Richtlinie über den Datenschutz und die Informationssicherheit

Der TopPharm Apotheke Aarberg AG, Stadtplatz 52, 3270 Aarberg

Mit den Standorten

TopPharm Apotheke und Drogerie Aarberg Im Stedtli

Stadtplatz 52

3270 Aarberg

TopPharm Apotheke und Drogerie Aarberg Im Center

Bahnhofstrasse 11

3270 Aarberg

Präambel

Der Schutz personenbezogener Daten liegt der TopPharm Apotheke Aarberg AG (nachfolgend "wir" oder "uns") am Herzen. Die vorliegende Richtlinie soll sicherstellen, dass Personendaten gesetzeskonform bearbeitet werden. Sie regelt den sicheren und gesetzeskonformen Umgang mit IT-Ressourcen und geschäftlichen Informationen.

Die TopPharm Apotheke Aarberg AG möchte Informationen, welche sie erhält, in einer Weise bearbeiten, welche mit den Unternehmenswerten im Einklang stehen. Diese Richtlinie ist für die Mitarbeitenden verbindlich. 

I. Zuständigkeit

Die Einhaltung von gesetzlichen Datenschutzvorgaben ist Sache der Unternehmensführung. Sie ist einerseits verpflichtet die Vorgaben selbst einzuhalten und andererseits verpflichtet, die Einhaltung der Vorgaben durch ihre Mitarbeitenden sicherzustellen. 

TopPharm Apotheke und Drogerie Aarberg Im Stedtli

Angela Thomet

Stadtplatz 52

3270 Aarberg

Tel: 032 391 71 61

E-Mail: apo.stedtli.aarberg@ifak-hin.ch

TopPharm Apotheke und Drogerie Aarberg Im Center

Daniela Laubscher

Bahnhofstrasse 11

3270 Aarberg

Tel: 032 391 71 67

E-Mail: apo.center.aarberg@ifak-hin.ch

II. Datenschutz

Wann dürfen personenbezogene Daten bearbeitet werden?
Personenbezogene Daten der TopPharm Apotheke Aarberg AG dürfen von den Mitarbeitenden ausschliesslich im Zusammenhang mit der Erfüllung ihrer Pflichten gegenüber der TopPharm Apotheke Aarberg AG bearbeitet werden.

Als "Bearbeitung" im Sinne dieser Datenschutzrichtlinie gilt jeder Umgang mit personenbezogenen Daten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Als "personenbezogene Daten" gelten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
 

Wer darf personenbezogene Daten bearbeiten und wie hat die Bearbeitung zu erfolgen?
Mitarbeitende der TopPharm Apotheke Aarberg AG dürfen personenbezogene Daten ausschliesslich gemäss den ihnen zustehenden Berechtigungen bearbeiten. Diese Berechtigung wird gemäss den internen Vorgaben festgelegt und durch IT-Service-Provider umgesetzt. Die Berechtigungen können durch den Vorgesetzten des Mitarbeitenden im Rahmen der internen Vorgaben ständig angepasst werden. Eine Nutzung von personenbezogenen Daten durch die Mitarbeitenden zu anderen Zwecken als zur Verrichtung der Arbeitstätigkeit ist untersagt.

Mitarbeitende sind verpflichtet, zu jeder Zeit sicherzustellen, dass keine unberechtigten Drittpersonen Kenntnis von personenbezogenen Daten der TopPharm Apotheke Aarberg AG nehmen können.

Mitarbeitende verpflichten sich, bei der Bearbeitung von personenbezogenen Daten, die Vorgaben der auf das Unternehmen anwendbaren Datenschutzgesetze, welche in Bezug auf die konkrete Datenbearbeitung gelten, zu beachten. Ein Überblick über diese Vorgaben gibt die vorliegende Richtlinie.

Wird ein Mitarbeitender aufgefordert, ein Passwort für den Zugang zu einem System, etc. auszuwählen, ist er dafür verantwortlich, dass dieses Passwort vertraulich verwaltet wird. Passwörter dürfen nicht an andere Mitarbeitende oder an Dritte weitergegeben werden.

Die Mitarbeitenden nehmen zur Kenntnis, dass die Übermittlung von Informationen und Daten über das Internet nicht vollständig sicher ist. Obwohl die TopPharm Apotheke Aarberg AG geeignete technische Massnahmen zur Sicherung der personenbezogenen Daten implementiert hat, kann eine vollständige Sicherheit nicht garantiert werden.

Die TopPharm Apotheke Aarberg AG orientiert sich am gängigsten Standard zur Datensicherheit.
 

Was für Rechte haben die betroffenen Personen?
Wenn die Voraussetzungen erfüllt sind, haben Kund*innen und andere betroffene Personen:

• das Recht, Auskunft darüber zu erhalten, welche personenbezogenen Daten dieTopPharm Apotheke Aarberg AG über sie gespeichert hat und wie sie bearbeitet werden;
• das Recht, eine Kopie ihrer personenbezogenen Daten zu erhalten (in einem allgemein gebräuchlichen Format);
• das Recht, dass ihre personenbezogenen Daten an ein anderes Unternehmen übermittelt werden;
• das Recht, ihre personenbezogenen Daten berichtigen oder im gesetzlich erlaubten Rahmen löschen zu lassen unddas Recht auf Widerspruch gegen die Bearbeitung ihrer personenbezogenen Daten durch die TopPharm Apotheke Aarberg AG

Sämtliche Gesuche von Kund*innen oder andere betroffenen Personen müssen umgehend der Geschäftsleitung der TopPharm Apotheken Aarberg AG weitergeleitet werden. Anfragen werden nur schriftlich und nicht telefonisch beantwortet. Es muss stets ein Identitätsnachweis (bspw. ID-/Passkopie) der betroffenen Person vorliegen.

Mitarbeitende sind verpflichtet, im Rahmen der Kontaktpflege mit betroffenen Personen die Richtigkeit der personenbezogenen Daten regelmässig zu überprüfen. Stellt sich heraus, dass im System erfasste personenbezogene Daten nicht mehr aktuell sind, hat der Mitarbeitende diese umgehend zu berichtigen. Ist eine Berichtigung nicht möglich, so erstattet der Mitarbeitende Meldung an Geschäftsleitung der TopPharm Apotheken Aarberg AG.

Welche personenbezogenen Daten werden durch die TopPharm Apotheke Aarberg AG bearbeitet?

Mitarbeitende dürfen personenbezogene Daten nur so weit von betroffenen Personen erheben und bearbeiten, als dies der Zweck der Datenbearbeitung erfordert (Datensparsamkeit). 

Die TopPharm Apotheke Aarberg AG erhebt und bearbeitet personenbezogene Daten über betroffene Personen in erster Linie, um interessierte Personen über das Leistungsangebot zu informieren. Darüber hinaus werden personenbezogene Daten bearbeitet, um unsere Dienstleistungen, gemäss den auf uns anwendbaren gesetzlichen und vertraglichen Verpflichtungen, zu erbringen.

Einige Datenbearbeitungen, wie diejenige der Archivierung, sind erforderlich, damit die TopPharm Apotheke Aarberg AG gesetzlichen oder vertraglichen Verpflichtungen nachkommen kann.

Wie werden die personenbezogenen Daten gespeichert und geschützt? 

Die TopPharm Apotheke Aarberg AG schützt die personenbezogenen Daten gegen unerlaubten Zugriff, gegen gesetzeswidrige Datenbearbeitungen, Verlust und Zerstörung. Personenbezogenen Daten werden nur so lange aufbewahrt, als dies aufgrund rechtlicher, regulatorischer und / oder anderweitigen Vorgaben erlaubt ist oder, sofern diese Dauer kürzer ist, so lange, als die betroffene Person ihre Einwilligung zur entsprechenden Datenbearbeitung gegeben hat.

Soweit zulässig und machbar und um das Recht auf Privatsphäre der betroffenen Personen zu schützen, unternimmt die TopPharm Apotheke Aarberg AG angemessene Schritte, um Informationen, über die betroffene Personen direkt oder indirekt identifiziert werden können, zu entfernen oder zu anonymisieren. Zudem wird die Menge an personenbezogenen Daten, die von der TopPharm Apotheke Aarberg AG genutzt oder an Drittpersonen oder Behörden etc. übermittelt werden, auf ein Minimum beschränkt.

Was mache ich, wenn mir ein Datenschutz-Sicherheitsvorfall bekannt wird?

Stellen Mitarbeitende einen Verdacht auf einen Datenschutzvorfall im Unternehmen fest oder erhalten diese Kenntnis über einen Datenschutz-Sicherheitsvorfall, müssen diese den Vorfall umgehend der Geschäftsleitung der TopPharm Apotheken Aarberg AG melden. Dies gilt unabhängig davon, ob sich der Verdacht erhärtet hat oder nicht.

Welche Sanktionen drohen Mitarbeitenden?

Mitarbeitende sind verpflichtet, die Vertraulichkeit in Bezug auf sämtliche Daten (einschliesslich personenbezogener Daten) und Informationen sicherzustellen, über welche sie im Rahmen des Anstellungs- oder Mandatsverhältnisses für die TopPharm Apotheke Aarberg AG Kenntnis erlangen. Die Mitarbeitenden nehmen zur Kenntnis, dass sie im Falle eines Verstosses gegen diese Pflicht der Vertraulichkeit durch die TopPharm Apotheke Aarberg AG oder direkt durch die betroffene Person zur Verantwortung gezogen werden können.

III: Informationssicherheit

Wie ist der Umgang mit Informatikmitteln?

Die IT-Ressourcen der TopPharm Apotheke Aarberg AG dienen in erster Linie der Erfüllung von dienstlichen Zwecken. Der sorgfältige und verantwortungsvolle Umgang mit allen Informatikmitteln garantiert einen störungsfreien Betrieb und minimiert das Risiko von Geschäftsgeheimnis- und Datenschutzverletzungen.

1. Generell
   Im Zusammenhang mit den Informatikmitteln gelten folgende Vorgaben:
   1. Die TopPharm Apotheke Aarberg AG stellt allen Mitarbeitenden die für ihre Arbeit benötigten IT-Ressourcen zur Verfügung. Es dürfen keine fremden, nicht bewilligten bzw. freigegebenen IT-Ressourcen verwendet werden.
   2. An den bereitgestellten IT-Ressourcen dürfen keine unautorisierten Änderungen an den Grundeinstellungen vorgenommen werden. Solche Änderungen führt ausschliesslich die Software-Firma, die Geschäftsleitung oder die von der Geschäftsleitung delegierte Mitarbeitende durch.
   3. Es ist untersagt, Informatikmittel der TopPharm Apotheke Aarberg AG mit fremden Netzwerkgeräten (Modems, LAN-Kabel, USB-Modems, Wireless-Router usw.) zu verbinden (soweit es sich nicht um Netzwerke handelt, die im Home- oder Remoteoffice verwendet werden) oder Informatikmittel mit fremden Netzwerkspeichergeräten oder mobile Speichermedien (USB-Sticks, externe Festplatten etc.) zu verbinden.
   4. Es ist untersagt, private Informatikmittel in das Firmennetzwerk einzubinden. Für private oder selbst administrierte mobile Geräte darf das Gäste-Netzwerk verwendet werden.
   5. Für den Support sämtlicher IT-Ressourcen und die Entsorgung von ausgedienten oder defekten Informatikmittel ist ausschliesslich die Software-Firma zuständig.
2. Anwendungen
   1. Im Zusammenhang mit den Anwendungen gelten folgende Vorgaben:Die Informatikmittel beinhalten ein Set an Standard-Anwendungen. Ein individueller Bedarf ist der Geschäftsleitung zu melden, welche abschliessend über die Freigabe der individuellen Anwendung entscheidet.
   2. Auf zur Verfügung gestellten mobilen Geräten dürfen die für dienstliche Zwecke benötigten Anwendungen installiert werden.
   3. Es ist insbesondere untersagt, nicht freigegebene Anwendungen auf Informatikmitteln der TopPharm Apotheke Aarberg AG ohne Zustimmung durch die Geschäftsleitung herunterzuladen oder zu installieren.

Wie schütze ich Informationen?

1. Zugangsdaten
   Im Zusammenhang mit den Zugangsdaten gelten folgende Vorgaben:
   1. Sämtliche Zugangsdaten (Benutzernamen, Passwort, etc.) für die IT-Ressourcen sind geheim zu halten und dürfen nirgends notiert oder aufgezeichnet werden. Gehen Zugangsdaten verloren oder besteht ein Verdacht auf Missbrauch muss umgehend eine Meldung an die Geschäftsleitung gemacht werden.
   2. Für sämtliche Zugänge sind individuelle, starke Passwörter zu wählen. Die für die IT-Ressourcen verwendeten Passwörter dürfen nicht für private Zwecke verwendet werden.
2. Datenspeicherung
   Im Zusammenhang mit der Datenspeicherung gelten folgende Vorgaben:
   1. Sämtliche geschäftlichen Informationen sind ausschliesslich auf den von der TopPharm Apotheke Aarberg AG bereitgestellten Dateiablagesystemen Die Serverlaufwerke werden regelmässig gesichert. Lokal gespeicherte Informationen sind nicht von der Datensicherung erfasst.
   2. Es ist verboten, geschäftliche Informationen auf einer privaten Cloud oder nicht freigegeben Clouddiensten (Dropbox, GoogleDrive, etc.) zu speichern.
3. Schutzstufen
   Im Zusammenhang mit den Schutzstufen gelten folgende Vorgaben:
   1. Sämtliche Informationen sind entweder als «vertraulich» klassifiziert.
   2. Informationen, die Geschäftsgeheimnisse oder Personendaten enthalten, sind in jedem Fall zumindest als «intern», besonders schützenswerte Personendaten zumindest als «vertraulich» zu klassifizieren.
4. Clean Desk und Clear Screen Policy
   Es herrscht eine strikte Clean Desk und Clean Screen Policy. Im Zusammenhang mit dieser Policy gelten folgende Vorgaben:
   1. Es werden keine physischen Informationsträger (externe Speichermedien, Papier etc.) unbeaufsichtigt liegen gelassen. Bei längerer Abwesenheit am Arbeitsplatz müssen physische Informationsträger, die als «vertraulich» klassifizierte Informationen enthalten, weggeschlossen werden.
   2. Dokumente mit als «vertraulich» klassifizierten Informationen sind unverzüglich und persönlich aus dem Drucker zu entfernen.
   3. Whiteboards mit geschäftlichen Informationen sind nach Gebrauch zu reinigen / gebrauchte Flipcharts sind fachgerecht zu entsorgen.
   4. Wird ein Arbeitsplatz länger nicht verwendet, sperrt das System automatisch die Anwendungen zur neuen Anmeldung mittels Passwort
5. Zutritts- und Zugangsbeschränkung für externe Personen
   Im Zusammenhang mit der Zutritts- und Zugangsbeschränkung gelten folgende Vorgaben:
   1. Zutritt zu nicht öffentlich zugänglichen Räumen darf nur autorisierten bzw. angemeldeten Personen gewährt werden.
   2. Externe Personen dürfen sich nur in Begleitung in den Räumlichkeiten aufhalten. Sie haben sich am Empfang anzumelden und werden abgeholt. Sie werden nach dem Besuch wieder nach draussen begleitet.
   3. Die Nutzung von Fotokopierern und Scannern durch externe Dritte ist ohne explizite Erlaubnis untersagt.
6. Meldepflicht
   Im Zusammenhang mit der Meldepflicht gelten folgende Vorgaben:
   1. Sicherheitsvorfälle, der Verlust von bzw. Defekte an IT-Ressourcen von der TopPharm Apotheke Aarberg AG sowie für geschäftliche Zwecke verwendete private mobile Geräte oder verdächtige Handlungen / Personen sind umgehend der Geschäftsleitung zu melden.
   2. Datenschutzverletzungen werden direkt der Geschäftsleitung gemeldet und der Datenschutzaufsichtsstelle des Kantons Bern (Poststrasse 25, 3072 Ostermundigen, Tel: 031 633 74 10, datenschutz@be.ch).

Spezifische Nutzungs- und Schutzvorgaben

1. Schutz vor Malware
   Das verantwortungsbewusste Handeln im Gebrauch der IT-Ressourcen ist der entscheidende Sicherheitsfaktor. Es gelten die folgenden Schutzvorschriften:
   1. Schutzsoftware darf nicht umgangen oder deaktiviert werden.
   2. Es müssen immer sämtliche offiziellen Aktualisierungen und Updates installiert werden.
   3. Verdächtige E-Mails bzw. solche von fragwürdigen Absendern müssen umgehend der Geschäftsleitung gemeldet werden. Enthaltene Dateien (Attachments) oder Links dürfen auf keinen Fall geöffnet oder gespeichert werden
   4. Es dürfen keine Anhänge, die von fragewürdigen oder verdächtigen Absendern stammen, geöffnet werden.
   5. Generell dürfen Werbungen oder Pop-Ups in Nachrichten oder im Internet nicht angeklickt werden.
   6. Externe Links dürfen nur dann angeklickt werden, wenn die URL auf eine vertrauenswürdige bzw. bekannte Webseite führt.
   7. Auffälligkeiten und konkrete Verdachte müssen umgehend gemeldet werden.
2. E-Mail
   Im Zusammenhang mit der E-Mailnutzung gelten folgende Vorgaben:
   1. Mitarbeitende sind für die Kontrolle und Pflege ihres Postfachs verantwortlich.
   2. Das automatisierte Um- oder Weiterleiten von persönlichen E-Mailadressen an die geschäftliche E-Mail-Adresse ist nicht gestattet.
   3. Abgehende E-Mails sind mit einer einheitlichen Signatur gemäss Vorgabe der TopPharm Apotheke Aarberg AG zu versehen.
   4. Bei Abwesenheiten ist eine Abwesenheitsmeldung zu aktivieren.
   5. Besondere Personendaten und Informationen der Stufe «vertraulich» oder höher («geheim») dürfen nur im internen Netzwerk unverschlüsselt übertragen werden. Beim Versand an externe E-Mailadressen sind solche Informationen, wenn möglich verschlüsselt zu übertragen.
   6. Backups der Postfächer und Mailserver werden für mindestens ein 1 Jahr hinterlegt.
   7. Zur Wiederherstellung von geschäftlichen E-Mails oder bei Verdacht auf Missbrauch kann die IT-Abteilung auf Ankündigung hin über das Archivsystem auf die E-Mails der Mitarbeitenden zugreifen.
   8. Der Inhalt von privaten E-Mails bleibt als Teil der Privatsphäre geschützt. Private E- Die TopPharm Apotheke Aarberg AG nimmt weder Einsicht noch bearbeitet sie E-Mails weiter, die als «privat» gekennzeichnet sind. Wenn kein Unterscheidungsvermerk zwischen privaten und geschäftlichen E-Mails besteht und die private Natur eines E-Mails aufgrund der Adressierungselemente nicht erkennbar ist, darf davon ausgegangen werden, dass das E-Mail geschäftlich ist.
3. Internetnutzung
   Der Internetzugang auf Geräten, die von der TopPharm Apotheke Aarberg AG zur Verfügung gestellt wurden, ist für geschäftliche Zwecke bestimmt. Es gelten folgende Vorgaben:
   1. Es dürfen nur Webseiten abgerufen bzw. Dateien heruntergeladen werden, die geschäfts- oder auftragsrelevant sind.
   2. Up- und Downloads von grossen Dateien sind zu verhindern insbesondere sind die Installationen von Spielen und grossen Audio- und Videodateien aus dem Internet verboten;
   3. Der Besuch von Webseiten, die über kein SSL-Zertifikat verfügen, ist zu vermeiden.
   4. Der Besuch des Darknets (Thor-Browser) ist verboten.
   5. Der Besuch von Webseiten mit folgenden Inhalten ist verboten: pornografische, sexistische, rassistische oder gewaltverherrlichende Äusserungen bzw. Darstellungen; kostenpflichtige Webseiten; Pyramiden- und Schneeballsysteme; Terrorismusförderung und Finanzierung, sonstige, rechtswidrige oder gegen die guten Sitten verstossende Inhalte.
   6. Geschäftliche Informationen dürfen nicht ins Internet hochgeladen werden, z.B., um Übersetzungen in Gratistools zu erwirken.
4. Videotelefonie
   Für die Telefonie- und Videokonferenzen gelten folgende Vorgaben:
   1. Bei Videokonferenzen von unterwegs oder zu Hause ist zwecks Wahrung des Geschäftsgeheimnisses ein Headset oder Kopfhörer zu tragen.
   2. Kameras sind so einzustellen, dass nur die Teilnehmenden und nicht auch unbeteiligte Dritte eingeblendet werden.
   3. Der Arbeitsplatz ist während einer aktiven Telefon- oder Video-Konferenz nicht zu verlassen.
   4. Es dürfen nur Bildschirme geteilt werden, welche die für die Teilnehmenden bestimmen Informationen enthalten und wenn die anderen Anwendungen bzw. Informationen ausgeblendet werden.
   5. Bei grösseren Konferenzen ab 10 Personen ist die Videokonferenz so voreinzustellen, dass die Mikrofone und Kameras der Teilnehmenden von Beginn weg ausgeschaltet sind.

IV Kontakt

Bei Fragen oder Anmerkungen wenden Sie sich bitte an folgende Stelle: 

TopPharm Apotheke und Drogerie Aarberg Im Stedtli

Angela Thomet

Stadtplatz 52

3270 Aarberg

apo.stedtli.aarberg@ifak-hin.ch

TopPharm Apotheke und Drogerie Aarberg Im Center

Daniela Laubscher

Bahnhofstrasse 11

3270 Aarberg

apo.center.aarberg@ifak-hin.ch