Datenschutz am Beispiel von Office 365 und Windows Azure Teil 3: Praxisbeispiel

Gast blogpost von AskMeWhy:

Als Abschluss unserer dreiteiligen Serie zum Thema Datenschutz zeigen wir anhand eines reellen Praxisbeispiels eines unserer Kunden auf, wie wir mit Microsoft Cloud Technologien Datenschutz in der Realität umgesetzt haben.

Einleitung

In unserem ersten Blog-Beitrag zum Thema Datenschutz am Beispiel von Office 365 und Windows Azure haben wir die wichtigsten Anforderungen aus dem Bundesgesetz über den Datenschutz (DSG) und der Verordnung zum Bundesgesetz zusammengefasst, mit der Erkenntnis, dass der Cloud Computing Kunde in der Schweiz für die Einhaltung der datenschutzrechtlichen Anforderungen verantwortlich ist. In unserem zweiten Blog-Beitrag zum Thema Datenschutz haben wir erläutert, was Sie neben den gesetzlichen Anforderungen zur Einhaltung von Datenschutz und Datensicherheit bei der Wahl des Cloud Anbieters berücksichtigen sollten.

In diesem letzten Teil zeigen wir nun auf, wie Datenschutz mit Microsoft Cloud Technologien in der Praxis umgesetzt werden kann.

Ausgangslage

„Wir sind überzeugt, dass wir mit Microsoft die sicherste Plattform der Welt benutzen.” – CEO BIOCORD

Unser Kunde ist ein in der Schweiz sowie international tätiges Unternehmen für Dienstleistungen im Bereich der Entnahme, dem Transport und der Lagerung von Stammzellen aus Nabelschnurblut und – Gewebe von Neugeborenen. Das rasant wachsende Unternehmen wurde im Herbst 2013 gegründet. Aktuell baut es den spanischen Markt weiter aus und bereitet den Aufbau weiterer Märkte in Europa und im arabischen Raum vor.

Den Verantwortlichen war von Beginn an klar, dass sie eine robuste, sichere und zugleich flexible IT-Plattform benötigen, welche sich einfach an die schnell wachsende Mitarbeiterzahl und die insgesamt wachsende Anforderungen anpassen lässt. Zudem sollte die Plattform die grenzüberschreitenden Abläufe des Unternehmens sowie die Zusammenarbeit zwischen den landesweit verteilten Standorten optimal unterstützen.

Warum sind gesicherte Daten bei diesem Kunden so wichtig?

Bei der Lagerung von Stammzellen werden sowohl Mutter als auch Kind auf mögliche Krankheiten und Kontaminationen geprüft. Da diese äusserst sensiblen und besonders schützenswerten Patienteninformationen ein Hauptbestandteil der zentralen Geschäftsabläufe und Daten sind, muss die Plattform sowohl den Anforderungen des Schweizerischen und Europäischen Datenschutzgesetzes, aber auch den Qualitätsanforderungen der ISO Normen (9001, 13485), der Human Tissue Authority und des Joint Accreditation Committee-ISCT & EBMT (JACIE) genügen.

Was ist aus Sicht des Schweizerischen Datenschutzes zu beachten?

Aus Sicht des Schweizerischen Datenschutzes müssen insbesondere die Patientendaten und Zertifikate geschützt werden. Dazu wurden folgenden Massnahmen gefordert:

  • Speicherung an zwei unabhängigen Standorten
  • Anonymisierung der Patientendaten in Form von IDs
  • Passwortschutz der Zertifikate
  • Separate Aufbewahrung des „Schlüssels“ zwischen Kunde und Patient
  • Hardcopy und sichere Aufbewahrung der Zertifikate
  • Verlust von Patienteninformation würde zu einem Reputationsschaden und negativer Berichterstattung führen.

Welches waren die eingesetzten Software & Services?

Folgende Systeme wurden für die Lösung eingesetzt:

  • Office 365 für Kommunikation, Zusammenarbeit und Datenaufbewahrung
  • SharePoint Dokumenten-Bibliotheken mit Records- und Information-Rights-Management
  • Intune für Desktop und Mobile Device Management
  • Azure Active Diretory Premium
  • Azure Rights Management zum Schutz sensibler Daten
  • Azure IaaS für den Betrieb eines massgeschneiderten CRM-Systems
  • Azure Backup zur Sicherung der IT-Infrastruktur
  • Azure Websites für das Hosting der Firmen-Webseiten

Wie sah die Lösung aus?

Im Zentrum der Lösung standen neben der optimalen Produktivität und Zusammenarbeit primär die Anforderungen an den Datenschutz. Folgenden Massnahmen wurden umgesetzt:

Arbeitsgeräte und Office 365

  • Office 365 mit Multifaktor Authentifizierung bei Zugriff von Aussen
  • Passwortgültigkeit 90 Tage
  • Windows Updates und Schutz vor Malware durch Intune

Smartphones und Tablets

  • Aktivierung des Passwort-Schutzes
  • Geräte, die neu für die Synchronisation von E-Mail eingebunden werden, müssen durch die Verantwortlichen freigegeben werden
  • Deaktivierung der Synchronisation von Dokumenten und E-Mails mit der iCloud

Dokumente

  • Rollenbasierte Zugriffsarchitektur für Interne und Externe, realisiert mit Azure Active Directory Premium zur Verwaltung von Gruppen und Benutzern
  • Sicherung der Daten vor irrtümlichem Löschen oder Editieren mittels Records Management und Zugriffskontrolle
  • Verhinderung des Versands besonders schützenswerter Daten an Personen ausserhalb der Organisation mittels RMS und IRM

E-Mail und Dokumente

  • Automatische Archivierung aller Daten (E-Mail und Dokumente)
  • Sicherheitsregeln z.B. zur Verhinderung des Versendens von Patienteninformationen ausserhalb der Organisation via E-Mail
  • eDiscovery zur Prüfung der Einhaltung der Compliance Anforderungen
  • Verschlüsselung von E-Mail
  • Dataloss Prevention

Zertifikate und Patientendaten

  • Passwortschutz pro Datei
  • Dokumente mit Zugriffs-Rechten, sodass diese nur von der Zielperson gelesen oder bearbeitet werden können.

Abläufe

  • Daten Klassifizierung, um die Cloud-Fähigkeit der Daten zu prüfen
  • Berechtigungs- und Zugriffskonzept für sensible Daten (z.B. Patienteninformationen)
  • Definition des Ablaufs bei Austritt von Mitarbeitenden aus der Organisation
  • Aufbewahrung aller Daten über 10 Jahre (Compliance Archiv)
  • Einführung von Audits zur Überprüfung der Compliance
  • Schulung der Mitarbeitenden im Umgang mit Datenschutz und Datensicherheit

Welcher Nutzen hat die Lösung dem Kunden gebracht?

Dank den Enterprise Class Cloud Services von Microsoft musste keine kostspielige IT-Infrastruktur und kein eigenes Rechenzentrum aufgebaut werden. Zudem waren alle benötigten Services innerhalb weniger Augenblicke verfügbar. Viele Anforderungen an Datenschutz und Datensicherheit werden durch die Nutzung von Office 365 und den hohen Sicherheitsstandards von Microsoft Rechenzentren automatisch gewährleistet. So sind die redundante Datenaufbewahrung an unterschiedlichen Standorten, die hohe Service-Verfügbarkeit und die Verschlüsselung von Daten während des Transports und bei der Speicherung gewährleistet.

Alle Qualitätsanforderungen konnten ohne riskante Implementierungsprojekte realisiert werden. Spezielle Abläufe zur Einhaltung der Datensicherheit, zum Beispiel bei der sicheren Trennung und Aufbewahrung von Patientendaten und Zertifikaten, konnten einfach sichergestellt werden. Dank Azure Rights Management sind von nun an die Zertifikate ausserhalb der Organisation nicht lesbar.

Bei der Produktivität und Zusammenarbeit entstanden ebenfalls wichtige Vorteile. Benutzerkonten neuer Mitarbeiter waren innerhalb weniger Augenblicke eingerichtet und deren Arbeitsgeräte und Smartphones für die sichere Datenbearbeitung bereit. Die Zusammenarbeit zwischen den landesweit verteilten Standorten wurde durch Werkzeuge wie Lync deutlich vereinfacht. Dank Online-Meetings blieben die Reisekosten trotz wachsender Organisationsgrösse gering.

Da der Kunde Server für die Entwicklung und den Betrieb einer selbstentwickelten CRM-Lösung benötigte, konnte dieser mit Windows Azure bereitgestellt werden. Die Sicherung der Lösung wurde mit Azure Backup realisiert.

„Die flexible und robuste Office 365 und Windows Azure Plattform wächst mit unseren wachsenden Anforderungen mit.“ – CEO BIOCORD

Haben Sie Fragen zum Thema Datenschutz und Datensicherheit?

Melden Sie sich über unser Kontaktformular, via E-Mail oder telefonisch: Simon Feldkamp, simon@askmewhy.ch044 390 14 10

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s