Betriebsvereinbarung zum Einsatz des arbeitsmedizinischen Systems ISIS
Gegenstand und Geltungsbereich
Diese Betriebsvereinbarung regelt den Einsatz des Systems ISIS für den betriebsärztlichen Dienst bei der [Name des Unternehmens].
Zielsetzung
Das System dient der Erfüllung des gesetzlichen Auftrags, die Gesundheitsvorsorge für die Beschäftigten zu verbessern und die Voraussetzungen für die Prävention arbeitsbedingter Gesundheitsgefährdungen bzw. Erkrankungen zu schaffen. Das System wird zur betriebsärztlichen medizinischen Dokumentation, die gemäß Gesetz oder anderen Rechtsvorschriften erforderlich ist, verwendet.
Ziel dieser Vereinbarung ist es, die genannten Ziele zu verbinden mit dem Schutz der Persönlichkeitsrechte für die betroffenen Mitarbeiterinnen und Mitarbeiter. Das System wird nicht zu Verhaltens- oder Leistungskontrollen der Mitarbeiterinnen und Mitarbeiter verwendet.
Systemarchitektur und -dokumentation
Das System ISIS ist im Data Center ... [Ort der Installation] installiert. Aufgrund des hohen Sensibilitätsgrades der gespeicherten arbeitsmedizinischen Daten gelten besondere Schutzregelungen für die Auslegung des Systems.
Für jeden Betrieb, dessen arbeitsmedizinische Daten der in der ISIS-Installation verarbeitet werden (Aufzählung der betroffenen Betriebe), wird ein eigener Mandant mit eigener Verwaltung von Stammdaten, Reports und Berechtigungen gebildet. Berechtigungen erlauben keine mandantenübergreifenden Zugriffe.
Die Datenhaltung erfolgt ausschließlich zentral auf dem Serversystem im [Ort des Rechenzentrums]. Die Übertragung zu den Clients ist SSL-verschlüsselt.
Die Mitarbeiter des Rechenzentrums sind zur Einhaltung des Datengeheimnisses nach § 5 BDSG verpflichtet. Das Rechenzentrum ist auch für die Datensicherung zuständig; die Backups dürfen ausschließlich zu Restores im Falle der Zerstörung oder Beschädigung der Datenbasis verwendet werden. Der Zugang zu den Backups wird protokolliert.
Die Fernwartung erfolgt nur über einen verschlüsselten VPN-Kanal ausschließlich nach Vorgaben und Anforderungen des Auftraggebers. Auftraggeber ist der jeweilige Datenherr im Sinne des Datenschutzgesetzes.
Anlage 1 zeigt eine graphische Übersicht über die Struktur des
arbeitsmedizinischen Teilnetzes; aus dieser Übersicht gehen auch die
Beziehungen zum Gesamtnetz des Unternehmens hervor.
In Anlage 2 sind die im System ISIS gespeicherten Stammdaten vereinbart. Dabei sind die aus dem Personalabrechnungssystem übernommenen Stammdaten besonders gekennzeichnet.
Die Stammdaten werden regelmäßig monatlich aus dem Abrechnungssystem [Name des Systems, i.d.R. SAP HR] über eine Datenschnittstelle automatisch übermittelt. An das Abrechnungssystem werden nur die gesetzlich geregelten arbeitsmedizinischen Ergebnisse übermittelt. Die Datenübermittlung erfolgt ebenfalls in verschlüsselter Form.
Weitere Datenschnittstellen bestehen zwischen dem System ISIS und dem vom Werksärztlichen Dienst beauftragten Labor. Dabei wird sichergestellt, dass die Daten das System ISIS nur mit einer Auftragsnummer in Barcode verlassen ohne irgendeinen Hinweis auf die Identität der betroffenen Person. Nach Rückübermittlung der Laborbefunddaten erfolgt die Zuordnung der Befunde zu der betroffenen Person über die Auftragsnummer nur im System ISIS. Durch dieses Verfahren wird sichergestellt, dass außerhalb des Systems ISIS der Personenbezug einer Laborprobe bzw. eines Laborbefunds nicht hergestellt werden kann.
Die Befunde selber werden bezüglich Diagnose, Unfallarten, Körperteile und Beschwerden unter Verwendung der in Anlage 3 a) – d) dokumentierten Codes gespeichert.
Auswertungen
In Anlage 4 sind die Standard-Auswertungen des Systems ISIS durch je ein Muster vereinbart.
Darüber hinaus können statistische Sonderauswertungen durchgeführt werden, wenn die Auswertung selber anonym bleibt; der Betriebsrat wird vor Durchführung über Zweck und Inhalt der Auswertung informiert.
Personenbezogene Auswertungen bedürfen in jedem Einzelfall der vorherigen Zustimmung des Betriebsrats.
Verarbeitungsgrundsätze
Alle im System ISIS gespeicherten personenbezogenen Daten unterliegen der ärztlichen Schweigepflicht.
Es besteht Einvernehmen darüber, dass PC-Programme, insbesondere Office-Programme nur zur Ergebnisaufbereitung und -darstellung, nicht jedoch zur dauerhaften Speicherung personenbezogener Arbeitnehmerdaten verwendet werden.
Zugriffsrechte
Der Zugriff auf die medizinischen personenbezogenen Daten des Systems ISIS ist auf die Mitarbeiterinnen und Mitarbeiter der Betriebsärztlichen Dienste begrenzt.
Die Struktur der vergebenen Berechtigungen ist in Anlage 5 vereinbart. Aus der Anlage gehen der berechtigte Personenkreis sowie eine Bezeichnung der Daten, auf die zugegriffen werden darf, hervor.
Alle Personen, die unmittelbar mit dem System umgehen (Systembenutzer) und auch alle Personen, die bei der Wartung oder bei der Wahrnehmung von Prüfungs- und Kontrollfunktionen unter Umständen Einblick in personenbezogene Daten erhalten können, sind vorher über das Patientengeheimnis zu belehren und auf dessen Einhaltung zu verpflichten.
Kontrolle der Systemnutzung
Das Anwendungsprogramm wird so installiert, dass die Vergabe, Änderungen und Löschungen von Benutzerberechtigungen elektronisch zwangsprotokolliert werden. Der Betriebsrat hat das Recht, dieses Protokoll jederzeit einzusehen und sich ausdrucken zu lassen.
Änderungen und Erweiterungen
Der Betriebsrat wird über alle strukturellen Änderungen der Software, insbesondere vor dem Einsatz neuer Versionen, informiert. Es erfolgt eine Beratung darüber, ob die Bestimmungen dieser Vereinbarung noch eingehalten werden können; gegebenenfalls werden Verhandlungen über ergänzende Bestimmungen mit dem Ziel einvernehmlicher Regelung aufgenommen.
Änderungen der Anlagen sind nur in gegenseitigem Einvernehmen möglich.
In den Fällen, in denen diese Vereinbarung die Zustimmung des Betriebsrats bzw. das Einvernehmen zwischen Arbeitgeber und Betriebsrat vorsieht, entscheidet im Falle der Nichteinigung eine gemäß § 76 Abs. 5 BetrVG zu bildende Einigungsstelle.
Schlussbestimmungen
Diese Vereinbarung tritt mit Unterzeichnung in Kraft und kann mit einer Frist von drei Monaten, frühestens jedoch zum 31.12..... gekündigt werden. Im Falle einer Kündigung wirkt sie nach bis zum Abschluss einer neuen Vereinbarung.
Anlagen:
Anlage 1: Systemarchitektur (Schaubild)
Anlage 2: Personenbezogene Stammdaten
Anlage 3: Verwendete Codes
- Diagnose
- Unfallarten
- Betroffene Körperteile
- Beschwerden
Anlage 4: Zugriffsrechte
Anlage 5: Auswertungen
tse Hamburg |
192 / 209 |