Suchen
Datenschutz.jpg

Datenschutz 1 | Bringen Sie Ordnung in Ihre Daten!

04. Oktober 2018 / France Santi
Wie können Sie in Ihrer Institution die neuen Datenschutzbe-stimmungen erfüllen? Wir unterstützen Sie dabei mit einer Reihe von Blog-Beiträgen zum Thema. In diesem Artikel zeigen wir Ihnen, wie Sie Ihre Daten sichten, klassifizieren und schützen können.

Das zukünftige neue Schweizer Datenschutzgesetz soll Personen, die ihre personenbezogenen Daten angeben, mehr Rechte einräumen. Damit Sie die neuen Anforderungen erfüllen können, müssen Sie vorbereitet sein. Im Folgenden zeigen wir Ihnen, wie Sie eine Bestandesaufnahme machen und die Daten klassifizieren sowie schützen können.

 

1.    Bestandsaufnahme machen

Erstellen Sie ein Inventar von allen Daten, die Ihre Institution verarbeitet und speichert. Und halten sie fest, wo Sie diese Daten lagern. Vergessen Sie kein Speichermedium (digital, Papier, Foto, Ton, Film etc.) und keinen Speicherort (Server, Notebook, Handy, Cloud, Backup, Datenauslagerung etc.).

 

2.    Daten klassifizieren

Teilen Sie Ihre Daten in Kategorien ein. Eine Unterteilung in vertrauliche, interne und öffentliche Daten hat sich bewährt. Achten Sie auf eine einfache Gliederung. Was genau ist unter vertraulichen Daten zu verstehen? Vertraulich sind u.a. die Personendaten. Darunter versteht man alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Artikel 3 des Bundesgesetzes über den Datenschutz (DSG) gibt darüber im Detail Auskunft. Vertraulich sind auch Daten über
•    religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
•    Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der Sozialhilfe und
•    administrative oder strafrechtliche Verfolgungen und Sanktionen.

Mit Personendaten sind alle Angaben gemeint, die sich auf eine bestimmte oder bestimmbare Person beziehen (Adresse, Alter, politische Ansichten, Gesundheit etc.).

3.    Daten schützen

Legen Sie die Schutzmassnahmen für die einzelnen Kategorien fest. Unten finden Sie eine To-do-Liste mit 6 Punkten, die Sie beachten sollten. Rechts veranschaulichen wir die Punkte am Praxisbeispiel "Medizinische Akten".

1. Zugriffsrechte festlegen.
Legen Sie fest, welche Datenkategorien von welchen Personen verarbeitet werden dürfen (lesen, mutieren, löschen).

Bsp.: Sie wissen, wer das Recht hat, die medizinischen Akten (z.B. Medikationsliste) einzusehen und zu verändern.

2. Geheimnispflicht festlegen.
Lassen Sie jede Person, die mit vertraulichen Daten zu tun hat, eine Geheimhaltungsklausel unterschreiben.

Bsp.: Personen,  die  Zugang  zu  medizinischen  Akten  haben,  unterliegen der Schweigepflicht und unterschreiben eine entsprechende Geheimhaltungsklausel.

3. Informationen verschlüsseln.
Sorgen Sie für einen sicheren Datenaustausch. Informieren Sie sich über gängige technische Vorkehrungen wie beispielsweise die E-Mail-Verschlüsselung oder die Zwei-Faktor-Authentifizierung für all jene Personen, die von aussen auf die Daten der Institution zugreifen müssen.

Bsp.: Müssen Sie einen Dienstleister über die Medikation eines  Klienten informieren (z.B. Arbeitgeber), so geben Sie diese Informationen nicht unverschlüsselt weiter. Unverschlüsselte E-Mails oder USB-Sticks sind untaugliche Lösungen. Sensibilisieren Sie den Empfänger über den sicheren Umgang mit den Daten (z.B. Daten nicht ausdrucken und liegen lassen).

4. Generische Anmeldungen verhindern.
Vermeiden Sie Benutzerkonten, die für mehrere Mitarbeitende zugänglich sind (generische User Accounts). Jedes Login muss persönlich und eindeutig nachvollziehbar sein.

Bsp.: Sorgen Sie für persönliche Benutzerkonten. Sie müssen jederzeit nachvollziehen können, wer Zugang zu vertraulichen Daten (hier: die medizinischen Akten) hatte.

5. Systemaufzeichnungen kontrollieren.
IT-Systeme zeichnen Zugänge und Tätigkeiten automatisch auf. Legen Sie fest, in welchen zeitlichen Abständen der/die Datenverantwortliche die Benutzerkonten und die zugewiesenen Zugriffsrechte überprüft und bestätigt.

Bsp.: Prüfen Sie periodisch das Zugangsprotokoll und vergewissern Sie sich, dass nur berechtigte Mitarbeitende auf die medizinischen  Akten  zugegriffen haben resp. zugreifen können.

6. Trainieren Sie Ihr Personal.
Bieten Sie Schulungen im Umgang mit vertraulichen Daten an. Und machen Sie Ihre Mitarbeitenden auf die Risiken im Umgang mit Passwörtern aufmerksam.

Bsp.: Schulen Sie Ihr Personal im Umgang mit Daten und Passwörtern. Wichtig: Die Weitergabe von Passwörtern an Dritte sowie das Notieren von Passwörtern am Bildschirm oder unter der Tastatur sind ein absolutes «No Go».

 

Dieser Text ist entstanden mit Unterstützung von Ernst Liniger, Geschäftsführer der Bprex Group.


 

©Bild: 123RF/Suradech Kongkiatpaiboon

 

Weitere Artikel zum Thema Datenschutz

Datenschutz 2 | Kennen Sie Ihre IT-Umgebung?

Datenschutz 3 | Analysieren Sie Ihre IT-Risiken

Ihre Meinung zu diesem Beitrag

Webdesign by biwac webagentur