Richtlinie über den Datenschutz und die Informationssicherheit

21 März 2024, 10:03 Uhr

Richtlinie über den Datenschutz und die Informationssicherheit

Der Apotheke Zentrum Kirchberg AG, Zürichstrasse 1, 3422 Kirchberg

Mit den Standorten

TopPharm Apotheke Schröter

Zürichstrasse 1

3422 Kirchberg


sowie


Kirchberg TopPharm Apotheke Schröter Utzenstorf

Hauptstrasse 20

3427 Utzenstorf

Präambel

Der Schutz personenbezogener Daten liegt Apotheke Zentrum Kirchberg AG (nachfolgend "wir" oder "uns") am Herzen. Die vorliegende Richtlinie soll sicherstellen, dass Personendaten gesetzeskonform bearbeitet werden und regelt den sicheren und gesetzeskonformen Umgang mit IT-Ressourcen und geschäftlichen Informationen.

Apotheke Zentrum Kirchberg AG möchte Informationen, welche sie erhält, in einer Weise bearbeiten, welche mit den Unternehmenswerten im Einklang stehen. Diese Richtlinie ist für die Mitarbeitenden verbindlich.

  1. Zuständigkeit

Die Einhaltung von gesetzlichen Datenschutzvorgaben ist Sache der Unternehmensführung. Sie ist einerseits verpflichtet die Vorgaben selbst einzuhalten und andererseits verpflichtet, die Einhaltung der Vorgaben durch ihre Mitarbeitenden sicherzustellen.

Apotheke Zentrum Kirchberg AG:

Michael Schröter

Zürichstrasse 1

3422 Kirchberg

Tel: 034 445 48 48

E-Mail: apokirchberg.schroeter@ovan.ch

TopPharm Apotheke Schröter Kirchberg:

Marina Würgler

Zürichstrasse 1

3422 Kirchberg

Tel: 034 445 48 48

E-Mail: apokirchberg.wuergler@ovan.ch

TopPharm Apotheke Schröter Utzenstorf:

Maruschka Mäusli

Hauptstrasse 20

3427 Utzenstorf

Tel: 032 552 30 50

E-Mail: apoutzenstorf.maeusli@ovan.ch

II. Datenschutz
1. Wann dürfen personenbezogene Daten bearbeitet werden?

Personenbezogene Daten der Apotheke Zentrum Kirchberg AG dürfen von den Mitarbeitenden ausschliesslich im Zusammenhang mit der Erfüllung ihrer Pflichten gegenüber der Apotheke Zentrum Kirchberg AG bearbeitet werden.

Als "Bearbeitung" im Sinne dieser Datenschutzrichtlinie gilt jeder Umgang mit personenbezogenen Daten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Als "personenbezogene Daten" gelten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

2. Wer darf personenbezogene Daten bearbeiten und wie hat die Bearbeitung zu erfolgen?

Mitarbeitende der Apotheke Zentrum Kirchberg AG dürfen personenbezogene Daten ausschliesslich gemäss den ihnen zustehenden Berechtigungen bearbeiten. Diese Berechtigung wird bei Eintritt des Mitarbeitenden durch den Vorgesetzten des Mitarbeitenden, gemäss den internen Vorgaben, festgelegt und durch IT-Service-Provider umgesetzt. Die Berechtigungen können durch den Vorgesetzten des Mitarbeitenden im Rahmen der internen Vorgaben ständig angepasst werden. Eine Nutzung von personenbezogenen Daten durch die Mitarbeitenden zu anderen Zwecken als zur Verrichtung der Arbeitstätigkeit ist untersagt.

Mitarbeitende sind verpflichtet, zu jeder Zeit sicherzustellen, dass keine unberechtigte Dritte Kenntnis von personenbezogenen Daten der Apotheke Zentrum Kirchberg AG nehmen können.

Mitarbeitende verpflichten sich, bei der Bearbeitung von personenbezogenen Daten, die Vorgaben der auf das Unternehmen anwendbaren Datenschutzgesetze, welche in Bezug auf die konkrete Datenbearbeitung gelten, zu beachten. Ein Überblick über diese Vorgaben gibt die vorliegende Richtlinie.

Wird ein Mitarbeitender aufgefordert, ein Passwort für den Zugang zu einem System, etc. auszuwählen, ist er dafür verantwortlich, dass dieses Passwort vertraulich verwaltet wird. Passwörter dürfen nicht an andere Mitarbeitende oder an Dritte weitergegeben werden.

Die Mitarbeitenden nehmen zur Kenntnis, dass die Übermittlung von Informationen und Daten über das Internet nicht vollständig sicher ist. Obwohl die Apotheke Zentrum Kirchberg AG geeignete technische Massnahmen zur Sicherung der personenbezogenen Daten implementiert hat, kann eine vollständige Sicherheit nicht garantiert werden.

Die Apotheke Zentrum Kirchberg AG orientiert sich bezüglich des Standards zur Datensicherheit am gängigen Industriestandart.

3. Was für Rechte haben die betroffenen Personen?

Wenn die Voraussetzungen erfüllt sind, haben Kund*innen und andere betroffene Personen:

  • das Recht, Auskunft darüber zu erhalten, welche personenbezogenen Daten die Apotheke Zentrum Kirchberg AG über sie gespeichert hat und wie sie bearbeitet werden;
  • das Recht, eine Kopie ihrer personenbezogenen Daten zu erhalten (in einem allgemein gebräuchlichen Format);
  • das Recht, dass ihre personenbezogenen Daten an ein anderes Unternehmen übermittelt werden;
  • das Recht, ihre personenbezogenen Daten berichtigen oder löschen zu lassen; und
  • das Recht auf Widerspruch gegen die Bearbeitung ihrer personenbezogenen Daten durch die Apotheke Zentrum Kirchberg AG

Sämtliche Gesuche von Kund*innen oder andere betroffenen Personen müssen umgehend Michael Schröter weitergeleitet werden. Anfragen werden nur schriftlich und nicht telefonisch beantwortet. Es muss stets ein Identitätsnachweis (bspw. ID-/Passkopie) der betroffenen Person vorliegen.

Mitarbeitende sind verpflichtet, im Rahmen der Kontaktpflege mit betroffenen Personen die Richtigkeit der personenbezogenen Daten regelmässig zu überprüfen. Stellt sich heraus, dass im System erfasste personenbezogene Daten nicht mehr aktuell sind, hat der Mitarbeitende diese umgehend zu berichtigen. Ist eine Berichtigung nicht möglich, so erstattet der Mitarbeitende Meldung an Michael Schröter.

4. Welche personenbezogenen Daten werden durch die Apotheke Zentrum Kirchberg AG bearbeitet?

Mitarbeitende dürfen personenbezogene Daten nur so weit von betroffenen Personen erheben und bearbeiten, als dies der Zweck der Datenbearbeitung erfordert (Datensparsamkeit).

Die Apotheke Zentrum Kirchberg AG erhebt und bearbeitet personenbezogene Daten über betroffene Personen in erster Linie, um interessierte Personen über das Leistungsangebot zu informieren. Darüber hinaus werden personenbezogene Daten bearbeitet, um unsere Dienstleistungen, gemäss den auf uns anwendbaren gesetzlichen und vertraglichen Verpflichtungen, zu erbringen.

Einige Datenbearbeitungen, wie diejenige der Archivierung, sind erforderlich, damit die Apotheke Zentrum Kirchberg AG gesetzlichen oder vertraglichen Verpflichtungen nachkommen kann.

5. Wie werden die personenbezogenen Daten gespeichert und geschützt?

Die Apotheke Zentrum Kirchberg AG schützt die personenbezogenen Daten gegen unerlaubten Zugriff, gegen gesetzeswidrige Datenbearbeitungen, Verlust und Zerstörung. Personenbezogenen Daten werden nur so lange aufbewahrt, als dies aufgrund rechtlicher, regulatorischer und / oder anderweitigen Vorgaben erlaubt ist oder, sofern diese Dauer kürzer ist, so lange, als die betroffene Person ihre Einwilligung zur entsprechenden Datenbearbeitung gegeben hat.

Soweit zulässig und machbar und um das Recht auf Privatsphäre der betroffenen Personen zu schützen, unternimmt die Apotheke Zentrum Kirchberg AG angemessene Schritte, um Informationen, über die betroffene Personen direkt oder indirekt identifiziert werden können, zu entfernen oder zu anonymisieren. Zudem wird die Menge an personenbezogenen Daten, die von der Apotheke Zentrum Kirchberg AG genutzt oder an Drittpersonen oder Behörden etc. übermittelt werden, auf ein Minimum beschränkt.

6. Was mache ich, wenn mir ein Datenschutz-Sicherheitsvorfall bekannt wird?

Stellen Mitarbeitende einen Verdacht auf einen Datenschutzvorfall im Unternehmen fest oder erhalten diese Kenntnis über einen Datenschutz-Sicherheitsvorfall, müssen diese den Vorfall umgehend Michael Schröter melden. Dies gilt unabhängig davon, ob sich der Verdacht erhärtet hat oder nicht.

7. Welche Sanktionen drohen Mitarbeitenden?

Mitarbeitende sind verpflichtet, die Vertraulichkeit in Bezug auf sämtliche Daten (einschliesslich personenbezogene Daten) und Informationen sicherzustellen, über welche sie im Rahmen des Anstellungs- oder Mandatsverhältnisses für die Apotheke Zentrum Kirchberg AG Kenntnis erlangen. Die Mitarbeitenden nehmen zur Kenntnis, dass sie im Falle eines Verstosses gegen diese Pflicht der Vertraulichkeit durch die Apotheke Zentrum Kirchberg AG oder direkt durch die betroffene Person zur Verantwortung gezogen werden können.


III. Informationssicherheit

8. Wie ist der Umgang mit Informatikmitteln?

Die IT-Ressourcen der Apotheke Zentrum Kirchberg AG dienen in erster Linie der Erfüllung von dienstlichen Zwecken. Der sorgfältige und verantwortungsvolle Umgang mit allen Informatikmitteln garantiert einen störungsfreien Betrieb und minimiert das Risiko von Geschäftsgeheimnis- und Datenschutzverletzungen.

  1. Generell

Im Zusammenhang mit den Informatikmitteln gelten folgende Vorgaben:

  1. Die Apotheke Zentrum Kirchberg AG stellt allen Mitarbeitenden die für ihre Arbeit benötigten IT-Ressourcen zur Verfügung. Es dürfen keine fremden, nicht bewilligten bzw. freigegebenen IT-Ressourcen verwendet werden.
  2. An den bereitgestellten IT-Ressourcen dürfen keine unautorisierten Änderungen an den Grundeinstellungen vorgenommen werden. Solche Änderungen führt ausschliesslich Pharmatic durch.
  3. Es ist untersagt, Informatikmittel der Apotheke Zentrum Kirchberg AG mit fremden Netzwerkgeräten (Modems, LAN-Kabel, USB-Modems, Wireless-Router usw.) zu verbinden (soweit es sich nicht um Netzwerke handelt, die im Home- oder Remoteoffice verwendet werden) oder Informatikmittel mit fremden Netzwerkspeichergeräten oder mobile Speichermedien (USB-Sticks, externe Festplatten etc.) zu verbinden.
  4. Es ist untersagt, private Informatikmittel in das Firmennetzwerk einzubinden. Für private oder selbst administrierte mobile Geräte darf das Gäste-Netzwerk verwendet werden.
  5. Für den Support sämtlicher IT-Ressourcen und die Entsorgung von ausgedienten oder defekten Informatikmittel ist ausschliesslich die Pharmatic zuständig

    2.     Anwendungen

Im Zusammenhang mit den Anwendungen gelten folgende Vorgaben:

  1. Die Informatikmittel beinhalten ein Set an Standard-Anwendungen. Ein individueller Bedarf ist der IT-Abteilung zu melden, welche abschliessend über die Freigabe der individuellen Anwendung entscheidet.
  2. Auf zur Verfügung gestellten mobile Geräte dürfen die für dienstliche Zwecke benötigten Anwendungen installiert werden.
  3. Es ist insbesondere untersagt, nicht freigegebene Anwendungen auf Informatikmitteln der Apotheke Zentrum Kirchberg AG ohne Zustimmung durch die IT-Abteilung herunterzuladen oder zu installieren.

    9.     Wie schütze ich Informationen?

    1. Zugangsdaten

Im Zusammenhang mit den Zugangsdaten gelten folgende Vorgaben:

  1. Sämtliche Zugangsdaten (Benutzernamen, Passwort, etc.) für die IT-Ressourcen sind geheim zu halten und dürfen nirgends notiert oder aufgezeichnet werden. Gehen Zugangsdaten verloren oder besteht ein Verdacht auf Missbrauch muss umgehend eine Meldung Michael Schröter gemacht werden.
  2. Für sämtliche Zugänge ist ein neues, einzigartiges und starkes Passwort zu wählen. Die für die IT-Ressourcen verwendeten Passwörter dürfen nicht für private Zwecke verwendet werden.

    2.     Datenspeicherung

Im Zusammenhang mit der Datenspeicherung gelten folgende Vorgaben:

  1. Sämtliche geschäftlichen Informationen sind ausschliesslich auf den von der Apotheke Zentrum Kirchberg AG bereitgestellten Dateiablagesystemen (Cloudsystem: ownCloud mit Speicherung der Daten bei Ofac in der Schweiz). Die Serverlaufwerke werden regelmässig gesichert. Lokal gespeicherte Informationen sind nicht von der Datensicherung erfasst.
  2. Es ist verboten, geschäftliche Informationen auf einer privaten Cloud oder nicht freigegeben Clouddiensten (Dropbox, GoogleDrive, etc.) zu speichern.

    3.     Schutzstufen

Im Zusammenhang mit den Schutzstufen gelten folgende Vorgaben:

  1. Sämtliche Informationen sind entweder als «vertraulich» klassifiziert.
  2. Informationen, die Geschäftsgeheimnisse oder Personendaten enthalten, sind in jedem Fall zumindest als «intern», besonders schützenswerte Personendaten zumindest als «vertraulich» zu klassifizieren.

    4. Clean Desk und Clear Screen Policy

Es herrscht eine strikte Clean Desk und Clean Screen Policy. Im Zusammenhang mit dieser Policy gelten folgende Vorgaben:

  1. Es werden keine physischen Informationsträger (externe Speichermedien, Papier etc.) unbeaufsichtigt liegen gelassen. Bei längere Abwesenheit am Arbeitsplatz müssen physische Informationsträger, die als «vertraulich» klassifizierte Informationen enthalten, weggeschlossen werden.
  2. Dokumente mit als «vertraulich» klassifizierten Informationen sind unverzüglich und persönlich aus dem Drucker zu entfernen.
  3. Whiteboards mit geschäftlichen Informationen sind nach Gebrauch zu reinigen / gebrauchte Flipcharts sind fachgerecht zu entsorgen.
  4. Beim Verlassen des Arbeitsplatzes sind die Arbeitsplatzsysteme zu sperren (Windows Taste + L) oder es erfolgt eine Abmeldung vom System.

    5.     Zutritts- und Zugangsbeschränkung für externe Personen

Im Zusammenhang mit der Zutritts- und Zugangsbeschränkung gelten folgende Vorgaben:

  1. Zutritt zu nicht öffentlich zugänglichen Räumen darf nur autorisierten bzw. angemeldeten Personen gewährt werden.
  2. Externe Personen dürfen sich nur in Begleitung in den Räumlichkeiten aufhalten. Sie haben sich am Empfang anzumelden und werden abgeholt. Sie werden nach dem Besuch wieder nach draussen begleitet.
  3. Die Nutzung von Fotokopierern und Scannern durch externe Dritte ist ohne explizite Erlaubnis untersagt.

    6. Meldepflicht

Im Zusammenhang mit der Meldepflicht gelten folgende Vorgaben:

  1. Sicherheitsvorfälle, der Verlust von bzw. Defekte an IT-Ressourcen von der Apotheke Zentrum Kirchberg AG sowie für geschäftliche Zwecke verwendete private mobile Geräte oder verdächtige Handlungen / Personen sind umgehend Michael Schröter zu melden.
  2. Datenschutzverletzungen werden direkt Datenschutzaufssichtsstelle des Kantons Bern und Michael Schröter gemeldet.

Datenschutzaufsichtsstelle des Kantons Bern

Poststrasse 25

3072 Ostermundigen

Tel: 031 633 74 10

E-Mail: datenschutz@be.ch

10. Spezifische Nutzungs- und Schutzvorgaben

  1. Schutz vor Malware

Das verantwortungsbewusste Handeln im Gebrauch der IT-Ressourcen ist der entscheidende Sicherheitsfaktor. Es gelten die folgenden Schutzvorschriften:

  1. Schutzsoftware darf nicht umgangen oder deaktiviert werden.
  2. Es müssen immer sämtliche offiziellen Aktualisierungen und Updates installiert werden.
  3. Verdächtige E-Mails bzw. solche von unbekannten Absendern müssen umgehend Michael Schröter gemeldet werden. Enthaltene Dateien (Attachments) oder Links dürfen auf keinen Fall geöffnet oder gespeichert werden. Die Pharmatic entscheidet über das weitere Vorgehen.
  4. Es dürfen keine Anhänge, die von unbekannten oder verdächtigen Absendern stammen, geöffnet werden.
  5. Generell dürfen Werbungen oder Pop-Ups in Nachrichten oder im Internet nicht angeklickt werden.
  6. Externe Links dürfen nur dann angeklickt werden, wenn die URL auf eine vertrauenswürdige bzw. bekannte Webseite führt.
  7. Auffälligkeiten und konkrete Verdachte müssen umgehend gemeldet werden.

    2. E-Mail

Im Zusammenhang mit der E-Mailnutzung gelten folgende Vorgaben:

  1. Mitarbeitende sind für die Kontrolle und Pflege ihres Postfachs verantwortlich.
  2. Das automatisierte Um- oder Weiterleiten von persönlichen E-Mailadressen an die geschäftlich E-Mail-Adresse ist nicht gestattet.
  3. Abgehende E-Mails sind mit einer einheitlichen Signatur gemäss Vorgabe der Apotheke Zentrum Kirchberg AG zu versehen.
  4. Bei Abwesenheiten ist eine Abwesenheitsmeldung zu aktivieren.
  5. Besondere Personendaten und Informationen der Stufe «vertraulich» oder höher («geheim») dürfen nur im internen Netzwerk unverschlüsselt übertragen werden. Beim Versand an externe E-Mailadressen sind solche Informationen verschlüsselt zu übertragen.
  6. Backups der Postfächer und Mailserver werden für mindestens ein 1 Jahr hinterlegt.
  7. Zur Wiederherstellung von geschäftlichen E-Mails oder bei Verdacht auf Missbrauch kann die IT-Abteilung auf Ankündigung hin über das Archivsystem auf die E-Mails der Mitarbeitenden zugreifen.
  8. Der Inhalt von privaten E-Mails bleibt als Teil der Privatsphäre geschützt. Private E-Mails sind von den internen und externen Absendern durch die Vermerkoption «privat» zu kennzeichnen. Die Apotheke Zentrum Kirchberg AG nimmt weder Einsicht noch bearbeitet sie E-Mails weiter, die als «privat» gekennzeichnet sind. Wenn kein Unterscheidungsvermerk zwischen privaten und geschäftlichen E-Mails besteht und die private Natur eines E-Mails aufgrund der Adressierungselemente nicht erkennbar ist, darf davon ausgegangen werden, dass das E-Mail geschäftlich ist.

    3.     Internetnutzung

Der Internetzugang auf Geräten, die von der Apotheke Zentrum Kirchberg AG zur Verfügung gestellt wurden, ist für geschäftliche Zwecke bestimmt. Es gelten folgende Vorgaben:

  1. Es dürfen nur Webseiten abgerufen bzw. Dateien heruntergeladen werden, die geschäfts- oder auftragsrelevant sind.
  2. Up- und Downloads von grossen Dateien sind zu verhindern insbesondere sind die Installationen von Spielen und grossen Audio- und Videodateien aus dem Internet verboten;
  3. Der Besuch von Webseiten, die über kein SSL-Zertifikat verfügen, ist zu vermeiden.
  4. Der Besuch des Darknets (Thor-Browser) ist verboten.
  5. Der Besuch von Webseiten mit folgenden Inhalten ist verboten: pornografische, sexistische, rassistische oder gewaltverherrlichende Äusserungen bzw. Darstellungen; kostenpflichtige Webseiten; Pyramiden- und Schneeballsysteme; Terrorismusförderung und Finanzierung, sonstige, rechtswidrige oder gegen die guten Sitten verstossende Inhalte.
  6. Geschäftliche Informationen dürfen nicht ins Internet hochgeladen werden, z.B., um Übersetzungen in Gratistools zu erwirken.

    4.     Videotelefonie

Für die Telefonie- und Videokonferenzen gelten folgende Vorgaben:

  1. Bei Videokonferenzen von unterwegs oder zu Hause ist zwecks Wahrung des Geschäftsgeheimnisses ein Headset oder Kopfhörer zu tragen.
  2. Kameras sind so einzustellen, dass nur die Teilnehmenden und nicht auch unbeteiligte Dritte eingeblendet werden.
  3. Der Arbeitsplatz ist während einer aktiven Telefon- oder Video-Konferenz nicht zu verlassen.
  4. Es dürfen nur Bildschirme geteilt werden, welche die für die Teilnehmenden bestimmen Informationen enthalten und wenn die anderen Anwendungen bzw. Informationen ausgeblendet werden.
  5. Bei grösseren Konferenzen ab 10 Personen ist die Videokonferenz so voreinzustellen, dass die Mikrofone und Kameras der Teilnehmenden von Beginn weg ausgeschaltet sind.

    IV.     Kontakt

Bei Fragen oder Anmerkungen wenden Sie sich bitte an folgende Stelle:

Michael Schröter

Zürichstrasse 1

3422 Kirchberg

Tel: 034 445 48 48

E-Mail: apokirchberg.schroeter@ovan.ch


V. Wirkung

Diese Richtlinie tritt mit Wirkung ab 01.09.2023 in Kraft