schulung: umsetzung datensicherheitsverordnung 06. märz 2008 [stand 25. märz 2008] dr. iur. rené...
TRANSCRIPT
![Page 1: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/1.jpg)
Schulung:
Umsetzung
Datensicherheitsverordnung
06. März 2008 [Stand 25. März 2008]
Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug
Reto Zbinden, Swiss Infosec AG
In Zusammenarbeit mit René Loepfe, Leiter AIO, Kanton Zug
![Page 2: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/2.jpg)
2Schulung: Umsetzung der Datensicherheitsverordnung 2
Agenda
08.30 Begrüssung / Vorstellung / Zielsetzung 08.35 Datensicherheit – Berichterstattung in den Medien 08.45 Datensicherheit – aus der Praxis des AIO 08.55 Rechtliche Grundlagen: Bund und Kanton Zug 09.00 So erstellen Sie den Massnahmenkatalog (Teil I)
09.30 PAUSE (15')
09.45 So erstellen Sie den Massnahmenkatalog (Teil II) 10.30 So schulen Sie Ihre Mitarbeitenden Teil I
10.45 PAUSE (15')
11.00 So schulen Sie Ihre Mitarbeitenden Teil II 11.40 Hier erhalten Sie zusätzliche Hilfe 11.45 Fragen und Antworten
![Page 3: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/3.jpg)
3Schulung: Umsetzung der Datensicherheitsverordnung 3
1. Begrüssung / Vorstellung
![Page 4: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/4.jpg)
4Schulung: Umsetzung der Datensicherheitsverordnung 4
2. Zielsetzung
Gemäss Datensicherheitsverordnung (DSV) müssen datenbearbeitenden Organe in der Lage sein, die Vorgaben der DSV rechtskonform und grundsätzlich selbstständig umzusetzen.
Heute erfahren Sie, was Sie wie tun müssen.
![Page 5: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/5.jpg)
5Schulung: Umsetzung der Datensicherheitsverordnung 5
2. Zielsetzung
Was wir nicht wollen:
![Page 6: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/6.jpg)
6Schulung: Umsetzung der Datensicherheitsverordnung 6
3. DatensicherheitBerichterstattung in den Medien (1)
Patientendaten im Müll: 12 kg Unterlagen der CSS auf der Strasse gefundenEin Anwohner will einen fremden Kehrichtsack ordnungsgemäss in den Container werfen. Als der Sack dabei reisst, fallen gut 12 kg Krankenunterlagen der Krankenkasse CSS auf die Strasse, darunter Krankengeschichten, Versicherungsabschlüsse, Mandatserteilungen, usw.
Einsatzprotokoll im InternetDie Hessische Polizei stellt versehentlich ein 13 Seiten langes Einsatzprotokoll von Verkehrskontrollen ins Netz. Darin finden sich Namen, Geburtsdaten, aktuelle Adressen der Kontrollierten, „eventuelle Vorstrafen“, Automarke, Kennzeichen sowie Gesetzesverstösse. Die Daten standen ab Februar 2006 fast ein Jahr im Netz.
Amerikanische Zuständeprivacyrights.org schätzt, dass in den USA insgesamt 217,551,182 Personen vom Diebstahl oder Verlust ihrer besonders schützenswerten Personendaten betroffen sind.
![Page 7: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/7.jpg)
7Schulung: Umsetzung der Datensicherheitsverordnung 7
3. Datensicherheit Berichterstattung in den Medien (2)
Pannenland Grossbritannien Januar 2008
Dem britischen Verteidigungsministerium werden auf einem Notebook Informationen über rund 600.000 potenzielle Rekruten gestohlen.
Dezember 2007Daten von drei Millionen Führerscheinkandidaten und 7.500 Fahrzeugen werden versehentlich gelöscht.
November 2007Das Nationalen Gesundheitssystems (NHS) verliert vertraulichen Informationen von 160.000 kranken Kindern.
November 2007Die Steuerbehörden verlieren zwei CDs mit den persönlichen Daten von 25 Millionen Personen, bzw. 7,25 Millionen Familien, die Kindergeld beziehen.
![Page 8: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/8.jpg)
8Schulung: Umsetzung der Datensicherheitsverordnung 8
3. DatensicherheitBerichterstattung in den Medien (3)
TelefonauskunftDie Auskunft der Telekom schlampte 2002 und gab die Adresse des Frauenhauses Tübingen heraus. Daraufhin musste die ganze Einrichtung schliessen, weil die Sicherheit der Frauen nicht mehr gewährleistet war.
Brief von der BankEine englische Kundin der britischen Grossbank HBOS bekam 2007 nicht nur ihren eigenen Kontoauszug zugeschickt, sondern gleich fünf Briefe mit insgesamt rund 2.500 Seiten, die Angaben zu den Finanzverhältnissen von 75.000 Kunden enthielten.
Grösster FallDie Kaufhauskette TJX Companies Inc. gibt 2007 öffentlich bekannt, dass sein Datenverarbeitungssystem für Kreditkartendaten gehackt wurde. Es wurden 45,7 Millionen Kreditkarten-Datensätze und über 455.000 Kundenunterlagen zur Warenrückgabe (samt Kundenname und Führer-scheindaten) gestohlen.
![Page 9: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/9.jpg)
9Schulung: Umsetzung der Datensicherheitsverordnung 9
4. Rechtliche Grundlagen: Überblick
![Page 10: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/10.jpg)
4.1 Datenschutzprinzipien
Offenheitsprinzip Prinzip individuellen Zugangs Prinzip individueller Teilhaberschaft Prinzip der Adäquanz Prinzip der Verwendungsbeschränkung Prinzip der Weitergabebeschränkung Prinzip des Datenverantwortlichen
10Schulung: Umsetzung der Datensicherheitsverordnung
![Page 11: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/11.jpg)
11
5. DSV Datensicherheitsverordnung Kanton Zug
Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten
Schulung: Umsetzung der Datensicherheitsverordnung 11
![Page 12: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/12.jpg)
12
5. Datensicherheitsverordnung (1)
§ 1 Gegenstand und Geltungsbereich1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur
Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln
oder auf andere Weise bearbeitet werden.
2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,
die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist
sie nur im Rahmen der übertragenen Aufgaben anwendbar.
§ 2 Zweck der DatensicherheitDie Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:
a) zufällige Bekanntgabe, Vernichtung oder Verlust;
b) technische Fehler;
c) unbefugte Kenntnisnahme;
d) unbefugte Bearbeitung;
e) Fälschung, Entwendung oder widerrechtliche Verwendung.
12Schulung: Umsetzung der Datensicherheitsverordnung
![Page 13: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/13.jpg)
13
5. Datensicherheitsverordnung (2)
§ 3 Überprüfung der DatensicherheitDie Organe sind verantwortlich für die Überprüfung der Sicherheit der
Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und
Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der
Archivierung ist das Archiv zuständig.
§ 4 Sicherheitsmassnahmen1 Die Organe bestimmen die zum Schutz der Daten erforderlichen
Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.
2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie
die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.
3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den
Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf
für deren Umsetzung.
13Schulung: Umsetzung der Datensicherheitsverordnung
![Page 14: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/14.jpg)
14
5. Datensicherheitsverordnung (3)
§ 5 Umsetzung1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je
nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,
der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.
Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe
sinngemäss vor.
2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen
alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.
§ 6 RegierungsratDer Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.
14Schulung: Umsetzung der Datensicherheitsverordnung
![Page 15: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/15.jpg)
15
5.1 Überprüfung Datensicherheit
1.Organe bestimmen zuständige Personen
2.Durchführung der Prüfung / Vorgehensmethodik
Folgende Aufgaben werden von den zuständigen Personen der Organe wahrgenommen:
a) Überprüfung der Datensicherheit
b) Erstellung des Massnahmenkatalogs
c) Beantragen die Bewilligung der vorgesehenen Massnahmen
d) Instruktion der Mitarbeitenden
Schulung: Umsetzung der Datensicherheitsverordnung 15
![Page 16: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/16.jpg)
16
5.2 Überprüfung der Datensicherheit: Weisung
Die Organe überprüfen die Datensicherheit in denjenigen Bereichen, die sie selber beeinflussen können: Zutrittschutz zu Büros, Zugriffschutz von Fachanwendungen, Aufbewahrung und Entsorgung von Datenträgern etc.
Die Sicherstellung eines angemessenen Sicherheitsniveaus im Bereich Netzwerke, Server, Arbeitsplatzeinrichtungen sowie organübergreifender Fachanwendungen erfolgt durch die jeweiligen Informatikleistungs-erbringer. Sofern es sich bei den Informatikleistungserbringern um externe Dritte handelt, sind diese entsprechend vertraglich zu verpflichten.
Die Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Datensicherheit.
Für spezifische informatiktechnische Fragen können sich kantonale Organe an das AIO bzw. gemeindliche Organe an ihren jeweiligen Informatikleistungserbringer wenden.
Schulung: Umsetzung der Datensicherheitsverordnung 16
![Page 17: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/17.jpg)
17
5.3a Vorgehen: Ermitteln der Schutzobjekte
Zu beurteilende Schutzobjekte werden ermittelt und auf einer Liste erfasst:
o Personendaten, die mit elektronischen Mitteln und/oder manuell bearbeitet werden
Wie und in welchen Systemen werden Personendaten bearbeitet, gespeichert, gelagert?
In welchen Räumen werden Personendaten bearbeitet ?
Verantwortungsbereich der Datensammlungen innerhalb der jeweiligen Amtstelle? Wer? siehe Register!
Verantwortungsbereich der Applikation innerhalb der jeweiligen Amtsstelle? Wer?
Schulung: Umsetzung der Datensicherheitsverordnung 17
![Page 18: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/18.jpg)
1818
5.3a Vorgehen: Schutzobjekte
Schulung: Umsetzung der Datensicherheitsverordnung
Liste der Datensammlungen aktuell?
Register der Datensammlungen, Volltextsuche
www.datenschutz-zug.ch
![Page 19: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/19.jpg)
Bsp. (1)
19Schulung: Umsetzung der Datensicherheitsverordnung
![Page 20: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/20.jpg)
Bsp. (2):
20Schulung: Umsetzung der Datensicherheitsverordnung
![Page 21: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/21.jpg)
21
5.3b Vorgehen: Überprüfung (§ 3 DSV)
Bezüglich aller Schutzobjekte (Einträge auf Liste aus erstem Schritt) sind die Sicherheitsanforderungen auf ihre Einhaltung hin zu überprüfen (siehe hinten), sofern diese nicht im jeweiligen Verantwortungsbereich eines Informatikleistungserbringers liegen.
Bsp.: Sind Zutrittsorte gesichert und Systeme mit sicheren Passwörtern geschützt und werden diese periodisch geändert?
Pro MemoriaMA erhalten ein Set einfach umzusetzender Merkblätter, die auf der Homepage der Datenschutzstelle zur Verfügung steht http://www.datenschutz-zug.ch
Schulung: Umsetzung der Datensicherheitsverordnung 21
![Page 22: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/22.jpg)
22
5.3c Vorgehen: Massnahmenkatalog (§ 4 DSV)
Zu ergreifende Sicherheitsmassnahmen sind in einem Massnahmenkatalog aufzulisten (siehe Muster im Anhang).
Für Auswahl konkreter Massnahmen kann auf Arbeitsunterlagen und Massnahmenvorschläge des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie des Informatikstrategieorgans Bund zurückgegriffen werden.
Vollständiger Massnahmenkatalog gibt Auskunft über Zweck, Kosten sowie Zeitbedarf für Umsetzung der Massnahmen.
Schulung: Umsetzung der Datensicherheitsverordnung 22
![Page 23: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/23.jpg)
2323
5.3c Vorgehen: Muster Massnahmenplan
Schulung: Umsetzung der Datensicherheitsverordnung
![Page 24: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/24.jpg)
24
5.3d Vorgehen: Umsetzung
Zuständige Organe entscheiden, welche Massnahmen bis wann umgesetzt werden.
Kostenwirksame Massnahmen werden im Rahmen des Budgets umgesetzt, einfache Massnahmen ohne Kostenfolgen umgehend.
Verantwortliche Person für Instruktion der Mitarbeitenden stellt sicher, dass Mitarbeitende informiert und ausgebildet werden.
Organe überprüfen Wirksamkeit der Massnahmen alle vier Jahre.
Schulung: Umsetzung der Datensicherheitsverordnung 24
![Page 25: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/25.jpg)
25
5.4 Zusammenfassung
Zusammenfassung des Vorgehens Zuständige Personen für Datensicherheitsüberprüfung, Erstellung
Massnahmenkatalog, Bewilligung der beantragten Massnahmen sowie Instruktion der Mitarbeitenden sind bestimmt.
Erstellen Schutzobjektliste. Überprüfung der Datensicherheit, wo nötig mit entsprechenden Stellen
koordiniert. Massnahmenkatalog wurde erarbeitet und der Bewilligungsinstanz zum
Entscheid vorgelegt. Umzusetzende Massnahmen wurden von Bewilligungsinstanz beschlossen.
Nicht kostenwirksame Massnahmen wurden umgehend in Angriff genommen. Kostenwirksame Massnahmen sind budgetiert, Mittel bewilligt, Arbeiten
personell zugewiesen und zur Umsetzung freigegeben. Massnahmen sind umgesetzt.
Schulung: Umsetzung der Datensicherheitsverordnung 25
![Page 26: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/26.jpg)
26
5.5 Sicherheitsanforderungen
Die Sicherheitsanforderungen für Organe richten sich an die für die Überprüfung der Datensicherheit zuständigen Personen und nicht an die Benutzerinnen und Benutzer von Geräten an Informatikarbeitsplätzen.
Für Letztere stehen auf der Homepage der kantonalen Datenschutzstelle diverse Merkblätter zur Verfügung.
Die Organe überprüfen die Sicherheit ihrer Personendaten anhand der nachstehenden Sicherheitsanforderungen.
26Schulung: Umsetzung der Datensicherheitsverordnung
![Page 27: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/27.jpg)
27
5.5 Sicherheitsanforderungen A1 (1)
Papierdokumente werden mittels Aktenvernichter geshreddert (Maximalgrösse 4 x 80mm) und mit geeigneten Mitteln entsorgt.
Elektronische Daten/Datenträger werden vernichtet:o Formatierung der Datenträger UND mindestens 2malige Überschreibung
(Software) mit komplexen Zeichenketten (=nicht nur „0“) odero Entmagnetisierung (für magnetische Datenträger) odero physische/mechanische Zerstörung der Disketten, CD/DVD,
USB-Sticks, Streamertapes etc.
Schulung: Umsetzung der Datensicherheitsverordnung 27
Die Entsorgung von Datenträgern ist so geregelt, dass keine Rückschlüsse auf den Inhalt oder die gespeicherten Daten möglich sind. Reparaturen von Geräten sind von Fall zu Fall zu regeln (vertrauliche Daten sind vorher zu löschen).
![Page 28: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/28.jpg)
28
5.5 Sicherheitsanforderungen A1 (2)
Wo Material vor der Entsorgung gesammelt wird, ist die Sammlung unter Verschluss zu halten.
Achtung:
o Gilt auch für Datenträger in Multifunktionsgeräten (Scanner, Drucker, PDA, Foto-Geräte etc.)
o Die Vorgaben bezüglich Archivierung sind einzuhalten
Schulung: Umsetzung der Datensicherheitsverordnung 28
![Page 29: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/29.jpg)
29
5.5 Sicherheitsanforderungen A2
Schulung: Umsetzung der Datensicherheitsverordnung 29
Sämtliche Zugriffe auf Fachanwendungen sind mit einem Authentifikationsprozess bzw. sicheren Passwörtern geschützt. Die Passwörter erzwingen einen automatischen, periodischen Passwortwechsel
Alle Anwendungen sind durch eine Autorisierung bzw. ein sicheres Passwort geschützt.
Der Zugang ist, sofern technisch möglich, erst nach einer individuellen Identifikation (z.B. Namen oder User-ID) und Authentisierung (z.B. durch Passwort) des Nutzungsberechtigten möglich. Der Zugang wird protokolliert.
Die Fachanwendungen erzwingen einen automatischen, periodischen Passwortwechsel mindestens alle 90 Tage und ein sicheres Passwort.
Siehe Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis vom 17.12.2002 und Merkblatt Passwortschutz.
![Page 30: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/30.jpg)
30
5.5 Sicherheitsanforderungen A3 (1)
Identität der Berechtigten wird formell geprüft. Papierablagen und Datenträger sind durch Dritte nicht zugänglich, weil
unter Verschluss oder in Räumen mit Zutrittsbeschränkung. Es existiert ein Zutritts- bzw. ein Schlüsselmanagement (inkl. Reserve-
Schlüssel) und Weisungen wie vertrauliche Dokumenten abzulegen sind.
Versendung von Dokumente erfolgt durch persönliche Adressierung.
Schulung: Umsetzung der Datensicherheitsverordnung 30
Es dürfen keine Information an Unberechtigte weitergegeben werden. Vertrauliche Dokumente in gedruckter Form sowie elektronische Datenträger werden in den dafür vorgesehenen Schränken oder im Pult eingeschlossen.Nicht mehr benötigte vertrauliche Dokumententwürfe werden vernichtet.
![Page 31: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/31.jpg)
31
5.5 Sicherheitsanforderungen A3 (2)
Prinzipiell werden keine Dokumente/Datenträger an öffentlich zugängliche Orte versendet (z.B. gemeinsam genutzte Fax-Geräte).
Papierablagen und Datenträger sind durch Dritte nicht zugänglich, sondern unter Verschluss oder in Räumen mit Zutrittsbeschränkung aufzubewahren.
Bei Anwesenheit von Service-Personal (inkl. Reinigungspersonal) in zutrittsberechtigten Räumen sind Dokumente/Datenträger nicht zugänglich aufzubewahren.
Für Entsorgung siehe auch Sicherheitsanforderung A1
Achtung: Vorsicht beim Drucken an Netzwerkdruckern (ev. Passwortschutz
aktivieren).
31Schulung: Umsetzung der Datensicherheitsverordnung
![Page 32: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/32.jpg)
32
5.5 Sicherheitsanforderungen A4 (1)
Für jede Applikation sind die geschäftskritischen Funktionen bekannt.
Für jede Applikation und Hardware sind die sicherheitstechnischen Funktionen bekannt und es ist dokumentiert wie diesbezüglich die Applikation und Hardware einzurichten (Parameter usw.) sind.
Es existieren Checklisten wie die Applikation und Hardware auf ihre Funktionsfähigkeit überprüft werden muss.
Es existieren Checklisten wie die Vollständigkeit der Daten überprüft werden kann.
Schulung: Umsetzung der Datensicherheitsverordnung 32
Bei Neuinstallationen und Releasewechseln von Hardware und Software werden mindestens alle geschäftskritischen und sicherheitstechnisch wichtigen Funktionen auf ihre Funktionstüchtigkeit überprüft.
![Page 33: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/33.jpg)
33
5.5 Sicherheitsanforderungen A4 (2)
Diese Checklisten werden bei Neuinstallationen, Updates und Releasewechseln eingesetzt und dienen der Abnahme der Installation.
Vor einer Neu-Installation bzw. Release-Wechsel werden die Daten gesichert.
33Schulung: Umsetzung der Datensicherheitsverordnung
![Page 34: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/34.jpg)
34
5.5 Sicherheitsanforderungen A5
Pro Anwendung ist eine Liste von Mitarbeitern (oder mindestens Funktionen) vorhanden, die auf die Applikation und Daten zugreifen müssen.
Es ist sichergestellt, dass Zugriffe auf ein System oder auf Fachanwendungen und deren Daten auf Mitarbeiter beschränkt wird, die diese Daten zur Arbeitserledigung auch benötigen (Need to know -Prinzip).
Sämtliche Zugriffe auf sensitive Daten sind nur von autorisierten Personen möglich.
Die Zugriffsliste wird jährlich überprüft und bei personellen Veränderungen sofort angepasst.
Schulung: Umsetzung der Datensicherheitsverordnung 34
Es ist sichergestellt, dass nur Berechtigte Zugriff auf ein System oder bestimmte Fachanwendungen und deren Daten haben.
![Page 35: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/35.jpg)
35
5.5 Sicherheitsanforderungen A6
Die sicherheitsrelevanten Prozesse sind bekannt, und die entsprechenden Dokumentation und Weisungen sind aktuell:
o Erfassen, Mutieren und Löschen von Daten
o Erfassen, Mutieren und Löschen von Zugriffsberechtigungen
o Schlüssel- und Zutrittsmanagement
o Anträge für Änderungen der Applikationen/Hardware(siehe auch Sicherheitsanforderung A7)
Schulung: Umsetzung der Datensicherheitsverordnung 35
Sicherheitsrelevante Prozesse (Onlinezugriffe, Mutationsprozesse jeglicher Art) werden von der für die jeweilige Datensammlung zuständigen Stellen organisiert, umgesetzt und dokumentiert.
![Page 36: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/36.jpg)
36
5.5 Sicherheitsanforderungen A7 (1)
Es ist bekannt, wer einen Änderungsauftrag an die Betriebsorganisation stellen darf und wer den Auftrag genehmigen muss.
Aufträge an den Informatikbetreiber werden schriftlich formuliertund beinhalten im Minimum:- Antragsteller- Kontaktperson für Abstimmungen- Antrag (möglichst detailliert, mit Inhalt/Termine)- Genehmigung (4-AugenPrinzip)
Der Informatikbetreiber dokumentiert / quittiert schriftlichdie durchgeführten Änderungen.
Schulung: Umsetzung der Datensicherheitsverordnung 36
Änderungsaufträge an die Betriebsorganisation des Informatikbetreibers erfolgen schriftlich.
![Page 37: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/37.jpg)
37
5.5 Sicherheitsanforderungen A7 (2)
Anträge und Korrespondenz werden für 5 Jahre abgelegt.
Bevor Änderungen genehmigt und durchgeführt werden, muss durch Prüfung und Tests sichergestellt werden, dass das Sicherheitsniveau während und nach der Änderung erhalten bleibt.
37Schulung: Umsetzung der Datensicherheitsverordnung
![Page 38: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/38.jpg)
38
5.5 Sicherheitsanforderungen A8 (1)
Die Fachanwendungen protokollieren im Detail:o User-ID, Arbeitsstation, Zeitpunkt, Applikation (/Aktivität)o gescheiterte Zugriffsversuche durch Eingabe von User-ID
(inkl. User-ID, Arbeitsstation, Zeitpunkt)o gescheiterte Objektzugriffe (inkl. User-Id, Arbeitsstation, Zeitpunkt)o Änderungen der Zugriffsberechtigung
(welche Rechte sind durch welche User-Id und Zeitpunkt verändert worden)
38
Folgende Aktivitäten in den Fachanwendungen werden aufgezeichnet:- gescheiterte Authentifikationsversuche- gescheiterte Objektzugriffe- Vergabe und Änderungen von Privilegien und- alle Aktionen, die erhöhte Privilegien erfordern.
Schulung: Umsetzung der Datensicherheitsverordnung
![Page 39: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/39.jpg)
39
5.5 Sicherheitsanforderungen A8 (2)
Die Protokolle werden mindestens monatlich überprüft (speziell fehlgeschlagene Authentifizierungen).
Die Protokolle gescheiterter Zugriffe werdenmindestens 6 Monate aufbewahrt.
39Schulung: Umsetzung der Datensicherheitsverordnung
![Page 40: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/40.jpg)
40
5.5 Sicherheitsanforderungen A9
ALLE vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte werden sofort geprüft und nötigenfalls angepasst oder gelöscht.
Reset-Prozeduren (mit Neu-Generierung von Standardpasswörtern) werden überprüft/angepasst.
Die Sicherheitseinrichtungen werden aktiviert (Verschlüsselung, Anmeldeprozeduren, Anti-Viren-Programme,…).
Notwendige System-Passwörter sind unter Verschluss zu halten (Passwort-Management).
Schulung: Umsetzung der Datensicherheitsverordnung 40
Bei der Installation von Fachanwendungen werden vordefinierte Accounts, Initialpasswörter, Privilegien oder Zugriffsrechte sofort kontrolliert und nötigenfalls angepasst oder gelöscht.
![Page 41: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/41.jpg)
41
5.5 Sicherheitsanforderungen A10
Es existiert eine Liste der zu benutzenden Datenübertragungsein-richtungen und die einzuhaltenden Prozeduren, die Vertraulichkeit und Integrität garantieren.
Die Verteilung von Daten, Benutzernamen, kritischen Systemdaten und Passwörtern wird dokumentiert und gegebenenfalls quittiert.
Es werden nur Daten übermittelt, die auch benötigt werden (Need-to-Know).
Passwörter werden verschlüsselt oder persönlich übergeben. Datenübertragungen werden durch Hashwerte oder mindestens
durch Zählung der übertragenen Datensätze sichergestellt.41
Die Vertraulichkeit und Integrität der Datenübertragung von Benutzernamen, Passwörtern, Schlüsseln oder andere kritische Systemdaten aus Fachanwendungen ist bei der Übertragung über Netze sichergestellt.
Schulung: Umsetzung der Datensicherheitsverordnung
![Page 42: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/42.jpg)
42
5.5 Sicherheitsanforderungen A11
Siehe Text oben Systemzugriffsperren dürfen nicht de-aktiviert werden
Schulung: Umsetzung der Datensicherheitsverordnung 42
Systemzugriffsperren werden nach einer definierten Zeit (in der Regel 10 Minuten) automatisch aktiviert. Eine manuelle Aktivierung ist ebenfalls möglich. Falls eine entsprechende Sperrung aus technischen Gründen nicht möglich ist, ist der Zugang zu unbeaufsichtigten Arbeitsplätze geschützt (z.B. Abschliessen des Raumes).
![Page 43: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/43.jpg)
43
5.5 Sicherheitsanforderungen A12 (1)
Mobile Informatikmittel die ausserhalb des eigenen Büro verwendet werden sind speziell zu schützen (siehe auch oben).
Schulung: Umsetzung der Datensicherheitsverordnung 43
• Da mobile Informatikmittel (Notebooks, elektronische Agenden, Mobiltelefone etc.) nicht nur im eigenen Büro verwendet werden, sondern auch ausserhalb des Arbeitsplatzes, sind sie mit geeigneten technischen Massnahmen zu schützen (z.B. Pre-Boot-Authentifikation, sichere Volumelabels, Diskverschlüsselung etc.).
• Die Schutzvorrichtungen (Antivirus, Firewall) sind regelmässig (mindestens wöchentlich) zu aktualisieren.
• Die Benutzer sind in Fragen des Umgangs mit vertraulichen Daten in der Öffentlichkeit geschult.
• Für die Fernwartung sind speziell überwachte Accounts eingerichtet.
![Page 44: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/44.jpg)
44
5.5 Sicherheitsanforderungen A12 (2)
Neue Mitarbeiter müssen interne Regelungen, Gepflogenheiten und Verfahrenweisen im IT-Einsatz (inkl. Sicherheitsmassnahmen) und Datenschutz kennen und sind zeitnahe geschult worden. Die Schwachstellen der Office-Programme sind bei den Mitarbeitern bekannt:
- Schwache Passwörter- OLE-Funktion (Dokumente enthalten versteckte Informationen über die Bearbeitung)- Autofill-Funktion ….
Spezielle Accounts für die Fernwartung werden besonders überprüft und nach Möglichkeit nach dem Eingriff wieder blockiert bzw. mit einem neuen Passwort versehen.
44Schulung: Umsetzung der Datensicherheitsverordnung
![Page 45: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/45.jpg)
45
5.5 Sicherheitsanforderungen A13
Internet / E-Mail: Personendaten werden nur verschlüsselt übermittelt.
Der Informatikbetreiber oder das AIO gibt Auskunft über Verschlüsselungsoftware.
Laptops, PDA und Speichermedien: ausserhalb von geschützten Räumen sind persönliche Daten auf Speichermedien zu verschlüsseln.
Die Zugangspasswörter sind sorgfältig und getrennt von den Speichermedien aufzubewahren/zu übermitteln.
Schulung: Umsetzung der Datensicherheitsverordnung 45
Internet/E-Mail: Personendaten werden nur verschlüsselt übermittelt
![Page 46: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/46.jpg)
46
5.5 Sicherheitsanforderungen A14 (1)
Pro Fachanwendung ist dokumentiert, welche Ausweichlösungen für kurz- und langfristige Ausfälle zur Verfügung stehen.
Die Behandlung von Ausfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden. Speziell ist die Reaktionszeit und die Verantwortlichkeiten zu klären.
Schulung: Umsetzung der Datensicherheitsverordnung 46
Pro Fachanwendung ist festgelegt, welche Ausweichlösung zur Verfügung steht. Die Behandlung von Stör-, Not- und Katastrophenfällen und das konkrete Vorgehen sind vom Betreiber in Zusammenarbeit mit dem zuständigen Organ definiert und vereinbart worden.
![Page 47: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/47.jpg)
47
Es existieren Datensicherungspläne, die Auskunft geben über Speicherort der Daten im Normalbetrieb, Bestand der gesicherten Daten, Zeitpunkt der Datensicherung, Art und Umfang, Verfahren für die Rekonstruktion der Daten.
Sicherungskopien sind in zutrittsgeschützten Räumen, ausserhalb des Arbeitsplatzes und Computerraum aufbewahrt.
Backup-Prozeduren werden jährlich geprüft.
5.5 Sicherheitsanforderungen A14 (2)
47Schulung: Umsetzung der Datensicherheitsverordnung
![Page 48: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/48.jpg)
Ist der Mensch das Risiko?
Schulung: Umsetzung der Datensicherheitsverordnung 48
![Page 49: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/49.jpg)
Hier entstehen Gefahren…
MENSCH
GEBÄUDE
SERVER
ZENTRALEDATEN
ÜBERMITTLUNG
PC/DRUCKER
LOKALE DATEN
49Schulung: Umsetzung der Datensicherheitsverordnung
![Page 50: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/50.jpg)
50
6. Detailbesprechung: Benutzerinstruktion (1)
Der Mensch bildet das Hauptrisiko. Der Mensch ist es aber auch, der durch gezielte Tätigkeiten die
Risiken entschärfen bzw. die Risiken wahrnehmen kann. Erkennen dieser zentralen Rolle des Menschen. Hauptbeeinflussungsfaktoren:
o Sensibilisierungo Mobilisierungo Motivierungo Ausbildungo Information
Schulung: Umsetzung der Datensicherheitsverordnung 50
![Page 51: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/51.jpg)
51
6. Detailbesprechung: Benutzerinstruktion (2)
Zieleo Sicherheitsziele und Regeln müssen klar und eindeutig formuliert sein.o Alle Mitarbeitenden müssen in der Lage sein, die gestellten
Anforderungen zu erfüllen, nämlich das Sicherheitsziel zu erreichen.o Alle Mitarbeitenden müssen in der Lage sein, sichere
Arbeitshandlungen von unsicheren Arbeitshandlungen unterscheiden zu können.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, um unsichere Arbeit zu verhindern.
o Alle Mitarbeitenden müssen wissen, was sie zu tun haben, wenn sie unsichere Arbeit nicht verhindern konnten.
o Alle Mitarbeitenden müssen die Konsequenzen unsicherer Arbeitshandlungen für den Betrieb genau kennen.
Schulung: Umsetzung der Datensicherheitsverordnung 51
![Page 52: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/52.jpg)
52Schulung: Umsetzung der Datensicherheitsverordnung 52
6. Detailbesprechung: Benutzerinstruktion (5)
Die Ausbildung der Mitarbeitenden soll bis Ende September 2008 erfolgen. Der Nachweis soll bei Bedarf durch die Organe erbracht werden können, wer, wann ausgebildet wurde.
Durchsicht Merkblätter Durchsicht unterstützende Folien Welche weiteren Hilfsmittel gibt es? Wie werden Hilfsmittel eingesetzt?
![Page 53: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/53.jpg)
53Schulung: Umsetzung der Datensicherheitsverordnung 53
Merkblatt «Der sichere Umgang mit Daten»
Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren: Schutz gegen Zugriff Unberechtigter
Bei Abwesenheit Bei Arbeitsschluss
Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten
Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren
![Page 54: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/54.jpg)
54Schulung: Umsetzung der Datensicherheitsverordnung 54
Merkblatt «Der sichere Umgang mit Daten»
Kommunikation über Netze Internet Intranet und internes Netz
Datenspuren In Dateien Beim Surfen
Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im
Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch
![Page 55: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/55.jpg)
55Schulung: Umsetzung der Datensicherheitsverordnung 55
Merkblatt «Der sichere Umgang mit Daten»
Weitere zusätzliche Hinweise DSB Kanton Zug:
http://www.datenschutz-zug.ch/ DSB Kanton Zürich:
Lernprogramm zu Datensicherheit http://www.datenschutz.ch/wbt/sicherheit/index1.htm
Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheithttps://review.datenschutz.ch/review/index.php
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:http://www.edoeb.admin.ch
![Page 56: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/56.jpg)
56Schulung: Umsetzung der Datensicherheitsverordnung 56
Merkblatt «Passwort»
Passwort: Schutz vor dem Zugriff Unberechtigter Ein gutes – oder «starkes» Passwort
mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel
Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder
Namen
Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke
Passwort: <IAsdSn1x!>
![Page 57: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/57.jpg)
57Schulung: Umsetzung der Datensicherheitsverordnung 57
Merkblatt «Passwort»
Handhabung des Passwortes Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach vier Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter
Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist:
https://review.datenschutz.ch/passwortcheck/check.php
![Page 58: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/58.jpg)
58Schulung: Umsetzung der Datensicherheitsverordnung 58
Merkblatt «Der sichere Umgang mit E-Mail»
Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg
Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes
Endet die Adresse auf «.zg.ch», erfolgt die Zustellung über das eigene Netz
Versand via Internet Erhalt von E-Mails
Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,
ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft
Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender
![Page 59: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/59.jpg)
59Schulung: Umsetzung der Datensicherheitsverordnung 59
Merkblatt «Der sichere Umgang mit E-Mail»
Vorgehen bei Ferienabwesenheit Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des
eigenen Netzes weiterleiten Absenderinnen und Absender von E-Mails mit einer automatischen Antwort
über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren
Wichtige zusätzliche Informationen im Umgang mit E-Mail Private Nutzung von E-Mails? Zur Verschlüsselung von [Office-] Dokumenten
![Page 60: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/60.jpg)
60Schulung: Umsetzung der Datensicherheitsverordnung 60
«Kundenkontakt»
Identität von Anfragenden Datenbekanntgaben per Telefon Anfragen per E-Mail Datenbekanntgabe per Fax oder SMS
Voraussetzungen von Datenbekanntgaben Amtsgeheimnis gilt grundsätzlich auch zwischen den verschiedenen Stellen
innerhalb der Verwaltung Personendaten dürfen anderen Stellen grundsätzlich nur dann
bekanntgegeben werden, wenn eine entsprechende ausdrückliche gesetzliche Grundlage dies zulässt oder die betroffene Person der Datenbekanntgabe zugestimmt hat
An Privatpersonen darf ausschliesslich Auskunft über ihre eigenen Daten gegeben werden
![Page 61: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/61.jpg)
61Schulung: Umsetzung der Datensicherheitsverordnung 61
«Kundenkontakt»
Einsichtsrecht der Betroffenen Jede betroffene Person hat das Recht, ihre eigenen Daten einzusehen und
grundsätzlich kostenlose Kopien ihrer Daten zu verlangen Jede betroffene Person hat das Recht, falsche Daten berichtigen zu lassen Die Betroffenen haben das Recht zu wissen, zu welchem Zweck und auf
welcher Rechtsgrundlage Daten über sie bearbeitet und an wen sie weitergegeben werden
Auskünfte an Betroffene über ihre eigenen Daten müssen speditiv erfolgen und vollständig und richtig sein. Der anfragenden Person entstehen grundsätzlich keinerlei Kosten. Die Beantwortung der Anfrage erfolgt in der Regel schriftlich.
![Page 62: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/62.jpg)
62Schulung: Umsetzung der Datensicherheitsverordnung 62
Merkblatt «Mobile Geräte»
Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste
Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,
Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl
Verschlüsselung SMS, MMS und E-Mail Vertrauliches gehört nicht an die Öffentlichkeit
![Page 63: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/63.jpg)
63Schulung: Umsetzung der Datensicherheitsverordnung 63
8. Wichtige Links
DSB Kanton Zug
DSB Kanton Zürich
Kantonale DSB
Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Deutsches Grundschutzhandbuch
www.datenschutz-zug.ch
www.datenschutz.ch
www.privatim.ch
www.edoeb.admin.ch
www.bsi.de
![Page 64: Schulung: Umsetzung Datensicherheitsverordnung 06. März 2008 [Stand 25. März 2008] Dr. iur. René Huber, Datenschutzbeauftragter des Kantons Zug Reto Zbinden,](https://reader033.vdocuments.site/reader033/viewer/2022051413/55204d6a49795902118c02c7/html5/thumbnails/64.jpg)
64Schulung: Umsetzung der Datensicherheitsverordnung 64
9. Fragen und Antworten