 

© HBSN AG 08.06.2011 

Seite 5

Das Leistungsspektrum der HBSN AG 

berücksichtigt … 

Prozesse 

------ 


Management / Strategie 

Menschen 

----- 


Datenschutz/Informationssicherheit 

Projektmanagement 

IT-Systeme 

------- 

Integration 

…und verbindet diese Elemente im Projektmanagement miteinander. 

© HBSN AG 08.06.2011 

Seite 6

Unterstützung im Datenschutz/ 


Datenschutz/Informationssicherheit 

Herausforderungen Unterstützung der HBSN AG 

� Der Schutz von personenbezogenen 

Daten ist sensibel und gewinnt 

zunehmend an Bedeutung 

� Der interne Stellenwert ist als 

verbesserungswürdig anzusehen 

� Die Einführung der eGK oder das 

Internet verschärfen den 

Handlungsbedarf 

� Datenschutz- und Datensicherheit 

müssen sich zu einem zentralen Thema 

in der Organisation entwickeln 

� Die Auditierung von externen 

Dienstleistern ist zu organisieren 

� Die Thematik ist gegenüber den 

Mitarbeitern auf allen Ebenen zu 

kommunizieren 

� Durchführung Penetrationstest: 

Schwachstellenprüfung Ihrer Onlinedienste, 

Webservices und IT-Systeme 

� Durchführung Basis-Check 

• Durchführung Sicherheitsinterviews 

• Prüfung vorhandener IT-Sicherheitsdokumentationen 

• Prüfung organ./techn. Maßnahmen zur IT-Sicherheit 

� Durchführung Sicherheits-Check 

• Aufnahme aller relevanten Prozesse 

• Prüfung der Einhaltung rechtl./sicherheitsrelevanter 

Anforderungen 

• Prüfung vorhandener Verträge auf Vollständigkeit 

• Durchführung einer einfachen Schutzbedarfs- und 

Risikoanalyse 

� ISMS-Einführung 

� Bildung Prüfgemeinschaft zur Auditierung 

von ADV-Dienstleistern 

� Begehung und Auditierung von Krankenk. 

und deren Dienstleistern in Vorbereitung auf 

GKV-spezifische TÜV-Zertifikate 

© HBSN AG 08.06.2011 

Seite 7

Inhalt 

© HBSN AG 08.06.2011 

Datenschutz – aktuelle Herausforderungen 

• generelle Anforderungen in der GKV 

• spezielle Anforderungen ADV 

Seite 8

© HBSN AG 08.06.2011 

Feinkost Daten Schmidt.wmv 

Seite 9

Datenschutz und Datensicherheit 

in der Öffentlichkeit 

Banken BKK Gesundheit IKK Weser Ems Neckermann Sony 

Solche Vorkommnisse bewirken eine Verunsicherung 

und erhöhen die Sensibilität der Versicherten. 

Sind Sie darauf vorbereitet? 

© HBSN AG 08.06.2011 Seite 10

Sind Sie sicher, dass alle Beteiligten 

sorgfältig mit IHREN Daten umgehen? 

Netze 

Dritte 

Homepage 

Krankenkasse 

Software 

© HBSN AG 08.06.2011 

DTA 

Mitarbeiter 

Seite 11

Besondere Rahmenbedingungen in 

der GKV 

Herausforderungen und Maßnahmen in der GKV 

� Der Schutz von personenbezogenen Daten sowie Sozialdaten ist 

sensibel und gewinnt zunehmend an Bedeutung. 

� Der interne Stellenwert ist häufig als verbesserungswürdig anzusehen. 

� Durch die Nutzung des Internet verschärft sich der Handlungsbedarf. 

� Datenschutz und Informationssicherheit entwickeln sich zu einem 

zentralen Thema in der GKV-Organisation. 

� Die Thematik ist gegenüber den Mitarbeitern auf allen Ebenen zu 

kommunizieren. 

� Die Auditierung von externen Dienstleistern ist zu organisieren. 

In der GKV sind Datenschutz und Informationssicherheit von 

besonderer Bedeutung. 

© HBSN AG 08.06.2011 

Seite 12

Datenschutzanforderungen – 

generelle Anforderungen in der GKV 

Gesetzliche Grundlagen und Vorgaben in der GKV 

� Gesetzliche Grundlagen 

• SGB I: § 35 

• SGB X: § 67 bis § 85a (ADV: § 80 SGB X und § 78a SGB X) 

• BDSG (SGB geht vor BDSG nach § 1 Abs. 3 BDSG) 

• SigG, SigV 

• StGB: §§ 201-206 (insbesondere § 202, § 202a-c StGB) 

• (TKG, TDG, TDDSG) 

� Weitere Vorgaben 

• BVA 

• Bundesamt für Sicherheit in der Informationstechnik 

• gematik 

Im Bereich des Datenschutzes wird die GKV mit vielfältigen 

Anforderungen konfrontiert. 

© HBSN AG 08.06.2011 

Seite 13


spezielle Anforderungen ADV 

Historie 

2009 

Sept. 2009 

Feb. 2010 

März 2010 

Aug. 2010 

bis heute 

22. März 

2011 

HBSN AG entwickelt mit dem TÜV Rheinland 

Anforderungskataloge für GKVn und GKV-Dienstleister zur 

Konkretisierung der ISO 27001 bzw. des BSI-Grundschutzes 

Novelle des BDSG, insbesondere § 11 BDSG 

Datenschutzvorfall bei einer GKV. 

Herr Schaar positioniert sich in den Medien. 

HBSN AG bildet eine erste Prüfgemeinschaft und beginnt mit 

der Begehung von ADV-Dienstleistern 

Novelle des SGB, insbesondere § 80 SGB X 

Wunsch zahlreicher Kassen nach 

Prüfgemeinschaften 

Bildung größerer Prüfgemeinschaft, 

um den Aufwand der Kassen zu reduzieren. 

© HBSN AG 08.06.2011 

Seite 14

Problem: Belastungen durch hohes 

Prüfaufkommen in der Praxis 

• Durch die vielen Marktteilnehmer ergeben sich hohe Belastungen 

• durch Prüfungen auf Seiten der Kassen wie auf Seiten der 

Dienstleister 

KK 

Sicht KK Sicht DL Vernetzte Sicht 

DL1 

DL2 

DL3 

DL4 

DLn 

= Krankenkasse 

KK1 

DL 

1 : n - Beziehung m : 1 - Beziehung m : n - Beziehung 

KK DL 

KK2 

KK3 

KK4 

KKm 

= Dienstleister 

© HBSN AG 08.06.2011 

Seite 15 

KK1 

KK2 

KK3 

KK4 

KKm 

DL1 

DL2 

DL3 

DL4 

DLn

Inhalt 

© HBSN AG 08.06.2011 

Umsetzung der Anforderungen in der Praxis 

• Basis-/Sicherheits-Check 

• ISMS-Einführung 

• Prüfgemeinschaft zur DL-Auditierung 

Seite 16

Umsetzung im Datenschutz/ 


Erfüllung organisatorischer 


Prozess 

gemanagter Datenschutz 

Einhaltung Datenschutz-Standards: 

Erfüllung technischer 


ISO/IEC 27001, BSI-Grundschutz, etc. 

Einhaltung gesetzlicher Grundlagen: BDSG, SGB, TKG, etc. 

Die Unterstützungsleistungen orientieren sich an vorhandenen 

Standards und verbinden diese Regelungen miteinander. 

© HBSN AG 08.06.2011 

Seite 17

Umsetzung der organisatorischen 

und technischen Anforderungen 

Erfüllung organisatorischer Anforderungen 

� Grundlagen 

� Ernennung eines DSB und eines ISB 

� Auftragsdatenverarbeitung (Verträge) 

� Unterauftragsverhältnisse 

� Mitarbeiter (Awareness, Verträge) 

� Prozesse 

� Interne/externe Auditierungen 

� Vorabkontrollen, Changemanagement 

� Beschaffungsprozess, Inventarisierung 

� Incidentmanagement 

� Dokumentationen 

• Informationssicherheitsleitlinie 

• Sicherheitsrichtlinien 

• Notfallkonzept 

• etc. 

© HBSN AG 08.06.2011 

Erfüllung technischer Anforderungen 

� Informations- und kommunikationstechnische 

Infrastruktur 

� Bautechnische Infrastruktur 

� Vulnerability Management 

� Systemhärtung 

� Mobiler Schadcode 

� Firewall-Systeme 

� Datenübertragung 

� Monitoring (eigene und fremde Dienste) 

� Protokollierung 

� Backups 

� Passworte 

� Lagerung und Entsorgung 

� Trennungskontrolle 

� etc. 

Seite 18

Inhalt 

3.1 

Basis-/Sicherheits-Check 

� Schutzziele 

� Analyse der Ausgangslage 

� erste Schutzbedarfs-/Risikoeinschätzung 

� Ableitung von Verbesserungen 

© HBSN AG 08.06.2011 

Seite 19

Schutzziele 

© HBSN AG 08.06.2011 

Seite 20

Basis-/Sicherheits-Check 

Zielsetzung/Vorgehen 

� Bestandsaufnahme/Analyse der Ausgangslage 

• Einhaltung der BDSG- und SGB-Anforderungen 

• Organisation der Informationssicherheit 

• Prozesse der Datenverarbeitung, -speicherung und –weitergabe 

• Dienstleister-Verträge und Auftragsdatenverarbeitung 

� erste Schutzbedarfseinschätzung (BSI-Schutzbedarfskategorien) 

� erste Risikoeinschätzung (Bedrohungen, 

Eintrittswahrscheinlichkeit, Schadenhöhe) 

� Ableitung Verbesserungen/Maßnahmenplan 

Ein erster Check dient der Beurteilung der Ausgangslage und 

Ableitung erster Verbesserungs-Maßnahmen. 

© HBSN AG 08.06.2011 

Seite 21

Inhalt 

3.2 

ISMS-Umsetzung 

� Ausgangslage 

© HBSN AG 08.06.2011 

� Vorgehen zur Implementierung 

� Umsetzungsschritte 

Seite 22

ISMS: Ausgangslage 

ISMS-Zielsetzung 

� Das Informations-Sicherheits-Management-System (ISMS) ist 

eine Aufstellung von Verfahren und Regeln innerhalb eines 

Unternehmens, welche dazu dienen, die Informationssicherheit 

dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu 

erhalten und fortlaufend zu verbessern. 

� Ein ISMS ist ein systematischer Ansatz, sensitive 

Unternehmensinformationen so zu verwalten, dass sie sicher 

bleiben. 

� Es umfasst Prozesse, Menschen und IT-Systeme 

Eine ISMS-Umsetzung unterstützt Sie ganzheitlich, den 

Anforderungen gerecht zu werden. 

© HBSN AG 08.06.2011 

Seite 23

ISMS: Umsetzungsschritte 

ISMS-Umsetzungsschritte 

1 

Erstellung 

einer 

Informationssicherheitsleitlinie 

2 

Erarbeitung 


Schutzbedarfsanalyse 

Durchführung 


Risikoanalyse 

Die Die ISMS-Umsetzungsschritte Umsetzungsschritte bauen bauen aufeinander auf. auf 

© HBSN AG 08.06.2011 

3 

4 

Erstellung 

von Datenschutz-, 

Datensicher 

heits-, 

Notfall- und 

Audithandbuch 

5 

Implementierung 

von 

Maßnahmen 

und 

Strukturen 

zur Sicherstellung 

der 

Nachhaltigkeit 

6 

Vorbereitung 

und 

Durchführung 

von 

internen 

und 

externen 

Audits 

Seite 24

Datenschutz: Projektverlauf und 

Zuständigkeiten 

Initiierung und 

Analyse 

• Informationssicherheitsleitlinie 

• Schutzbedarfsanalyse 

• Risikoanalyse 

Grundlagen und 

Maßnahmen 

• Informationssicherheitskonzept 

• Datenschutzhandbuch 

• Notfallkonzept 

• Audithandbücher 

• Umsetzung konkreter 

Maßnahmen 

© HBSN AG 08.06.2011 

Assessment und 

Zertifizierung 

• Bewertung der 

IT-Sicherheit 

• Erteilung des 

Zertifikates 

Monitoring 

• technische und 

organisatorische 

Stichproben 

Seite 25

Inhalt 

3.3 Prüfgemeinschaft 

© HBSN AG 08.06.2011 

zur Dienstleister- 

Auditierung 

� Ziele/Nutzen 

� Unser Vorgehen 

� Inhalte und Ablauf eines Audits 

Seite 26

Prüfgemeinschaft: Ziele/Nutzen 

Prüfgemeinschaften 

KK1 

KK2 

KK3 

KK4 

KKm 

KK-Gemeinschaft = 1 Prüfung! 

= Krankenkassen 

DL 

Prüfgemeinschaften verschaffen enorme Entlastung. 

= Dienstleister 

Nutzen für die Kassen: 

� Gemeinschaftliche Umsetzung der 

gesetzlichen Verpflichtung 

(vollständige und frühzeitige 

Berücksichtigung der 

Datenschutzanforderungen) 

� Gemeinschaftliche Prüfung von 

Dienstleistern, die für mehrere Kassen 

tätig sind (auf der Basis der 

bestehenden Dienstleisterverträge) 

Nutzen für die Dienstleister: 

� Vermeidung von Mehrfachbegehungen 

durch Bündelung der 

Kassenauditierungen 

© HBSN AG 08.06.2011 

Seite 27

Prüfgemeinschaft: Unser Vorgehen 

� Die Kassen unserer Prüfgemeinschaft haben uns ADV-Dienstleister 

mitgeteilt, die für gemeinschaftliche Auditierung vorzusehen sind 

� Auf Basis der Rückmeldungen (Anzahl der Nennungen und 

Prioritätswünsche) terminieren wir Auditierungen mit den Dienstleistern 

� Im Zuge der Terminabstimmung/Auditplanung erfolgt eine Zuordnung des 

Dienstleisters zu einem Komplexitätsgrad (Festlegung des Auditumfanges) 

� Sobald wir einen Audittermin mit einem Dienstleister vereinbart haben, 

teilen wir diesen den Kassen unserer Prüfgemeinschaft mit 

� Die Kassen entscheiden je Dienstleister-Auditierung über Ihre Beteiligung 

an der jeweiligen gemeinschaftlichen Prüfung/dem jeweiligen 

Auditierungstermin 

� Wir führen die jeweilige Auditierung durch bei einer Mindest- 

Teilnehmerzahl von 3 Kassen 

Wir freuen uns über die positive Resonanz auf unser Vorgehen. 

© HBSN AG 08.06.2011 

Seite 28

Inhalte und Ablauf eines Audits 

Thema 

Datenschutzgrundlagen 

Zutritt 

Zugang 

Zugriff 

Dokumentation 

Technische Maßnahmen 

Organisatorische Maßnahmen 

Verträge 

© HBSN AG 

Datenschutzbeauftragter (Ernennung, Ressourcen, 

Organigramm), Verfahrensverzeichnis, 

Datenschutzerklärungen, ... 

Physikalische Sicherung, Alarmsicherung, 

Besucherrichtlinie, Schlüsselverzeichnis, ... 

Prozesse zur Vergabe und Entzug von Berechtigungen, 

Passwortregelungen, ... 

Zugriffsrechte, Rollenkonzepte, ... 

Notfallhandbuch, Datenschutzhandbuch, 

Dienstanweisungen, ... 

Netzwerk, Firewall, Email-Verschlüsselung, Backup, ... 

Incident Management, Audits (intern, extern), 

Entsorgung, ... 

insbesondere mit Auftragsdatenverarbeitern 

08.06.2011 

Beispiele 

Seite 29

Inhalt 

Fazit / Erfolgsfaktoren 

� Verantwortung der Krankenkassen generell 

� Verantwortung der Krankenkassen bei ADV 

� Zentrale Umsetzungsschritte / kritische 

Erfolgsfaktoren 

© HBSN AG 08.06.2011 

Seite 30


Verantwortung der Krankenkassen 

generell 

Datenschutz in der GKV 

� Der Datenschutz hat eine besondere Bedeutung für 

eine GKV (Schutz von Sozialdaten)! 

� Jede Krankenkasse hat sicherzustellen, dass 

Datenschutz und Informationssicherheit 

adäquat umgesetzt werden. 

� Basis-/Sicherheits-Checks und ISMS-Einführung 

unterstützen eine Krankenkasse ein hohes 

Sicherheitsniveau zu erreichen. 

Der Datenschutz stellt besondere Anforderungen 

an eine Krankenkasse und deren Dienstleister. 

© HBSN AG 08.06.2011 

Seite 31


Verantwortung der Krankenkassen bei 

ADV 

Auftragsdatenverarbeitung in der GKV 

� Die Auftragsdatenverarbeitung hat enorme 

Bedeutung für die Sicherheitssituation einer 

Krankenkasse. 

� Wenn eine Krankenkasse die Verarbeitung von 

Sozialdaten an einen externen Dienstleister 

auslagert, bleibt diese für den Datenschutz 

verantwortlich. 

� Sie hat sicherzustellen, dass Datenschutz und 

Informationssicherheit von dem Auftragnehmer 

adäquat umgesetzt werden. 

Viele 

Wenige 

Die Auftragsdatenverarbeitung stellt besondere Anforderungen 

an eine Krankenkasse und deren Dienstleister. 

© HBSN AG 08.06.2011 

Seite 32

zentrale Umsetzungsschritte/ 

kritische Erfolgsfaktoren 

� Schulung/Sensibilisierung der Mitarbeiter – 

Awareness !!! 

� Beseitigung organisatorischer Schwachstellen 

• Passwortrichtlinie 

• Benutzer-/Rollenkonzept 

• Richtlinien für Telearbeit, insbesondere Heimarbeitsplätze 

und Laptops 

• Verpflichtungserklärungen/Schulungsnachweise 

• Entsorgungsrichtlinie 

• Regelmäßige interne/externe Auditierungen 

• Etc. 

� Beseitigung technischer Schwachstellen 

• Internetportale 

• Technische Prüfung von Software 

• E-Mail-Verschlüsselung 

• Etc. 

Mal 

zugegeben. 

Wie sieht 

es bei 

Ihnen 

hierzu aus? 

© HBSN AG 08.06.2011 

Seite 33

Sind IHRE Daten sicher? 

© HBSN AG 

08.06.2011 

Seite 34

HBSN AG – 

Wir lassen Sie 

nicht im Regen stehen! 

Wir sind immer für Sie da! 

© HBSN AG 

HBSN AG 

Dipl.-Kfm. Ralf Gorschlüter 

Gesundheitsökonom (EBS) 

Geschäftsbereichsleiter Beratung 

im Gesundheitswesen 

Katernberger Str. 107 

45327 Essen 

Tel.: 0201 – 890602 – 30 

Mail: gorschlueter@hbsn-ag.de 

Internet: www.hbsn-ag.de 

www.formedo.de

Datenschutz in der GKV - IKK Akademie

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?