(2) Daten und Programme sind vor Entstellung, Zerstörung und Verlust sowie gegen unbefugte Verwendung und Weitergabe zu schützen.
(3) Der Auftraggeber (oder in dessen Auftrag der Dienstleister) hat für die Vernichtung unbrauchbarer oder nicht mehr benötigter Ausdrucke und sonstiger Datenträger Sorge zu tragen.
(4) Wird ein Fehler festgestellt, so haben der Auftraggeber und der Dienstleister alles zu unternehmen, um das Schadensausmaß gering zu halten, den Betroffenen unnötige Mühe zu ersparen, die Fehlerbehebung raschest einzuleiten und Folgefehler zu verhindern.
(5) Für die ordnungsgemäße und sichere Verwendung von Daten sind folgende Datensicherheitsmaßnahmen (§ 14 DSG 2000) zu setzen:
| | | | | | | | | | |
1. | Es ist eine Vorgangsweise (Person, Organisationseinheit, Schulungen) für Datensicherheitsmaßnahmen und andere Datenschutzthemen festzulegen, in deren Rahmen die Unterlagen (Organisationsbeschreibungen, Datensicherheitsmaßnahmen etc.) des Versicherungsträgers und des Hauptverbandes gesammelt zur Verfügung stehen und die als interne Kontaktstelle für jene datenschutzrechtliche Fragen dient, die im Zusammenhang mit der Verwendung der Daten des Auskunftswerbers durch den jeweiligen Sozialversicherungsträger bzw. den Hauptverband stehen, insbesondere Auskunftsersuchen (§ 13) und Anfragen nach dem Auskunftspflichtrecht. |
2. | Für die Programmverwaltung sind Zuständigkeiten und Regeln festzulegen. Zugriffsschutz zu personenbezogenen Daten und Datensicherheitsmaßnahmen sind nach Maßgabe des jeweiligen Standes der Technik zu organisieren; erteilte Zugriffsberechtigungen sind einfach lesbar auf nachvollziehbare Weise (inklusive des Berechtigungszeitraumes) zu dokumentieren. Bestehende Einrichtungen sind regelmäßig auf Verbesserungsmöglichkeiten zu untersuchen. |
3. | Zugriff auf Datenanwendungen darf nur eingeräumt werden, nachdem die Bestimmungen über das Datengeheimnis (§ 15 DSG 2000), die Datensicherheitsmaßnahmen und diese Verordnung zur Kenntnis gebracht wurden. Sammelzugriffsberechtigungen sind unzulässig. Ebenso unzulässig ist es, Datenbestände außerhalb ausdrücklicher gesetzlicher Bestimmungen gesammelt an zugriffsberechtigte Stellen zu übermitteln, um diesen bei Bedarf das Verwenden der Daten möglich zu machen. |
4. | Zugriffsberechtigungen außerhalb ausdrücklicher gesetzlicher Verpflichtungen sind möglichst nur befristet einzuräumen und jedenfalls zu beenden, wenn sie |
a) | zur weiteren Arbeit nicht mehr benötigt werden oder |
b) | vom Berechtigten Verstöße gegen Datensicherheitsvorschriften gesetzt wurden. |
5. | Datensichtgeräte (Bildschirme, etc.) sind so aufzustellen, dass der mit ihnen wiedergegebene Inhalt nicht von Unbefugten mitgelesen werden kann. |
6. | Von einem Verfahren der Datenschutzkommission nach § 30 DSG 2000 betreffend das Informationsverbundsystem der österreichischen Sozialversicherung, sind vom betroffenen Versicherungsträger jedenfalls der Hauptverband und jene Versicherungsträger zu verständigen (bzw. vom Hauptverband die betroffenen Versicherungsträger, § 321 ASVG, § 183 GSVG, § 171 BSVG, § 119 B-KUVG, § 87 NVG), welche Daten des Betroffenen verwenden. |
7. | Es sind alle dem jeweiligen Stand der Technik entsprechenden und wirtschaftlich zumutbaren Maßnahmen zu treffen, um eine Veränderung oder Vernichtung der Daten durch Programmstörungen zu verhindern, wie die Installation von Virenschutzprogrammen, fire-walls, Laufwerksperren, gestaffelte Zugriffsberechtigungen, etc. |
8. | Datenträger (Festplatten, Bänder, Disketten etc.) sind vor einer Veräußerung oder Entsorgung nach dem Stand der Technik physisch zu löschen oder sicher unlesbar zu machen. Die Beauftragung von Stellen, die bei solchen Arbeiten nicht an Weisungen eines Sozialversicherungsträgers oder des Hauptverbandes gebunden sind und damit nicht unter direkter Kontrolle des Auftraggebers stehen, oder die nicht nach einschlägigen Standards zertifiziert sind, ist unzulässig. |
9. | Zugriff auf Datenverwendungen darf nur auf Grund persönlicher Benützerkennungen und Kennwörter (Passwörter) möglich sein. Die Kennwortvergabe hat vorzusehen, dass Kennwörter aus einer Mindestzahl von Zeichen und (wenn nicht schwer wiegende technische Gründe dagegen sprechen) einer Kombination aus Buchstaben, Ziffern (statt Ziffern auch Sonderzeichen) zu bestehen haben. Kennwörter sind geheim zu halten, ihre Änderung ist dem Zugriffsberechtigten innerhalb periodischer Zeiträume möglich zu machen. Das Kennwort muss von der Benutzerkennung verschieden sein. |
10. | Datenanwendungen sind, so dies im Sinne einer wirtschaftlichen, zweckmäßigen und sparsamen Erfüllung der gesetzlichen Aufgaben der Sozialversicherungsträger möglich ist, in getrennter Form so zu organisieren, dass Datenweitergaben (Übermittlungen, Überlassungen) nur an wenigen Schnittstellen erfolgen und die gemeinsame Nutzung von Datenbeständen für verschiedene Zwecke, aber auch die parallele Führung von Datenbeständen für gleiche Zwecke vermieden wird. |
11. | Datenanwendungen sind technisch nach den Regeln des E-Governments des Bundes (E-Government-Gesetz, Signaturgesetz, Gesundheitstelematikgesetz) unter Berücksichtigung der bereichsspezifischen Personenkennzeichen (§ 31 Abs. 4 Z 1 ASVG) zu gestalten. Datenträger, die eine undokumentierte nachträgliche Veränderung oder ein nicht nachvollziehbares Löschen von Daten ermöglichen oder die auf einfache Weise durch ein anderes gleich aussehendes Exemplar ersetzt werden können (z. B. Disketten, Magnetbänder, USB-Sticks, CD-ROM, transportable Festplatten) dürfen für Übermittlungen oder Überlassungen nicht verwendet werden. |
12. | Datenanwendungen (insbesondere Übermittlungen), für die Anwendungen im Rahmen des elektronischen Verwaltungssystems der österreichischen Sozialversicherung ELSY (§§ 31a ff. ASVG) oder hinsichtlich der Datensicherheit gleichwertige Datenübermittlungssysteme zur Verfügung stehen, dürfen nicht über andere Wege (Programme, Applikationen usw.) vorgenommen werden. |
13. | Zur Vermeidung, Abwehr und Nachverfolgung von Angriffen auf Datenbestände oder technische Einrichtungen der Datenverwendung ist mit den dafür bestehenden Einrichtungen für öffentliche Stellen zusammenzuarbeiten. |
14. | Die Sozialversicherungsträger und der Hauptverband haben sich an Einrichtungen zu beteiligen, durch welche eine elektronische Zustellung (§§ 28 ff. ZustG) möglich sind sowie selbst elektronische Posteingangsadressen anzubieten. |
(6) Über alle Datensicherheitsmaßnahmen ist eine Dokumentation zu führen; diese ist mindestens drei Jahre aufzubewahren.
(7) Der Hauptverband als Betreiber nach § 50 Abs. 1 DSG 2000 hat gemeinsam mit den Versicherungsträgern durch Stichproben zu prüfen, ob die Verwendung der Daten den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
(8) Bedient sich der Hauptverband oder ein Sozialversicherungsträger für den Datenverkehr eines Dienstleisters, so ist dieser zur Einhaltung aller datenschutzrechtlichen Bestimmungen und Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.