831.101.4
über die Mindeststandards der technischen und organisatorischen Massnahmen bei der systematischen Verwendung der AHV-Versichertennummer ausserhalb der AHV
vom 7. November 2007 (Stand am 1. Januar 2009)
Das Eidgenössische Departement des Innern,
gestützt auf Artikel 50g Absatz 3 des Bundesgesetzes vom 20. Dezember 19461 über die Alters- und Hinterlassenenversicherung (AHVG), im Einvernehmen mit dem Eidgenössischen Finanzdepartement,
verordnet:
Mit dieser Verordnung soll sichergestellt werden, dass Stellen und Institutionen, welche die Versichertennummer systematisch verwenden, ausreichende technische und organisatorische Massnahmen treffen, um:
1 Diese Verordnung gilt für alle Stellen und Institutionen, welche die Versichertennummer nach den Artikeln 50d und 50e AHVG systematisch verwenden.
2 Für die systematische Verwendung der Versichertennummer in Datensammlungen, in denen keinerlei Mutationen im Zusammenhang mit der Versichertennummer vorgenommen werden, sind nur die Bestimmungen nach den Artikeln 6–8 anwendbar.
Informatiksysteme müssen so gestaltet sein, dass in Bezug auf die Zuordnung der gültigen Versichertennummer zu einer bestimmten Person widersprüchliche Informationen ausgeschlossen sind.
1 Die Versichertennummer darf in einer elektronischen Datensammlung nur manuell erfasst werden, wenn eine Kontrollzifferprüfung gemäss Anhang 1 durchgeführt wird.
2 Der manuellen Erfassung gleichgestellt ist das Einlesen der Versichertennummer mittels eines Strichcodes.
1 Die Versichertennummer darf in elektronischen Datensammlungen nur erfasst werden, wenn über die Richtigkeit der Versichertennummer ausreichende Sicherheit besteht.
2 Die ausreichende Sicherheit ist gewährleistet, wenn die Versichertennummer in einem Verfahren nach Artikel 134quater Absätze 2 - 4 der Verordnung vom 31. Oktober 19472 über die Alters- und Hinterlassenenversicherung (AHVV) bekanntgegeben wurde.
3 Die ausreichende Sicherheit wird vermutet, wenn über die Identität der zur erfassten Versichertennummer gehörenden Person keine Zweifel bestehen und eine der nachfolgenden Quellen für die Nummer verwendet wird:
4 Die ZAS veröffentlicht die als ausreichend sichere Datenquellen empfohlenen Stellen und Institutionen im Internet.
1 Der Zugang zu Datensammlungen, welche die Versichertennummer enthalten, ist nur den Personen einzuräumen, welche die Versichertennummer zur Erfüllung ihrer Aufgaben benötigen. Bei elektronischen Datensammlungen sind die Lese- und Schreibrechte entsprechend einzuschränken.
2 Wird die Versichertennummer in komplexen Systemen systematisch verwendet, so sind die nötigen Schutzmassnahmen gestützt auf eine detaillierte Risikoanalyse zu treffen. Die Analyse hat insbesondere dem Risiko einer unerlaubten Zusammenführung von Datensammlungen Rechnung zu tragen.
3 Beim Betrieb von Informatikmitteln und Datenspeichern sind die minimalen Sicherheitsvorgaben nach Anhang 2 einzuhalten.
Werden Datensammlungen mit Datensätzen, welche die Versichertennummer enthalten, über ein öffentliches Netz übertragen, so sind sie nach dem Stand der Technik zu verschlüsseln.
Stellen und Institutionen, welche die Versichertennummer verwenden, haben ihr Personal in Aus- und Weiterbildung darüber zu informieren, dass die Versichertennummer nur aufgabenbezogen verwendet und nur entsprechend den gesetzlichen Vorgaben bekannt gegeben werden darf.
1 Diese Verordnung tritt unter Vorbehalt der Absätze 2 und 3 am 1. Dezember 2007 in Kraft.
2 Artikel 5 Absatz 3 Buchstabe a tritt am 1. Juli 2008 in Kraft.
3 Artikel 5 Absatz 3 Buchstabe b tritt am 1. Januar 2009 in Kraft.
(Art. 4)
xn-12 | xn-11 | xn-10 | . | xn-9 | xn-8 | xn-7 | xn-6 | . | xn-5 | xn-4 | xn-3 | xn-2 | . | xn-1 | xn | ||
Ländercode | 9-stellige Nummerierung | Kontrollziffer | |||||||||||||||
7 | 5 | 6 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 7 |
Die Kontrollziffer ist die letzte Ziffer (xn). Sie wird wie folgt errechnet:
Hinweis:
Ist die Zwischensumme bereits ein Vielfaches von 10, so ist die Kontrollziffer 0.
Versichertennummer | 7 | 5 | 6 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ? |
Multiplikator | 1 | 3 | 1 | 3 | 1 | 3 | 1 | 3 | 1 | 3 | 1 | 3 | |
Ergebnis | 7 | 15 | 6 | 3 | 2 | 9 | 4 | 15 | 6 | 21 | 8 | 27 | Zwischensumme: 123 |
Ergänzung zum nächsthöheren Vielfachen von 10 | 130 ist die Zahl, welche – ausgehend von der Zwischensumme 123 – dem nächsthöheren Vielfachen von 10 entspricht. Die Zwischen- summe muss also mit der Zahl 7 ergänzt werden | ? = 7 |
(Art. 6 Abs. 3)
1. Der Zugang zu Informatikmitteln und Datenspeicher muss physisch gesichert sein. Beim Einsatz mobiler Informatikmittel und Datenspeicher muss mit Hilfe von dem Stand der Technik entsprechenden kryptografischen Verfahren (Datenverschlüsselung) sichergestellt sein, dass die Nutzung bzw. der Zugriff für Unberechtigte nicht möglich ist.
2. Der Zugriff auf Informatikmittel und Datenspeicher muss mit Hilfe von angemessenen, dem Stand der Technik und der Risikolage entsprechenden Informatiksicherheitsmassnahmen geschützt sein. Diese Massnahmen müssen mindestens den Einsatz von handelsüblicher und aktuell gehaltener Software zur Entdeckung und Beseitigung von Malware (Antiviren-Software), sowie den Einsatz von (zentralen oder persönlichen) Firewall-Systemen umfassen.
3. Benutzer und Benutzerinnen, die auf Informatikmittel und Datenspeicher zugreifen, müssen authentifiziert werden. Werden für die Authentifizierung Passwörter eingesetzt, so ist das Benutzerpasswort geheim zu halten und darf nicht weitergegeben werden. Beim Verdacht, dass Unberechtigte es kennen, ist es unverzüglich zu ändern.
4. Die Betriebs- und Anwendungssoftware von Informatikmitteln muss möglichst zeitnah mit aktuellen Fehlerbehebungs-Updates (Patches) ausgerüstet werden.
5. Auf Informatiksystemen sind wichtige Aktivitäten und Ereignisse aufzuzeichnen und regelmässig auszuwerten.
6. Werden Informatikmittel und Datenspeicher repariert, entsorgt oder vernichtet, so muss sichergestellt sein, dass sie keine Versichertennummern mehr enthalten und dass solche nicht rekonstruiert werden können.
Die auf dieser Website abrufbaren Gesetze und Dokumente sind keine amtlichen Veröffentlichungen. Massgebend sind allein die Veröffentlichungen durch die Bundeskanzlei. Siehe www.fedlex.admin.ch.
In Bezug auf englische Sprachfassungen sei darauf hingewiesen, dass Englisch keine offizielle Amtssprache ist. Die englischen Übersetzungen der Erlasstexte dienen lediglich der generellen Information.
Bitte beachten Sie, dass sich die Website in Entwicklung befindet und gegenwärtig in einer Beta-Version vorliegt. Es können entsprechend Fehler auftauchen oder die Website ist über gewisse Zeit nicht oder nur eingeschränkt verfügbar.
Eine Übersicht zum Entwicklungsstand und den momentan verfügbaren Funktionen finden Sie hier.
Die Website ist aktuell nicht vollständig für den Zugriff via Mobile-Geräte optimiert. Es wird daher empfohlen, die Website auf einem Laptop oder Desktop-PC aufzurufen.
Es sei im Weiteren auf die Hinweise in den Nutzungsbedingungen verwiesen.
Tour durch die Funktionen gefällig?