Immer seltener betreiben kantonale Dienststellen ihre Informatikanwendungen selbständig und in ihrem alleinigen Einflussbereich. Zunehmend erfolgt der Betrieb arbeitsteilig: Die Informatikgrundversorgung wird über das kantonale Amt für Informatik und Organisation oder direkt an einen externen Informatikdienstleister übertragen. Dieser betreibt dann auf seinen Servern die Informatikanwendungen der Dienststellen. Über das kantonale Netzwerk stehen die Anwendungen den Mitarbeitenden der Dienststellen auf ihren Bildschirmen zur Verfügung.
Im vergangenen Jahr stellte die kantonale Datenschutzaufsichtsstelle bei solchen Arbeitsteilungen ein eigentliches «Entgleiten der Verantwortung» fest. Die Dienststellen waren nicht mehr in der Lage, sicherzustellen und zu dokumentieren, dass die für ihre Informatikwendungen insgesamt erforderlichen Sicherheitsmassnahmen noch abgedeckt waren. Die Informatikdienstleister wussten nicht, was die Dienststellen genau bestellt hatten, die Dienststellen wussten nicht, was die Informatikdienstleister genau lieferten.
Informatikprojekte und –systeme kontrolliert
Wie in den Vorjahren hat die Aufsichtsstelle Vorabkontrollen von Informatikprojekten und Kontrollen bestehender Informatiksysteme durchgeführt. Die Mehrzahl der begutachteten Informatikprojekte, die zur Vorabkontrolle unterbreitet wurden, kam aus dem Gesundheitswesen. Einen Schwerpunkt bildeten die Klinikinformationssysteme. Kontrolliert hat die Stelle die Umsetzung des Grundschutzes in der Informatik-Infrastruktur der Erziehungsdirektion und das Klinikinformationssystem des Spitalzentrums Biel. Es zeigte sich, dass beide Systeme von den Informatikverantwortlichen gut betreut werden. Die Umsetzung der festgestellten Verbesserungsmöglichkeiten wurde eingeleitet.
Verwaltung beraten
Weiter gab die Aufsichtsstelle erneut zahlreiche Ansichtsäusserungen an Verwaltungsstellen ab. Schwerpunkt bildete der Umgang mit neuen Technologien. So äusserte sich die Stelle ebenso zu den Rahmenbedingungen für den Einsatz privater Kommunikationsmittel in Schulen wie auch dazu, ob es einer sozialen Institution erlaubt sei, den Clouddienst Wuala zu benutzen. Zulässig war dieser Einsatz nicht. Es fehlen die Kontrollrechte des Auftraggebers, eine Haftung ist weitgehend ausgeschlossen und Prozesse müssten in Englisch geführt werden.
Schengen-Staaten evaluierten die Aufsichtsstelle
Im Zusammenhang mit dem Schengen/Dublin-Abkommen überprüfte ein europäisches Evaluationskomitee die Aufsichtsstelle und gab mehrere Empfehlungen ab. In erster Linie soll die Kontrolle des Umgangs der Kantonspolizei mit dem Schengener Informationssystem verbessert werden.