Einleitung
In dieser Dokumentation finden sie technische Informationen zur EU-Datenschutz-Grundverordnung. Zusätzliches Informations-Material finden Sie auf unserer Homepage unter dem Link: Landingpage EU-DSGVO
Die Inhalte wurden mit großer Sorgfalt recherchiert. Dennoch kann Infoniqa keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar.
Ab 25. Mai 2018 gilt in ganz Europa ein neues Datenschutzrecht. Die EU-Datenschutz-Grundverordnung (DSGVO) oder GDPR (General Data Protection Regulation), die am 4. Mai 2016 im Europäischen Amtsblatt veröffentlicht wurde, löst die alte Richtlinie aus 1995 ab. An diese Richtlinie müssen sich nicht nur Unternehmen mit Sitz in der EU halten, sondern auch alle Unternehmen außerhalb der EU, die EU-Bürgern Produkte oder Dienstleistungen anbieten oder ihr Verhalten beobachten.
Was bedeutet EU-DSGVO?
Durch die EU-Datenschutz-Grundverordnung (EU-DSGVO), soll ein harmonisiertes gesetzliches Rahmenwerk für den Datenschutz in der EU etabliert werden. Ziel ist es, den Bürgern wieder die Kontrolle über ihre personenbezogenen Daten zu geben und strikte Regeln für diejenigen aufzustellen, die diese Daten speichern und „verarbeiten“ – überall auf der Welt. Die Verordnung führt auch Regeln zum freien Verkehr von personenbezogenen Daten innerhalb und ausserhalb der EU ein.
Die EU-DSGVO legt Mindestanforderungen für die Behandlung sämtlicher personenbezogener Daten fest. Personenbezogen sind alle Daten, anhand derer eine natürliche Person identifiziert werden kann oder die ihr in verschiedener Hinsicht zugeordnet sind (einschliesslich des Erscheinungsbildes oder sogar biometrische Daten).
Die meisten Unternehmen erheben personenbezogene Daten von dem Moment an, in dem sie mit einer natürlichen Person in Kontakt treten. Oft tun sie dies noch nicht einmal bewusst.
Weiter geht es mit detaillierten Einträgen zu einer Person in einer Customer-Relationship-Management-Datenbank (CRM) und weit darüber hinaus. Selbst wenn diese personenbezogenen Daten ausschliesslich zum Vorteil und im Sinne der natürlichen Person erhoben oder verarbeitet werden, fallen sie dennoch in den Anwendungsbereich der EU-DSGVO.
Was sind persönliche Daten?
Persönliche Daten gemäß Verordnung sind beispielsweise:
-
Vorname Nachname
-
Anschrift
-
Familienstand
-
Geburtsdatum
-
E-Mail-Adressen
-
Telefonnummer
-
Personalausweisnummer
-
Sozialversicherungsnummer
-
Benutzerkonto
-
Social-Media-Posts
-
IP-Adressen
-
Medizinische Informationen
-
Bild / Video einer oder mehrerer Personen
-
Unterschrift
-
Bank Details
-
Etc.
Umsetzung DSGVO in Infoniqa ONE 200
Infoniqa Kunden, bzw. deren Unternehmen sind als Eigentümer der Daten für die Einhaltung der Pflichten zur EU-DSGVO selbst verantwortlich. Die Softwarelösungen von Infoniqa in der jeweils aktuellsten, unter Wartung befindlichen Version (bestehender Softwarepflege- und Nutzungsvertrag vorausgesetzt) können Infoniqa Kunden lediglich dabei unterstützen, die Anforderungen der EU-DSGVO zu erfüllen.
Wo gibt es in Infoniqa ONE 200 personenbezogene Daten
Übersicht
Anwendung |
Funktion |
Bemerkung |
---|---|---|
Finanz |
Debitoren |
Debitorenstamm |
|
Kreditoren |
Kreditorenstamm |
|
Daten |
Adressen |
|
Einstellungen |
Verzeichnis Datenaustausch |
Personal |
Person |
Personalstamm |
|
Organisation |
Stellenstamm (Ersteller) |
|
Bewerber |
Bewerberstamm |
|
Daten |
Adressen |
|
Einstellungen / Personal |
Verzeichnis Datenexport Direct |
|
Einstellungen / Vorschlag |
Verzeichnis Zahlungsverkehr |
|
Einstellungen |
Verzeichnis Datenaustausch |
Auftrag |
Adressstamm |
Allgemeine Informationen |
|
Kundenstamm |
Allgemeine Informationen |
|
Lieferantenstamm |
Allgemeine Informationen |
|
Belegköpfe |
Belegkopf: |
CRM |
Adress- / Kontaktansicht |
|
Heim |
Adressstamm |
Allgemeine Angaben |
|
Bewohnerstamm |
Abrechnungen |
|
Mitglieder- /Spendenverwaltung |
Hinterlegte Notizen |
|
Aufenthalte verwalten |
Diagnosen |
Pflegedoku |
Verlauf Medizin Doku / Beobachtung Pflege / Betreuung Prz |
Alle Register
|
|
Bewohner / Spez SD |
|
|
Verwaltung |
Zugriffsrechte Mitarbeiter / Allgemein |
In Infoniqa ONE 200 ist es möglich bei gewissen Stammdaten individuelle Felder anzufügen. Diese Anpassungen sind zu prüfen, ob sich da personenbezogene Felder befinden.
Bemerkung zu den Modulen Heim und Pflegedokumentation: Der Umgang mit den Personeninformationen der Infoniqa ONE 200 Extra Care Modulen Heim und Pflege unterliegen den Bestimmungen folgender Gesetze: Krankenversicherungsgesetz KVG, Krankenversicherungsaufsichtsgesetz KVAG, Sozialversicherungsgesetz ATSG.
Löschen von persönlichen Daten
Verlangt ein Kunde oder Mitarbeiter seine persönlichen Daten im System zu löschen, gibt es verschieden Möglichkeiten. Grundsätzlich ist zu erwähnen, dass keine Daten automatisch gelöscht, unterdrückt oder anonymisiert werden. Der Entscheid des Entfernens eines Datensatzes ist immer in der Verantwortung des Benutzers. Ist ein Datensatz identifiziert und zum Löschen bereit, darf er niemals auf der Datenbank direkt gelöscht werden. Dies verursacht ein inkonsistenter Zustand der Datenbank und kann zu massiven Problemen führen. Weiter muss beachtet werden, dass die lokalen Aufbewahrungsfristen von Dokumenten gemäss Gesetzgeber berücksichtigt werden müssen.
-
Individuelle Anpassungen in Stammdaten
-
Lokalisieren von individuellen Anpassungen in den Stammdaten auf personenbezogene Daten. Sind keine Verknüpfungen vorhanden und ist die Aufbewahrungspflicht erfüllt, können die Daten manuell gelöscht werden
-
Kunde ohne Bewegungsdaten mit Aufbewahrungspflicht
-
In der Tabelle sind alle Stammdaten aufgeführt, wo sich personenbezogene Daten befinden.
-
Die Daten können manuell gelöscht werden
-
Mail an Kunden, Daten sind gelöscht.
-
Kundendaten löschen mit Belegen
-
Check ob es sich um eine natürliche Person handelt
-
Identitätsprüfung
-
Kundendaten unter der Aufbewahrungspflicht von 10 Jahren
-
Kunde sperren, inaktiv setzen
-
Vermerk machen, Kunde nach 10 Jahren maskieren (manuell)
-
Mail an Kunden senden (Mail-Text in der Doku abbilden)
-
Personenbezogene Daten ausserhalb der Aufbewahrungspflicht
-
Suchen Sie in den Stammdaten der entsprechende Datensatz
-
Sie können die Daten des Kunden oder Mitarbeiters unkenntlich machen, indem Sie beschreibende Felder z.B. mit XXXXX überschreiben.
Massnahmen zur Datensicherheit
Für die Datensicherheit bei der Verarbeitung von personenbezogenen Daten gelten unter anderem folgende Massnahmen:
Verschlüsselung von personenbezogenen Daten (z.B. Passwortsicherung von Dateien)
Datensicherungen müssen sicher und verschlüsselt aufbewahrt werden, so dass man ohne die entsprechenden Rechte, auch nicht von ausserhalb über schlecht gesicherte Backups auf personalisierte Daten zugreifen kann. Es muss beim Backup ein Passwort hinterlegt werden können, wenn der Kunde aus einer Infoniqa ONE 200-Applikation eine Datensicherung (zip oder normal) erstellt.
„Normale Sicherungen“ muss der Kunde über seine Backupprozesse sicherstellen und an einen sicheren Ort speichern können.
Die meisten Anforderungen sind in Infoniqa ONE 200 durch das Datenbanksystem MSSQL gesichert. Folgende Punkte müssen allerdings geprüft werden:
-
Gibt es Daten mit persönlichen Informationen ausserhalb des SQL Servers dann müssen diese verschlüsselt oder auf andere Art gesichert werden (Passwort)
-
Schnittstellen dürfen nur noch verschlüsselt Daten von einem System zum anderen übertragen sofern eine Abhörung leicht zu bewerkstelligen ist. Verschlüsselung, sichere Verbindung HTTPS oder ähnliches
Hinweis zur Passwort-Verwaltung:
-
Es braucht eine Regelung für die Verwaltung von Passwörtern. Ein Passwort sollte eine Mindestlänge aufweisen, sollte Sonderzeichen beinhalten und ein Ablaufdatum haben.
Datenexport aus Ihrer Infoniqa ONE 200-Applikation
Werden Daten aus Infoniqa ONE 200 mit anderen Systemen ausgetauscht (zum Beispiel: Bonitätsmanagement) muss sichergestellt sein, dass der Drittanbieter die Kriterien der Datenschutz-Anforderungen erfüllt.
Datenbereinigung
Die personenbezogenen Daten müssen identifiziert werden und das System muss dem Benutzer auch erlauben, Daten zu korrigieren.
Im Infoniqa ONE 200 können alle Daten mit dem Ereignismonitor aufgezeichnet und protokolliert werden.
Benutzer- Rechteverwaltung
Mit der heutigen Benutzer- / Rechteverwaltung (Zugriffsberechtigung im Admin) ist das Thema abgedeckt. Hinweis auf Benutzer- / Rechteverwaltung beim Eröffnen eines Benutzers. Eventuell alle Rechte wegnehmen (Default-Einstellung) und bei der Eröffnung neu setzen.
Es ist darauf zu achten, dass dies auch über alle Schnittstellen sichergestellt sein muss. Kein Zugriff auf Daten ohne entsprechende Benutzer.
Über Schnittstellen kann nur zugegriffen werden, wenn entsprechende User angelegt sind. Kein Datentransfer egal auf welche Seite ohne entsprechenden User und Rechte.
Es muss überprüft werden wie die Standarduser angelegt werden (Passwortsicherheit) und ob es irgendeine Möglichkeit gibt dies Passwörter auszulesen (SQL Wizard/Scripts). Gegebenenfalls muss dies verschlüsselt werden.
Daten ausserhalb EWR-Raum
Daten dürften nicht ausserhalb des Geltungsbereichs von GDPR transferiert oder gesichert werden. (EWR-Raum). Hier muss vor allem der Kunde, aber auch Drittanbieter für Datensicherungen (z.B. Clouds) sicherstellen, dass die Daten nicht ausserhalb des Geltungsbereichs von GDPR gespeichert werden. Als dürfen z.B. keine Personendaten in Nordamerika gespeichert oder gesichert werden.
Ansonsten muss der Anbieter sowie der Kunde sicherstellen, dass die Grundsätze von GDPR eingehalten werden.