Datenschutz, IT Sicherheit und Cyberkriminalität

GRI 418: Schutz der Kundendaten
Datenschutz

GRI 3-3
Management der wesentlichen Themen

Mit fortschreitender Digitalisierung des Schweizer Gesundheitswesens wachsen die Bedeutung des Datenschutzes und die rechtlichen Anforderungen an die Datenbearbeitung. Datenschutz umfasst den Umgang mit Patienten- und Kundendaten und verfolgt das Ziel, die Privatsphäre der Patienten bei der Verarbeitung ihrer Daten zu schützen. Bei Gesundheitsdaten handelt es sich um sensible Informationen, die per Gesetz besonders vor Missbrauch geschützt werden müssen. Insbesondere in der Service Unit Pharmacies und bei HCI Solutions spielt das Thema Datenschutz eine zentrale Rolle. Galenica stellt sicher, dass die Patientendaten vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind. Datenschutz bildet auch eine wichtige Grundlage für eine friedliche und inklusive Gesellschaft sowie starke Institutionen.

Datenschutz-Policy und Schulungen der Mitarbeitenden

Galenica wird bei diesem wichtigen Thema von einem externen, unabhängigen Datenschutzbeauftragten begleitet. Die Datenschutz-Policy bildet den übergeordneten Rahmen und wird durch spezifische Reglemente und Weisungen für die Gruppengesellschaften ergänzt. Alle Arbeitsverträge von Mitarbeitenden, die Einsicht in Personendaten haben, enthalten zudem eine Datenschutzklausel. Alle Mitarbeitenden werden regelmässig bezüglich Datenschutzes geschult und sensibilisiert. Im Berichtsjahr hat der Rechtsdienst ein neue E-Learning zum Thema Datenschutz erarbeitet, welches 2023 lanciert wird.

Datenschutzrevision im Fokus

Das Parlament hat Ende September 2020 die Totalrevision des Bundesgesetzes über den Datenschutz (nDSG) verabschiedet. Das nDSG und die neue Verordnung zum Bundesgesetz über den Datenschutz (nVDSG) treten am 1. September 2023 in Kraft. Mit der Revision wird das Datenschutzgesetz den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt. Das revidierte Datenschutzgesetz führt zu zahlreichen Angleichungen an die EU-Datenschutz-Grundverordnung (DSGVO) und bringt neue Pflichten für Unternehmen mit sich. Galenica arbeitet an der Umsetzung dieser neuen Anforderungen. Die Informationspflicht ist eine dieser neuen Anforderungen. Vor diesem Hintergrund hat Galenica 2022 eine Datenschutzerklärung für Mitarbeitende publiziert und einen neuen Prozess zur Ausübung des Auskunftsrechts erarbeitet, welcher betroffenen Personen ermöglicht die Kontrolle über die eigene Personendaten zu haben. Zudem verfolgt der Rechtsdienst der Gruppe weiterhin die Praxis der EU-DSGVO.

Datenschutz-Circle

Der Datenschutz-Circle bietet Mitarbeitenden des Rechtsdiensts, der IT und aus dem operativen Bereich eine Plattform, um datenschutzrechtliche Themen und Fragen gruppenweit anzugehen, zu koordinieren und präventive Massnahmen frühzeitig umzusetzen. Das Gremium leistet damit einen wesentlichen Beitrag zur Einhaltung des Datenschutzrechts. Geleitet wird der Datenschutz-Circle von der Generalsekretärin. Angesiedelt ist das Gremium beim Rechtsdienst.

Beurteilung des Managementansatzes und der Massnahmen

Überprüfungen: Um die Einhaltung der gesetzlichen Bestimmungen und einen hohen Standard beim Umgang mit Personendaten zu gewährleisten, verfolgt Galenica die laufenden datenschutzrechtlichen Gesetzesänderungen und führt regelmässig Überprüfungen durch.

GRI 418-1
Begründete Beschwerden in Bezug auf die Verletzung des Schutzes und den Verlust von Kundendaten

Im Berichtsjahr liegen keine begründeten Beschwerden in Bezug auf die Verletzung des Schutzes der Kundendaten vor und es gibt keine gesetzliche Ermittlung von Fällen von Datendiebstahl und Datenverlusten.

Eigenes wesentliches Thema
IT-Sicherheit und Cyberkriminalität

GRI 3-3
Management der wesentlichen Themen

Mit zunehmender Digitalisierung des Gesundheitswesens steigt die Gefahr von Cyberattacken. Deshalb ist die IT-Sicherheit bei Galenica von hoher Relevanz. Als Gesundheitsdienstleisterin bearbeitet Galenica sensible Informationen und Daten. Galenica stellt sicher, dass diese vor unberechtigten Zugriffen und unerlaubten Änderungen oder Verlusten geschützt sind. Bei den Logistikbetrieben und Apotheken ist der Schutz der IT-Systeme entscheidend, um letztlich die Versorgungssicherheit der Bevölkerung zu gewährleisten. Einer der grössten Risikofaktoren im Zusammenhang mit Cyberattacken ist der Mensch, denn viele Cyberangriffe zielen auf die Mitarbeitenden ab, beispielsweise mittels betrügerischen E-Mails (Phishing).

Verantwortlichkeiten

Auf Gruppenebene wird das Thema IT-Sicherheit vom Leiter Information Security & Quality Assurance koordiniert. 2022 hat Galenica die Verantwortlichkeiten und Organisation von IT-Sicherheit neu aufgestellt. Das neu formierte IT Security Board ist für den Interessensabgleich zwischen IT und den einzelnen Business Units zuständig und koordiniert IT-Sicherheitsrelevante Themen und Massnahmen. Diese werden von den Mitgliedern in ihren jeweiligen Bereichen umgesetzt. Das Board ist für die IT-Security Strategie verantwortlich und stellt deren Umsetzung sicher. Das Ziel der Strategie ist es, eine gruppenweit verlässliche und effiziente IT-Security zu erreichen. Das Board tagt quartalsweise oder nach Bedarf und wird seine Arbeiten 2023 aufnehmen.

Klare Richtlinien regeln den Betrieb

Die IT-Security-Policy definiert die Ziele der Informations- und IT-Sicherheit, die Kompetenzen und Verantwortlichkeiten sowie die IT-Sicherheitsprinzipien der Galenica Gruppe. Die Policy gilt für alle Gesellschaften der Galenica Gruppe und bildet die Grundlage aller schriftlichen IT-Sicherheitsanweisungen. Daneben hält das IT-Nutzungsreglement die sicherheitsbezogenen Verhaltensregeln im Umgang mit IT-Arbeitsmitteln fest, wie zum Beispiel die Nutzung von privaten Geräten, das Arbeiten von unterwegs oder im Home-Office. Das IT-Security-Manual schliesslich richtet sich an die Mitarbeitenden der IT-Abteilungen und regelt den sicheren IT-Betrieb.

Sensibilisierte Mitarbeitende

Um die Informations- und IT-Sicherheit zu gewährleisten, ist die Mitwirkung aller Mitarbeitenden erforderlich. Neben den technischen Massnahmen fördert Galenica deshalb das Sicherheitsbewusstsein der Mitarbeitenden durch spezifische E-Learning-Module und Intranet-News. Bereits am Einführungstag werden neue Mitarbeitende für die wesentlichen Elemente des IT-Nutzungsreglements sensibilisiert. Galenica führt regelmässig E-Learnings zu Datensicherheit und dem Umgang mit Phishing und Cyberangriffen durch. Ausserdem werden regelmässig Informationen zu Cyberkriminalität im Intranet für die Mitarbeitenden publiziert.

Beurteilung des Managementansatzes und der Massnahmen

• Security Audit: Die IT-Security-Policy und ihre Umsetzung wird regelmässig durch interne Stellen oder externe Spezialisten auf ihre Aktualität und Wirksamkeit geprüft.
• Monitoring: Das Security-Monitoring-System überwacht sämtliche IT-Systeme und schlägt Alarm bei Auffälligkeiten. Dies wird durch eine externes Security Operation Center (SOC) sichergestellt.
• E-Learning: Die Teilnehmerquote an den E-Learning-Modulen zu Datensicherheit und Cybersicherheit werden regelmässig erhoben und ausgewertet.

Eigener Indikator
Teilnahme an E-Learnings

Im Berichtsjahr wurden zwei E-Learnings im Bereich IT-Sicherheit und Cyberkriminalität angeboten. Die Teilnehmerquote lag durchschnittlich bei 88%.