Zertifizierung von Datenannehmestellen

Zahlreiche Krankenversicherer haben Datenannahmestellen zertifizieren lassen und bei uns angemeldet. Bei kleineren und mittleren Krankenversicherern wird die automatisierte Dunkelprüfung oft durch einen Dienstleister durchgeführt. Versicherungsgruppen betreiben hingegen lieber eine zentrale Datenannahmestelle für alle Mitglieder der Versicherungsgruppe.

Haben Krankenversicherer das Zertifikat für ihre Datenannahmestelle (DAS) erhalten, so müssen sie diese unaufgefordert bei uns anmelden. Wir publizieren eine Liste der zertifizierten Datenannahmestellen auf unserer Internetseite. Dort ist ersichtlich, ob der Versicherer die Datenannahmestelle selbst betreibt, ob dies für mehrere Krankenversicherer einer Gruppe passiert, ob ein Dienstleister die automatisierte Dunkelprüfung erledigt, durch welchen Zertifizierer die Zertifizierung erfolgt ist und auch bis wann das erteilte Zertifikat gültig ist. Bis Januar 2014 waren bei uns 39 Annahmestellen gemeldet.

Aufgrund dieser Anmeldungen können verschieden Schlüsse gezogen werden. Kleine und mittlere Krankenversicherer haben die automatisierte Dunkelprüfung mehrheitlich an einen Dienstleister ausgelagert. Hier zeigt sich eine Konzentration auf momentan zwei Dienstleister. Einige mittlere Krankenversicherer betreiben die automatisierte Dunkelprüfung aber auch im eigenen Haus. Bei den grossen Versicherungsgruppen zeigt sich, dass sie eine zentralisierte DAS für alle Mitglieder der Gruppe betreiben. Hier besteht aus ihrer Sicht allerdings eine Auslagerung an die Gruppengesellschaft.

Wichtig ist hier, dass bei der Zusammenarbeit mit einem Dienstleister alle für den Betrieb der Annahmestelle notwendigen Prozesse beim auslagernden Versicherer und beim Dienstleister zertifiziert sein müssen. Ein Dienstleister alleine kann also kein Zertifikat für eine Datenannahmestelle erhalten, weil dieses immer für einen bestimmten Versicherer oder für eine bestimmte Gruppe ausgestellt wird. Bei einem Zertifikat für eine Gruppe muss zudem klar ersichtlich sein, für welche Mitglieder dieses tatsächlich Gültigkeit hat. Selbstverständlich muss dies auch aus dem zugehörigen Auditbericht klar hervorgehen.

Im Berichtsjahr haben wir wiederum eine Fachgruppensitzung mit den akkreditierten Zertifizierungsgesellschaften KPMG AG, der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) und der Schweizerischen Akkreditierungsstelle (SAS) durchgeführt. Insbesondere wurden hier die Anforderungen an die Ausbildung der beim Zertifizierungsaudit eingesetzten Prüfer, die Anforderungen an den Auditbericht und die erforderliche Auditdauer thematisiert. Da die Datenschutzzertifizierung auf der Norm ISO/IEC 27001 basiert, wurde hier die für Audits massgebliche Norm ISO/IEC 27006 als sinngemäss für bindend erklärt.

Zudem haben wir erneut - wie bei der im Herbst des Vorjahres durchgeführten Sitzung - klargestellt, dass bei der Datenannahmestelle auch alle Papierprozesse zu zertifizieren sind. Diese Arbeitssitzungen haben sich gemäss unserer Ansicht sehr bewährt, da wir hier als Zertifizierungsschema-Inhaber direkt mit den involvierten Stellen Probleme diskutieren und Lösungen finden, aber auch unmittelbar unsere für die Zertifizierer bindenden Vorgaben abgeben und erläutern können. Entsprechend werden wir die jährliche Fachgruppensitzung weiterführen. Sollte es notwendig sein, werden wir auch Ad-hoc-Sitzungen durchführen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/21--taetigkeitsbericht-2013-2014/zertifizierung-von-datenannehmestellen.html