Prozessbeschreibung

Zielsetzungen bzw. Anforderungen

• Der gesamte Online-Servicekatalog, der heute als Excel-Tabelle vorliegt, wird via Web über das CMS Plone gepflegt und aktualisiert und steht den SIGUV-Gremien somit zu jeder Zeit in aktueller Fassung zur Verfügung.
• Für jeden Online-Service wird eine Beschreibung der Verarbeitungstätigkeit erstellt. Darin werden die identifizierten Risiken und die dafür ergriffenen technischen und organisatorischen Maßnahmen dokumentiert. Bei der Maßnahmendokumentation wird auf die einheitlichen Gewährleistungsziele gemäß SDM referenziert.
• Die Online-Services der SIGUV-Web-Community dienen der Publikation von Sozialdaten oder bieten Möglichkeiten zu deren Erfassung, Übermittlung und Verarbeitung. Für alle Online-Services wird daher eine Datenschutz-Folgenabschätzung erstellt, weil davon auszugehen ist, dass die Publikation oder Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind.
• Alle technischen und organisatorischen Maßnahmen werden in einem Online-Maßnahmenkatalog dokumentiert. Darin wird auch vermerkt, welche(s) einheitliche(n) Gewährleistungsziel(e) mit der(n) betreffende(n) Maßnahme(n) erreicht werden bzw. erreicht werden sollen.
• Technische Maßnahmen können folgende Tätigkeiten der Überprüfung und Kontrolle zugeordnet werden:
  • Review (z.B. Code-Review)
  • Audit
  • Penetration-Test
• Organisatorischen Maßnahmen können folgende Tätigkeiten der Überprüfung und Kontrolle zugeordnet werden:
  • Review
  • Audit
• Für alle neu zu entwickelnden Online-Dienste wird die Berücksichtigung und Erfüllung der Gewährleistungsziele, die sich aus der Beschreibung der Verarbeitungstätigkeit ergeben, von vornherein als Design-Strategie verabredet. Die Modellierung und Beschreibung der Verarbeitungstätigkeit ist somit integraler Bestandteil der Feinkonzeptionsphase.
• Die Abnahme der Datenschutz-Dokumentation sowie die Überprüfung der Umsetzung der technischen und organisatorischen Maßnahmen wird zum Bestandteil der Abnahme vor Produktivsetzung neuer Online-Dienste.
• Für alle bereits vorhandenen Online-Dienste wird die regelmäßige Kontrolle und Überprüfung der Datenschutz-Dokumentation (inkl. der technischen und organisatorischen Maßnahmen) zum Bestandteil des Veröffentlichungsprozesses neuer Releases/Versionen. Es wird außerdem vereinbart, dass die Wiedervorlage bzw. Überprüfung der Dokumentationen und der technischen und organisatorischen Maßnahmen nach spätestens 24 Monaten durchzuführen ist, wenn bis dahin keine neuen Releases oder Versionen veröffentlicht werden.

Zusammenfassung

Der neu zu entwickelnde SIGUV Online-Servicekatalog umfasst eine komplette Beschreibung der SIGUV- Online-Services mit folgenden Bestandteilen:

• Prozessbeschreibung nach dem Vorbild der OZG-Services (LEIKA)
• Standardisierte Darstellung des Datenmodells (json.schema)
• Dokumentation der Schnittstellen zur Integration in Drittsysteme (OPEN-API)
• Beschreibung der Verarbeitungstätigkeit
• Datenschutz-Folgenabschätzung
• Risikoanalyse und Gefährdungsanalyse
• Technische und organisatorische Maßnahmen zur Erfüllung der einheitlichen Gewährleistungsziele
• Konformitätserklärung zur der Barrierefreiheit

Über geeignete technische Schittstellen wird sichergestellt, dass die Gremien der UV-Träger der SIGUV- Kooperation jederzeit Online via Web auf diese Dokumente zugreifen können.

Außerdem können daraus öffentlich freigegebene Bestandteile der Dokumentation in die eigenen Extranets oder die Webseiten der UV-Träger eingebunden werden eingebunden werden. Die Dokumente können ausserdem jederzeit als PDF-Dokument exportiert werden.