Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesundheit/Medizin Daten und Informationen sind das Gold des 21. Jahrhunderts Wann ist sicher wirklich sicher? Nach einem Jahr Aufbauarbeit betreibt die Psychiatrische Dienste Aargau AG (PDAG) ein inter- disziplinäres Datenschutz- und Informationssicherheits-Managementsystem. Die ersten Erfahrungen zeigen: Das System funktioniert und baut Mauern zwischen Organisationseinheiten ab. Die PDAG handeln definitiv nicht mit Gold. Aber, tatsächlich ein wichtiger Treiber. Gerade das Klares Verständnis von die personenbezogenen Daten ihrer Patienten, revidierte nationale Datenschutzgesetzt «Managementsystem» Mitarbeitenden und Partner sind mindestens (revDSG), welches voraussichtlich Ende 2022 so wertvoll und daher besonders schützens- ohne Übergangsfrist in Kraft tritt, stellt die Orga- Selbstverständlich haben sich die PDAG auch wert. Raphael Krawietz, der Leiter des PDAG nisationen vor grosse Herausforderungen. Für in der Vergangenheit um den Datenschutz und Rechtsdienstes meint dazu: «Eine patienten- die PDAG bedeutet ein funktionierender Daten- die Informationssicherheit gekümmert. Gerade zentrierte Behandlung ohne funktionierenden schutz aber weit mehr als das formelle Einhalten in der IT-Sicherheit sind die PDAG mit ihrem Datenschutz ist nicht möglich. Der Datenschutz von Gesetzen. Es geht darum, den Datenschutz professionellen IT-Provider, der HINT AG, seit ist ein (Mindest-) Qualitätsmerkmal medizini- und die mit dem Datenschutz zwangsläufig ver- Jahren hervorragend aufgestellt. Ausdruck die- scher Leistungen, denn hier geht es um die bundene Informationssicherheit täglich auf eine ser Professionalität ist die ISO 27001-Zertifizie- informationelle Selbstbestimmung.» praxistaugliche Art und Weise zu leben. Werner rung der HINT AG. Mit dem aufgebauten Rykart, Leiter der PDAG Informatik, ist überzeugt: Managementsystem katapultieren sich die Eine menschliche Firewall bilden «Das grösste Risiko im Datenschutz- und der PDAG in eine neue Sphäre des Datenschutzes Informationssicherheit ist der Faktor Mensch. und der Informationssicherheit hoch. Dies Nur, was bedeutet ein funktionierender Daten- Entscheidend sind sensibilisierte Mitarbeitende, bedeutet insbesondere: Die PDAG geht weg von schutz für ein Spital? Zählt am Ende nicht einfach welche eine menschliche Firewall bilden.» – Mit punktuellen Einzelmassnahmen und hin zu sys- die Compliance gegenüber den kantonalen und dieser Überzeugung hat die PDAG im vergange- tematisch gesteuerten Massnahmen in Sinne nationalen Gesetzen? – Die Einhaltung der nen Jahr ein ganzheitliches Datenschutz- und des Deming-Kreislaufes; auf Basis einer fass- Gesetze, wobei für die PDAG die kantonale sowie Informationssicherheits-Managementsystem baren Datenschutz- und Informationssicher- die Bundesgesetzgebung Anwendung findet, ist (DSMS/ISMS) aufgebaut. heitsstrategie. Isoliertes Wissen von Einzelper- Die Psychiatrischen Dienste Aargau haben Pionierarbeit geleistet in Sachen Datenschutz. Unser Bild zeigt eine Impression des Hauptsitzes in Königsfelden. clinicum 2-22 33
Gesundheit/Medizin sonen im Rechtsdienst und der Informatik DSK, deren Mitglieder als «Brückenbauer» zwi- – Reporting: Regelmässige Information des wurde durch aktiv vernetztes Wissen über alle schen dem «theoretischen Datenschutz» und der CEO, Erstellung des Jahresberichts zuhan- Bereiche und Kliniken ersetzt. «Praxis» agieren. Die DSK hilft den Datenschutz den der Geschäftsleitung und der Daten- praxis- und alltagstauglich in der PDAG umzuset- schutzkommission. Das bedeutet, dass nicht geregelte Aufgaben, zen. Hierzu gibt sie Empfehlungen zu Datenschutz- Kompetenzen und Verantwortlichkeiten von Folgenabschätzungen, Datenschutzweisungen 3. Information Security Officer (ISO) nun an klar definiert sind. Dezentrale und und -schulungen zu Handen der Geschäftsleitung Auch die Funktion des ISO wurde in der PDAG abteilungsbezogene Dokumentenablagen ab. Sie unterstützt den Datenschutzberater/die neu geschaffen und wird aktuell auf Mandats- wurden zentralisiert und nachvollziehbar gere- Datenschutzberaterin, wenn Massnahmen im ebene besetzt. Der Fokus des ISO liegt auf der gelt. Zweck Sensibilisierung aller Mitarbeiten- Zuge von Meldungen betreffend der Verletzung Informationssicherheit. Zusammenfassend lässt den führt die PDAG neu obligatorische der Datensicherheit ergriffen werden müssen. Die sich sagen, dass der/die ISO die interne/externe Schulungen durch. Die teilweise dem Zufall DSK rapportiert jährlich direkt dem CEO. Informatik überwacht und Risiken identifiziert, überlassene Zusammenarbeit mit den zustän- bewertet und behandelt. Der/die ISO ist in die digen Behörden wich einer bewussten Koope- 2. Datenschutzberater/ Kontrollen von internen und externen Vorgaben ration; im Sinne einer vertrauensbildenden Datenschutzberaterin (DSB) eingebunden, ist Mitglied der Datenschutzkom- Zusammenarbeit. Der/die DSB überwacht die Einhaltung der Daten- mission und ist analog zum/zur DSB in der Aus- schutzvorschriften innerhalb der PDAG. Er/Sie ist übung der Funktion fachlich unabhängig. Das PDAG Datenschutz- und Informationssicher- für die juristische Beantwortung von datenschutz- heits-Managementsystems enthält viele wich- rechtlichen Fragen – gegebenenfalls in Zusam- Ablauforganisation Datenschutz und tige Elemente. Das Framework gliedert sich menarbeit mit dem Rechtsdienst – zuständig. Er/ Informationssicherheit dabei in drei Bereiche: Sie überprüft gleichfalls die Konformität des DSMS (in Abb. 1 die Pfeile) und berät die Geschäftsleitung in Datenschutz- 1. Die Aufbauorganisation resp. die Organe des belangen. Der/die DSB übt die Funktion fachlich 4. Auskunfts- und Informationspflicht Datenschutzes und der Informationssicher- unabhängig aus und ist betreffend seiner/ihrer Die PDAG gewährleistet durch Weisungen die heit (1 bis 3) Funktion nicht weisungsgebunden. Folgende Auf- Auskunfts- und Einsichtsrechte gemäss der 2. Die Ablauforganisation resp. die Prozesse des gaben gehören u.a. zu den Aufgaben des/der DSB: Datenschutzgesetzgebung für Patienten, Mit- Datenschutzes und der Informationssicher- – Begleitet die Durchführung von Datenschutz- arbeitende und Dritte. heit (4 bis 7) Folgenabschätzungen 3. Die Klammern, welche Aufbau und Ablaufor- – Sicherstellung der Bewirtschaftung des Daten- 5. Datenschutz-Folgenabschätzung ganisation zusammenhalten (8 und 9) verarbeitungsverzeichnisses Wird eine neue personenbezogene Datenbe- Framework Datenschutz- und Informationssicherheit der Psychiatrische Dienste Aargau AG arbeitung eingeführt, z.B. die Implementierung Abb. 1 einer neuen Software, muss vorab geklärt wer- den, ob die beabsichtigte Datenbearbeitung voraussichtlich die Persönlichkeit oder die Ziel: Schutz von personen- bezogenen Daten & Informationen Grundrechte der von der Bearbeitung betroffe- Hauptweisung 8 9 IIS nen Personen beeinträchtigen kann. Im Falle Konformität & Ziele einer möglichen Betroffenheit wird unter der Weitere (Bearbeitung im Auftrag,...) Federführung des/der Datenschutzberaters/in Auskunfts- und Informationspflicht 4 eine Datenschutz-Folgenabschätzung (DSFA) Datenschutz-Folgenabschätzung 5 durchgeführt. Ergibt die DSFA, dass durch die VR beabsichtigte Datenbearbeitung ein erhöhtes Datenverarbeitungsverzeichnis 6 DSK DSB ISO SiBe GL Risiko für die Persönlichkeit oder die Grundrech- Sensibilisierung & Befähigung 7 1 2 3 te besteht, muss entweder die eidgenössische Risikobeurteilung oder die kantonal beauftragte Person für Daten- Meldung Verletzungen Datensicherheit schutz und Öffentlichkeit (ÖDB) konsultiert wer- Löschkonzept Mitarbeitende & Organisationseinheiten Datenschutz- & Informationssicherheits-Kultur den, welche dann Empfehlungen zur Umsetzung Umgang mit Daten von Mitarbeitenden der Datenbearbeitung abgeben kann. 6. Datenverarbeitungsverzeichnis Voraussetzung für einen funktionierenden Aufbauorganisation Datenschutz und – Bearbeitung von Meldungen über Verletzun- Datenschutz ist die Kenntnis darüber, wo, von Informationssicherheit gen der Datensicherheit. wem und zu welchem Zweck, aufgrund welcher (in Abb. 1 der Tempel) – Sicherstellung des Auskunftsrechtes Grundlage personenbezogene Datenbearbei- – Durchführungen von Datenschutzschulungen tungen vorgenommen werden. Aus diesem 1. Datenschutzkommission (DSK) gemäss Schulungskonzept Grund führt die PDAG ein Verzeichnis über die Seit Ende 2020 ist die gesetzlich nicht vorgeschrie- – Vertragliche Sicherstellung/Prüfung von Ver- Bearbeitungstätigkeiten im Sinne von Art. 11 des bene DSK operativ tätig, d.h. die PDAG betreibt die trägen bei Auftragsdatenbearbeitung (Out- Bundesgesetzes über den Datenschutz (revDSG) DSK aus Überzeugung. Die DSK wird vom Leiter sourcing) vom 25. September 2020. Der Inhalt dieses Ver- Rechtsdienst und dem Leiter Informatik geführt. – Durchführung von Kontrollen betreffend die zeichnisses ist: Alle Kliniken und Bereiche haben Einsitze in die Umsetzung des Datenschutzes a. Identität des Verantwortlichen 34 clinicum 2-22
Gesundheit/Medizin Klinik / Bereich Prüfen, ob personenbezogene Daten Massnahmen umsetzen bearbeitet werden Keine Neue personen- Prozess Datenschutz-Folgenabschätzung PDAG Datenbearbeitung Personen- bezogenen und / oder bezogenen Daten neues Tool Daten Trotz Massnahmen- Massnahmen Empfehlungen hohes Risiko? OEDB / EÖDB Einschätzung vorhnehmen: Hohes vorliegend Risiko ÖDB / EDÖB Hohes Risiko für die JA Vorabkonsultation DSFA durchführen Rückmeldung Persönlichkeit oder für die ÖDB oder EDÖB geben Grundrechte? NEIN DSB Geringes Risiko ÖDB oder EDÖB über DSFA / Massnahmen informieren DSB informier DVV- Verantwortlichen Abb. 2 b. Bearbeitungszweck gleicht einer Herkules-Aufgabe und ist nach Eine «High Level» Spiegelung des Datenverarbei- c. Beschreibung der Kategorien betroffener Per- der Erfahrung der Projektverantwortlichen der tungsverzeichnisses ist auf der Website der sonen (z.B. Patientinnen und Patienten, Mitar- PDAG mit Standard-Office-Tools nicht über- PDAG abrufbar. Hier weisen die PDAG allen Inte- beitende etc.) sichtlich zu bewerkstelligen. Die PDAG hat ressierten transparent aus, zu welchen Zwecken d. Kategorien der betroffene Personendaten daher 2020 eine Software-Evaluation durch- und mit welcher gesetzlichen Legitimation sie (z.B. besonders schützenswerte Personen- geführt und setzen heute zur Bewirtschaftung personenbezogene Daten bearbeiten: daten) des Datenverarbeitungsverzeichnisses die www.pdag.ch/ueber-die-pdag/ e. Kategorien der Empfänger (z.B. Behörden usw.) spezialisierte Software ZOA ein. umgang-mit-personendaten/ f. Aufbewahrungsdauer (wenn möglich) oder Kriterien, nach welchen sich die Aufbewah- Abb. 3 rungsdauer richten (vgl. Zusammenhang zu «Bearbeitungszweck»). g. Gesetzliche Grundlage bzw. Beschreibung des überwiegenden Interesses, auf deren Basis die Bearbeitungen erfolgen. h. Beschreibung der Massnahmen zur Gewähr- leistung der Datensicherheit (wenn möglich) i. Allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit. Die PDAG konnten durch die auf Datenschutz- recht spezialisierten Anwälte Lukas Bühlmann und Marco Meier (MLL Meyerlustenberger Lachenal Froriep AG) kompetente Partner fin- den, um zunächst die Anforderungen an ein Datenverarbeitungsverzeichnis, welches auf die PDAG zugeschnitten ist, zu definieren. Die anschliessende unternehmensweite Erfas- sung der Datenverarbeitungen erfolgte dann durch ein interdisziplinäres Team unter der Führung eines Projektleiters der Unterneh- mensentwicklung, der IT und dem Rechts- dienst. Die Erhebung der Datenverarbeitungen clinicum 2-22 35
Gesundheit/Medizin 7. Sensibilisierung und Befähigung – Missbrauch und Kontrollen dank drei Faktoren in nur einem Jahr durch- Die PDAG investieren im laufenden Jahr viel Zeit – Sanktionierung gezogen werden: und Geld in die Schulung der Mitarbeitenden, Awarness-Trainings und interne Audits. Der Einer der wichtigsten Faktoren, dass das DSMS/ 1. Das starke Commitment des Top-Manage- Schwerpunkt liegt hier bei der Informations- ISMS nicht als auf «dem Reissbrett erstelltes ments war während des ganzen Projekts spür- resp. der IT-Sicherheit. Hier identifizieren die Dokument» verkümmert, ist die Kunst, dem Gan- bar. Das ist nach meiner Erfahrung in solchen PDAG eines ihrer grössten Betriebsrisiken. Als zen «Leben einzuhauchen». Dieses «Einhau- Fleissprojekten nicht selbstverständlich. Grundschulung wurde deshalb ein professionel- chen» gelingt, indem die Mitarbeitenden moti- 2. Wir verfügten über eine hervorragend funk- les E-Learning eingeführt. viert werden, selbst die Datenschutzthematiken tionierende Projektorganisation, dank Mitglie- dern mit einer hohen Arbeitsdisziplin. Das tönt unspektakulär, ist aber entscheidend. PDAG Informationssicherheit 3. Der Blick über den Tellerrand – Input von Extern: Einerseits wurde das Projekt durch die VAKA (Branchenverband der Aargauer Spitä- ler, Kliniken und Pflegeinstitutionen) begleitet. Einleitung und Allgemeiner Überblick Die VAKA betreibt eine Fachstelle für Daten- schutz und koordiniert die Umsetzung des kantonalen Datenschutzgesetztes (IDAG) im Kanton Aargau. Anderseits verglichen wir Formen der Cyberkriminalität unsere Arbeit immer wieder mit anderen Spi- tälern, welche auf diesem Gebiet führend sind. Das half enorm.» Interdisziplinäre Qualitäten sind gefragt Zutritts-, Zugangs- und Zugriffsschutz Hans Urs Schneeberger, Geschäftsführer VAKA und Mitglied Soundingboard bestätigt denn auch: «Der Datenschutz in der PDAG ist profes- Sicher im Internet sionell aufgebaut und sehr weit fortgeschritten.» Auf einen besonders wertvollen Erfolgsfaktor weist Raphael Krawietz, Leiter Rechtsdienst und Mitglied Projektteam, hin: «Die Thematik des Mobil Unterwegs Datenschutzes und der Informatiksicherheit ist derart komplex, dass ausschliesslich ein inter- disziplinärer Ansatz erfolgsversprechend ist. Das haben wir alle gelernt und ich bin stolz darauf, Zentrale Weisungen für die Aufbau- zu erkennen. Die PDAG konnten bereits in der wie wir über die Abteilungsgrenzen zusammen- und Ablauforganisation Projektphase erfahren, wie immer mehr Mitar- gerückt sind.» (in Abb. 1 die Klammern) beitende für die Thematik sensibilisiert waren und sich aktiv einbrachten. Sie erkannten, dass Gabi Hilpert, Stv. Leiterin HR und Mitglied Projekt- 8. und 9. Hauptweisung Datenschutz und die Thematik Datenschutz nicht ein abstraktes ausschuss stimmt voll und ganz zu: «Das bisher Weisung betreffend die Informations- rechtliches Thema ist, sondern es sich um prak- leidige Thema Datenschutz!? Mit einem tollen, und Informatiksicherheit (IIS) tische Fragen handelt, mit welchen sie täglich interdisziplinären und motivierten Team berei- Die Hauptweisung betreffend den Datenschutz konfrontiert sind. Es steht daher für die PDAG tete es sogar ‹Spass›, diese Meilensteine zu und die Weisung betreffend die Informations- ausser Frage, dass die Basis des Datenschutz, setzen.» Werner Rykart, Leiter Informatik und und Informatiksicherheit sind die zentralen Wei- die Mitarbeitenden, durch regelmässige Schu- Mitglied Projektteam meint zusammenfassend: sungen, welche Aufbau- und Ablauforganisation lungen im Datenschutz weitergebildet werden. «Mit der Digitalisierung und Vernetzung von des DSMS/ISMS zusammenhalten. Besonders Diensten und Produkten steigt auch die Bedeu- die IIS hat einen täglichen Impact auf die Mit- Lessons Learned zum tung des Datenschutzes. Das wurde besonders arbeitenden. Hier sind folgende Regeln definiert: Aufbau des DSMS/ISMS mit Beginn der Anwendbarkeit der DSGVO im – Grundsätze zur Nutzung der Informatikmittel Jahr 2018 sichtbar.» – Zugangs- und Zugriffsschutz Heiner Reichlin, Vizepräsident des Verwaltungs- – Umgang mit Personendaten (Datenablage, Dru- rats der PDAG und Mitglied im Soundingboard IT-Sicherheit ist nicht automatisch cken und Scannen, Stellvertretende Zugriffe, betont: «Angriffe auf Daten und Informationen Datenschutz Cloud Computing, Sicheres Löschen von Daten). erfolgen heute fast ausschliesslich über den – Schutz bei der Datenübermittlung (E-Mail und Weg des ‹social engineering›. Die Aufklärung «Die Gleichsetzung von IT-Sicherheit und Daten- Internet) und Schulung unserer Mitarbeiter zu ‹awaren- schutz führt häufig zu einem folgenschweren – Sicher und mobil unterwegs ess› hat deshalb für die PDAG höchste Priori- Missverständnis: Wenn die Unternehmenslei- – Umgang mit Geräten und Einrichtungen im tät.» Und Felix Schaub, Projektleiter, ergänzt: tung glaubt, alles Notwendige für die IT-Sicher- Informatikumfeld «In der PDAG konnte dieses Herkules-Projekt heit getan zu haben, meint sie damit oft auch 36 clinicum 2-22
Gesundheit/Medizin den Anforderungen des Datenschutzes zu men zur IT-Sicherheit nicht per se datenschutz- Weitere Informationen genügen. Oft wird jedoch verkannt, dass IT- konform oder gar datenschutzfreundlich sind. Sicherheit nur teilweise mit dem Datenschutz Vielmehr bedarf es dazu einer Analyse und Felix.Schaub@pdag.ch (Projektleiter) deckungsgleich ist», führt Werner Rykart weiter Bewertung der möglichen Massnahmen zur www.pdag.ch aus: «Abgesehen davon, dass die IT-Sicherheit Feststellung und Abwehr von sicherheitsrele- die gesamte (auch nichtpersonenbezogene) vanten Vorfällen. Dank der guten Zusammen- Datenverarbeitung betrifft, muss sich erst ein arbeit aller Beteiligten wird dies heute in der «Gespür» dafür herausbilden, dass Massnah- PDAG sichergestellt.» Die Psychiatrischen Dienste Aargau Die Psychiatrischen Dienste Aargau (PDAG) gewährleisten die psychiatrische Behandlung und Betreuung mit Notfalldienst und Krisenintervention für die Kantonsbevölkerung. Massgeschneiderte stationäre und ambulante sowie konsiliarische Angebote bestimmen die Behandlungsart, die individuell zu Betroffenen, ihrer Krankheit und Lebenssituation passt. Die Leistungen werden in den vier Kliniken (Klinik für Kinder- und Jugendpsychiatrie und Psychotherapie, Klinik für Psychiatrie und Psychotherapie, Klinik für Forensische Psychiatrie, Klinik für Konsiliar-, Alters- und Neuropsychiatrie) und 14 ambulanten dezentralen Einrich- tungen erbracht. Seit 2004 sind die PDAG eine Aktiengesellschaft im Eigentum des Kantons Aargau. Für die PDAG arbeiten rund 1400 Personen in über 50 Berufen. Die PDAG sind Lehrspital der Medizinischen Fakultät der Universität Zürich und Ausbildungsstätte für Berufe im Gesundheitswesen. Felix Schaub, Projektleiter Unternehmensentwick- lung Psychiatrische Dienste Aargau AG Sie haben das Datenschutz- und Informationssicherheitskonzept massgeblich kreiert: von oben links nach rechts: Felix Schaub (Projektleiter), Dr. med. Heiner Reichlin (Vizepräsident VR PDAG), Dr. Hans Urs Schneeberger (Geschäftsführer vaka); von unten links nach rechts: lic.iur., LL.M. Raphael Krawietz (Leiter Rechtsdienst & Datenschutzberater PDAG), Werner Rykart (Leiter Informatik PDAG), Gabi Hilpert (Leiterin HR Business Partner/Stv. Leiterin Human Resources PDAG). clinicum 2-22 37
Sie können auch lesen