Datenschutz, IT Sicherheit und Cyberkriminalität
Als Gesundheitsdienstleisterin steht der Schutz der Patientendaten für Galenica an oberster Stelle. Galenica stellt sicher, dass diese Informationen vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind.
GRI 418: Schutz der Kundendaten
Datenschutz
GRI 103-1
Erläuterung des wesentlichen Themas und seiner Abgrenzung
Mit fortschreitender Digitalisierung des Schweizer Gesundheitswesens wachsen die Bedeutung des Datenschutzes und die rechtlichen Anforderungen an die Datenbearbeitung. Datenschutz umfasst den Umgang mit Patienten- und Kundendaten und verfolgt das Ziel, die Privatsphäre der Patienten bei der Verarbeitung ihrer Daten zu schützen. Bei Gesundheitsdaten handelt es sich um sensible Informationen, die per Gesetz besonders vor Missbrauch geschützt werden müssen. Insbesondere in der Service Unit Pharmacies und bei HCI Solutions spielt das Thema Datenschutz eine zentrale Rolle. Galenica stellt sicher, dass die Patientendaten vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind.
Ziele
Galenica hat folgende Ziele definiert:
- Wir führen zweimal pro Jahr Sensibilisierungsmassnahmen für unsere Mitarbeitenden im Bereich Datenschutz durch.
Eine Übersicht aller Nachhaltigkeitsziele finden Sie hier.
GRI 103-2
Der Managementansatz und seine Bestandteile
Datenschutz-Policy und Schulungen der Mitarbeitenden
Galenica wird bei diesem wichtigen Thema von einem externen, unabhängigen Datenschutzbeauftragten begleitet. Die Datenschutz-Policy bildet den übergeordneten Rahmen und wird durch spezifische Reglemente und Weisungen für die Gruppengesellschaften ergänzt. Alle Arbeitsverträge von Mitarbeitenden, die Einsicht in Personendaten haben, enthalten zudem eine Datenschutzklausel. Alle Mitarbeitenden werden regelmässig bezüglich Datenschutz geschult und sensibilisiert.
Datenschutzrevision im Fokus
Das Parlament hat Ende September 2020 die Totalrevision des Bundesgesetzes über den Datenschutz (nDSG) verabschiedet. Mit der Revision wird das Datenschutzgesetz den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das revidierte Datenschutzgesetz führt zu zahlreichen Angleichungen an die EU-Datenschutz-Grundverordnung (DSGVO). Galenica verfolgt die laufenden Entwicklungen und prüft, inwiefern Anpassungen notwendig sind. 2021 hat Galenica ein internes Projekt gestartet, um die Galenica Gruppe für die Anforderungen aus dem nDSG und der neuen Verordnung zum Bundesgesetz über den Datenschutz (nVDSG) fit zu machen.
2021 hat die Vernehmlassung zur Revision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) begonnen. Der Rechtsdienst eruiert den aktuellen Stand von Galenica in Bezug auf das Datenschutzgesetz und setzt die gesetzlichen Bestimmungen um. Zudem verfolgt der Rechtsdienst der Gruppe weiterhin die Praxis der EU-DSGVO.
Datenschutz-Circle
Der Datenschutz-Circle bietet Mitarbeitenden des Rechtsdiensts, der IT und aus dem operativen Bereich eine Plattform, um datenschutzrechtliche Themen und Fragen gruppenweit anzugehen, zu koordinieren und präventive Massnahmen frühzeitig umzusetzen. Das Gremium leistet damit einen wesentlichen Beitrag zur Einhaltung des Datenschutzrechts. Geleitet wird der Datenschutz-Cirlcle von der Generalsekretärin. Angesiedelt ist das Gremium beim Rechtsdienst.
GRI 103-3
Beurteilung des Managementansatzes
- Überprüfungen: Um die Einhaltung der gesetzlichen Bestimmungen und einen hohen Standard beim Umgang mit Personendaten zu gewährleisten, verfolgt Galenica die laufenden datenschutzrechtlichen Gesetzesänderungen und führt regelmässig Überprüfungen durch.
GRI 418-1
Begründete Beschwerden in Bezug auf die Verletzung des Schutzes und den Verlust von Kundendaten
Im Berichtsjahr liegen keine begründeten Beschwerden in Bezug auf die Verletzung des Schutzes der Kundendaten vor und es gibt keine ermittelten Fälle von Datendiebstahl und Datenverlusten.
Eigenes wesentliches Thema
IT-Sicherheit und Cyberkriminalität
GRI 103-1
Erläuterung des wesentlichen Themas und seiner Abgrenzung
Mit zunehmender Digitalisierung des Gesundheitswesens steigt die Gefahr von Cyberattacken. Deshalb ist die IT-Sicherheit bei Galenica von hoher Relevanz. Als Gesundheitsdienstleisterin bearbeitet Galenica sensible Informationen und Daten. Galenica stellt sicher, dass diese vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind. Bei den Logistikbetrieben und Apotheken ist der Schutz der IT-Systeme entscheidend, um letztlich die Versorgungssicherheit der Bevölkerung zu gewährleisten. Einer der grössten Risikofaktoren im Zusammenhang mit Cyberattacken ist der Mensch, denn viele Cyberangriffe zielen auf die Mitarbeitenden ab, beispielsweise mittels betrügerischen E-Mails (Phishing).
Ziele
Galenica hat zusätzlich folgendes Ziel definiert:
- Wir sensibilisieren unsere Mitarbeitenden im Bereich IT-Sicherheit und Cyberkriminalität.
Des Weiteren hat Galenica interne Ziele im Bereich IT-Sicherheit und Cyberkriminalität definiert.
Eine Übersicht aller Nachhaltigkeitsziele finden Sie hier.
GRI 103-2
Der Managementansatz und seine Bestandteile
Verantwortlichkeiten
Auf Gruppenebene wird das Thema IT-Sicherheit vom Chief Information Security Officer (CISO) koordiniert. Dieser leitet zusammen mit dem Team den sogenannten IT-Security-Circle, dem die IT-Security-Verantwortlichen der Galenica Gruppe angehören. Das Gremium tagt quartalsweise und berät sowie koordiniert Massnahmen zur Informations- und IT-Sicherheit. Diese werden von den Mitgliedern in ihren jeweiligen Unternehmen umgesetzt. Im Zuge der Zusammenführung der IT-Kompetenzen aller Galenica Unternehmen in die Service Unit IT & Digital Services ist 2021 auch die IT-Security-Strategie zentralisiert worden. Ziel ist eine gruppenweit verlässliche und effiziente IT-Security zu erreichen.
Klare Richtlinien regeln den Betrieb
Die IT-Security-Policy definiert die Ziele der Informations- und IT-Sicherheit, die Kompetenzen und Verantwortlichkeiten sowie die IT-Sicherheitsprinzipien der Galenica Gruppe. Die Policy gilt für alle Gesellschaften der Galenica Gruppe und bildet die Grundlage aller schriftlichen IT-Sicherheitsanweisungen. Daneben hält das IT-Nutzungsreglement die sicherheitsbezogenen Verhaltensregeln im Umgang mit IT-Arbeitsmitteln fest, wie zum Beispiel die Nutzung von privaten Geräten, das Arbeiten von unterwegs oder im Home-Office. Das IT-Security-Manual schliesslich richtet sich an die Mitarbeitenden der IT-Abteilungen und regelt den sicheren IT-Betrieb.
Sensibilisierte Mitarbeitende
Um die Informations- und IT-Sicherheit zu gewährleisten, ist die Mitwirkung aller Mitarbeitenden erforderlich. Neben den technischen Massnahmen fördert Galenica deshalb das Sicherheitsbewusstsein der Mitarbeitenden durch spezifische E-Learning-Module und Intranet-News. Bereits am Einführungstag werden neue Mitarbeitende für die wesentlichen Elemente des IT-Nutzungsreglements sensibilisiert. 2021 hat Galenica für alle Mitarbeitenden diverse E-Learning-Module zu Datensicherheit und dem Umgang mit Phishing und Cyberangriffen implementiert und ausgerollt. Ausserdem wurden regelmässig Informationen zu Cyberkriminalität im Intranet für die Mitarbeitenden publiziert.
GRI 103-3
Beurteilung des Managementansatzes
- Security Audit: Die IT-Security-Policy und ihre Umsetzung wird regelmässig durch interne Stellen oder externe Spezialisten auf ihre Aktualität und Wirksamkeit geprüft.
- Monitoring: Das Security-Monitoring-System überwacht sämtliche IT-Systeme und schlägt Alarm bei Auffälligkeiten. Dies wird durch eine externes Security Operation Center (SOC) sichergestellt.
- E-Learning: Die Teilnehmerquote an den E-Learning-Modulen zu Datensicherheit und Cybersicherheit werden regelmässig erhoben und ausgewertet.
Eigener Indikator
Teilnahme an E-Learnings
Im Berichtsjahr wurden zwei E-Learnings im Bereich IT-Sicherheit und Cyberkriminalität angeboten. Die Teilnehmerquote lag durchschnittlich bei 88%.