Wer greift warum auf sensible Daten zu?
Wie kann man Dataauditing nutzen?
Mit der vom Software Competence Center Hagenberg entwickelten Software-Lösung kann die Oberösterreichische Gebietskrankenkasse ihren Versicherten zukünftig genau Auskunft erteilen, wer, wann auf Grund welcher Geschäftsfälle auf bestimmte, personenbezogenen Daten zugegriffen hat. Dadurch wird nicht nur die anwendungsübergreifende Umsetzung des österreichischen Datenschutzgesetztes gewährleistet, sondern auch die interne Datensicherheit durch das unternehmensweite Daten-Auditing.
Überblick
Für die Oberösterreichischen Gebietskrankenkasse (OÖGKK) ist das Thema Datensicherheit von großer Bedeutung. Dabei geht es der OÖGKK nicht nur um die strikte Einhaltung des österreichischen Datenschutzgesetzes, welches einerseits die Protokollierung der Zugriffe auf sensible Daten vorschreibt und andererseits das Auskunftsrecht für die Versicherten bestimmt. Neben der Einhaltung der gesetzlichen Rahmenbedingungen hat der Schutz der sensiblen Daten bei der OÖGKK oberste Priorität.
Herausforderung
Im Rahmen des Projekts Integrated Data Auditing hat des SCCH gemeinsam mit der OÖGKK einen Software-Prototyp entwickelt, der es ermöglicht, sämtliche Geschäftsprozesse der OÖGKK den Protokolldaten zuzuordnen. Zuvor konnte man diese Daten nur mit umfassenden, technischen Fachwissen auswerten. Bei der Entwicklung der unternehmensweiten, anwendungs- und geschäftsfallunabhängigen Lösung stellten die unterschiedlichen Zugriffsmuster der Anwendungen in den verschiedenen Systemlandschaften eine große Herausforderung dar. Darüber hinaus war die Transparenz sämtlicher Zugriffe auf die Versicherungsdaten sowie deren Verarbeitung von entscheidender Bedeutung. Die neue Software protokolliert durchgängig alle Zugriffe auf die Versicherungsdaten über einzelne Applikationsgrenzen hinweg. Aus diesen Protokollen werden unternehmensweite Zugriffsmuster auf sämtliche Datenbestände abgeleitet und den im Unternehmen vorhandenen Geschäftsprozessen zugeordnet.
Lösung
„Unsere neue Daten-Auditing-Lösung kann man mit einer Netzwerk-Firewall vergleichen. Wir können nun zentral alle Datenzugriffe kontrollieren. Neben der Anwendungssicherheit gewährleisten wir mit dieser ‘Datenfirewall’ eine unternehmensweite Datensicherheit. Ein weiterer Vorteil ist die flexible Erweiterbarkeit sowie die kostengünstige Wartung“, sagt Manfred Schöneborn, stellvertretender Leiter der IT-Entwicklungsabteilung der OÖ GKK.
Die großen Vorteile der realisierten Lösung sind, dass kaum Änderungen an den verschiedenen Anwendungen vorgenommen werden mussten und auch deren Performance nicht beeinträchtigt wird. Darüber hinaus decken die Zugriffsprotokolle nicht nur technische Informationen (wie z.B. Datei-, oder Datenbanktabellen), sondern auch die zugrundeliegenden Geschäftsprozesse ab. (z.B. eine Arbeitsunfähigkeitsmeldung).