Ziff. 3. KmV-RL, Ermittlung der Schutzanforderungen und erforderlicher Gegenmaßnahmen

3.1. Alle beim Kontakt mit Berechtigten gegebenenfalls betroffenen personenbezogenen Daten sind zu ermitteln und zu dokumentieren.

3.2. 1 Für alle nach Nummer 3.1 ermittelten Daten, sind die erforderlichen Schutzanforderungen entsprechend dem Stand der Technik individuell von der jeweiligen Krankenkasse festzulegen und umzusetzen. 2 Bei den Festlegungen sind dabei insbesondere die aus einem Verlust der Vertraulichkeit resultierenden Risiken für die informationelle Selbstbestimmung der Betroffenen zu berücksichtigen.

3.3. Die Festlegungen der Schutzanforderungen für die Daten sind auf Grundlage einer gesamtheitlichen Würdigung aller Prozesse zu treffen, in denen die Daten verwendet werden.

3.4. Sofern für dieselben Daten in unterschiedlichen Zusammenhängen unterschiedliche Schutzanforderungen ermittelt werden, ist mindestens das höchste ermittelte Schutzanforderungsniveau anzusetzen.

3.5. Bei besonderen Kategorien von personenbezogenen Daten im Sinne der DSGVO, die insbesondere Gesundheitsdaten umfassen, ist grundsätzlich vom Schutzanforderungsniveau "hoch" auszugehen.

3.6. 1 In einem Sicherheitskonzept, das aus mehreren Dokumenten für verschiedene Geltungsbereiche bestehen kann, sind von der Krankenkasse Maßnahmen zu beschreiben, die den Anforderungen des ermittelten Schutzanforderungsniveaus der verwendeten Daten genügen und von der Krankenkasse umzusetzen sind. 2 Hierzu hat die Einbindung des betrieblichen Datenschutzbeauftragten und des Informationssicherheitsbeauftragten, soweit vorhanden, zu erfolgen.

3.7. Das Sicherheitskonzept umfasst die Ermittlung der Schutzanforderungen, die erforderlichen Maßnahmen sowie eine Begründung der Festlegungen, für die beim Kontakt mit den Berechtigten betroffenen Daten und ist nachweisbar zu dokumentieren.