SUBMIT A REQUEST
  1. TELUS Health One
  2. Nutzungsbedingungen
  3. Datensatzverwaltung

Richtlinien zur Verwaltung von Datensätzen von TELUS Health One

Richtlinie

Die Datensätze und Dokumente, die von TELUS Health, seinen Tochtergesellschaften und verbundenen Unternehmen („TELUS Health“ oder das „Unternehmen“) erstellt, verwendet und gespeichert werden, gehören zu den wichtigsten Vermögenswerten des Unternehmens. Dies umfasst alle Dokumente und Datensätze des Unternehmens in jedem Format oder Medium, ob in Papierform oder elektronisch, einschließlich Notizen, Korrespondenzen, Berichte, Arbeitspapiere, Präsentationen und E-Mails („Datensatz“ oder „Datensätze“).

Der Zweck dieser Richtlinie zur Verwaltung von Datensätzen („Richtlinie“) besteht darin, die Anforderungen für die Erstellung und Verwaltung authentischer, zuverlässiger, dauerhafter und verwendbarer Datensätze zur Unterstützung der Geschäftsfunktionen und -aktivitäten des Unternehmens festzulegen. Die Richtlinie soll sicherstellen, dass das Unternehmen Gesetze und Vorschriften einhält, gesetzliche/vertragliche Buchhaltungspflichten erfüllt, effektiv arbeitet, Datensätze in Bezug auf rechtliche und andere Verfahren aufbewahrt und zu gegebener Zeit vernichtet. 

Anwendung

Diese Richtlinie gilt für alle Bereiche des Unternehmens („Programmbereich“) und für alle Datensätze unabhängig vom Format (z. B. Datensätze, die per E-Mail gesendet oder empfangen werden, elektronische Datensätze, Datensätze in Papierform usw.). Alle Direktoren, leitenden Angestellten, Mitarbeiter und Auftragnehmer des Unternehmens (zusammen „Unternehmenspersonal“) sind für die Einhaltung dieser Richtlinie verantwortlich.

Zusätzlich zur Einhaltung dieser Richtlinie muss das Unternehmenspersonal auch die Unternehmensrichtlinie zu vertraulichen Informationen, zur Klassifizierung von Daten und Datensätzen, zum Datenschutz, alle Sicherheitsrichtlinien, geltenden Datenschutzgesetze und die Bedingungen aller anderen Vereinbarungen mit dem Unternehmen oder die zwischen dem Unternehmen, seinen Partnern und Kunden bestehenden Bedingungen einhalten. Die Verwendung des Begriffs „Datensatz“ in dieser Richtlinie hat die gleiche Bedeutung wie der Begriff „Daten“ in der Unternehmensrichtlinie zur Klassifizierung von Daten und Datensätzen.

 

Obligatorische Anforderungen

Erstellung, Verwaltung und Entsorgung von Datensätzen

Jeder Programmbereich muss gemäß den Anforderungen und Leitsätzen dieser Richtlinie Datensätze erstellen, verwalten und entsorgen, um die Rechenschaftspflicht des Programms sicherzustellen und entsprechende geschäftliche Anforderungen zu unterstützen. Jeder Programmbereich muss außerdem die Integrität, Zuverlässigkeit und Abrufbarkeit von Datensätzen für laufende rechtliche, finanzielle oder andere geschäftliche Zwecke sicherstellen.

Die Verantwortung für die Erstellung, Verwaltung und Entsorgung von Datensätzen liegt beim Geschäftsinhaber des Programmbereichs.

Klassifizierung von Datensätzen

Datensätze müssen gemäß den Geschäftsfunktionen und Aktivitäten jedes Programmbereichs so klassifiziert werden, dass:

  • vollständige Datensätze von Geschäftsentscheidungen oder Transaktionen einfach aufzufinden und abzurufen sind;
  • die doppelte Speicherung von Datensätzen minimiert wird;
  • eine konsistente und zweckmäßige Anwendung von Benutzerberechtigungen sowie Datenschutz- und Sicherheitsvorkehrungen ermöglicht wird und
  • Aufbewahrungsanforderungen korrekt umgesetzt werden.

Bei der Klassifizierung von Datensätzen müssen die Mitarbeiter des Unternehmens die Richtlinie zur Klassifizierung von Daten und Datensätzen sowie die Richtlinie und Standards zur Informationssicherheit einhalten. 

Speicherung und Verwaltung von Datensätzen

Datensätze müssen in gemeinsam genutzten Repositories gespeichert und von den einzelnen Programmbereichen so verwaltet werden, dass:

  • sie, solange benötigt, effizient lokalisiert, identifiziert und abgerufen werden können;
  • eine konsequente und umfassende Anwendung von Sicherheitsregeln bezüglich Zugriff, Änderung und Entsorgung erfolgt;
  • unnötige Duplikate gelöscht werden und
  • eine effiziente Entsorgung einschließlich Archivierung und Speicherung gemäß den Aufbewahrungsanforderungen ermöglicht wird.

Aufbewahrung und Entsorgung von Datensätzen

Mitarbeiter des Unternehmens müssen Datensätze innerhalb eines Programmbereichs so lange aufbewahren, wie es zur Erfüllung eines legitimen geschäftlichen oder rechtlichen Zwecks erforderlich ist, unter Berücksichtigung der geltenden gesetzlichen und behördlichen Anforderungen und der Bedingungen von Vereinbarungen mit dem Unternehmen oder zwischen dem Unternehmen, seinen Partnern und Kunden.

Geschäftsinhaber müssen sicherstellen, dass die Datensätze in ihren Programmbereichen gemäß den Anforderungen des geltenden Zeitplans zur Aufbewahrung von Datensätzen („Zeitplan“) verwaltet, gespeichert und entsorgt werden.

Die Aufbewahrungsanforderungen für Datensätze gemäß geltendem Zeitplan werden in Absprache mit Experten jedes Programmbereichs festgelegt. Dieses erfolgt aufgrund:

  • von Geschäftsanforderungen;
  • von für die Datensätze spezifischen rechtlichen und behördlichen Anforderungen;
  • von vertraglichen Verpflichtungen;
  • der Notwendigkeit, die Rechenschaftspflicht für die in den Datensätzen dokumentierten Aktivitäten und Entscheidungen sicherzustellen und
  • aufgrund der Rechte und Interessen anderer Interessenvertreter an der Aufbewahrung der Datensätze.

Datensätze im Besitz des Unternehmens einschließlich relevanter Programmbereiche sind unter Umständen Gegenstand von:

  • Gerichtsverfahren und
  • Zugriffsanfragen, die gemäß den geltenden gesetzlichen und behördlichen Anforderungen und den Bedingungen anderer Vereinbarungen mit dem Unternehmen oder gemäß zwischen dem Unternehmen, seinen Partnern und Kunden bestehender Vereinbarungen gestellt werden.

Wenn eine Anfrage gemäß einem der obengenannten Punkte eingeht, muss das Personal des Unternehmens alle relevanten Datensätze aufbewahren und vorlegen und die im Abschnitt ´Gesetzliche Aufbewahrungspflicht´ dieser Richtlinie festgelegten Anforderungen erfüllen.

Aufbewahrung von E-Mails

Datensätze, die unter Verwendung von E-Mail-Konten erstellt, gesendet oder empfangen werden, einschließlich der E-Mails selbst, unterliegen dieser Richtlinie.

Bevor ein E-Mail-Konto deaktiviert oder gelöscht wird, müssen die mit dem E-Mail-Konto erstellten, gesendeten oder empfangenen Datensätze gemäß den obengenannten Anforderungen verwaltet werden.

Diese Arten von Datensätzen dürfen nicht auf der Festplatte des Computers einer Person, auf mobilen Endgeräten oder Wechselmedien, auf dem persönlichen Netzlaufwerk oder im elektronischen Arbeitsbereich einer Person, in E-Mail-Konten oder – im Fall von Datensätzen in Papierform – in der physischen Ablage einer Person gespeichert/aufbewahrt werden. 

Archivierung und Speicherung von Datensätzen

Gedruckte Kopien von inaktiven Datensätzen, auf die nicht mehr unmittelbar zugegriffen werden muss, die aber dennoch für den Rest ihres festgelegten Aufbewahrungszeitraums aufbewahrt werden müssen, sind zu archivieren. Mitarbeiter des Unternehmens sollten sich an die Abteilung Corporate Services oder das Management der regionalen Niederlassung wenden, um die Archivierung von Datensätzen in einer vom Unternehmen genehmigten externen Lagereinrichtung zu arrangieren. Wenn Vorkehrungen für eine externe Lagerung getroffen werden, muss das Personal des Unternehmens ein Vernichtungsdatum für die entsprechenden Datensätze angeben.

Gesetzliche Aufbewahrungspflicht

Datensätze im Zusammenhang mit anhängigen oder erwarteten Gerichtsverfahren, Prüfungen oder Ermittlungen müssen aufbewahrt werden. Eine „Gesetzliche Aufbewahrungspflicht“ kann für jeden Datensatz angeordnet werden, unabhängig davon, ob es sich dabei um die endgültige, offizielle Version des Datensatzes handelt oder nicht. Mitarbeiter des Unternehmens, die von der Rechts-, Risiko- und Datenschutzabteilung oder aus einer anderen Quelle eine Mitteilung erhalten, dass bestimmte Datensätze einer gesetzlichen Aufbewahrungspflicht unterliegen, müssen unverzüglich sicherstellen, dass alle entsprechenden Datensätze sicher sind und aufbewahrt werden, wie im Hinweis zur gesetzlichen Aufbewahrungspflicht dargelegt. Wenn die Mitarbeiter des Unternehmens Kenntnis von einem anhängigen oder erwarteten Gerichtsverfahren, einer Prüfung, Untersuchung oder Vorladung erhalten, müssen sie alle möglicherweise relevanten Datensätze sichern und aufbewahren und die Rechts-, Risiko- und Datenschutzabteilung informieren.

Unter keinen Umständen dürfen Mitarbeiter des Unternehmens Datensätze im Zusammenhang mit anhängigen oder erwarteten Gerichtsverfahren, Prüfungen oder Ermittlungen ändern, zerstören oder verheimlichen. Jede solche Handlung könnte erhebliche nachteilige Auswirkungen auf das Gerichtsverfahren, die Prüfung oder Untersuchung haben. Die unbefugte Änderung, Vernichtung oder Verheimlichung von Datensätzen kann für das Personal des Unternehmens disziplinarische Maßnahmen bis hin zur Kündigung und gesetzlichen Haftung zur Folge haben.

Jährliche Überprüfung von Datensätzen

Mitarbeiter des Unternehmens müssen alle in ihrem Besitz befindlichen Unternehmensdatensätze einschließlich E-Mails regelmäßig und mindestens einmal im Jahr überprüfen. Dabei sind alle Datensätze, die ihre festgelegte Aufbewahrungsfrist überschritten haben, von den Mitarbeitern des Unternehmens für die Vernichtung zu kennzeichnen. Datensätze, die einer gesetzlichen Aufbewahrungsfrist unterliegen oder im Rahmen einer Untersuchung oder Prüfung von Relevanz sind, sind aufzubewahren. 

Vernichtung von Datensätzen

Datensätze sind zu vernichten, wenn alle folgenden Kriterien erfüllt sind:

  • die Datensätze haben ihren beabsichtigten Zweck erfüllt und
  • die geltende Aufbewahrungsfrist ist abgelaufen und
  • das Personal des Unternehmens, das die Datensätze handhabt, verfügt über eine schriftliche Bestätigung, dass diese Datensätze keiner gesetzlichen Aufbewahrungspflicht unterliegen.

Fragen und Compliance

Alle Fragen zur Aufbewahrung von Datensätzen, die nicht in dieser Richtlinie behandelt werden, sind an die Rechts-, Risiko- und Datenschutzabteilung zu richten. Sie wird in Absprache mit Experten des Programmbereichs, auf den sich der Datensatz bezieht, Orientierung bieten können.

Alle Fragen zur Archivierung und Vernichtung von Datensätzen in Papierform sind an die Abteilung Corporate Services oder das Management der regionalen Niederlassung zu richten.

Diese Richtlinie wird regelmäßig überprüft und bei Bedarf von der Rechts-, Risiko- und Datenschutzabteilung geändert, um Änderungen von Gesetzen, Vorschriften oder Geschäftsanforderungen Rechnung zu tragen.