Bearbeitungsreglement Umgang mit Personendaten bei der Atupri Gesundheitsversicherung
01.01.2016
Bearbeitungsreglement
Grundsatz Mit Hilfe des BearbeitungsReglements stellt die Atupri sicher, dass die Persönlichkeits- und die Grundrechte der versicherten Personen entsprechend den gesetzlichen Bestimmungen geschützt werden.
Das Bearbeitungsreglement ist wie folgt aufgebaut: 1. Gesetzliche Grundlage / Geltungsbereich
2. Sachlicher Geltungsbereich
3. Personeller Geltungsbereich
4. Verantwortung für Umsetzung und Einhaltung des Reglements
5. Information und Schulung der Mitarbeitenden
6. Information der Geschäftspartner und für beigezogen Dritte
7. Interne Weitergabe von Daten, im Speziellen von Personendaten
8. Externe Weitergabe von Daten, im Speziellen von Personendaten
9. Akteneinsicht und Datenbekanntgabe
10. Auskunftsrecht der betroffenen Person
11.
Bearbeitung von Personendaten durch Dritte
12.
Informatiksysteme
13.
Vertrauensärztin und Vertrauensarzt
14.
Aufbewahrung und Entsorgung von Personendaten
15.
Datensammlungen
-2-
Bearbeitungsreglement
1.
Gesetzliche Grundlage / Geltungsbereich
1.1
Das vorliegende Reglement stützt sich auf
1.2
• •
das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (DSG), die Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG),
•
das Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts vom 6. Oktober 2000 (ATSG),
•
die Verordnung über den Allgemeinen Teil des Sozialversicherungsrechts vom 11. September 2002 (ATSV),
• •
das Bundesgesetz über die Krankenversicherung vom 18. März 1994 (KVG). Die Verordnung über die Krankenversicherung vom 27. Juni 1995 (KVV).
Im Bereich der obligatorischen Krankenpflegeversicherung gehen die Bestimmungen des ATSG und des KVG den Bestimmungen des DSG vor. Die Bestimmungen des DSG gelten subsidiär.
1.3.
Für den Bereich der privaten Versicherung (VVG-Versicherungen) gelten ausschliesslich die Bestimmungen des Datenschutzgesetzes (DSG).
2.
Sachlicher Geltungsbereich
Dieses Reglement gilt für jede automatisierte und manuelle Bearbeitung von Daten von natürlichen und juristischen Personen.
3.
Personeller Geltungsbereich
Das Reglement gilt für alle Mitarbeiterinnen und Mitarbeiter im Innen- und Aussendienst der Atupri, für Geschäftspartner sowie für beigezogene Dritte gemäss Art. 14 DSG, die Zugang zu den Räumlichkeiten oder Einblick in Personendaten der Atupri haben.
4.
Verantwortung für Umsetzung und Einhaltung des Reglements
Datenschutz ist in erster Linie Sache aller Mitarbeiter/innen der Atupri. Jede Mitarbeiterin und jeder Mitarbeiter ist in ihrem /seinem Zuständigkeitsbereich verantwortlich, dass sie /er das Reglement einhält. Jede Führungskraft ist in ihrem Zuständigkeitsgebiet verantwortlich, dass sie und ihre Mitarbeiter/innen das Reglement umsetzen und einhalten.
-3-
Bearbeitungsreglement
Die Vorgesetzten haben ihre Mitarbeiter/innen über die Datenschutzrichtlinien und das Reglement der Atupri regelmässig, mindestens jedoch einmal pro Jahr zu informieren. Neue, aber auch wiederkommende Mitarbeiter/innen sind im Rahmen der Einführung durch den Vorgesetzten auf die gesetzliche Schweigepflicht hinzuweisen. Für die Umsetzung und Koordination der Bestimmungen über den Datenschutz ist bei der Atupri die Abteilung Controlling und Compliance zuständig.
5.
Information und Schulung der Mitarbeitenden
Die Atupri weist sämtliche Mitarbeiter/innen bei Stelleneintritt auf die Grundsätze des Datenschutzes sowie auf die gesetzliche Schweigepflicht gemäss Art. 33 ATSG hin. Jede/r Mitarbeiter/in unterschreibt den Erhalt des vorliegenden Reglements. Artikel 11.1 Abs. 1 Abschnitte 2 und 3 der Allgemeinen Anstellungsbedingungen (AAB) sind integrierende Bestandteile des vorliegenden Reglements über die Anwendung der Datenschutzrichtlinien.
Die Mitarbeiterinnen und Mitarbeiter werden über Neuerungen betr. Datenschutz und Datensicherheit informiert. Die Führungskräfte stellen sicher, dass die Mitarbeiterinnen und Mitarbeiter die Bedeutung des Reglements verstehen und fördern ihr Bewusstsein in Sachen Datenschutz und Datensicherheit.
Bei Änderungen resp. Neuerungen wird die Information der Mitarbeiter/innen durch die Abteilung Controlling und Compliance wahrgenommen.
6.
Information der Geschäftspartner und für beigezogen Dritte
Bei sämtlichen Zusammenarbeitsverträgen mit Geschäftspartnern und beigezogenen Dritten welche Zugriff auf unsere Datenbestände haben, sind bei Vertragsabschluss die Grundsätze des Datenschutzes sowie die gesetzliche Schweigepflicht gemäss Art. 33 ATSG zu regeln. Dazu soll mit der Vertragsunterzeichnung das Bearbeitungsreglement als integrierender Bestandteil des Vertrages bezeichnet werden.
7.
Interne Weitergabe von Daten, im Speziellen von Personendaten
Bei der internen Weitergabe von Daten, im Speziellen von Personendaten, beachtet die Atupri das Verhältnismässigkeitsprinzip. Die Mitarbeiter/innen sorgen dafür, dass nur die zur Aufgabenerfüllung notwendigen Daten weitergegeben werden.
-4-
Bearbeitungsreglement
8.
Externe Weitergabe von Daten, im Speziellen von Personendaten
Eine externe Weitergabe von Daten, im Speziellen von Personendaten, erfolgt nur an Berechtigte (gemäss Art. 8 dieses Reglements). Die Berechtigung ist im Einzelfall genau zu prüfen. Auskünfte über Daten werden nur in schriftlicher Form an die Adresse der versicherten Person geschickt. Auf die Weitergabe von besonders schützenswerten Personendaten über externe Kommunikationsnetze (z.B. via Email, Telefon) ist strikte zu verzichten.
Zu beachten sind insbesondere: Art. 84a KVG: Bekanntgabe von Daten Art. 32 Abs. 2 ATSG und Art. 82 KVG: Verwaltungshilfe Art. 120 KVV: Informationspflicht der Versicherer Art. 47 ATSG: Akteneinsicht Art. 14 DSG
9.
Akteneinsicht und Datenbekanntgabe
Die Atupri gewährt den im Gesetz genannten Personen und Stellen Akteneinsicht (Art. 47 ATSG).
Sofern überwiegende Privatinteressen gewahrt bleiben, steht die Akteneinsicht zu: a.
der versicherten Person für die sie betreffenden Daten;
b.
den Parteien für die Daten, die sie benötigen, um einen Anspruch oder eine Verpflichtung nach dem Sozialversicherungsgesetz zu wahren oder zu erfüllen oder um ein Rechtsmittel gegen eine auf Grund desselben Gesetzes erlassene Verfügung geltend zu machen.;
c.
Behörden, die zuständig sind für Beschwerden gegen auf Grund eines Sozialversicherungsgesetzes erlassene Verfügungen, für die zur Erfüllung dieser Aufgabe erforderlichen Daten;
d.
der haftpflichtigen Person und ihrem Versicherer für die Daten, die sie benötigen, um eine Rückgriffsforderung der Sozialversicherung zu beurteilen.
Handelt es sich um Gesundheitsdaten, deren Bekanntgabe sich für die zur Einsicht berechtigte Person gesundheitlich nachteilig auswirken könnte, so kann von ihr verlangt werden, dass sie einen Arzt oder eine Ärztin bezeichnet, der oder die ihr diese Daten bekannt gibt. Die Atupri gibt den im Gesetz genannten Personen und Stellen (Art. 84a KVG) Daten und im speziellen Personendaten nur auf schriftliches und begründetes Gesuch hin bekannt.
-5-
Bearbeitungsreglement
10. Auskunftsrecht der betroffenen Person Im Gegensatz zum Akteneinsichtsrecht gemäss Art. 47 ATSG sind beim Auskunftsrecht nach Art. 8 (DSG) der betroffenen Person alle über sie in Datensammlungen vorhandenen Daten mitzuteilen.
11.
Bearbeitung von Personendaten durch Dritte
Die Atupri ist befugt, Personendaten, einschliesslich besonders schützenswerte Personendaten und Persönlichkeitsprofile, durch Dritte bearbeiten zu lassen (Art. 84 KVG; Art. 14 DSG).
Die Atupri bleibt dabei für den Datenschutz verantwortlich und hat dafür zu sorgen, dass die Personendaten auftragsgemäss bearbeitet werden (Art. 22 Verordnung zum Bundesgesetz über den Datenschutz (VDSG)).
12.
Informatiksysteme
Die Atupri schützt ihr Informatiksystem so, dass sie die Dienstleistung an ihre versicherten Personen unter angemessener Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit erbringen kann. Dazu gelten insbesondere die Anforderungen aus der Verordnung zum Bundesgesetz über den Datenschutz 235.11 Artikel 8-11. Dies wird durch folgende Massnahmen erreicht: a) Zugriffskontrollen b) Datensicherung (Back-up, Archivierung) c) Netzwerksicherheit (vertrauenswürdige Netze)
13.
Vertrauensärztin und Vertrauensarzt
Die Tätigkeit der Vertrauensärzte der Atupri richtet sich nach Art. 57 KVG und dem Vertrauensarztvertrag.
Dies bedeutet insbesondere: • • • •
Die Vertrauensärzte sind befugt, bei der Arbeit Hilfspersonen beizuziehen. Die Hilfspersonen unterstehen dem ärztlichen Berufsgeheimnis. Die Vertrauensärzte tragen die Verantwortung für die Auswahl, die Instruktion und Überwachung der Hilfspersonen. Die Vertrauensärzte gewährleisten den vertraulichen Umgang mit den an sie gerichteten oder für sie bestimmten Informationen.
-6-
Bearbeitungsreglement
14. Aufbewahrung und Entsorgung von Personendaten Die Mitarbeiter/innen der Atupri haben bei der Aufbewahrung und bei der Entsorgung von Personendaten dafür zu sorgen, dass unberechtigte Dritte keinen Zugang, Zugriff oder Einsicht in die Daten der versicherten Personen haben.
Das bedeutet insbesondere: Bei der Entsorgung von Papier ist darauf zu achten, dass besonders schützenswerte Daten (u.a. Krankengeschichten, Anträge, Ausdrucke und Listen des ERP-Systems usw.) weder der Papiersammlung noch dem gewöhnlichen Kehricht zugeführt werden. Diese Papiere sind dem Schredder zuzuführen oder unter Aufsicht eines/r Mitarbeiter/in zu vernichten. Bei der Entsorgung von Informatik-Datenträgern (Harddisk, Band, CD/DVD, Diskette) sind sämtliche Daten durch ein sicheres Verfahren zu löschen. Dazu können die Medien dem ITVerantwortlichen übergeben werden. In einem zweiten Arbeitsgang ist der entsprechende Datenträger mechanisch unleserlich zu machen.
Personendaten werden gemäss den gesetzlichen Aufbewahrungsvorschriften aufbewahrt.
15.
Datensammlungen
Die Atupri führt eine Liste mit sämtlichen Datensammlungen.
Atupri Gesundheitsversicherung
Vorsitzender der Geschäftsleitung
Leiter Controlling & Compliance
Christof Zürcher
Jürg Wermuth
Bern, 1. Januar 2016
Anhang
-7-
Bearbeitungsreglement
Begriffsdefinition Begriff
Erläuterungen
Personendaten
Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Besonders schützenswerte Personendaten
Daten über: • • • •
Die Gesundheit (Diagnosen, Arztberichte usw.), die Intimsphäre oder die Rassenzugehörigkeit Massnahmen der sozialen Hilfe Administrative oder strafrechtliche Verfolgungen und Sanktionen Die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten Quelle: Bundesgesetz über den Datenschutz (DSG)
Begriff
Erläuterungen
Persönlichkeitsprofil
Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt
Bearbeiten
Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren, oder Vernichten von Daten
Bekanntgeben
Zugänglichmachen von Personendaten wie das Einsicht gewähren, Weitergeben oder Veröffentlichen
Datensammlung
Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind
-8-