HITGuard Release September 2021

Um mehr aussagekräftige Kennzahlen und Dashboards anbieten zu können wurde ein neuer Menüpunkt „Meine Dashboards“ geschaffen. Hier werden alle bisher existierenden Dashboards zusammengeführt:

Außerdem ist es hier möglich sich ein oder mehrere Dashboards mit gewünschten KPIs bzw. Einstellungen selbst zu konfigurieren. Die gewünschten KPIs werden per Drag & Drop auf das Dashboard gezogen. Für gewisse Kennzahlen kann im Entwurfsmodus festgelegt werden, ob die Konfiguration der Kennzahl fix ist oder ob eine Datenselektion zur Laufzeit möglich sein soll. Details zur Konfiguration der Dashboards finden Sie hier in unserer Online-Hilfe sowie in der Seiteneinführung.

Je Managementsystem können verschiedene Dashboards verwaltet werden. Standardmäßig werden Dashboards zu Datenschutz (sofern das Datenschutzmodul aktiviert ist), Risikomanagement, Maßnahmen und Kontrollen angeboten. Diese sind mit einer Basiskonfiguration ausgestattet, die Sie in etwas angepasster Form aus früheren Versionen kennen. Beachten Sie, dass ein weitaus größeres Angebot an Kennzahlen im Entwurfsmodus des Dashboards zur Auswahl steht und Sie Kennzahlen, die für Sie keine Aussagekraft haben, nun auch jederzeit vom Dashboard entfernen können. Selbst gestaltete Dashboards können auch als „privat“ gekennzeichnet werden und sind so dem eigenen Gebrauch vorbehalten.

Nahezu alle Kennzahlen können nun auch als JPG, PNG oder SVG exportiert werden. Außerdem können aus den Kennzahlen heraus die Details zu den betroffenen Daten aufgerufen und eingesehen werden.

Die neue Kennzahl „Audits nach Status“ stellt dar ob Audits geplant, in Bearbeitung, in Nachbearbeitung, erledigt oder verzögert sind. Verzögert meint, dass das Audit zu einem Zeitpunkt in der Vergangenheit sein Beginn Datum gehabt hätte und noch nicht in Bearbeitung ist. Die auszuwertenden Daten können dabei nach Auditprogrammen eingeschränkt werden.

Die neue Kennzahl „Schutzbedarfsanalysen nach Status“ stellt dar wie viele Schutzbedarfsanalysen in Entwurf, in Bearbeitung oder abgeschlossen sind. Dabei können Einschränkungen hinsichtlich des Analysezeitraums vorgenommen werden bzw. ist es möglich Neubewertungen von Analysen im Zeitraum aus der Berechnung auszuschließen.

Die neue Kennzahl „Schwachstellenanalysen nach Status“ stellt dar wie viele Schwachstellenanalysen in Entwurf, in Bearbeitung oder abgeschlossen sind. Auch hier können Einschränkungen hinsichtlich des Analysezeitraums vorgenommen werden und kann auf die Art der Überprüfung eingeschränkt werden:

Neu ist auch die Auswertungsmöglichkeit für „die besten bzw. schlechtesten“ Audits, Prüfgegenstände und Abweichungen über die Kennzahlen Top Audits, Top Prüfgegenstände und Top Abweichungen. Dabei werden die Abweichungen nach der Zielreifegrad-Gewichtung bewertet und für Prüfgegenstände bzw. Audits aufsummiert dargestellt. Daher sind diese Kennzahlen auch dahingehend konfigurierbar, ob nur positive oder negative Abweichungen (Untererfüllungen bzw. Übererfüllungen) zum Zielreifegrad in die Bewertung einfließen sollen.

Die bereits existierende Kennzahl „Compliance Erfüllung“, sowie die damit zusammenhängenden Kennzahlen „Fragen Deckung (Total)“ und „Fragen Deckung (Prozentuell)“, wurden hinsichtlich ihrer Auswertungsmöglichkeiten erweitert. Nun kann die Kennzahl gezielt auf einen Anwendungsbereich von Analyseergebnissen einer oder mehrerer Organisationseinheiten sowie die anwendbaren Kapitel der Norm eingeschränkt werden:

Eine zusätzliche Erweiterung ist die neu angebotene Detailsicht auf Prüffragen. Es ist möglich in der Compliance Erfüllung sich die Details zur Erfüllung der untergeordneten Kapitel per Klick auf den Punkt in der Spinne aufzurufen. Auf unterster Kapitelebene erscheint dann ein Dialog, indem die Auswertungsergebnisse selbst dargestellt werden. Neben den direkt den Unterkapitel zugeordneten Prüffragenerfüllungen, werden auch Erfüllungen von den übergeordneten Kapiteln angezeigt. Diese Informationen kann man bei Bedarf über die Spalten der Auflistung filtern. Per Doppelklick auf einen Eintrag kann man dann direkt in die Analyse wechseln.

Die Kennzahlen des Maßnahmen Dashboards wurden in mehrere konfigurierbare Einzel-Kennzahlen aufgeteilt. Die Möglichkeit der Auswertungsdarstellung auf einen Blick wurde dadurch umfangreicher.

Auch für die Auswertung von Kontrollen wurde ein konfigurierbares Dashboard gestaltet. Ein fix platziertes Steuerelement ist dort der sogenannte „Datenfilter“. Hier kann die Einschränkung von Zeitraum, Organisationseinheiten und Schlüsselkontrollen für alle auf dem Dashboard platzierten Kennzahlen gesteuert werden.

Bei der Kennzahl „Kontrollen nach Status“ wird nun auch die Gesamtkennzahl an Kontrollen angezeigt.

Das Datenschutz Dashboard bzw. die dazu gestalteten Auswertungsmöglichkeiten sind neu. Das Dashboard ist nur dann verfügbar, wenn man das Data Protector Add-on nutzt und sich mit entsprechenden Berechtigungen im, als Data Protector gekennzeichneten Managementsystem befindet.

Die Kennzahl „Verarbeitungstätigkeiten nach Status“ stellt dar in welchen Status sich die Verarbeitungstätigkeiten aktuell befinden. Dabei ist es möglich die historischen Versionen (welche standardmäßig ausgeschlossen sind) in die Kennzahl mit aufzunehmen. Weiters kann nach Art der Verantwortlichkeit bzw. Zugehörigkeit der Verarbeitungstätigkeit zu Registern gefiltert werden.

Die Kennzahl „TOMs nach Status“ wertet die Status geplant, offen, erledigt und ausgesetzt über alle Maßnahmen aus, die entweder für allgemeine oder spezifische TOMs oder zugeordnet zu Datenschutz-Folgeabschätzungen verwendet werden.

Die Kennzahl „TOCs nach Status“ bildet dieselbe Logik wie „TOMs nach Status“ ab, nur für Kontrollen statt Maßnahmen. Die Status der Kontrollen sind dabei aktiv, ausgesetzt oder deaktiviert.

Zu den Gefährdungslagen können in den Stammdaten nun auch Anmerkungen erfasst werden:

Außerdem ist es möglich die Beschreibung nun mittels einem HTML Editor so zu formatieren, dass sie auch in Reports frei gestaltbar dargestellt werden kann. Die Risikokennzahl, die sich aus Eintrittswahrscheinlichkeit und Schadensausmaß berechnet wird, wird oben links im ersten Tab der Gefährdungslage farblich visualisiert.

In den Einstellungen „Optionale Maßnahmeneigenschaften“ kann je Managementsystem festgelegt werden, ob ein Info-Mail bei Zuteilung einer Maßnahme an einen oder mehrere Verantwortliche versendet werden soll. Wenn die Option aktiviert ist, wird eine "Maßnahme [Maßnahmen-ID] wurde Ihnen zugewiesen" E-Mail an den/die Maßnahmenverantwortlichen gesendet. Dies erfolgt auch dann, wenn neue Verantwortliche eingetragen bzw. geändert werden und die Maßnahme offen ist oder wenn die Maßnahme aus einem anderen Status wieder auf offen gesetzt wird.

Standardmäßig ist die Eigenschaft angehakt, was bedeutet, dass Meldungen versendet werden. Auf Bestandssystemen muss sie allerdings manuell aktiviert werden.

Das Kopieren einer Kontrolldefinition mit all seinen bisherigen Einstellungen kann nun als neues Feature über den ‚+‘ Button bei der Auflistung „Kontrollen > Kontrolldefinitionen“ verwendet werden:

Auf Wunsch unserer Kunden hin ist es nun möglich mehr als nur einen Grund für die Rechtmäßigkeit der Verarbeitung je Betroffenenkategorie auszuwählen:

Wenn ein neuer Benutzer oder ein neues Team angelegt wird, dann wird automatisch ein Profilbild aus den Initialen des Namens generiert:

Das Profilbild wird auch für bestehende Benutzer generiert, außer sie haben bereits ein eigenes Bild hochgeladen, dann wird es nicht ersetzt. Die Profilbilder werden nun auch in den Benutzer und Teamlisten bzw. entsprechenden Auswahlmöglichkeiten von Benutzer bzw. Team angezeigt. Wenn in den globalen Einstellungen in der Sektion "Benutzerauswahlfeld" die Option "Profilbild anzeigen" aktiviert ist, wird bei der Suche nach Benutzern das Profilbild angezeigt.

Wenn ein neuer Benutzer im System erstellt wird, dann kann nun konfiguriert werden, dass ein Willkommens-E-Mail an diesen versendet werden soll. Die dafür zu setzende Einstellung "Info-Mail für neuen Benutzer " kann unter Administration > Globale Einstellungen vorgenommen werden.

Diese Einstellung muss manuell aktiviert werden, da man sich hier bewusst sein muss, dass häufig auch Benutzer für Personen angelegt werden, die zwar verantwortlich für Aufgaben sind (wie z.B. Geschäftsführer), aber für diese nicht proaktiv angemailt werden sollen.

Wenn ein Teammitglied einem Team nachträglich zugewiesen wird, dann kann nun konfiguriert werden, dass ein Willkommens-E-Mail an die neuen Teammitglieder gesendet werden soll. Wenn zu diesem Zeitpunkt offene Fortschrittsmeldungen für das Team anstehen, dann wird auch eine zweite E-Mail, die die offenen Fortschrittsmeldungen enthält, an das neue Teammitglied gesendet.

Die dafür zu setzende Einstellung "Info-Mail für Team Mitgliedschaft" kann unter Administration > Globale Einstellungen vorgenommen und ebenso je Managementsystem überschrieben werden. Per Default werden in zukünftigen Installationen Info-Mails versendet. Bei bestehenden Installationen wird die Konfiguration aber nicht verändert.

Zusätzlich wird, nach entsprechender Konfigurationsanpassung, ein Willkommen-E-Mail beim Erstellen eines neuen Benutzers an diesen gesendet. Dabei wird auf die ersten Schritte zur Orientierung in der Applikation hingewiesen.

Auf Kundenwunsch hin bieten wir eine neue Rolle, den „Observer“ an. Prinzipiell sind die Rechte hinsichtlich der zugänglichen Menüpunkte sehr ähnlich zu den Rechten des Professionals, nur mit der Einschränkung, dass keine Daten verändert bzw. neu angelegt werden können. In der ersten Version gibt es außerdem die folgenden Einschränkungen hinsichtlich der angebotenen Menüpunkte:

• Der Bereich „meine Aufgaben“ steht natürlich auch dem Observer zur Verfügung.
• Im Risikomanagement Bereich kann Einsicht in die Schutzbedarfs- und Schwachstellenanalysen sowie die Risikobewertung und -behandlung genommen werden. Auch die Auditverwaltung, das bzw. die Risikomanagement Dashboard(s) unter „meine Dashboards“ und die Berichte stehen zur Verfügung.
• Im Bereich Maßnahmen kann der Observer auf Dashboards, die Auswertungen und Berichte sowie aktuelle und historische Maßnahmen zugreifen. Die Details zu den Fortschrittsmeldungen kann er allerdings nicht einsehen.
• Im Bereich der Kontrollen findet der Observer nur das Dashboard, hat aber keinen Zugriff auf die Kontrolldefinitionen und Logs der durchgeführten Kontrollen, daher erscheint der Menüpunkt Kontrollen nicht.
• Im Datenschutz- bzw. Fallmanagement kann der Observer außer den Einstellungen alle Auswertungen einsehen. Auf Datenschutz-Folgeabschätzungen hat er keinen Zugriff.

Ein gänzlich neues Add-on ist das Fallmanagement. Diese Funktionalität ist für Compliance Anfragen oder Meldungen (anonym oder nicht anonym) und deren fristgerechte Behandlung gedacht.

Das Fallmanagement kann für mehrere Managementsystem konfiguriert werden. Dazu muss unter Administration > Managementsysteme die entsprechende Eigenschaft für das Managementsystem gesetzt werden:

Wenn das Fallmanagement aktiviert wurde, dann ist ein neuer Menüpunkt „Fallmanagement“ für das jeweilige Managementsystem verfügbar.

Als Benutzer in der Rolle Expert kann man für das Fallmanagement Einstellungen vornehmen (Fallmanagement > Einstellungen). Hier kann man einen Schwerpunkt mit einer Bezeichnung hinterlegen. Dies wir dem Melder auch angezeigt, wenn er entscheiden muss welchem der ggf. mehreren vorhandenen Fallmanagementsysteme er die Meldung übermitteln möchte.

Wird die Option „Anonyme Meldung möglich (Hinweisgebersystem)" aktiviert, fungiert das Fallmanagementsystem als Hinweisgebersystem gemäß EU-Richtlinie 2019/1937. Hinweise von Hinweisgebern können dadurch anonym erstellt und gemeldet werden.

Wird diese Option bei mehreren Fallmanagementsystemen aktiviert, kann ein anonymer Hinweisgeber den Schwerpunkt, zu dem der Hinweis erfolgen soll aus einer Auswahlliste wählen. Zur getroffenen Auswahl wird die Beschreibung des Schwerpunktes angezeigt. Dabei stehen nur Fallmanagementsysteme zur Auswahl, bei denen die Option "Anonyme Meldung möglich (Hinweisgebersystem)" aktiviert wurde.

Werden mehrere Fallmanagementsysteme aktiviert, so kann eines als „Standard-Fallmanagementsystem“ ausgewählt werden. Dies hat zur Folge, dass es das vorausgewählte System ist, wenn ein neuer Hinweis durch einen Hinweisgeber erstellt wird.

Für jedes Fallmanagementsystem können Fristen definiert werden. Die konfigurierten Fristen findet man unter „Fallmanagement | Einstellungen“ und zwar am Ende der Seite nach den allgemeinen Konfigurationen. Diese Fristen sind dazu gedacht, um sie mit eingehenden Meldungen zu verknüpfen bzw. die Bearbeitungsschritte zu den jeweiligen Meldungen fristgerecht durchzuführen. Fristen können Erinnerungsfunktionen für die bearbeitenden Teams/Personen haben:

Sofern sie das Whistleblower Add-on lizenziert haben und in Betrieb nehmen möchten, wird in Rücksprache mit TogetherSecure (bei lokaler Installation durch Ihre IT) der entsprechende Zugriff auf die Meldeseite, unter der dann auch zukünftig das Meldeportal aufrufbar ist, konfiguriert.

Hier kann entweder eine neue Meldung abgegeben werden oder es können anonyme Postfächer eingesehen werden um etwaige Rückfragen oder Rückmeldungen zu, in der Vergangenheit abgegebenen Meldungen einzusehen und ggf. darauf zu reagieren.

Um eine neue Meldung abgeben zu können muss der Melder zuerst eine Sicherheitsabfrage absolvieren:

Nach bestandener Sicherheitsüberprüfung ist es möglich seine Meldung abzugeben. Diese kann an spezielle Verantwortungsbereiche gerichtet sein, einen Betreff, eine Beschreibung und ggf. auch Evidenzdokumente enthalten. Wenn er möchte, kann er sich auch entscheiden und einen Namen angeben, um ggf. doch nicht anonym zu bleiben.

Wenn der Melder nach Abgabe seines Hinweises die weitere Bearbeitung verfolgen bzw. für Rückfragen zur Verfügung stehen möchte, dann kann er ein anonymes Postfach anlegen.

In dieses anonyme Postfach kann der Melder jederzeit von der Startseite aus wieder einsteigen:

Hier kann auf Rückfragen reagiert werden bzw. können weitere Informationen gepostet werden:

Die Experten des Managementsystems sehen die eingehenden Meldungen unter Fallmanagement | Meldungen. Hier ist auch gleich ersichtlich, ob die Meldung neu ist oder sich bereits in Bearbeitung befindet und ob bereits ein Sachbearbeiter zugewiesen wurde:

Die Meldung kann im Detail behandelt werden. Ein Sachbearbeiter kann zugeteilt werden bzw. ist es meist nötig eine Frist für die erste Antwort auf die Hinweismeldung bzw. eine Frist für die Abarbeitung des gesamten Falls zu hinterlegen:

Dies ist durch den Klick auf die jeweiligen Fristenlinks möglich:

Etwaige hinterlegte Erinnerungsfunktionen zur ausgewählten Frist werden dann zeitgerecht an Bearbeiter übermittelt.

Zu den eingehenden Meldungen und den dazu vergebenen Fristen gibt es eine Übersicht unter Fallmanagement | Fristen, in der alle Fristen auf einen Blick ersichtlich sind. Der Bearbeitungsstatus der Fristen zur jeweiligen Meldung kann auf einen Blick kontrolliert werden. Per Doppelklick kann in die jeweilige Frist bzw. Meldung gesprungen werden: