Upload
ngominh
View
216
Download
1
Embed Size (px)
Citation preview
Risikobasiertes Denken in 9001:2015
ecoprotec GmbH
gegründet im Jahr 2000 mittelständisches Ingenieurbüro
Umweltschutz Qualitätsmanagement Sicherheit (Arbeits-, Betriebs-, Anlagen- und
Baustellensicherheit) Branchenübergreifend tätig
Unterstützung durch ein Netzwerk von qualitätsgeprüften Kooperationspartnern.
Firmenprofil
Die ecoprotec GmbH ist deutschlandweit tätig.
Unsere Standorte befinden sich in: Paderborn (Hauptsitz) Düsseldorf Dortmund Frankfurt a. M. Hamburg München
Standorte
Leistungsspektrum
Vortrag
Risikobasiertes Denken in 9001:2015
Novellierung
Kritische Prozessabläufe beurteilen
Mögliche Vorbeuge- und Korrekturmaßnahmen ableiten
Unabhängig von Branche, Größe, Art der Zertifizierung, usw.
Risikobasiertes Denken
Quelle: DNV GL
Risikopotenziale erkennen
HIGH LEVEL STRUCTURE
Risikobewertung
Was fordert die Norm?
ISO 9001:2015 fordert einen risikobasierten Ansatz bei Festlegung von Prozessabläufen
Kein Risikomanagement nach ISO 31000 Risiken und Chancen bestimmen Maßnahmen zum Umgang mit Risiken und Chancen planen
Risiken eliminieren Risiken minimieren Risiken akzeptieren
Wirksamkeit bewerten
InputInput
Risikobewertung
Wo fange ich wie an?
KernprozesseKernprozesse
FührungsprozesseFührungsprozesse
Unterstützende Prozesse
Unterstützende Prozesse
OutputOutput
BDSG
Warum BDSG?
Wann unterliegt ein Unternehmen den Vorschriften des BDSG?
Wenn personenbezogene Daten verarbeitet werden
z.B. Mitarbeiterdaten, Lieferantendaten, Kundendaten
Wann ist ein betrieblicher Datenschutzbeauftragter zu bestellen?
Sobald 10 oder mehr Personen automatisiert Daten verarbeiten
Min. 10 Personen die am Computer arbeiten
Schnittstelle Datenschutz
5%
15%
1%
12%
31%
36%
6%
23%
1%
8%
23%
40%
2%
27%
2%
6%
29%
34%
Unbekannt
Diebstahl oder Verlustvon Datenträgern
Betrug
Insider
UnzureichendeSicherheitsrichtlinien
Hacker-Angriffe
2013 2012 2008
Ursachen von „Datenlecks“ im Jahresvergleich
Quelle: statista.com
Mögliche Risiken
Sanktionen
Imageverlust
Vertrauensbruch
Wettbewerbsrechtliche Konsequenzen
Was kann bei Datenschutzverstößen auf uns zukommen?
Mögliche Risiken
Sensible Kontakte
Kunden- / Lieferanteninformationen
Zahlen, Daten, Fakten
Das „Know-How“ des Unternehmens
Was gilt es zu schützen?
Mögliche Risiken
Telearbeitsplätze
Kommunikationswege
Häufige Reisetätigkeiten
Mobile Endgeräte
Einsatz Kooperationspartner
Wo steckt das Risiko?
Datenschutz und Datensicherheit
DatenschutzGefahr:Verletzung von PersönlichkeitsrechtenGeschützt:Natürliche Personen
DatensicherheitGefahr:Verlust, Zerstörung, Missbrauch durch Unbefugte
Geschützt:Daten, Hard- und Software
§9 BDSG nebst
Anlage
Technische und organisatorische Maßnahmen
TOM Technische und organisatorische Maßnahmen
Datensicherheit nach §9 BDSG und die 8 Gebote
Die innerbetriebliche Organisation ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei ist besonderes Augenmerk zu legen auf:
Eingabekontrolle
Zugangskontrolle
Auftragskontrolle
Verfügbarkeits-kontrolle
Zutrittskontrolle
Zugriffskontrolle
Weitergabe-kontrolle
Gebot der Datentrennung
§9
Schnittstelle Datenschutz
Diebstahl der Krankenakte von Michael Schumacher
Quelle: www.spiegel.de
Risikobewertung Ergebnis
Datenschutzorganisation
Datenschutzprozesse sind einer Risikobeurteilung zu unterziehen
Zusammenarbeit von Datenschutzbeauftragten und Qualitätsmanagementbeauftragten
Anlass zur Prüfung der gesamten Datenschutzorganisation
Beispiel
Durchführung gemeinsamer Audits (QM & DS)
Integration DS in MMR
Fazit
Quelle: www.projekt-datenschutz.de
Hätte man durch eine Risikobeurteilung Schadensbegrenzung erreicht?!
Vielen Dank!
Wir danken den Fotografen und Designern von: sxc.hu
morguefile.com
commons.wikimedia.org
photoxpress.com
fotolia.de
ecoprotec
ecoprotec GmbH B. A. Patrick [email protected]
Fon 052 51 / 877 888-320Fax 052 51 / 877 888-880
Stand B05Fragen?
Beispiel: Risikobewertung
Nr. Prozess mögliche Risiken mögliche Konsequenz Risikostufe1 | 2 | 3 | 4
Umgang mit Risiko Vorbeugemaßnahme Korrekturmaßnahme
1 Patientenaufnahme
Keine Unterzeichnung der Einwilligungserklärung. Daten werden unberechtigterweise verarbeitet. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen gegen verantwortliche Stelle 3 minimieren Schulung der Mitarbeiter Einführen einer Systematik
2 BehandlungJeder Mitarbeiter hat Zugriff auf alle Patientenakten. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen gegen verantwortliche Stelle 3 eliminieren
Prüfung des Berechtigungskonzeptes, Zugriffskontrolle
-
3 Behandlung
Unbefugte erhalten Zutritt zu Behandlungsräumen / Patientenzimmer. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen gegen verantwortliche Stelle 3 minimieren Prüfung der Zutrittskontrollen Anpassung an die Erfordernisse
4 Behandlung Informationsweitergabe durch Mitarbeiter an unberechtigte Dritte.
Sanktionen, arbeitsrechtliche Konsequenzen 3 minimieren
Schulung der Mitarbeiter, Unterzeichnung Verschwiegenheitsverpflichtung
Einholen einer Einwilligung der Betroffenen
5 BehandlungAushang mit Zimmerbelegung öffentlich einsehbar. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen 2 eliminieren Schulung der Mitarbeiter, Prinzip der Datensparsamkeit beachten Aushang entfernen
6 Visite
Visistenwagen mit Behandlungsunterlagen ist nicht verschlossen. Informationen über Patienten können durch unbefugte eingesehen werden. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen, Vertrauensbruch 4 eliminierenSchulung der Mitarbeiter, Anweisung Visitenwagen zu verschließen
Durchführung regelmäßiger Datenschutzschulungen und -begehungen
7 Visite Behandlungsunterlagen werden im Patientenzimmer vergessen.
Sanktionen, Vertrauensbruch, Verletzung des Persönlichkeitsrechts des Betroffenen.
4 minimieren Prüfung des Dokumentationsmediums Unterlagen mitnehmen
8 Behandlungs-dokumentation
mobiles Endgerät wird geklaut / geht verloren.
Datenverlust, Sanktionen, Verletzung des Persönlichkeitsrechts des Betroffenen.
3 minimierenregelmäßige Backups, IT-Richtlinie zum Umgang mit mobilen Endgeräten
mobiles Endgerät sperren, Daten löschen
9 Behandlungs-dokumentation Daten werden geklaut und veröffentlicht.
Sanktionen gegen verantwortliche Stelle, Imageverlust, monetäre Schäden, Verletzung des Persönlichkeitsrechts des Betroffenen.
4 minimieren
Penetrationstest, Verschlüsselung sensibler Daten und Datenträger / mobiler Endgeräte, Schulung von Mitarbeitern
Veröffentlichung der "Datenpanne", Öffentliche Stellungnahme
10 Patientenverlegung
Behandlungsunterlagen gehen bei der Weitergabe an weiterbehandelnden Arzt verloren. Unberechtigte erhalten Einblick in die Krankenakte. Verletzung des Persönlichkeitsrechts des Betroffenen.
Sanktionen gegen verantwortliche Stelle, Imageschäden
3 minimieren
Prüfung der Weitergabekontrolle (Daten verschlüsseln, Papierdaten in verschlossenen Transportbehältern), Vertrag zur Auftragsdatenverarbeitung
Seite 1 von 1 Risikobewertung
Wahrscheinlichkeit des Auftretens
gering mittel groß
gering
groß
mittel
1 2 3
1
2
3Sc
hwer
e8
7
3
2
5
10 9
4
1
6