HITGuard Release Oktober 2023

Damit unseren Kunden die Durchführung einer Schutzbedarfsanalyse leichter fällt haben wir den Assistenten, der dafür verwendet wird, modernisiert.

Die zugewiesenen Ressourcen und/oder Datenkategorien werden nun, vergleichbar mit Prüfobjekten bei der Abweichungsanalyse, links aufgelistet. Ihre Umrandung zeigt auch hier den Grad der Beantwortungsvollständigkeit. Die Maske zur Analyse der möglichen Schäden wurde ebenfalls übersichtlicher gestaltet.

Eine weitere Unterstützung bietet die neue Möglichkeit, bei Neubewertungen die vorherigen Ergebnisse und Begründungen auf Knopfdruck zu übernehmen. Beim Hinzufügen von Ressourcen zu einer SBA wird man außerdem darauf hingewiesen, wenn es eine noch nicht abgeschlossene Analyse für dieselbe Organisationseinheit bzw. denselben Prozess gibt.

Mehr zur Schutzbedarfsanalyse finden Sie hier.

Für den Assistenten der Abweichungsanalyse und des Prüfergebnisses wurde die Möglichkeit eingeführt, den rechten Teil des Überprüfungsfensters wegzuklappen. Die Schutzziele der Prüffrage und die Vorschau der angehängten Evidenzen können damit ausgeblendet werden. Dadurch gewinnen Sie mehr Platz für die Darstellung des Prüffragentextes und der Beantwortung, wenn Sie beispielsweise auf einem Monitor oder Beamer mit niedriger Auflösung arbeiten.

Damit sich der Upload von Evidenzen dadurch nicht komplizierter gestaltet, wurde der Upload Button unter die Prüffrage/das Prüfergebnis verlegt, wo auch die Dateinamen aller Uploads aufgelistet sind.

Weiters ist es nun auch möglich, auf der Übersichtsseite des Prüfobjekts (im obigen Beispiel Punkt 3) den Abklärungsbedarf für alle dazugehörigen Prüffragen mit nur einem Klick festzulegen.

In der Detailansicht eines Prüfobjekts unter Schwachstellen → Prüfobjekte (sowohl im Risiko- wie auch im Auditmanagement) ist die Überprüfung ersichtlich, aus der die aktuell angezeigte Bewertung stammt. Es ist jetzt möglich, mit Klick auf den Linktext direkt in die Überprüfung an die Stelle des Prüfobjekts zu navigieren.

Im gesamten Menüpunkt Risikobehandlung ist es nun möglich, die Anzeige der Risiken, die mit den diversen Maßnahmen, Kontrollen und Ressourcen in Verbindung stehen, auf nur jene des aktuellen Managementsystems einzugrenzen.

Auch beim KPI „Top Risiken“ wurde die Möglichkeit ergänzt, anhand einer Checkbox die angeführten Risiken auf die des aktuellen Managementsystems einzugrenzen. Zusätzlich werden in diesem KPI nun auch die Kategorien der Risiken mitangezeigt.

Die KPIs „Risiken nach Status“ und „Aktive Risiken und ihre Maßnahmen“ können über ihre Filter entsprechend den zugewiesenen Risikokategorien eingegrenzt werden.

Bei den Berichten, die Prüffragen enthalten, wurden neue Optionen zur Steuerung der Inhaltsdarstellung hinzugefügt. Mehr dazu im Kapitel Mehr Konfigurationsoptionen in Berichten zu Audits und Überprüfungen.

Es handelt sich dabei um Optionen für die Berichte zur Abweichungsanalyse, zur Konformität nach Überprüfungen und zur Konformität nach Standards und Normen.

Um der Anforderung gerecht werden zu können, dass für verschiedene Anwendungsfälle und Empfänger verschiedene Umfänge und Detailgrade der Berichte nötig sind, wurden einige neue Berichtsoptionen implementiert.

Es wurde ein Optionsblock eingebaut, anhand dessen gesteuert werden kann, ob und wie die Ergebnisse von Audits, Überprüfungen sowie einzelnen Prüfobjekten grafisch dargestellt werden sollen.

Für das Audit wurde der bekannte Tacho durch die platzsparende Option einer Scorelinie ersetzt.

Für Überprüfungen kann die Übersicht der Prüfobjekte als Balkendiagramm und der Score pro Prüfobjekt als Spinnendiagramm dargestellt werden.

Auf Ebene der Prüfobjekte kann man wählen, ob man die Ergebnisse als Donutdiagramm, als Scorelinie oder in beiden Versionen sehen möchte.

Wie immer orientiert sich die Farbgebung von Scorelinie, Balken im Diagramm und Donutstücken am eingestellten Target Score.

Die Optionen stehen bei den folgenden Berichten zur Verfügung, mit Ausnahme der Option für das Audit, die nur beim Auditbericht selbst zur Verfügung steht:

• Auditmanagement
  • Audit
  • Überprüfungsprotokoll Abweichungsanalyse
• Risikomanagement
  • Abweichungsanalyse
  • Konformität nach Überprüfungen

Es gibt weiters zwei neue Optionsblöcke, mit denen der Detailgrad der im Bericht enthaltenen Prüffragen und -ergebnisse gesteuert werden kann.

Es besteht nun die Möglichkeit, eine detaillierte Auswertung der Prüffragen entweder direkt im Bericht zu inkludieren, sie in den Berichtsanhang zu verschieben, oder im Bericht ganz darauf zu verzichten. In diesem Fall wird nur Information zu den Überprüfungen und Prüfobjekten angedruckt, aber eben keine Details zu den einzelnen Fragen. Auch das Ausmaß an Details kann an dieser Stelle gesteuert werden.

Weiters kann man tabellenförmige Auswertung haben, die eine Übersicht der Prüfobjekte und dazugehörigen Fragen und Ergebnisse mit ihren jeweiligen Scores zeigt.

Für beide dieser Varianten, die Details und die Tabelle, kann jeweils festgelegt werden, ob man in dem Bericht alle Bewertungen sehen möchte, nur jene, die besser sind als der definierte Target Score oder ihm entsprechen, oder nur jene, die den definierten Target Score nicht erreichen.

Ob Informationserhebungen, als Entbehrlich markierte Fragen und nicht beantwortete Fragen im Bericht enthalten sein sollen kann ebenfalls individuell konfiguriert werden.

Die Optionen stehen bei den folgenden Berichten zur Verfügung:

• Auditmanagement
  • Audit
  • Überprüfungsprotokoll Abweichungsanalyse
• Risikomanagement
  • Abweichungsanalyse
  • Konformität nach Überprüfungen

Hinweis: Wählt man beim Risikomanagementbericht zur Konformität nach Standards und Normen die Darstellungsoption „Graphische Auswertung der Hauptkapitel & Unterkapitel inkl. Prüffragen“ aus, so stehen die Optionen zur Gestaltung der detaillierten Prüffragenauswertung hier ebenfalls zur Verfügung.

Es wurde eine neue Berichtsoption für die Darstellung von Anhängen und Evidenzen bei Prüffragen in Berichten geschaffen: Bildanhänge einbetten.

Bilder, die zu Prüffragen oder Prüfergebnissen als Evidenz hochgeladen wurden, können im Bericht eingebettet werden, wenn Prüffragendetails im Bericht enthalten sind. Bilder mit hoher Auflösung werden dabei so skaliert, dass sie im Textbereich einer Seite des Berichtsdokuments Platz haben. Die Dateinamen der Bilder werden angedruckt; bei Fotos wird auch ein Timestamp angezeigt, sofern dieser in den Metadaten des Bilds verfügbar ist.

Die Option steht bei den folgenden Berichten zur Verfügung:

• Auditmanagement
  • Audit
  • Überprüfungsprotokoll Abweichungsanalyse
• Risikomanagement
  • Abweichungsanalyse
  • Konformität nach Überprüfungen

Auch im Auditmanagement gibt es nun ein vorgefertigtes Standarddashboard, auf dem per Default die KPIs arrangiert sind, die die Basis für einen aussagekräftigen Überblick über die Aktivitäten und Ergebnisse des Auditmanagements bilden.

Mehr zu den KPIs des Auditmanagements finden Sie hier.

Im Fallmanagement steht nun das neue KPI „Fristen nach Status“ zur Verfügung, das einen Überblick darüber gibt, wie es um die Einhaltung der diversen mit Meldungen bzw. Nachrichten verknüpften Fristen steht. Die enthaltenen Meldungen können dabei nach Sachbearbeiter oder Betreuungsteam sowie Zeitraum gefiltert werden.

Ein Doppelklick in einen Donutteil öffnet eine Übersicht der Meldungen mit Fristen, die sich im jeweiligen Status befinden. Ein Doppelklick in eine Zeile öffnet die Übersicht aller Fristen zur jeweiligen Meldung.

Mehr zu Fallmanagement Fristen finden Sie hier.

Um Ihren Mitarbeitern, Partnern und anderen Stakeholdern die Aufgabe einer Meldung noch leichter zu machen, können Sie Texte konfigurieren, um sie am Hinweisgebersystem willkommen zu heißen und sie bei der Orientierung zu unterstützen bzw. auf etwaige wichtige Informationen aufmerksam zu machen.

Die Texte, die im Hinweisgebersystem angezeigt werden sollen, können unter Administration → Textbausteine erstellt und auch formatiert werden.

Der Willkommenstext wird auf der Startseite Ihres Hinweisgebersystems angezeigt. Der Disclaimer wird direkt auf der Meldeseite oberhalb der auswählbaren Schwerpunkte angezeigt.

Mit dem Übergang der Whistleblower Richtlinie in nationales Gesetz in Deutschland und dessen Inkrafttreten haben wir die Einstellungen unseres Fallmanagements entsprechend anpassbar gemacht. In Deutschland ist die Anonymität des Meldekanals nicht Teil der Anforderung.

Wenn ein Hinweisgebersystem eingerichtet ist, kann für dieses individuell festgelegt werden, ob anonyme Meldungen oder nur offene Meldungen möglich sind. Bei anonymen Meldungen können Hinweisgeber freiwillig noch Name und Kontaktdaten angeben. Bei nur offenen Meldungen ist die Angabe des Namens für Hinweisgeber verpflichtend.

Ist nur die offene Meldung möglich, wird der Name zum Pflichtfeld und Hinweisgeber werden darüber aufgeklärt, dass keine anonyme Meldung vorgesehen ist.

Achtung: In Österreich sollten Sie jedenfalls die anonyme Variante wählen. Daher ist die Default Einstellung durch uns auch so vorgesehen.

Unter Fallmanagement → Einstellungen kann das Löschverhalten für Meldungen und Akten festgelegt werden. Sie können konfigurieren, ob nach einer gewissen Anzahl von Jahren Meldungen und Akten im Status „Abgeschlossen“ automatisch gelöscht werden sollen. Weiters können Sie konfigurieren, wann datenbankseitig die dazugehörigen Protokolldaten gelöscht werden sollen.

Die Maßnahmen, zu denen eine Fortschrittsmeldung vom Verantwortlichen angefordert werden soll, können in der Übersicht jetzt entweder nach Organisationseinheiten oder nach Verantwortlichen (Personen oder Teams) gruppiert werden.

Angeforderte Fortschrittsmeldungen können mit einem neuen Button unter Maßnahmen → Fortschrittsmeldungen im Ordner „Angefordert“ erneut angefordert werden, ohne sie erst zurückrufen zu müssen. Dabei kann das ursprüngliche Rückmeldedatum beibehalten oder ein neues Datum eingetragen werden, bis zu dem die Rückmeldung erfolgen soll.

Für Kontrolldefinitionen wurde eine spezifischere Frequenzeinstellung eingeführt. So kann neben den bisher verfügbaren Intervallen jetzt auch eingestellt werden, wenn Kontrollen an einem bestimmten Wochentag ausgelöst werden sollen. Dabei steht der erste, zweite, dritte und letzte jeden Wochentags in verschiedenen Frequenzen zur Verfügung.

Beispiel: Die Kontrolldefinition im Screenshot oben würde am 11. Oktober 2023 die nächste Kontrolle auslösen, dann am 10. Januar 2024, dann am 10. April 2024 – also am zweiten Mittwoch jeden Quartals. Eine Kontrolle, die wöchentlich am Dienstag durchgeführt werden soll, hätte in der Kontrolldefinition das Intervall „jeden ersten Dienstag alle 1 Woche(n)“.

Es kann ab diesem Release innerhalb der Organisationseinheit angegeben werden, ob es sich um eine Niederlassung innerhalb der EU oder einem Drittland handelt. In Managementsystemen mit aktiviertem Datenschutz Add-on ist zusätzlich ein Textfeld für geeignete Garantien ausfüllbar.

Diese Information wird in den folgenden Berichten berücksichtigt:

• Berichte zu Verarbeitungstätigkeiten
• Berichte zur DSFA
• Berichte zu Betroffenenkategorien

Je nach Bericht wird entsprechend darauf hingewiesen, ob eine Übermittlung von Daten außerhalb der EU vorliegt und welche geeigneten Garantien vorhanden sind. Findet keine Übermittlung außerhalb der EU oder an Länder ohne Angemessenheitsbeschluss statt, wird dies in den Berichten zur DSFA ebenfalls gesondert ausgewiesen.

Mehr zu Datenschutz Berichten finden Sie hier.

Die Kriterien der Schwellwertanalyse in Schritt 2 der Datenschutz-Folgenanalyse wurden in zwei Stufen unterteilt. Die erste Stufe enthält Kriterien, die auch in der EU-DSGVO explizit gefordert werden, und zeigt die Notwendigkeit einer DSFA bei der Auswahl von nur einem Kriterium auf. Die zweite Stufe enthält die Kriterien, die rein aus dem WP-248 stammen, und zeigt die Notwendigkeit einer DSFA – wie bisher – bei der Auswahl von zwei oder mehr Kriterien auf.

Auch neu ist dieses Feature: Wurde die Schwellwertanalyse bereits in der Haupt-VT ausgefüllt, werden die Eingaben automatisch in die DSFA übernommen, sofern die Konfiguration die Anzeige der Schwellwertanalyse in der VT vorsieht. Mehr dazu im Kapitel Neuer, optionaler Schritt 7 „Schwellwertanalyse“.

In der DSFA wurde die Möglichkeit geschaffen, die erklärenden Hilfstexte im rechten Bereich des Assistenten je nach Bedarf mit einem Pfeil wegzuklappen oder anzuzeigen.

Die weiteren Angaben der Verarbeitungstätigkeit bietet Verantwortlichen und Sachbearbeitern nun auch die Möglichkeit, aus einer Liste aller verfügbaren Ressourcen der Anwendungsebene jene auszuwählen und zuzuweisen, die sie für die Datenverarbeitung einsetzen. Wird etwas verwendet, das in der Liste nicht aufscheint, kann die Information in einem Textfeld ergänzt werden.

Hinweis: Es werden dadurch nicht automatisch Beziehungen in der Strukturanalyse erstellt, die Daten sind rein informativen Charakters.

Sofern aktiviert, kann die Schwellwertanalyse zur Beurteilung der Notwendigkeit einer DSFA bereits in der VT durch den Verantwortlichen oder Sachbearbeiter ausgefüllt werden. Sind die User in den Fachbereichen mit dem Datenschutz vertraut, können sie so die Experts und Professionals des Managementsystems zusätzlich unterstützen.

Wird die VT als Haupt-VT einer DSFA zugewiesen, werden diese Eingaben dort vorbesetzt.

Wenn Sie diese Option in Ihrem Datenschutzmanagement einsetzen möchten, setzen Sie sich gerne mit uns in Verbindung, wir setzen diese Einstellung gerne für Sie.

Wird eine VT, die in ihrer aktuellen oder einer Vorgängerversion mit einer DSFA verknüpft ist, in eine Nachfolgeversion überführt, wird der durchführende Benutzer beim Betätigen des Abschließen Buttons zur VT darauf hingewiesen, dass als nächstes nun auch die DSFA dahingehend überprüft werden sollte, ob eine erneute Verknüpfung bzw. Aktualisierung notwendig ist.

Auf den Wunsch von Kunden hin und zum Zwecke der Harmonisierung ist die verantwortliche Person nun in der Verarbeitungstätigkeit selbst, im Organisationsregister und auch im Gesellschaftsregister unter der Bezeichnung „Verantwortlicher“ zu finden.

Viele unserer Kunden wünschen sich die Möglichkeit, sich Berichte für verschiedene Anwendungsfälle und Adressaten mit unterschiedlich ausgeprägten Berichtsoptionen vorbereiten zu können – und sich diese Konfigurationen nicht immer wieder neu setzen zu müssen. Dafür haben wir die Verwaltung von Berichtskonfigurationen auf den Dashboards implementiert.

Experts und Professionals eines Managementsystems können zusätzlich zu KPIs auch Berichte als Kacheln auf ein Dashboard ziehen und sich für verschiedene Use Cases die richtige Konfiguration speichern.

Im Bearbeitungsmodus des Dashboards kann man zwischen der Liste an KPIs und Berichten wählen.

Am Dashboard selbst sind konfigurierten Berichtsvarianten mit einem eigenen Icon gekennzeichnet und können, wie KPIs, nach Bedarf umbenannt werden. Ebenfalls wie bei KPIs, werden zusätzliche Buttons auf der Kachel sichtbar, wenn man sich mit der Maus darüber bewegt.

Für die linke Version des Risikoberichts wurde noch keine Datenbasis konfiguriert, der Download Button ist hier ausgegraut. Die rechte Version des Risikoberichts hat bereits eine konfigurierte Datenbasis hinterlegt und kann daher auf Knopfdruck direkt vom Dashboard aus erzeugt werden.

Zusätzlich zeigt der gelbe Stern am Bericht Icon, dass es sich um die Version des Risikoberichts handelt, die als Standard festgelegt wurde. Das bedeutet, dass in den Übersichtslisten (z.B. unter Risikomanagement → Risikobewertung, wo es generell keine Berichtsoptionen gibt) der Bericht automatisch in der hier hinterlegten Konfiguration erstellt wird. Auf der Berichtsseite selbst (z.B. unter Risikomanagement → Berichte → Risiken → Allgemein) wird der Bericht ebenfalls in dieser Standardkonfiguration erstellt, kann aber von Usern individuell angepasst werden.

Ein Klick auf den Filter Button öffnet die Ansicht, in der Datenbasis und Berichtsoptionen konfiguriert werden können. Diese Ansicht entspricht der, die man auch auf der jeweiligen Berichtsseite im Menü findet.

Hier findet sich auch die Option, die Standard-Berichtseinstellungen zu fixieren. Diese bezieht sich auf die Berichtsoptionen, nicht die Datenbasis.

Der Screenshot oben zeigt ein Beispiel einer Informationssicherheitsbeauftragten, die sich eine Übersicht der Risiken und der Berichte, die sie dazu regelmäßig erstellen möchte, gespeichert hat. Sie hat KPIs für einen Überblick über ihre Risikolandschaft und dazu den Risikobericht in zwei Ausführungen, einen Brutto-Netto-Risikobericht und eine besondere Version des Brutto-Netto-Risikoberichts, die sie für das Reporting an ihren Vorstand vorbereitet hat.

Damit die immer wachsende Fülle an Berichtsoptionen überschaubarer ist, sind verwandte Optionen nun gruppiert. Zusätzlich entspricht die Reihenfolge der Optionen der Reihenfolge der Inhalte im Bericht. Das Verhalten der Optionen hat sich dabei nicht verändert.

Weitere Beispiele für die neue Darstellung geclusterter Berichtsoptionen finden Sie in den Kapiteln Optionen für die Grafiken im Bericht, Optionen für die Darstellung der Prüffragen und Neue Form der Berichtsgenerierung über die Dashboards.

Damit Sie Berichte aus HITGuard noch mehr an Ihre Corporate Identity anpassen können, kann unter Administration → Globale Einstellungen konfiguriert werden, ob das Logo am Deckblatt der Berichte linksbündig, zentriert, oder rechtsbündig angedruckt wird.

Dashboards, die standardmäßig von uns bereitgestellt werden, sind mit einem eigenen Icon gekennzeichnet, um sie von selbst erstellten Dashboards schneller unterscheiden zu können.

Hinweis: Herstellerspezifische Dashboards können zurückgesetzt werden; eigene Dashboards können gelöscht werden. Der jeweils andere Button ist deaktiviert.

Mit dem Zeitraumfilter kann die Datenbasis einer Kennzahl mit einem Beginndatum, einem Enddatum oder beidem eingeschränkt werden. Die folgenden KPIs wurden um einen Zeitraumfilter „von-bis“ ergänzt:

• Risikomanagement – Abweichungsanalysen nach Status
• Risikomanagement – Schutzbedarfsanalysen nach Status
• Risikomanagement – Top Abweichungen
• Risikomanagement – Top Prüfobjekte
• Auditmanagement – Audits nach Status
• Auditmanagement – Top Audits

Bei den folgenden KPIs wurde zum „von“-Filter auch ein „bis“-Filter hinzugefügt:

• Fallmanagement – Meldungen nach Status
• Fallmanagement – Akten nach Status
• Fallmanagement – Fristen nach Status

Um die zentrale Verwaltung von Managementsystemen flexibler zu gestalten und die Verantwortung teilen zu können, ist es ab diesem Release möglich, mehr als einen einzelnen Benutzer oder auch ein Team in das Feld „Verantwortlich“ einzutragen.

Die Voraussetzung dafür ist, dass die eingetragenen Benutzer Experts sind. Auch Teams können hier eingetragen werden. Diese müssen dann aber zur Gänze aus Expert Benutzern bestehen. Alle Verantwortlichen können dann das Managementsystem bearbeiten und es werden beispielsweise im Fall einer Eskalation an den Managementsystemverantwortlichen auch alle per E-Mail informiert.

Eine weitere Erleichterung für Verantwortliche gibt es im Analysezeitraum: Sobald der aktuelle Analysezeitraum abgelaufen ist, wird man mit über eine Nachricht im Briefchen rechts oben darauf hingewiesen. Managementsystemverantwortliche Experts gelangen mit einem Klick auf den Linktext direkt in die Oberfläche, in der sie den Analysezeitraum in einen neuen überführen können.

Unter Administration → Ressourcen können nun auch die beiden Spalten „Ressourcengruppe“ und „Sachbearbeiter“ in der Übersicht eingeblendet werden. Zusätzlich werden, wie auch in der Strukturanalyse, die Ressourcen in der Farbe der Ressourcengruppe angezeigt, der sie zugewiesen sind.

Beim Import von Ressourcen unter Administration → Datenimport können alternativ zu Benutzern auch bereits existierende Teams in die Excel-Vorlage eingetragen werden, die in HITGuard nach dem Upload als Verantwortliche gesetzt werden.

Das Erstellen und Bearbeiten selbst entwickelter Standards und Normen wurde folgendermaßen optimiert:

• Übergeordnete Kapitel werden inklusive ihrer Gliederung angezeigt.
• Ausgehende Mappings sind individuell hinzufüg- und entfernbar.
• In der Kapitelübersicht kann unabhängig vom Bearbeitungsteil des Fensters gescrollt werden.