Datenschutz: Einer unserer zentralen Werte bei OneDoc

Medizinische Daten sind sensibel. Niemand möchte, dass seine AHV-Nummer, das Ergebnis einer Untersuchung oder andere Daten, die für medizinische Zwecke verwendet werden könnten, gestohlen werden oder ins Internet gelangen. Daher ist die Gewährleistung des Schutzes dieser Daten unerlässlich. Aber was unternimmt OneDoc, um diese Daten zu sichern?

Wir haben Alexandre Curreli und Florian Alonso, Leiter unseres Entwicklungs- und Sicherheitsteams, gebeten, uns zu erklären, wie die Datensicherheit bei OneDoc verwaltet wird.

Die Datensicherheit bei OneDoc wird von einem Team aus zehn Personen verwaltet und lässt sich in sechs Säulen zusammenfassen, wie Alexandre Curreli, Chief Technical Officer (CTO) und Mitbegründer von OneDoc, erklärt:

Ende-zu-Ende-verschlüsselte Daten in der Schweiz

“Sämtliche medizinischen Daten werden bei OneDoc ausschliesslich in der Schweiz gespeichert und verschlüsselt, ebenso die Übermittlung dieser Daten.”, erklärt Alexandre Curelli. Durch die Ende-zu-Ende-Verschlüsselung sind Daten nur für diejenigen lesbar, die Zugriff darauf haben müssen. Die Speicherung der Daten in der Schweiz gewährleistet dank des Labels „Swiss made software, hosted in Switzerland“ eine zusätzliche Sicherheitskontrolle und ist zur Einhaltung der revDSG (neues Datenschutzgesetz) erforderlich.

Regelmässige Updates

Um mögliche Sicherheitslücken zu vermeiden, werden bei OneDoc regelmässig Updates durchgeführt: „Wir haben Updates jede Woche und in manchen Wochen sogar jeden Tag“, erklärt Florian.

ISO 27001 und VDSZ

Hinter diesen zwei Begriffen verbergen sich Datenschutzzertifizierungen. ISO 27001 enthält eine Reihe von Kontrollpunkten, die zur Gewährleistung des Datenschutzes beachtet werden müssen. Bei Vorliegen der Anforderungen vergibt die Internationale Organisation für Normung (ISO) eine Zertifizierung. Die VDSZ bescheinigt ihrerseits, dass OneDoc das schweizerische Datenschutzrecht einhält.

Angestellten Training

Guter Datenschutz erfordert auch eine gute Mitarbeiterschulung. „Jeder Mitarbeiter erhält eine Schulung zu guten Sicherheitspraktiken.“ Wie wir Ihnen bereits vor einigen Wochen berichteten, gehen Sicherheitslücken häufig von Mitarbeiter:innen innerhalb des Unternehmens aus.

Regelmässige Pentests

Um die Zuverlässigkeit des Datenschutzes sicherzustellen, werden regelmässig Penetrationstests durch Sicherheitsexperten durchgeführt. Konkret werden „nette“ Hacker versuchen, in das OneDoc-System einzudringen, um vertrauliche Daten abzugreifen. „Bisher ist es niemandem gelungen!“ klärt Alexandre Curreli aus.

Sicherheit durch Design

„Sicherheit ist etwas, das wir ständig im Blick haben“, erzählt uns Florian Alonso, „ob im technischen Team oder im Rest des Unternehmens“. Sicherheit ist immer Teil des Entwicklungsprozesses und es wird alles getan, um die bestmögliche Sicherheit zu gewährleisten.

Covid, auch in Sachen Datensicherheit eine Herausforderung

Als wir Alexandre und Florian fragen, was die grösste Herausforderung für sie bei OneDoc war, zögern sie nicht: „Ganz klar Covid, wo wir in wenigen Wochen ein Impfmodul entwickeln mussten, um es den Kantonen zur Verfügung zu stellen.“ Man könnte sich in einem solchen Fall fragen, wie die Sicherheit gewährleistet werden kann, wenn so wenig Zeit zur Verfügung steht. Alexandre Curreli erklärt, dass der Schlüssel darin liegt, gute Praktiken beizubehalten, beim Codieren an die Sicherheit zu denken und immer gut zu testen.