Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts

Die Seite wird erstellt Melina Neubert
 
WEITER LESEN
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Gesundheit/Medizin

Daten und Informationen sind das Gold des 21. Jahrhunderts

Wann ist sicher wirklich sicher?
Nach einem Jahr Aufbauarbeit betreibt die Psychiatrische Dienste Aargau AG (PDAG) ein inter-
disziplinäres Datenschutz- und Informationssicherheits-Managementsystem. Die ersten Erfahrungen
zeigen: Das System funktioniert und baut Mauern zwischen Organisationseinheiten ab.

Die PDAG handeln definitiv nicht mit Gold. Aber,      tatsächlich ein wichtiger Treiber. Gerade das          Klares Verständnis von
die personenbezogenen Daten ihrer Patienten,          revidierte nationale Datenschutzgesetzt                «Managementsystem»
Mitarbeitenden und Partner sind mindestens            (revDSG), welches voraussichtlich Ende 2022
so wertvoll und daher besonders schützens-            ohne Übergangsfrist in Kraft tritt, stellt die Orga-   Selbstverständlich haben sich die PDAG auch
wert. Raphael Krawietz, der Leiter des PDAG           nisationen vor grosse Herausforderungen. Für           in der Vergangenheit um den Datenschutz und
Rechtsdienstes meint dazu: «Eine patienten-           die PDAG bedeutet ein funktionierender Daten-          die Informationssicherheit gekümmert. Gerade
zentrierte Behandlung ohne funktionierenden           schutz aber weit mehr als das formelle Einhalten       in der IT-Sicherheit sind die PDAG mit ihrem
Datenschutz ist nicht möglich. Der Datenschutz        von Gesetzen. Es geht darum, den Datenschutz           professionellen IT-Provider, der HINT AG, seit
ist ein (Mindest-) Qualitätsmerkmal medizini-         und die mit dem Datenschutz zwangsläufig ver-          Jahren hervorragend aufgestellt. Ausdruck die-
scher Leistungen, denn hier geht es um die            bundene Informationssicherheit täglich auf eine        ser Professionalität ist die ISO 27001-Zertifizie-
informationelle Selbstbestimmung.»                    praxistaugliche Art und Weise zu leben. Werner         rung der HINT AG. Mit dem aufgebauten
                                                      Rykart, Leiter der PDAG Informatik, ist überzeugt:     Managementsystem katapultieren sich die
Eine menschliche Firewall bilden                      «Das grösste Risiko im Datenschutz- und der            PDAG in eine neue Sphäre des Datenschutzes
                                                      Informationssicherheit ist der Faktor Mensch.          und der Informationssicherheit hoch. Dies
Nur, was bedeutet ein funktionierender Daten-         Entscheidend sind sensibilisierte Mitarbeitende,       bedeutet insbesondere: Die PDAG geht weg von
schutz für ein Spital? Zählt am Ende nicht einfach    welche eine menschliche Firewall bilden.» – Mit        punktuellen Einzelmassnahmen und hin zu sys-
die Compliance gegenüber den kantonalen und           dieser Überzeugung hat die PDAG im vergange-           tematisch gesteuerten Massnahmen in Sinne
nationalen Gesetzen? – Die Einhaltung der             nen Jahr ein ganzheitliches Datenschutz- und           des Deming-Kreislaufes; auf Basis einer fass-
Gesetze, wobei für die PDAG die kantonale sowie       Informationssicherheits-Managementsystem               baren Datenschutz- und Informationssicher-
die Bundesgesetzgebung Anwendung findet, ist          (DSMS/ISMS) aufgebaut.                                 heitsstrategie. Isoliertes Wissen von Einzelper-

Die Psychiatrischen Dienste Aargau haben Pionierarbeit geleistet in Sachen Datenschutz. Unser Bild zeigt eine Impression des Hauptsitzes in Königsfelden.

                                                                                                                                           clinicum 2-22    33
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Gesundheit/Medizin

sonen im Rechtsdienst und der Informatik                   DSK, deren Mitglieder als «Brückenbauer» zwi-         – Reporting: Regelmässige Information des
wurde durch aktiv vernetztes Wissen über alle              schen dem «theoretischen Datenschutz» und der           CEO, Erstellung des Jahresberichts zuhan-
Bereiche und Kliniken ersetzt.                             «Praxis» agieren. Die DSK hilft den Datenschutz         den der Geschäftsleitung und der Daten-
                                                           praxis- und alltagstauglich in der PDAG umzuset-        schutzkommission.
Das bedeutet, dass nicht geregelte Aufgaben,               zen. Hierzu gibt sie Empfehlungen zu Datenschutz-
Kompetenzen und Verantwortlichkeiten von                   Folgenabschätzungen, Datenschutzweisungen             3. Information Security Officer (ISO)
nun an klar definiert sind. Dezentrale und                 und -schulungen zu Handen der Geschäftsleitung        Auch die Funktion des ISO wurde in der PDAG
abteilungsbezogene Dokumentenablagen                       ab. Sie unterstützt den Datenschutzberater/die        neu geschaffen und wird aktuell auf Mandats-
wurden zentralisiert und nachvollziehbar gere-             Datenschutzberaterin, wenn Massnahmen im              ebene besetzt. Der Fokus des ISO liegt auf der
gelt. Zweck Sensibilisierung aller Mitarbeiten-            Zuge von Meldungen betreffend der Verletzung          Informationssicherheit. Zusammenfassend lässt
den führt die PDAG neu obligatorische                      der Datensicherheit ergriffen werden müssen. Die      sich sagen, dass der/die ISO die interne/externe
­Schulungen durch. Die teilweise dem Zufall                DSK rapportiert jährlich direkt dem CEO.              Informatik überwacht und Risiken identifiziert,
 überlassene Zusammenarbeit mit den zustän-                                                                      bewertet und behandelt. Der/die ISO ist in die
 digen Behörden wich einer bewussten Koope-                2. Datenschutzberater/                                Kontrollen von internen und externen Vorgaben
 ration; im Sinne einer vertrauensbildenden                Datenschutzberaterin (DSB)                            eingebunden, ist Mitglied der Datenschutzkom-
 Zusammenarbeit.                                           Der/die DSB überwacht die Einhaltung der Daten-       mission und ist analog zum/zur DSB in der Aus-
                                                           schutzvorschriften innerhalb der PDAG. Er/Sie ist     übung der Funktion fachlich unabhängig.
Das PDAG Datenschutz- und Informationssicher-              für die juristische Beantwortung von datenschutz-
heits-Managementsystems enthält viele wich-                rechtlichen Fragen – gegebenenfalls in Zusam-         Ablauforganisation Datenschutz und
tige Elemente. Das Framework gliedert sich                 menarbeit mit dem Rechtsdienst – zuständig. Er/       Informationssicherheit
dabei in drei Bereiche:                                    Sie überprüft gleichfalls die Konformität des DSMS    (in Abb. 1 die Pfeile)
                                                           und berät die Geschäftsleitung in Datenschutz-
1. Die Aufbauorganisation resp. die Organe des             belangen. Der/die DSB übt die Funktion fachlich       4. Auskunfts- und Informationspflicht
   Datenschutzes und der Informationssicher-               unabhängig aus und ist betreffend seiner/ihrer        Die PDAG gewährleistet durch Weisungen die
   heit (1 bis 3)                                          Funktion nicht weisungsgebunden. Folgende Auf-        Auskunfts- und Einsichtsrechte gemäss der
2. Die Ablauforganisation resp. die Prozesse des           gaben gehören u.a. zu den Aufgaben des/der DSB:       Datenschutzgesetzgebung für Patienten, Mit-
   Datenschutzes und der Informationssicher-               – Begleitet die Durchführung von Datenschutz-         arbeitende und Dritte.
   heit (4 bis 7)                                            Folgenabschätzungen
3. Die Klammern, welche Aufbau und Ablaufor-               – Sicherstellung der Bewirtschaftung des Daten-       5. Datenschutz-Folgenabschätzung
   ganisation zusammenhalten (8 und 9)                       verarbeitungsverzeichnisses                         Wird eine neue personenbezogene Datenbe-
Framework Datenschutz- und Informationssicherheit der Psychiatrische Dienste Aargau AG                           arbeitung eingeführt, z.B. die Implementierung
Abb. 1                                                                                                           einer neuen Software, muss vorab geklärt wer-
                                                                                                                 den, ob die beabsichtigte Datenbearbeitung
                                                                                                                 voraussichtlich die Persönlichkeit oder die
                                                               Ziel: Schutz von personen-
                                                           bezogenen Daten & Informationen                       Grundrechte der von der Bearbeitung betroffe-
     Hauptweisung 8                                                                                   9    IIS
                                                                                                                 nen Personen beeinträchtigen kann. Im Falle
                                                                   Konformität & Ziele
                                                                                                                 einer möglichen Betroffenheit wird unter der
     Weitere (Bearbeitung im Auftrag,...)                                                                        Federführung des/der Datenschutzberaters/in
     Auskunfts- und Informationspflicht 4                                                                        eine Datenschutz-Folgenabschätzung (DSFA)
      Datenschutz-Folgenabschätzung         5
                                                                                                                 durchgeführt. Ergibt die DSFA, dass durch die
                                                                                                      VR         beabsichtigte Datenbearbeitung ein erhöhtes
      Datenverarbeitungsverzeichnis         6   DSK          DSB           ISO           SiBe         GL         Risiko für die Persönlichkeit oder die Grundrech-
      Sensibilisierung & Befähigung         7   1             2            3
                                                                                                                 te besteht, muss entweder die eidgenössische
      Risikobeurteilung                                                                                          oder die kantonal beauftragte Person für Daten-
     Meldung Verletzungen Datensicherheit                                                                        schutz und Öffentlichkeit (ÖDB) konsultiert wer-
      Löschkonzept                                      Mitarbeitende & Organisationseinheiten
                                                      Datenschutz- & Informationssicherheits-Kultur
                                                                                                                 den, welche dann Empfehlungen zur Umsetzung
     Umgang mit Daten von Mitarbeitenden                                                                         der Datenbearbeitung abgeben kann.

                                                                                                                 6. Datenverarbeitungsverzeichnis
                                                                                                                 Voraussetzung für einen funktionierenden
Aufbauorganisation Datenschutz und                         – Bearbeitung von Meldungen über Verletzun-           Datenschutz ist die Kenntnis darüber, wo, von
Informationssicherheit                                       gen der Datensicherheit.                            wem und zu welchem Zweck, aufgrund welcher
(in Abb. 1 der Tempel)                                     – Sicherstellung des Auskunftsrechtes                 Grundlage personenbezogene Datenbearbei-
                                                           – Durchführungen von Datenschutzschulungen            tungen vorgenommen werden. Aus diesem
1. Datenschutzkommission (DSK)                               gemäss Schulungskonzept                             Grund führt die PDAG ein Verzeichnis über die
Seit Ende 2020 ist die gesetzlich nicht vorgeschrie-       – Vertragliche Sicherstellung/Prüfung von Ver-        Bearbeitungstätigkeiten im Sinne von Art. 11 des
bene DSK operativ tätig, d.h. die PDAG betreibt die          trägen bei Auftragsdatenbearbeitung (Out-           Bundesgesetzes über den Datenschutz (revDSG)
DSK aus Überzeugung. Die DSK wird vom Leiter                 sourcing)                                           vom 25. September 2020. Der Inhalt dieses Ver-
Rechtsdienst und dem Leiter Informatik geführt.            – Durchführung von Kontrollen betreffend die          zeichnisses ist:
Alle Kliniken und Bereiche haben Einsitze in die             Umsetzung des Datenschutzes                         a. Identität des Verantwortlichen

34       clinicum 2-22
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Gesundheit/Medizin

                                              Klinik / Bereich

                                                                                           Prüfen, ob
                                                                                    personenbezogene Daten                                                                  Massnahmen umsetzen
                                                                                       bearbeitet werden        Keine
                                                                 Neue                                           personen-
 Prozess Datenschutz-Folgenabschätzung PDAG

                                                                 Datenbearbeitung          Personen-            bezogenen
                                                                 und / oder                bezogenen            Daten
                                                                 neues Tool                Daten

                                                                                                                                    Trotz                                       Massnahmen-
                                                                                                                                 Massnahmen                                     Empfehlungen
                                                                                                                                 hohes Risiko?                                  OEDB / EÖDB
                                                                    Einschätzung vorhnehmen:        Hohes                                                                        vorliegend
                                                                                                    Risiko                                                                                         ÖDB / EDÖB
                                                                        Hohes Risiko für die                                                   JA      Vorabkonsultation
                                                                                                             DSFA durchführen                                                                     Rückmeldung
                                                                    Persönlichkeit oder für die                                                         ÖDB oder EDÖB                                geben
                                                                          Grundrechte?
                                                                                                                                        NEIN
                                              DSB

                                                                                         Geringes
                                                                                         Risiko

                                                                                                                                                    ÖDB oder EDÖB über DSFA /
                                                                                                                                                     Massnahmen informieren

                                                                                                                         DSB informier DVV-
                                                                                                                          Verantwortlichen

Abb. 2

b. Bearbeitungszweck                                                                                           gleicht einer Herkules-Aufgabe und ist nach                  Eine «High Level» Spiegelung des Datenverarbei-
c. Beschreibung der Kategorien betroffener Per-                                                                der Erfahrung der Projektverantwortlichen der                tungsverzeichnisses ist auf der Website der
   sonen (z.B. Patientinnen und Patienten, Mitar-                                                              PDAG mit Standard-Office-Tools nicht über-                   PDAG abrufbar. Hier weisen die PDAG allen Inte-
   beitende etc.)                                                                                              sichtlich zu bewerkstelligen. Die PDAG hat                   ressierten transparent aus, zu welchen Zwecken
d. Kategorien der betroffene Personendaten                                                                     daher 2020 eine Software-Evaluation durch-                   und mit welcher gesetzlichen Legitimation sie
   (z.B. besonders schützenswerte Personen-                                                                    geführt und setzen heute zur Bewirtschaftung                 personenbezogene Daten bearbeiten:
   daten)                                                                                                      des Datenverarbeitungsverzeichnisses die                     www.pdag.ch/ueber-die-pdag/
e. Kategorien der Empfänger (z.B. Behörden usw.)                                                               spezialisierte Software ZOA ein.                             umgang-mit-personendaten/
f. Aufbewahrungsdauer (wenn möglich) oder
   Kriterien, nach welchen sich die Aufbewah-                                                                  Abb. 3
   rungsdauer richten (vgl. Zusammenhang zu
   «Bearbeitungszweck»).
g. Gesetzliche Grundlage bzw. Beschreibung des
   überwiegenden Interesses, auf deren Basis
   die Bearbeitungen erfolgen.
h. Beschreibung der Massnahmen zur Gewähr-
   leistung der Datensicherheit (wenn möglich)
i. Allgemeine Beschreibung der Massnahmen
   zur Gewährleistung der Datensicherheit.

Die PDAG konnten durch die auf Datenschutz-
recht spezialisierten Anwälte Lukas Bühlmann
und Marco Meier (MLL Meyerlustenberger
Lachenal Froriep AG) kompetente Partner fin-
den, um zunächst die Anforderungen an ein
Datenverarbeitungsverzeichnis, welches auf
die PDAG zugeschnitten ist, zu definieren. Die
anschliessende unternehmensweite Erfas-
sung der Datenverarbeitungen erfolgte dann
durch ein interdisziplinäres Team unter der
Führung eines Projektleiters der Unterneh-
mensentwicklung, der IT und dem Rechts-
dienst. Die Erhebung der Datenverarbeitungen

                                                                                                                                                                                                       clinicum 2-22   35
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Gesundheit/Medizin

7. Sensibilisierung und Befähigung                  – Missbrauch und Kontrollen                       dank drei Faktoren in nur einem Jahr durch-
Die PDAG investieren im laufenden Jahr viel Zeit    – Sanktionierung                                  gezogen werden:
und Geld in die Schulung der Mitarbeitenden,
Awarness-Trainings und interne Audits. Der          Einer der wichtigsten Faktoren, dass das DSMS/    1. Das starke Commitment des Top-Manage-
Schwerpunkt liegt hier bei der Informations-        ISMS nicht als auf «dem Reissbrett erstelltes        ments war während des ganzen Projekts spür-
resp. der IT-Sicherheit. Hier identifizieren die    Dokument» verkümmert, ist die Kunst, dem Gan-        bar. Das ist nach meiner Erfahrung in solchen
PDAG eines ihrer grössten Betriebsrisiken. Als      zen «Leben einzuhauchen». Dieses «Einhau-            Fleissprojekten nicht selbstverständlich.
Grundschulung wurde deshalb ein professionel-       chen» gelingt, indem die Mitarbeitenden moti-     2. Wir verfügten über eine hervorragend funk-
les E-Learning eingeführt.                          viert werden, selbst die Datenschutzthematiken       tionierende Projektorganisation, dank Mitglie-
                                                                                                         dern mit einer hohen Arbeitsdisziplin. Das tönt
                                                                                                         unspektakulär, ist aber entscheidend.

PDAG Informationssicherheit
                                                                                                      3. Der Blick über den Tellerrand – Input von
                                                                                                         Extern: Einerseits wurde das Projekt durch die
                                                                                                         VAKA (Branchenverband der Aargauer Spitä-
                                                                                                         ler, Kliniken und Pflegeinstitutionen) begleitet.
Einleitung und Allgemeiner Überblick                                                                     Die VAKA betreibt eine Fachstelle für Daten-
                                                                                                         schutz und koordiniert die Umsetzung des
                                                                                                         kantonalen Datenschutzgesetztes (IDAG) im
                                                                                                         Kanton Aargau. Anderseits verglichen wir
Formen der Cyberkriminalität                                                                             unsere Arbeit immer wieder mit anderen Spi-
                                                                                                         tälern, welche auf diesem Gebiet führend sind.
                                                                                                         Das half enorm.»

                                                                                                      Interdisziplinäre Qualitäten sind gefragt
Zutritts-, Zugangs- und Zugriffsschutz
                                                                                                      Hans Urs Schneeberger, Geschäftsführer VAKA
                                                                                                      und Mitglied Soundingboard bestätigt denn
                                                                                                      auch: «Der Datenschutz in der PDAG ist profes-
Sicher im Internet                                                                                    sionell aufgebaut und sehr weit fortgeschritten.»
                                                                                                      Auf einen besonders wertvollen Erfolgsfaktor
                                                                                                      weist Raphael Krawietz, Leiter Rechtsdienst und
                                                                                                      Mitglied Projektteam, hin: «Die Thematik des
Mobil Unterwegs                                                                                       Datenschutzes und der Informatiksicherheit ist
                                                                                                      derart komplex, dass ausschliesslich ein inter-
                                                                                                      disziplinärer Ansatz erfolgsversprechend ist. Das
                                                                                                      haben wir alle gelernt und ich bin stolz darauf,
Zentrale Weisungen für die Aufbau-                  zu erkennen. Die PDAG konnten bereits in der      wie wir über die Abteilungsgrenzen zusammen-
und Ablauforganisation                              Projektphase erfahren, wie immer mehr Mitar-      gerückt sind.»
(in Abb. 1 die Klammern)                            beitende für die Thematik sensibilisiert waren
                                                    und sich aktiv einbrachten. Sie erkannten, dass   Gabi Hilpert, Stv. Leiterin HR und Mitglied Projekt-
8. und 9. Hauptweisung Datenschutz und              die Thematik Datenschutz nicht ein abstraktes     ausschuss stimmt voll und ganz zu: «Das bisher
Weisung betreffend die Informations-                rechtliches Thema ist, sondern es sich um prak-   leidige Thema Datenschutz!? Mit einem tollen,
und Informatiksicherheit (IIS)                      tische Fragen handelt, mit welchen sie täglich    interdisziplinären und motivierten Team berei-
Die Hauptweisung betreffend den Datenschutz         konfrontiert sind. Es steht daher für die PDAG    tete es sogar ‹Spass›, diese Meilensteine zu
und die Weisung betreffend die Informations-        ausser Frage, dass die Basis des Datenschutz,     setzen.» Werner Rykart, Leiter Informatik und
und Informatiksicherheit sind die zentralen Wei-    die Mitarbeitenden, durch regelmässige Schu-      Mitglied Projektteam meint zusammenfassend:
sungen, welche Aufbau- und Ablauforganisation       lungen im Datenschutz weitergebildet werden.      «Mit der Digitalisierung und Vernetzung von
des DSMS/ISMS zusammenhalten. Besonders                                                               Diensten und Produkten steigt auch die Bedeu-
die IIS hat einen täglichen Impact auf die Mit-     Lessons Learned zum                               tung des Datenschutzes. Das wurde besonders
arbeitenden. Hier sind folgende Regeln definiert:   Aufbau des DSMS/ISMS                              mit Beginn der Anwendbarkeit der DSGVO im
– Grundsätze zur Nutzung der Informatikmittel                                                         Jahr 2018 sichtbar.»
– Zugangs- und Zugriffsschutz                       Heiner Reichlin, Vizepräsident des Verwaltungs-
– Umgang mit Personendaten (Datenablage, Dru-       rats der PDAG und Mitglied im Soundingboard       IT-Sicherheit ist nicht automatisch
  cken und Scannen, Stellvertretende Zugriffe,      betont: «Angriffe auf Daten und Informationen     Datenschutz
  Cloud Computing, Sicheres Löschen von Daten).     erfolgen heute fast ausschliesslich über den
– Schutz bei der Datenübermittlung (E-Mail und      Weg des ‹social engineering›. Die Aufklärung      «Die Gleichsetzung von IT-Sicherheit und Daten-
  Internet)                                         und Schulung unserer Mitarbeiter zu ‹awaren-      schutz führt häufig zu einem folgenschweren
– Sicher und mobil unterwegs                        ess› hat deshalb für die PDAG höchste Priori-     Missverständnis: Wenn die Unternehmenslei-
– Umgang mit Geräten und Einrichtungen im           tät.» Und Felix Schaub, Projektleiter, ergänzt:   tung glaubt, alles Notwendige für die IT-Sicher-
  Informatikumfeld                                  «In der PDAG konnte dieses Herkules-Projekt       heit getan zu haben, meint sie damit oft auch

36      clinicum 2-22
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Gesundheit/Medizin

den Anforderungen des Datenschutzes zu                  men zur IT-Sicherheit nicht per se datenschutz-          Weitere Informationen
genügen. Oft wird jedoch verkannt, dass IT-             konform oder gar datenschutzfreundlich sind.
Sicherheit nur teilweise mit dem Datenschutz            Vielmehr bedarf es dazu einer Analyse und                Felix.Schaub@pdag.ch (Projektleiter)
deckungsgleich ist», führt Werner Rykart weiter         Bewertung der möglichen Massnahmen zur                   www.pdag.ch
aus: «Abgesehen davon, dass die IT-Sicherheit           Feststellung und Abwehr von sicherheitsrele-
die gesamte (auch nichtpersonenbezogene)                vanten Vorfällen. Dank der guten Zusammen-
Datenverarbeitung betrifft, muss sich erst ein          arbeit aller Beteiligten wird dies heute in der
«Gespür» dafür herausbilden, dass Massnah-              PDAG sichergestellt.»

                                                          Die Psychiatrischen Dienste Aargau

                                                          Die Psychiatrischen Dienste Aargau (PDAG) gewährleisten die psychiatrische Behandlung und
                                                          Betreuung mit Notfalldienst und Krisenintervention für die Kantonsbevölkerung.

                                                          Massgeschneiderte stationäre und ambulante sowie konsiliarische Angebote bestimmen die
                                                          Behandlungsart, die individuell zu Betroffenen, ihrer Krankheit und Lebenssituation passt.
                                                          Die Leistungen werden in den vier Kliniken (Klinik für Kinder- und Jugendpsychiatrie und
                                                          Psychotherapie, Klinik für Psychiatrie und Psychotherapie, Klinik für Forensische Psychiatrie,
                                                          Klinik für Konsiliar-, Alters- und Neuropsychiatrie) und 14 ambulanten dezentralen Einrich-
                                                          tungen erbracht.

                                                          Seit 2004 sind die PDAG eine Aktiengesellschaft im Eigentum des Kantons Aargau. Für
                                                          die PDAG arbeiten rund 1400 Personen in über 50 Berufen. Die PDAG sind Lehrspital
                                                          der Medizinischen Fakultät der Universität Zürich und Ausbildungsstätte für Berufe im
                                                          Gesundheitswesen.
Felix Schaub, Projektleiter Unternehmensentwick-
lung Psychiatrische Dienste Aargau AG

Sie haben das Datenschutz- und Informationssicherheitskonzept massgeblich kreiert: von oben links nach rechts: Felix Schaub (Projektleiter), Dr. med. Heiner Reichlin
(Vizepräsident VR PDAG), Dr. Hans Urs Schneeberger (Geschäftsführer vaka); von unten links nach rechts: lic.iur., LL.M. Raphael Krawietz (Leiter Rechtsdienst &
Datenschutzberater PDAG), Werner Rykart (Leiter Informatik PDAG), Gabi Hilpert (Leiterin HR Business Partner/Stv. Leiterin Human Resources PDAG).

                                                                                                                                               clinicum 2-22     37
Wann ist sicher wirklich sicher? - Daten und Informationen sind das Gold des 21. Jahrhunderts
Sie können auch lesen