IE 11 ist ein sehr veralteter Browser und wird auf dieser Webseite nicht mehr unterstützt.

Datenschutz, IT Sicherheit und Cyberkriminalität

GRI-Report

Als Gesundheitsdienstleisterin steht der Schutz der Patientendaten für Galenica an oberster Stelle. Galenica stellt sicher, dass diese Informationen vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind.

graphic

GRI 418: Schutz der Kundendaten
Datenschutz

GRI 103-1
Erläuterung des wesentlichen Themas und seiner Abgrenzung

Mit fortschreitender Digitalisierung des Schweizer Gesundheitswesens wachsen die Bedeutung des Datenschutzes und die rechtlichen Anforderungen an die Datenbearbeitung. Datenschutz umfasst den Umgang mit Patienten- und Kundendaten und verfolgt das Ziel, die Privatsphäre der Patienten bei der Verarbeitung ihrer Daten zu schützen. Bei Gesundheitsdaten handelt es sich um sensible Informationen, die per Gesetz besonders vor Missbrauch geschützt werden müssen. Insbesondere in der Service Unit Pharmacies und bei HCI Solutions spielt das Thema Datenschutz eine zentrale Rolle. Galenica stellt sicher, dass die Patientendaten vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind.

Ziele

Galenica hat folgende Ziele definiert:

  • Wir führen zweimal pro Jahr Sensibilisierungsmassnahmen für unsere Mitarbeitenden im Bereich Datenschutz durch.

Eine Übersicht aller Nachhaltigkeitsziele finden Sie hier.

GRI 103-2
Der Managementansatz und seine Bestandteile

Datenschutz-Policy und Schulungen der Mitarbeitenden

Galenica wird bei diesem wichtigen Thema von einem externen, unabhängigen Datenschutzbeauftragten begleitet. Die Datenschutz-Policy bildet den übergeordneten Rahmen und wird durch spezifische Reglemente und Weisungen für die Gruppengesellschaften ergänzt. Alle Arbeitsverträge von Mitarbeitenden, die Einsicht in Personendaten haben, enthalten zudem eine Datenschutzklausel. Alle Mitarbeitenden werden regelmässig bezüglich Datenschutz geschult und sensibilisiert.

Datenschutzrevision im Fokus

Das Parlament hat Ende September 2020 die Totalrevision des Bundesgesetzes über den Datenschutz (nDSG) verabschiedet. Mit der Revision wird das Datenschutzgesetz den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das revidierte Datenschutzgesetz führt zu zahlreichen Angleichungen an die EU-Datenschutz-Grundverordnung (DSGVO). Galenica verfolgt die laufenden Entwicklungen und prüft, inwiefern Anpassungen notwendig sind. 2021 hat Galenica ein internes Projekt gestartet, um die Galenica Gruppe für die Anforderungen aus dem nDSG und der neuen Verordnung zum Bundesgesetz über den Datenschutz (nVDSG) fit zu machen.

2021 hat die Vernehmlassung zur Revision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) begonnen. Der Rechtsdienst eruiert den aktuellen Stand von Galenica in Bezug auf das Datenschutzgesetz und setzt die gesetzlichen Bestimmungen um. Zudem verfolgt der Rechtsdienst der Gruppe weiterhin die Praxis der EU-DSGVO.

Datenschutz-Circle

Der Datenschutz-Circle bietet Mitarbeitenden des Rechtsdiensts, der IT und aus dem operativen Bereich eine Plattform, um datenschutzrechtliche Themen und Fragen gruppenweit anzugehen, zu koordinieren und präventive Massnahmen frühzeitig umzusetzen. Das Gremium leistet damit einen wesentlichen Beitrag zur Einhaltung des Datenschutzrechts. Geleitet wird der Datenschutz-Cirlcle von der Generalsekretärin. Angesiedelt ist das Gremium beim Rechtsdienst.

GRI 103-3
Beurteilung des Managementansatzes

  • Überprüfungen: Um die Einhaltung der gesetzlichen Bestimmungen und einen hohen Standard beim Umgang mit Personendaten zu gewährleisten, verfolgt Galenica die laufenden datenschutzrechtlichen Gesetzesänderungen und führt regelmässig Überprüfungen durch.

GRI 418-1
Begründete Beschwerden in Bezug auf die Verletzung des Schutzes und den Verlust von Kundendaten

Im Berichtsjahr liegen keine begründeten Beschwerden in Bezug auf die Verletzung des Schutzes der Kundendaten vor und es gibt keine ermittelten Fälle von Datendiebstahl und Datenverlusten.

Eigenes wesentliches Thema
IT-Sicherheit und Cyberkriminalität

GRI 103-1
Erläuterung des wesentlichen Themas und seiner Abgrenzung

Mit zunehmender Digitalisierung des Gesundheitswesens steigt die Gefahr von Cyberattacken. Deshalb ist die IT-Sicherheit bei Galenica von hoher Relevanz. Als Gesundheitsdienstleisterin bearbeitet Galenica sensible Informationen und Daten. Galenica stellt sicher, dass diese vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind. Bei den Logistikbetrieben und Apotheken ist der Schutz der IT-Systeme entscheidend, um letztlich die Versorgungssicherheit der Bevölkerung zu gewährleisten. Einer der grössten Risikofaktoren im Zusammenhang mit Cyberattacken ist der Mensch, denn viele Cyberangriffe zielen auf die Mitarbeitenden ab, beispielsweise mittels betrügerischen E-Mails (Phishing).

Ziele

Galenica hat zusätzlich folgendes Ziel definiert:

  • Wir sensibilisieren unsere Mitarbeitenden im Bereich IT-Sicherheit und Cyberkriminalität.

Des Weiteren hat Galenica interne Ziele im Bereich IT-Sicherheit und Cyberkriminalität definiert.

Eine Übersicht aller Nachhaltigkeitsziele finden Sie hier.

GRI 103-2
Der Managementansatz und seine Bestandteile

Verantwortlichkeiten

Auf Gruppenebene wird das Thema IT-Sicherheit vom Chief Information Security Officer (CISO) koordiniert. Dieser leitet zusammen mit dem Team den sogenannten IT-Security-Circle, dem die IT-Security-Verantwortlichen der Galenica Gruppe angehören. Das Gremium tagt quartalsweise und berät sowie koordiniert Massnahmen zur Informations- und IT-Sicherheit. Diese werden von den Mitgliedern in ihren jeweiligen Unternehmen umgesetzt. Im Zuge der Zusammenführung der IT-Kompetenzen aller Galenica Unternehmen in die Service Unit IT & Digital Services ist 2021 auch die IT-Security-Strategie zentralisiert worden. Ziel ist eine gruppenweit verlässliche und effiziente IT-Security zu erreichen.

Klare Richtlinien regeln den Betrieb

Die IT-Security-Policy definiert die Ziele der Informations- und IT-Sicherheit, die Kompetenzen und Verantwortlichkeiten sowie die IT-Sicherheitsprinzipien der Galenica Gruppe. Die Policy gilt für alle Gesellschaften der Galenica Gruppe und bildet die Grundlage aller schriftlichen IT-Sicherheitsanweisungen. Daneben hält das IT-Nutzungsreglement die sicherheitsbezogenen Verhaltensregeln im Umgang mit IT-Arbeitsmitteln fest, wie zum Beispiel die Nutzung von privaten Geräten, das Arbeiten von unterwegs oder im Home-Office. Das IT-Security-Manual schliesslich richtet sich an die Mitarbeitenden der IT-Abteilungen und regelt den sicheren IT-Betrieb.

Sensibilisierte Mitarbeitende

Um die Informations- und IT-Sicherheit zu gewährleisten, ist die Mitwirkung aller Mitarbeitenden erforderlich. Neben den technischen Massnahmen fördert Galenica deshalb das Sicherheitsbewusstsein der Mitarbeitenden durch spezifische E-Learning-Module und Intranet-News. Bereits am Einführungstag werden neue Mitarbeitende für die wesentlichen Elemente des IT-Nutzungsreglements sensibilisiert. 2021 hat Galenica für alle Mitarbeitenden diverse E-Learning-Module zu Datensicherheit und dem Umgang mit Phishing und Cyberangriffen implementiert und ausgerollt. Ausserdem wurden regelmässig Informationen zu Cyberkriminalität im Intranet für die Mitarbeitenden publiziert.

GRI 103-3
Beurteilung des Managementansatzes

  • Security Audit: Die IT-Security-Policy und ihre Umsetzung wird regelmässig durch interne Stellen oder externe Spezialisten auf ihre Aktualität und Wirksamkeit geprüft.
  • Monitoring: Das Security-Monitoring-System überwacht sämtliche IT-Systeme und schlägt Alarm bei Auffälligkeiten. Dies wird durch eine externes Security Operation Center (SOC) sichergestellt.
  • E-Learning: Die Teilnehmerquote an den E-Learning-Modulen zu Datensicherheit und Cybersicherheit werden regelmässig erhoben und ausgewertet.

Eigener Indikator
Teilnahme an E-Learnings

Im Berichtsjahr wurden zwei E-Learnings im Bereich IT-Sicherheit und Cyberkriminalität angeboten. Die Teilnehmerquote lag durchschnittlich bei 88%.

Galenica verwendet Cookies, um die Funktionen der Website zu optimieren und Ihnen das bestmögliche Erlebnis zu gewährleisten. Gebrauch von Cookies & Disclaimer