BGE-125-II-321 - 1999-07-05 - BGE - Verwaltungsrecht und internationales öffentliches Recht - Art. 128 KVV, 8 DSG, 1 und 2 VDSG; Art. 63 VwVG; Einsicht des Versicherten in sein Krankenkassendossier. Der Versicherte

Urteilskopf

125 II 321

31. Extrait de l'arrêt de la Ie Cour de droit public du 5 juillet 1999 dans la cause Supra, caisse-maladie, contre C. et Commission fédérale de la protection des données (recours de droit administratif)
Regeste (de):

Art. 128 KVV, 8 DSG, 1 und 2 VDSG; Art. 63 VwVG; Einsicht des Versicherten in sein Krankenkassendossier.

Der Versicherte hat grundsätzlich das Recht, gegen eine eventuelle Kostenbeteiligung, eine Kopie seines Dossiers zu erhalten. Er muss sich ohne sein Einverständnis nicht mit der Einsicht in das Dossier am Geschäftssitz des Versicherers oder einer nur mündlichen Auskunftserteilung begnügen (E. 3).

Auferlegung der erstinstanzlichen Verfahrenskosten (E. 4).

Regeste (fr):

Art. 128

OAMal, 8 LPD, 1 et 2 OLPD; art. 63 PA; consultation par l'assuré de son dossier d'assurance-maladie.

L'assuré a en principe le droit, moyennant une éventuelle participation aux frais, de recevoir une copie de son dossier. La consultation au siège de l'assureur, voire la fourniture orale de renseignements, ne peuvent lui être imposées (consid. 3).

Sort des frais de première instance (consid. 4).

Regesto (it):

Art. 128

OAMal, 8 LPD, 1 e 2 OLPD; art. 63 PA; consultazione dell'incarto dell'assicurazione malattia da parte dell'assicurato.

L'assicurato ha di principio diritto, eventualmente partecipando ai costi, di ricevere copia del proprio incarto. Non gli si può imporre di consultare l'incarto presso la sede dell'assicuratore, o di accontentarsi di informazioni orali (consid. 3).

Accollamento delle spese di prima istanza (consid. 4).

Sachverhalt ab Seite 321

BGE 125 II 321 S. 321

Le 11 février 1995, C. s'est adressé à sa caisse d'assurance-maladie, la Fama, à Lausanne (actuellement Supra, ci-après: la caisse), pour obtenir copie de son dossier médical en vue d'effectuer certaines démarches. Il se disait prêt à assumer les frais éventuels. Par lettre du 2 septembre 1995, C. se plaignit de l'absence de réponse à sa requête. Il demandait une copie complète «et non modifiée» de son «fichier personnel», frais à charge de la caisse. Cette
BGE 125 II 321 S. 322

demande fut renouvelée le 12 septembre 1995, puis le 18 octobre 1995. Le 10 novembre 1995, la caisse refusa de remettre le dossier médical, au motif que les lettres relatives aux différents traitements étaient déjà en possession de l'intéressé. Le dossier pouvait toutefois être consulté au siège central de la caisse. C. refusa cette dernière solution et persista à demander l'envoi d'une copie de son dossier, aux frais de la caisse. Le 11 décembre 1995, la caisse fit parvenir à C. copie de certaines pièces de son dossier, notamment un relevé de prestations. C. a, le 18 janvier 1996, saisi le Tribunal des assurances du canton de Vaud. Par jugement du 11 avril 1996, cette juridiction a rejeté le recours. L'art. 8 de la loi fédérale sur la protection des données (LPD, RS 235.1) n'obligeait pas de transmettre à la personne concernée la copie de tout son dossier, mais seulement de tenir celui-ci à disposition, pour consultation, ce qu'avait fait la caisse conformément à l'art. 129 al. 2 de l'ordonnance sur l'assurance-maladie (OAMal, RS 832.102); on ne pouvait exiger des caisses-maladie qu'elles lèvent copie de dossiers entiers. Par jugement du 4 septembre 1998, la Commission fédérale de la protection des données a admis le recours formé par C. Conformément à l'art. 8 al. 5 LPD, la caisse devait fournir des photocopies du dossier. Elle pouvait exiger une avance des frais; compte tenu du volume restreint du dossier, celle-ci a été fixée à 200 fr. au maximum. Les frais de la procédure de recours, par 1'500 fr., ont été mis à la charge de la caisse. Agissant par la voie du recours de droit administratif, Supra demande au Tribunal fédéral d'annuler ce dernier jugement et de confirmer le jugement du 11 avril 1996.
Erwägungen

Extrait des considérants:

3. La recourante se plaint ensuite d'une violation du droit fédéral. Selon elle, la loi ne prévoirait pas une obligation absolue de transmettre le dossier à la personne concernée. Le législateur n'aurait pas voulu imposer au maître du fichier un travail excessif sans rapport avec le but de la loi, en l'obligeant de transmettre en copie l'ensemble des dossiers. La transmission des pièces requises et l'offre de consultation du solde du dossier dans les bureaux de la caisse satisferaient aux exigences de la LAMal et de la LPD.

BGE 125 II 321 S. 323

a) La recourante ne conteste pas que le dossier qu'elle détient au sujet de C. constitue une donnée personnelle au sens de l'art. 3 let. a LPD. Le droit d'accès à ce dossier est donc réglé par les art. 8 et 9 LPD, comme le prévoit expressément l'art. 128

OAMal, qui porte comme titre «Droit d'accès de l'assuré aux données le concernant». L'art. 8 al. 1 , 2 et 5 LPD a la teneur suivante:
1 Toute personne peut demander au maître du fichier si des données la concernant sont traitées. 2 Le maître du fichier doit lui communiquer:
a. toutes les données la concernant qui sont contenues dans le fichier; b. [...].
5 Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d'imprimé ou de photocopie. Le Conseil fédéral règle les exceptions. Se fondant sur cette délégation législative (reprise à l'art. 36 al. 1 LPD), le Conseil fédéral a fixé, aux art. 1 et 2 de l'ordonnance, les modalités d'accès aux données et les exceptions à la gratuité des renseignements: l'art. 1er al. 1 OLPD prévoit que la personne qui demande les renseignements doit le faire par écrit en justifiant de son identité. L'al. 2 reprend les principes posés à l'art. 8 al. 5 de la loi. L'al. 3 prévoit que, d'entente avec le maître du fichier ou sur proposition de celui-ci, la consultation peut avoir lieu sur place, et que la fourniture de renseignements peut même avoir lieu oralement si la personne concernée y consent et est identifiée. Selon l'art. 2 OLPD, une participation équitable aux frais peut exceptionnellement être demandée lorsque: a) les renseignements ont déjà été communiqués au requérant dans les douze mois précédant la demande, et que ce dernier ne peut justifier d'un intérêt légitime; b) la communication des renseignements demandés occasionne un volume de travail considérable. Quant à l'art. 129 OAMal, qui prévoit comme règle générale la consultation du dossier au siège de l'assureur, il se rapporte au droit de consultation des tiers. b) Il ressort clairement des dispositions précitées que, pour le législateur, la communication écrite des données constitue la règle; la seule exception explicite figure à l'art. 1 al. 3 de l'ordonnance. La simple lecture de cette disposition fait apparaître qu'une consultation sur place - voire une communication orale - des pièces du dossier ne peut remplacer une communication écrite que dans le cas où la personne intéressée est d'accord avec ce mode de faire (ATF 123 II 534 consid. 3c p. 540-541, et la doctrine citée). La jurisprudence a jusqu'ici
BGE 125 II 321 S. 324

laissée indécise la question de savoir si d'autres exceptions au principe de la communication écrite peuvent être envisagées, en dehors des cas prévus par l'ordonnance; cette question peut également demeurer ouverte en l'espèce, car la recourante ne fait valoir aucune circonstance concrète s'opposant à l'envoi d'une copie du dossier. Elle prétend certes que la communication systématique des dossiers aux personnes qui le demandent lui occasionnerait un surcroît démesuré de travail, mais cet inconvénient est propre à tous les détenteurs de fichiers; il a d'ailleurs été pris en compte par le législateur, qui n'a pas voulu en faire une cause de refus de la communication écrite, mais qui a préféré prévoir des exceptions à la gratuité de celle-ci (art. 8 al. 5 de la loi, et art. 2 de l'ordonnance qui prévoit une participation exceptionnelle aux frais en cas de volume de travail considérable; ATF 123 II 534 consid. 3c p. 541). La commission a d'ailleurs prévu, dans le cas d'espèce - bien que le dossier de la caisse ne soit pas d'une ampleur considérable -, une participation aux frais, d'un montant de 200 fr. au maximum. c) En définitive, le renvoi opéré par l'art. 128

OAMal aux art. 8 et 9 LPD démontre que le droit d'accès étendu de l'assuré aux données le concernant, dont les modalités ont été rappelées ci-dessus, s'applique également, dans toute sa mesure, aux caisses-maladie. La recourante ne saurait par conséquent reprocher à la commission d'avoir appliqué la réglementation fédérale avec une rigueur excessive. Dès lors que la personne concernée s'est opposée à une consultation au siège de la caisse, cette dernière ne pouvait imposer unilatéralement ce mode de procéder. Par ailleurs, la recourante prétend avoir adressé à C. une copie de certaines pièces de son dossier, mais il n'est pas contesté qu'il ne s'agit que d'une partie du dossier. Or, il ressort clairement de l'ensemble des lettres adressées à la caisse par C. que ce dernier désirait une copie intégrale de son dossier. La recourante ne saurait tenter de tirer argument des termes éventuellement ambigus utilisés à certaines occasions; en l'absence de motifs prévus à l'art. 9 LPD, elle ne saurait non plus prétendre restreindre de son propre chef la communication à certaines pièces.

4. La recourante reproche enfin à la commission d'avoir mis à sa charge 1'500 fr. de frais de procédure. Elle relève que le recours initial provenait de C., que ce dernier était défaillant à l'audience devant la commission, que le tribunal vaudois des assurances avait tenu le recours pour téméraire et qu'elle avait manifesté une attitude conciliante, en ne s'opposant pas à la communication de l'ensemble du dossier.
BGE 125 II 321 S. 325

Aucun de ces arguments n'est toutefois propre à faire apparaître la décision attaquée pour contraire au droit fédéral. Selon un principe général concrétisé, en matière de procédure administrative, à l'art. 63 PA, les frais de la procédure sont mis à la charge de la partie qui succombe. Or en l'espèce, si la recourante prétend avoir eu une attitude conciliante, elle ne s'en est pas moins opposée pendant dix mois à fournir par écrit le dossier intégral à son assuré, et s'est bornée, après ce délai, à ne lui en délivrer que certains extraits; enfin, elle s'est opposée au recours formé par C., et ne prétend pas avoir, par la suite, formellement acquiescé à ses conclusions. Le jugement attaqué rejette ses conclusions, et la condamnation aux frais de procédure en est la conséquence nécessaire.
5. Sur le vu de ce qui précède, la décision attaquée ne prête pas le flanc à la critique. Le recours de droit administratif doit par conséquent être rejeté, aux frais de la recourante (art. 156 al. 1 OJ).

SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz VwVG Art. 63
¹	Die Beschwerdeinstanz auferlegt in der Entscheidungsformel die Verfahrenskosten, bestehend aus Spruchgebühr, Schreibgebühren und Barauslagen, in der Regel der unterliegenden Partei. Unterliegt diese nur teilweise, so werden die Verfahrenskosten ermässigt. Ausnahmsweise können sie ihr erlassen werden.
²	Keine Verfahrenskosten werden Vorinstanzen oder beschwerdeführenden und unterliegenden Bundesbehörden auferlegt; anderen als Bundesbehörden, die Beschwerde führen und unterliegen, werden Verfahrenskosten auferlegt, soweit sich der Streit um vermögensrechtliche Interessen von Körperschaften oder autonomen Anstalten dreht.
³	Einer obsiegenden Partei dürfen nur Verfahrenskosten auferlegt werden, die sie durch Verletzung von Verfahrenspflichten verursacht hat.
⁴	Die Beschwerdeinstanz, ihr Vorsitzender oder der Instruktionsrichter erhebt vom Beschwerdeführer einen Kostenvorschuss in der Höhe der mutmasslichen Verfahrenskosten. Zu dessen Leistung ist dem Beschwerdeführer eine angemessene Frist anzusetzen unter Androhung des Nichteintretens. Wenn besondere Gründe vorliegen, kann auf die Erhebung des Kostenvorschusses ganz oder teilweise verzichtet werden.102
^4bis	Die Spruchgebühr richtet sich nach Umfang und Schwierigkeit der Streitsache, Art der Prozessführung und finanzieller Lage der Parteien. Sie beträgt:
^a	in Streitigkeiten ohne Vermögensinteresse 100-5000 Franken;
^b	in den übrigen Streitigkeiten 100-50 000 Franken.103
⁵	Der Bundesrat regelt die Bemessung der Gebühren im Einzelnen.104 Vorbehalten bleiben Artikel 16 Absatz 1 Buchstabe a des Verwaltungsgerichtsgesetzes vom 17. Juni 2005105 und Artikel 73 des Strafbehördenorganisationsgesetzes vom 19. März 2010106.107

SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz VwVG Art. 63
¹	Die Beschwerdeinstanz auferlegt in der Entscheidungsformel die Verfahrenskosten, bestehend aus Spruchgebühr, Schreibgebühren und Barauslagen, in der Regel der unterliegenden Partei. Unterliegt diese nur teilweise, so werden die Verfahrenskosten ermässigt. Ausnahmsweise können sie ihr erlassen werden.
²	Keine Verfahrenskosten werden Vorinstanzen oder beschwerdeführenden und unterliegenden Bundesbehörden auferlegt; anderen als Bundesbehörden, die Beschwerde führen und unterliegen, werden Verfahrenskosten auferlegt, soweit sich der Streit um vermögensrechtliche Interessen von Körperschaften oder autonomen Anstalten dreht.
³	Einer obsiegenden Partei dürfen nur Verfahrenskosten auferlegt werden, die sie durch Verletzung von Verfahrenspflichten verursacht hat.
⁴	Die Beschwerdeinstanz, ihr Vorsitzender oder der Instruktionsrichter erhebt vom Beschwerdeführer einen Kostenvorschuss in der Höhe der mutmasslichen Verfahrenskosten. Zu dessen Leistung ist dem Beschwerdeführer eine angemessene Frist anzusetzen unter Androhung des Nichteintretens. Wenn besondere Gründe vorliegen, kann auf die Erhebung des Kostenvorschusses ganz oder teilweise verzichtet werden.102
^4bis	Die Spruchgebühr richtet sich nach Umfang und Schwierigkeit der Streitsache, Art der Prozessführung und finanzieller Lage der Parteien. Sie beträgt:
^a	in Streitigkeiten ohne Vermögensinteresse 100-5000 Franken;
^b	in den übrigen Streitigkeiten 100-50 000 Franken.103
⁵	Der Bundesrat regelt die Bemessung der Gebühren im Einzelnen.104 Vorbehalten bleiben Artikel 16 Absatz 1 Buchstabe a des Verwaltungsgerichtsgesetzes vom 17. Juni 2005105 und Artikel 73 des Strafbehördenorganisationsgesetzes vom 19. März 2010106.107

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
¹	Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
²	Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
³	Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
¹	Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
²	Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
³	Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
¹	Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
²	Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
³	Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
¹	Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
²	Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
¹	Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
^a	die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
^b	keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
²	Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
³	Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
⁴	Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 36 Bekanntgabe von Personendaten - 1 Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage nach Artikel 34 Absätze 1-3 besteht.
¹	Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage nach Artikel 34 Absätze 1-3 besteht.
²	Sie dürfen Personendaten in Abweichung von Absatz 1 im Einzelfall bekanntgeben, wenn eine der folgenden Voraussetzungen erfüllt ist:
^a	Die Bekanntgabe der Daten ist für den Verantwortlichen oder für die Empfängerin oder den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich.
^b	Die betroffene Person hat in die Bekanntgabe eingewilligt.
^c	Die Bekanntgabe der Daten ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
^d	Die betroffene Person hat ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt.
^e	Die Empfängerin oder der Empfänger macht glaubhaft, dass die betroffene Person die Einwilligung verweigert oder Widerspruch gegen die Bekanntgabe einlegt, um ihr oder ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren; der betroffenen Person ist vorgängig Gelegenheit zur Stellungnahme zu geben, es sei denn, dies ist unmöglich oder mit unverhältnismässigem Aufwand verbunden.
³	Die Bundesorgane dürfen Personendaten darüber hinaus im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder gestützt auf das Öffentlichkeitsgesetz vom 17. Dezember 20048 bekanntgeben, wenn:
^a	die Daten im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen; und
^b	an der Bekanntgabe ein überwiegendes öffentliches Interesse besteht.
⁴	Sie dürfen Name, Vorname, Adresse und Geburtsdatum einer Person auf Anfrage auch bekanntgeben, wenn die Voraussetzungen nach Absatz 1 oder 2 nicht erfüllt sind.
⁵	Sie dürfen Personendaten mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich machen, wenn eine Rechtsgrundlage die Veröffentlichung dieser Daten vorsieht oder wenn sie Daten gestützt auf Absatz 3 bekanntgeben. Besteht kein öffentliches Interesse mehr daran, die Daten allgemein zugänglich zu machen, so werden die betreffenden Daten aus dem automatisierten Informations- und Kommunikationsdienst gelöscht.
⁶	Die Bundesorgane lehnen die Bekanntgabe ab, schränken sie ein oder verbinden sie mit Auflagen, wenn:
^a	wesentliche öffentliche Interessen oder offensichtlich schutzwürdige Interessen der betroffenen Person es verlangen; oder
^b	gesetzliche Geheimhaltungspflichten oder besondere Datenschutzvorschriften es verlangen.

SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
¹	Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
²	Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
^a	Art der bearbeiteten Daten;
^b	Zweck, Art, Umfang und Umstände der Bearbeitung.
³	Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
^a	Ursachen des Risikos;
^b	hauptsächliche Gefahren;
^c	ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
^d	Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
⁴	Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
^a	Stand der Technik;
^b	Implementierungskosten.
⁵	Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.

SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 2 Ziele - Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:
^a	nur Berechtigten zugänglich sind (Vertraulichkeit);
^b	verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
^c	nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
^d	nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

DSG:	3 8 9 36
DSV:	1 2
KVV:	128 129
OG:	156
VwVG:	63