DA für die Administratoren des Medizinischen Dienstes Nordrhein

Der MDK Nordrhein erbringt seine Dienstleistungen für die Krankenkassen, Pflegekassen und sonstigen Auftraggeber mit Hilfe eines IT-Systems, dass von Mitarbeitern (im weiteren Administratoren genannt) gemanaget wird. Dabei ist die hohe Verfügbarkeit der Systeme sowie die Erfüllung der gesetzlichen Anforderungen an den Datenschutz und die Datensicherheit von großer Bedeutung. 

Im Rahmen ihrer Tätigkeit als Administratoren für den MDK Nordrhein können die Administratoren ohne weitere organisatorische Maßnahmen unter Umständen bewusst oder unbewusst gegen die nachfolgend aufgeführten Normen verstoßen:

• §§ 4, 10, 13, 29, 32a Datenschutzgesetz
   
• § 202a StGB (Ausspähen von Daten)
   
• § 202b StGB (Abfangen von Daten)
   
• § 202c StGB (Vorbereitung des Ausspähens und Abfangen von Daten)
   
• § 303 b StGB (Computersabotage)
   
• § 184b StGB (Verbreitung, Erwerb und Besitz kinderpornographischer Schriften)
   
• § 130 OWiG (Gesetz über Ordnungswidrigkeiten)
   
• §§ 823, 839 BGB i.V.m. Art 34 GG

Die Dienstanweisung soll daher sowohl die Betriebsfähigkeit  des IT-Systems, die Erfüllung der Anforderungen an den Datenschutz und die Datensicherheit sowie die Sicherheit der den Administratoren anvertrauten technischen Einrichtungen gewährleisten.

Darüber hinaus ist es Ziel, insbesondere durch die nachfolgenden Regelungen und die sich daraus ableitenden organisatorischen Maßnahmen zu verhindern, dass die Administratoren bei der Ausübung ihrer Tätigkeit mit den oben aufgeführten Normen in Konflikt geraten. 

Diese Dienstanweisung gilt für alle System-, Datenbank-, Netzwerk- und Telefonanlagenadministratoren des MDK Nordrhein.

Die Überwachung der Einhaltung der nachfolgenden Regelungen obliegt dem Bereichsleiter IT.

Im Rahmen dieser Dienstanweisung wird den Administratoren, vorbehaltlich eventuell darüber hinausgehender Regelungen aus den einzelnen Stellenbeschreibungen, die Erledigung der nachfolgend aufgeführten Aufgaben übertragen:

• Information des Leiters des Bereichsleiters IT über alle relevanten Informationen zum System-, zur Betriebsfähigkeit des Systems, zum Datenschutz- und zur Datensicherheit.
   
• Der Aufbau und die Verwaltung der Server.
   
• Einrichtung, Verwaltung und Entzug von Benutzerkennungen und Zugriffsrechten sowie Erstzuweisung von Passwörtern und Einrichtung eines regelmäßigen Passwortwechsels.
   
• Die sichere Verwahrung und Verwaltung der zu den IT-Systemen gehörenden Datenträger.
   
• Die Kontrolle der Installation der Software auf den PC-Arbeitsplätzen sowie des Zugangsschutzes zu den Systemen.
   
• Die Behebung von Störungen (Second Level Support).
   
• Die Wiederherstellung von Daten und Programmen nach Fehlern und Störungen (bezogen auf Datenbestand/Programmbestand der sich auf dem Server befindet).
   
• Die Erarbeitung von Vorschlägen für die Verbesserung und Weiterentwicklung der Systeme und der IT-Anwendungen.
   
• Die Planung des Hardwarebedarfs in Einbezug neuer Programme bzw. Programmupdates.

Im Rahmen der unter Abschnitt 4 genannten Aufgaben haben die Administratoren insbesondere die folgenden Rechten und Pflichten

• Die Administratoren haben das Recht zur Erfüllung Ihrer Aufgabe auf alle freigegebenen Programme des Medizinischen Dienstes Nordrhein zuzugreifen. Allerdings darf auf die Daten, Anwendungen oder Dateien der Mitarbeiter nur in begründeten Fällen zugegriffen werden. Eine Leistungsüberwachung der Mitarbeiter ist unzulässig.
   
• Die Administratoren dürfen zur Administration der Systeme nur vom Hersteller zugelassene Tools einsetzen.
   
• Die Administratoren dürfen nur freigegebene Verfahren in Produktion gehen lassen.
   
• Die Administratoren sind verpflichtet, auf die automatischen Fehlermeldungen und Hinweise (E-Mails) des IT-Systems umgehend zu reagieren. Besonderheiten sind dem Bereichsleiter IT schnellstmöglich zu melden. Die Administratoren vertreten sich im Verhinderungsfall gegenseitig.
   
• Die Administratoren sind verpflichtet, grundsätzlich die voreingestellten Passwörter der ausgelieferten IT-Systeme zu ändern. Sollten Systempasswörter zur Kommunikation der IT-Komponenten untereinander dienen, kann eine Änderung unterbleiben. Alle neuen bzw. geänderten Passwörter sind in den Aufstellungen der Passwörter (eine Aufstellung befindet sich im Safe des Bereiches IT und eine Aufstellung befindet sich im Safe des Teams Interne Dienste und Finanzen) aufzunehmen bzw. zu ändern.
   
• Die Administratoren haben einen eigenen Account mit Administratorenrechten. Sie sind verpflichtet, grundsätzlich alle anfallenden Arbeiten mit diesem Account zu erledigen. Nur in begründeten Fällen darf mit dem Account des System-Admins gearbeitet werden.
   
• Die Administratoren haben nach grundlegenden Änderungen der Systeme, eine Präsenzpflicht in den nächsten zwei Arbeitstagen nach der Durchführung dieser Tätigkeit, um möglicherweise auftretende Fehler, die im Test nicht aufgefallen sind, umgehend bereinigen zu können. 
   
• Um bekannte Schwachstellen in Software-Produkten und Hardware-Komponeneten vor potentiellen Angriffen zu schützen, sind die Administratoren verpflichtet, Patches und Updates der Hersteller in Abhängigkeit von ihrer Sicherheitsrelevanz schnellstmöglich zu installieren. Neben den Betriebssystemen sind auch sämtliche Applikationen (einschließlich ihrer Erweiterungen) und Treiber stets zu prüfen und nach Bedarf zu aktualisieren. Die Administratoren sollen sich regelmäßig über bekannt gewordene Software-Schwachstellen informieren. 
   
• Die Administratoren haben sicherzustellen, dass alle erforderlichen Tests bei eigenen Programmentwicklung so weit wie möglich (Ausnahmen: aus Wirtschaftlichkeitsgründen) in einer Testumgebung, getrennt vom Produktivsystem, erfolgen.

• Es dürfen keine kontrollierenden Funktionen für selbst durchgeführte Tätigkeiten oder für Tätigkeiten, an denen der Administrator mitgearbeitet hat, übernommen werden.  
   
• Der Bereichsleiter IT hat regelmäßig die Arbeit der Administratoren zu kontrollieren.
   
• Für alle nach Inkrafttreten der Dienstanweisung eingeführten Sicherheitsrelevanten Verfahren ist ein Sicherheitskonzept und eine Risikoanalyse durchzuführen.
• Die Datenschutzbeauftragten und der Teamleiter Revision überprüfen außerdem die Eihaltung der organisatorischen Regelungen aus dieser Dienstanweisung.

Die Dienstanweisung tritt am Tag der Unterzeichnung in Kraft.