Datenschutz und IT-Sicherheit
nichtfinanzielle Belange
Als Gesundheitsdienstleisterin stehen sowohl der Datenschutz wie die Informationssicherheit bei Galenica an oberster Stelle. Wir sorgen dafür, dass die Persönlichkeitsrechte und die Privatsphäre von Kundinnen, Patienten, Mitarbeitenden und anderen Personen jederzeit geschützt sind. Mit entsprechenden Sicherheitsmassnahmen schützen wir sowohl diese sensiblen Daten als auch interne Unternehmensinformationen vor unbefugtem Zugriff, Manipulationen oder Verlust.
GRI 3-3
Art. 964b Abs. 1 OR
Art. 964b Abs. 2 Ziff. 4 OR
Mit der fortschreitenden Digitalisierung des Schweizer Gesundheitswesens wachsen die Bedeutung des Datenschutzes und der Informationssicherheit sowie die rechtlichen Anforderungen an den Umgang mit Daten. Datenschutz hat zum Ziel die Persönlichkeit derjenigen Menschen zu schützen, deren Daten verarbeitet werden. Informationssicherheit gewährleistet durch wirksame Massnahmen den Schutz sensibler Informationen.
Wir bestimmen unsere Sicherheitsmassnahmen anhand der Risiken, die durch unbefugten Zugriff, unzulässige Änderungen, Verlust oder Nichtverfügbarkeit von Informationen sowie durch Angriffe auf unsere Infrastruktur entstehen können – sowohl für betroffene Personen als auch für die Galenica Gruppe.
Das Vertrauen aller Stakeholder stärken wir, indem wir sicherstellen, dass die Datenschutzgrundsätze insbesondere betreffend Transparenz und Sicherheit eingehalten werden.
|
Auswirkungen, Risiken & Chancen |
Charakterisierung |
|
Datenschutz- und Datensicherheitsvorfälle können die Privatsphäre von Kundinnen, Patienten und Mitarbeitenden beeinträchtigen, finanzielle, rechtliche oder vertragliche Folgen nach sich ziehen und das Vertrauen in Galenica sowie bei Geschäftspartnern und der Öffentlichkeit nachhaltig schädigen. |
Negativ; potenziell Eigener Betrieb |
|
Etablierung starker Datenschutz- und Sicherheitsstandards schafft Vertrauen bei Kunden, Patienten und Geschäftspartnern und stärkt die Reputation von Galenica als verantwortungsbewusste Gesundheitsdienstleisterin. |
Positiv; Differenzierungs- und Vertrauensvorteil im Markt |
|
Cyberangriffe auf IT-Systeme von Galenica können die Verfügbarkeit und Integrität geschäftskritischer Prozesse beeinträchtigen, insbesondere in der Logistik und in Apotheken, und zusätzliche Massnahmen zur Stabilisierung und Absicherung des Betriebs erforderlich machen. |
Risiko, potenziell Eigener Betrieb |
|
Proaktive Informationssicherheitsstrategien und Investitionen in Resilienz erhöhen die Betriebssicherheit und ermöglichen eine stabile digitale Transformation, die neue Services und Effizienzgewinne unterstützt. |
Chance, potenziell Eigener Betrieb, nachgelagerte Wertschöpfungskette |
GRI 3-3
Art. 964b Abs. 2 Ziff. 5 OR
Unsere Zielsetzung
Wir verfolgen nicht nur das Ziel, sensible Daten und Informationen durch technische Sicherheitsstandards zu schützen, sondern ergreifen auch organisatorische Massnahmen, wie die Sensibilisierung unserer Mitarbeitenden. Wir führen Informationskampagnen durch und schulen sowohl den datenschutzkonformen Umgang mit Daten als auch z. B. mögliche Cyberangriffe zu erkennen und die Informationssicherheit zu stützen.
|
Ziel |
Status |
Zieljahr |
Messparameter |
|
2025 |
|
2024 |
|
Wir sensibilisieren unsere Mitarbeitenden zielgruppengerecht mindestens 6-mal jährlich im Bereich Datenschutz. |
= |
Jährlich |
Anzahl Massnahmen |
|
12 |
|
9 |
|
Wir sensibilisieren unsere Mitarbeitenden zielgruppengerecht mindestens 6-mal jährlich im Bereich IT-Sicherheit und Cyberkriminalität. |
= |
Jährlich |
Anzahl Massnahmen |
|
14 |
|
11 |
↗ Realistisch
→ Teilweise verzögert/kritisch
↘ Kritisch
= Erreicht
× Nicht erreicht
GRI 3-3
Art. 964b Abs. 2 Ziff. 2-3 OR
Unser Managementansatz
Die Themen Datenschutz und Informationssicherheit haben bei Galenica hohe Relevanz und sind organisatorisch klar verankert.
Die Verantwortung für die Informationssicherheit liegt beim Chief Information Security Officer (CISO). Die zugrunde liegenden Verantwortlichkeiten und Governance-Strukturen werden regelmässig überprüft und bei Bedarf an aktuelle regulatorische und organisatorische Anforderungen angepasst. Der CISO führt das IT Security Board, das als beratendes Gremium fungiert. Das Board unterstützt die strategische Ausrichtung der Informationssicherheitsmassnahmen, sorgt für den Interessensausgleich zwischen IT und den Business Units und koordiniert sicherheitsrelevante Themen sowie Massnahmen, die von den Mitgliedern in ihren jeweiligen Bereichen umgesetzt werden. Zusätzlich entscheidet das Board über Massnahmen bei kritischen Schwachstellen oder Risiken. Ziel ist eine gruppenweit verlässliche und effiziente Informationssicherheit. Das Board tagt quartalsweise und ist seit 2023 aktiv.
Zur Sicherstellung des Datenschutzes verfügt Galenica über eine fachlich qualifizierte, unabhängige und weisungsungebundene interne Datenschutzbeauftragte. Ergänzend dazu wurde 2024 das interdisziplinär besetzte Data & AI Governance Board ins Leben gerufen. Es schafft klare Rahmenbedingungen für den verantwortungsvollen Umgang mit Daten und KI-Anwendungen und stellt die Abstimmung von Governance Anforderungen mit der Datenstrategie sowie den Werten von Galenica sicher. Geleitet wird das Gremium von der internen Datenschutzbeauftragten, unterstützt durch Fachpersonen aus Information Security, Enterprise Architecture, Data Strategy, AI sowie einem Mitglied der Geschäftsleitung.
Klare Richtlinien und Prozesse regeln den Betrieb
Die Ziele der Informationssicherheit sind in mehreren zielgruppengerechten Policies resp. Reglementen festgehalten. Die Information-Security-Policy definiert die Ziele des Informationssicherheit Programms, die Kompetenzen und Verantwortlichkeiten sowie die Informationssicherheitsprinzipien der Galenica Gruppe. Die Policy gilt für alle Gesellschaften der Galenica Gruppe und bildet die Grundlage aller Weisungen im Bereich der Informationssicherheit. Allgemeine Regeln zum Umgang mit ICT-Geräten und Anwendungen sind für alle internen und externen Mitarbeitenden oder Berater in der Acceptable-Use-Policy festgelegt.
Galenica erfasst und steuert Governance- und Risikomanagement-Themen im Rahmen eines Information Security Management Systems (ISMS). Bestandteil davon ist ein zentrales Risikoregister, in dem identifizierte Schwachstellen erfasst, bewertet und den jeweils verantwortlichen Produktteams zur Behandlung zugewiesen werden.
Zur strukturierten Behandlung von Sicherheitsvorfällen verfügt Galenica über einen etablierten Incident-Response-Prozess. Dieser regelt die Rollen, Verantwortlichkeiten und Abläufe im Ereignisfall und stellt die koordinierte Zusammenarbeit mit internen Stellen sowie externen Partnern, einschliesslich des Security Operations Centers, sicher.
Die Datenschutz-Policy bildet den übergeordneten Rahmen zur Einhaltung der Datenschutzgrundsätze und Anforderungen im Bereich der Bearbeitung von dem Geheimnisschutz unterliegenden Daten und wird durch Reglemente und Weisungen zu spezifischen Themen ergänzt. Alle Mitarbeitenden und weitere Hilfspersonen sind zur Einhaltung der Datenschutz-Policy verpflichtet. Die Behandlung von Datensicherheitsvorfällen und die Adressierung von Datenschutzrisiken erfolgt in enger Abstimmung mit Information Security und dem Risikomanagement.
Sensibilisierung und Schulungen der Mitarbeitenden
Einer der grössten Risikofaktoren im Zusammenhang mit Cyberattacken ist der Mensch, denn viele Cyberangriffe zielen auf Mitarbeitende ab, beispielsweise mittels betrügerischen E-Mails (Phishing). Um die Informations-, Daten- und IT-Sicherheit zu gewährleisten, ist daher die Mitwirkung aller Mitarbeitenden erforderlich. Bereits am Einführungstag werden neue Mitarbeitende für die wesentlichen Elemente des ICT-Nutzungsreglements sensibilisiert.
Das zentrale Instrument zur Förderung des Sicherheitsbewusstseins sind regelmässige E-Learnings. Wir stellen dafür spezifische Module zu Themen wie Datensicherheit, Phishing und dem Umgang mit Cyberbedrohungen bereit. Ergänzt werden diese E-Learnings mit Phishing-Simulationen, die das Bewusstsein weiter schärfen und helfen, die Wirksamkeit der verschiedenen Sensibilisierungsthemen zu messen und zu verstehen.
Zum Thema Informationssicherheit wurden 14 Sensibilisierungsmassnahmen durchgeführt. Zu den Höhepunkten dieses Jahres zählten die Ausrichtung von drei Live-Sicherheitsveranstaltungen – zwei Webinare und eine Reihe von kurzen Filmen zum Thema Sicherheit, die im Intranet veröffentlicht wurden – sowie die Einführung einer InfoSec-Seite im Intranet, die allen Mitarbeitenden dazu dient, das Bewusstsein für Themen der Informationssicherheit zu schärfen.
Der verantwortungsvolle Umgang mit Daten und spezifische datenschutzrechtliche Themen werden ebenfalls durch Schulungen und einer transparent strukturierten Informationsplattform sichergestellt. Als erste Anlaufstelle in den Unternehmensbereichen und Gruppengesellschaften stehen die bereits 2023 ernannten Data Governance Manager zur Verfügung. Sie werden regelmässig über Entwicklungen informiert, geschult und vorzu unterstützt.
2025 wurden insgesamt zwölf Sensibilisierungsmassnahmen im Bereich Datenschutz durchgeführt. Der Fokus lag auf der Stärkung der verantwortungsvollen Datenkultur durch den persönlichen Austausch mit Mitarbeitenden. Dazu ghörten der Besuch des Data Governance Teams bei elf Gruppengesellschaften und die Durchführung eines ganztägigen Workshops für alle Data Governance Manager sowie die weitere Erhöhung der Zugänglichkeit und Vermittlung von Know-How durch das Angebot der transparent strukturierten Informationsplattform in vier Sprachen und der Entwicklung neuer Schulungen.
GRI 418-1
Regelmässige Überprüfung
Um die Einhaltung der gesetzlichen Bestimmungen und einen hohen Standard beim Umgang mit Daten und Informationen zu gewährleisten, verfolgt Galenica laufend die Entwicklungen in Gesetzgebung und Praxis zu Datenschutz, Informationssicherheit und auf die Verwendung von digitalen Technologien anwendbare Regulatorien.
Regelmässige interne und externe Überprüfungen gewährleisten, dass Informationssicherheits- und Datenschutzrisiken frühzeitig erkannt, standardisiert bewertet und adressiert werden können.
Im Berichtsjahr liegen keine begründeten Beschwerden in Bezug auf die Verletzung des Datenschutzes vor, und es gibt keine behördlichen Ermittlungen zu Fällen von Datendiebstahl oder Datenverlusten.