Hausaufgaben für Berner IT-Verwaltung

Die Berner Datenschutzaufsichtsstelle hat ihren Bericht für das Jahr 2016 vorgestellt. Darin befasst sich die Behörde mit Themen wie dem geplanten kantonalen IT-Arbeitsplatz (KWP 2.0), dem Informatikprojekt EMM (Verwaltung der vom Kanton eingesetzten mobilen Geräte) und mit dem Geschäftsverwaltungs- und Archivierungssystem BE-Gever.

Heikle Daten standardmässig schützen

Der Kanton Bern will die IT-Arbeitsplätze seiner Mitarbeiter in der Verwaltung modernisieren. Mit dem sogenannten Informatikarbeitsplatz KWP 2.0 werde die gesamte Kantonsverwaltung heikle Daten wie zum Beispiel Bewerbungsunterlagen elektronisch bearbeiten, schreibt die Datenschutzaufsichtsstelle. Sie weist darauf hin, dass die IT-Lösung gewährleisten müsse, dass nur Berechtigte solche Daten einsehen können. Ausserdem müssten heikle Daten nach Abschluss des Vorgangs definitiv gelöscht werden.

Noch höher seien die Anforderungen bei mobilen Geräten wie Handys und Tablets. Hier müssten die Daten zusätzlich verschlüsselt und im Falle eines Diebstahls eines Geräts aus der Ferne gelöscht werden können.

Ein weiteres Vorhaben ist BE-Gever, ein Projekt, mit dem der Kanton die papierlose Verwaltung einführen will. Ergebnisse etwa von Verhandlungen werden dann nicht mehr auf Papier, sondern digital festgehalten. Deshalb müsse das System jede Veränderung des Dokuments protokollieren und die jeweiligen Versionen aufbewahren, teilte die Datenschutzaufsichtsstelle mit. Zudem müsse das System mit Sicherheit nachweisen können, durch wen ein Dokument verfasst oder verändert wurde.

Wenig Mitsprache bei der IT-Beschaffung

Die Aufsichtsstelle untersuchte auch die Umsetzung der Informatiksicherheits- und Datenschutzvorgaben bei der Kindes- und Erwachsenenschutzbehörde (KESB) Oberaargau und der Spitalgruppe "Spitäler FMI". Dabei zeigte sich laut der Datenschutzbehörde, dass die KESB-Verantwortlichen nur wenig Einfluss auf die Ausgestaltung der Informatiklösung haben. Auch deshalb seien die gesetzlichen Auflagen nicht alle umgesetzt.

Die KESB ist im Kanton Bern regional in 11 Kreise aufgeteilt. Das Problem: Derzeit haben alle Mitarbeitenden einen Zugriff auf alle rund 49'000 Dossiers in allen Kreisen. Der Datenzugriff sei unter Auflagen erlaubt. So muss etwa der Kreis der Zugriffsberechtigten etwa auf Pikettfunktionen beschränkt sein und die Zugriffe sind zu protokollieren. Diese Auflagen wurden jedoch nicht umgesetzt, wie die Aufsichtsstelle moniert. Ebenfalls nicht realisiert sei ist auch die verlangte Verfügbarkeit, so dass KESB-Mitarbeiter im Notfall jederzeit auf ein Dossier zugreifen können.Hierauf sei auch aus wirtschaftlichen Gründen verzichtet worden.

Unbemerkt zur kleinen Anrufregistrierung

Verbessert werden müsse auch die Zusammenarbeit zwischen den Fachstellen und den für die Informatikgrundversorgung zuständigen Stellen der Kantonsverwaltung, mahnt die Aufsichtsbehörde. Die IT-Betreuuer nahmen laut Bericht eine Standardkonfiguration des internetbasierten Telefonsystems ohne Rücksprache mit den Fachverantwortlichen in Betrieb.

Dadurch wurde standardmässig in der Mailbox der Telefonierenden aufgezeichnet, wer wann wie lange mit wem telefonierte. Eine automatische Löschung dieser Aufzeichnungen habe jedoch gefehlt. Die Aufzeichnung und unbefristete Aufbewahrung dieser Aufzeichnungen sei aber für kantonale Stellen unzulässsig.

Lob für Spitäler FMI

Das Berechtigungs- und Zugriffsmanagement der Spitalgruppe "Spitäler FMI" war Gegenstand einer weiteren Prüfung. Das Sicherheitskonzept erlaubt die Nutzung mobiler Geräte auch ausserhalb des Spitals.

Die umgesetzte Lösung erfülle die Datenschutzanforderungen gut, lobt die Aufsichtsbehörde. “Spürbar wurde bei der Prüfung die gute und enge Zusammenarbeit zwischen den medizinischen Fachverantwortlichen und den Informatikverantwortlichen“, heisst es in dem Communiqué.