Medizinische Daten sind sensibel. Niemand möchte, dass seine AHV-Nummer, sein Untersuchungsergebnis oder andere Gesundheitsdaten gestohlen werden oder irgendwo online durchsickern. Den Datenschutz sicherzustellen, ist daher von grösster Bedeutung. Aber was tut OneDoc genau, um sensible Daten zu schützen?
Wir haben uns an Alexandre und Florian, die Leiter unseres Entwicklungs- und Sicherheitsteams, gewandt, um uns zu erklären, wie die Datenschutz bei OneDoc gewährleistet wird.
Wie läuft der Datenschutz bei OneDoc ab?
Der Datenschutz bei OneDoc wird von einem achtköpfigen Team verwaltet und kann in sechs Säulen zusammengefasst werden, wie Alexandre Curreli, Chief Technical Officer (CTO) und Mitbegründer von OneDoc, erläutert:
Verschlüsselte End-to-End-Daten in der Schweiz
“Alle Gesundheitsdaten werden bei OneDoc ausschliesslich in der Schweiz verschlüsselt gespeichert, so auch ihre Übertragung.”, erklärt Alexandre Curreli. Die End-to-End-Verschlüsselung sorgt dafür, dass die Daten nur von den Personen gelesen werden können, die Zugriff darauf haben müssen. Die Speicherung der Daten in der Schweiz ermöglicht eine zusätzliche Sicherheitskontrolle durch das Label “Swiss made software, hosted in Switzerland” und ist notwendig, um das revDSG (neues Datenschutzgesetz) zu erfüllen.
“Alle Gesundheitsdaten werden bei OneDoc ausschliesslich in der Schweiz verschlüsselt gespeichert, so auch ihre Übertragung.”
Regelmässige Updates
Es werden regelmässig Updates bei OneDoc durchgeführt, um potenzielle Sicherheitslücken zu vermeiden: “Wir haben jede Woche Updates, und manchmal sogar täglich“, erklärt uns Florian Alonso, Leiter des Entwicklungsteams.
ISO 27001 und VDSZ
Hinter diesen Begriffen, die auf den ersten Blick kompliziert erscheinen, verbergen sich zwei Zertifizierungen zum Schutz von Daten. Die ISO 27001 umfasst eine Reihe von Kontrollpunkten, die beachtet werden müssen, um sicherzustellen, dass Daten geschützt werden. Wenn die Anforderungen erfüllt sind, vergibt die Internationale Organisation für Normung (ISO) die Zertifizierung. Auf der anderen Seite bescheinigt das VDSZ, dass OneDoc das Schweizer Datenschutzgesetz einhält.
Mitarbeiterschulung
Ein guter Datenschutz erfordert auch eine gute Schulung der Mitarbeiter:innen. Wie Alexandre betont: “Jeder Mitarbeiter erhält eine Schulung zu den bewährten Sicherheitspraktiken“. Dieser Punkt ist tatsächlich entscheidend, da wie wir vor ein paar Wochen erwähnt haben, Sicherheitslücken auch von Mitarbeiter:innen innerhalb des Unternehmens stammen können.
Regelmässige Penetrationstests
Sicherheitsexpert:innen führen regelmässig Penetrationstests durch, um die Zuverlässigkeit des Datenschutzes zu gewährleisten. Konkret versuchen “gute” Hacker, in das OneDoc-System einzudringen, um vertrauliche Daten zu extrahieren. “Bisher hat aber niemand Erfolg gehabt!”, freut sich Alexandre Curreli.
Security by Design
“Die Sicherheit ist etwas, das ständig im Hinterkopf behalten werden muss”, teilt uns Florian Alonso mit, “sowohl im technischen Team als auch im Rest des Unternehmens”. Die Sicherheit ist immer Teil des Entwicklungsprozesses, um die bestmögliche Sicherheit zu gewährleisten.
“Der Datenschutz ist etwas, was wir stets im Hinterkopf behalten müssen. Sei es im technischen Team oder im Rest des Unternehmens”
Covid, eine Challenge für alle
Bei der Frage, welches die grösste Herausforderung gewesen sen, mit der sie bei OneDoc konfrontiert wurden, haben beide nicht gezögert: “Klar war es Covid, wo wir in wenigen Wochen ein Impfmodul entwickeln mussten, um es den Kantonen zur Verfügung zu stellen.” In solchen Fällen stellt sich die Frage, wie die Sicherheit gewährleistet werden kann, wenn man so wenig Zeit hat. Alexandre Curreli erklärt, dass es darauf ankommt, bewährte Praktiken beizubehalten, an die Sicherheit beim Codieren zu denken und alle Funktionen sorgfältig zu testen.
