Wie die Verwaltung zu Informatiklösungen kommt, die für alle stimmen, ist das Hauptthema des Berichts 2016 der Datenschutzaufsichtsstelle des Kantons Bern. Die Stelle hat im vergangenen Jahr zu zahlreichen Informatikprojekten eine Stellungnahme abgegeben. Sie hat zudem geprüft, ob ihre Vorgaben im Informatikalltag umgesetzt worden sind.
Der künftige kantonale Informatikarbeitsplatz (KWP 2.0), das Informatikprojekt EMM (Verwaltung der vom Kanton eingesetzten mobilen Geräte) und das Geschäftsverwaltungs- und Archivierungssystem BE-GEVER beschäftigten die kantonale Datenschutzaufsichtsstelle demnach nachhaltig, wie es in einer Aussendung dazu heisst.
Mit dem neuen Informatikarbeitsplatz werde die gesamte Kantonsverwaltung heikle Daten wie zum Beispiel Bewerbungsunterlagen elektronisch bearbeiten, teilt die Datenschutzaufsichtsstelle mit. Es gelte dabei sicherzustellen, dass diese Daten nur von Berechtigten eingesehen werden können und nach Abschluss des Vorgangs definitiv gelöscht werden. Noch höher seien die Anforderungen bei mobilen Geräten wie Handys und Tablets. Hier müssten die Daten verschlüsselt und im Fall eines Diebstahls des Geräts von der Zentrale gelöscht werden können.
Mit BE-Gever wird die papierlose Verwaltung eingeführt. Ergebnisse von Verhandlungen zum Beispiel würden nicht mehr auf Papier, sondern nur noch digital festgehalten. Deshalb müsse das System jede Veränderung des Dokuments protokollieren und die jeweiligen Versionen aufbewahren. Vor allem müsse es aber mit Sicherheit nachweisen können, wer das Dokument verfasst oder verändert habe.
Die Aufsichtsstelle hat dem Bericht zufolge zudem die Umsetzung der Informatiksicherheits- und Datenschutzvorgaben bei der Kindes- und Erwachsenenschutzbehörde (KESB) Oberaargau und den Spitälern fmi geprüft. Dabei habe sich gezeigt, dass die KESB-Verantwortlichen nur wenig Einfluss auf die Ausgestaltung der Informatiklösung hätten. Nicht zuletzt deshalb seien die gesetzlichen Auflagen nicht alle umgesetzt worden.
Das Berechtigungs- und Zugriffsmanagement der Spitäler FMI war Gegenstand einer weiteren Prüfung. Das Sicherheitskonzept erlaube die Nutzung mobiler Geräte auch ausserhalb des Spitals. Die umgesetzte Lösung erfülle die Datenschutzanforderungen gut, so der Bericht. Spürbar sei bei der Prüfung die gute und enge Zusammenarbeit zwischen den medizinischen Fachverantwortlichen und den Informatikverantwortlichen gewesen.
Was verbessert werden müsse, sei die Zusammenarbeit zwischen den Fachstellen und den für die Informatikgrundversorgung zuständigen Stellen der Kantonsverwaltung, fordert die Datenschutzaufsichtsstelle. Letztere nahmen demnach eine Standardkonfiguration des internetbasierten Telefonsystems ohne Rücksprache mit den Fachverantwortlichen in Betrieb. Standardmässig sei damit in der Mailbox der Telefonierenden aufgezeichnet worden, wer wann wie lange mit wem telefoniert hatte. Eine automatische Löschung dieser Aufzeichnungen fehlte. Die Aufzeichnung und unbefristete Aufbewahrung dieser Daten ist jedoch für kantonale Stelle unzulässsig.
Der Bericht 2016 der Berner Datenschutzaufsichtsstelle: www.be.ch/dsa
