Verordnung über die Informationsverwaltung und -sicherheit (IVSV)

(vom 3. September 2019)[1][2]

Der Regierungsrat,

gestützt auf §§ 5 Abs. 4 und 13 Abs. 2 des Gesetzes über die Information und den Datenschutz vom 12. Februar 2007 (IDG)[3]

A. Geltungsbereich

§ 1.

Diese Verordnung regelt die Verwaltung und den Schutz von Informationen der öffentlichen Organe von Kanton und Gemeinden.

B. Ordnungssystem und Dossiers

Ordnungssystem

§ 2.

Das öffentliche Organ verwaltet seine Geschäftsfälle mit einem Ordnungssystem, das eine eindeutige Zuordnung und eine zielgerichtete Suche von Informationen ermöglicht.

Dossiers

§ 3.

1

Das öffentliche Organ legt alle für die Bearbeitung und die Nachvollziehbarkeit eines Geschäftsfalls notwendigen Informationen in einem Dossier ab.

2

Auf Informationen, die aus technischen, organisatorischen oder rechtlichen Gründen gesondert abgelegt werden, wird im Dossier verwiesen.

Federführung

§ 4.

1

Das öffentliche Organ bezeichnet für jeden Geschäftsfall eine federführende Stelle.

2

Diese ist für die Vollständigkeit des Dossiers verantwortlich.

Metadaten

§ 5.

1

Dossiers werden mit Informationen versehen, die für die Bearbeitung und die Zuordnung eines Geschäftsfalls sowie für den Schutz der dazugehörigen Informationen nötig sind (Metadaten).

2

Sie enthalten insbesondere folgende Metadaten:

a.Titel des Geschäftsfalls,

b.Eröffnungs- und Abschlussdatum,

c.federführende Stelle.

Dossierabschluss

§ 6.

1

Ist ein Geschäftsfall beendet, überprüft die federführende Stelle die Vollständigkeit des Dossiers und schliesst es ab.

2

Sie kann Informationen, die für die Nachvollziehbarkeit des Geschäftsfalls nicht notwendig sind, entfernen.

C. Informationsträger

Wahl des Informationsträgers

§ 7.

1

Das öffentliche Organ legt fest, in welcher Form es seine Dossiers führt. Es führt die Dossiers in elektronischer Form, soweit dies möglich und wirtschaftlich ist. Im Übrigen führt es die Dossiers in physischer Form oder aus besonderen Gründen in gemischter Form.

2

Es legt zudem fest:

a.für Dossiers in elektronischer Form: den Umgang mit physischen Informationen, insbesondere solchen, die zur Wahrung der Rechtswirksamkeit oder zu Beweiszwecken im Original aufbewahrt werden müssen,

b.für Dossiers in physischer Form: den Umgang mit elektronischen Informationen.

3

Führt das öffentliche Organ seine Dossiers nicht ausschliesslich in elektronischer Form, erstattet es der vorgesetzten Stelle oder der Aufsichtsbehörde jährlich Bericht über die Gründe.

Technische Mittel

§ 8.

1

Führt ein öffentliches Organ neue technische Mittel, insbesondere neue Informationsverwaltungssysteme, ein, stellt es sicher, dass die vorhandenen Informationen und Metadaten weiter verwendet werden können.

2

Es verwendet technische Mittel, welche die Übertragung der verwalteten Informationen in archivtaugliche Formate ermöglichen.

D. Anbietungspflicht und Archivierung

Anbietungspflicht

§ 9.

1

Das öffentliche Organ sondert Dossiers aus, wenn

a.ihre Aufbewahrungsfrist abgelaufen ist,

b.die entsprechende öffentliche Aufgabe dahingefallen ist.

2

Es bietet die ausgesonderten Dossiers zusammen mit den dazugehörigen Metadaten dem zuständigen Archiv an und liefert die vom Archiv ausgewählten Dossiers ab.

3

Es vernichtet oder löscht unwiederbringlich:

a.die vom Archiv nicht übernommenen Dossiers,

b.Doppel der dem Archiv abgelieferten Informationen.

4

Archivwürdige Dossiers, die das Archiv aus Kapazitätsgründen nicht sofort übernehmen kann, bewahrt das öffentliche Organ weiter auf.

Übrige Pflichten des öffentlichen Organs

§ 10.

Das öffentliche Organ

a.gewährt dem Archiv Zugang zu seinen Informationen, soweit dies für dessen Aufgabenerfüllung notwendig ist,

b.hört das Archiv bei Projekten zur elektronischen Informationsverwaltung an.

Weisungsrecht

§ 11.

Das Archiv kann für die Anbietung und die Übernahme von Informationen Weisungen erlassen.

E. Informationssicherheit

Zuständigkeit

§ 12.

1

Die federführende Stelle beurteilt die Risiken und den Schutzbedarf für die von ihr verwalteten Informationen. Sie weist diese einer der vom Regierungsrat festgelegten Schutzstufen zu.

2

Das öffentliche Organ legt gestützt darauf in einem Plan angemessene Massnahmen zum Schutz der Informationen fest. Es gibt dazu die Wirkung, die Kosten und die Termine an.

Massnahmen

§ 13.

Zur Erreichung der Schutzziele gemäss § 7 Abs. 2 IDG prüft das öffentliche Organ insbesondere folgende Massnahmen:

a.für das Schutzziel Vertraulichkeit: die Definition und Vergabe restriktiver Berechtigungen, die Verschlüsselung sowie die Anonymisierung bei der Übermittlung,

b.für das Schutzziel Unversehrtheit: die Verwendung alterungsbeständiger Informationsträger und deren sichere Aufbewahrung,

c.für das Schutzziel Verfügbarkeit: den Aufbau von Redundanzen sowie die Umsetzung von Vorsorgemassnahmen für Notfälle und Krisenlagen,

d.für das Schutzziel Zurechenbarkeit: die Verwendung digitaler Zertifikate und Signaturen,

e.für das Schutzziel Nachvollziehbarkeit: die Protokollierung und Überwachung von Zugriffen und Änderungen,

f.für alle Schutzziele: Personensicherheitsprüfungen sowie die Sensibilisierung der Mitarbeitenden im sicheren Umgang mit Informationen.

F. Qualitätssicherung

Überprüfung

§ 14.

1

Das öffentliche Organ stellt die Einhaltung dieser Verordnung durch seine Verwaltungseinheiten sicher.

2

Es überprüft regelmässig die Einhaltung der Verordnung und die Zweckmässigkeit der getroffenen Massnahmen zum Schutz der Informationen. Werden die Schutzziele gemäss § 7 Abs. 2 IDG nicht mehr erreicht, passt es die Massnahmen an.

3

Es dokumentiert die Ergebnisse der Überprüfung und die Anpassung der Massnahmen.

Informationsbearbeitung durch Dritte

§ 15.

Beauftragt das öffentliche Organ Dritte mit der Informationsbearbeitung, sorgt es dafür, dass die Vorgaben dieser Verordnung eingehalten werden.

[1] OS 74, 558; Begründung siehe ABl 2019-09-13.

[2] Inkrafttreten: 1. Januar 2020.

[3] LS 170. 4.

170.8 – Versionen

IDPublikationAufhebung
10701.01.2020Version öffnen
02101.01.2020Version öffnen
Über odatDatenschutzAnleitungNutzungshinweise

Dies ist keine amtliche Veröffentlichung. Massgebend ist einzig die Veröffentlichung durch die Staatskanzlei des Kantons Zürich.

Nutzungshinweis

Dies ist keine amtliche Veröffentlichung. Massgebend ist einzig die Veröffentlichung durch die Staatskanzlei des Kantons Zürich.

Link zur amtlichen Sammlung: zhlex.zh.ch

Für die Richtigkeit, Vollständigkeit, Qualität oder Aktualität der hier zur Verfügung gestellten Inhalte wird keinerlei Gewähr übernommen. Die Nutzung dieses Dienstes ist kein Ersatz für eine Konsultation der amtlichen Publikationen und erfolgt vollumfänglich auf eigene Gefahr und Verantwortung. Für allfällige Verluste oder Schäden irgendwelcher Art, die mit einer Nutzung dieses Dienstes zusammenhängen können, wird jegliche Haftung abgelehnt.

Dieser Dienst richtet sich an Nutzende aus der Schweiz. Es werden ausschliesslich technisch notwendige Cookies verwendet.

Diese Bestätigung wird für 365 Tage im Browser gespeichert und nicht an odat.ch übermittelt. Nach Ablauf dieser Frist erscheint der Dialog erneut. Er erscheint auch in privaten Browserfenstern, wenn die gespeicherte Bestätigung nicht verfügbar ist oder gelöscht wurde, sowie bei Änderungen am Text.

Massgeblich ist die deutsche Version dieses Nutzungshinweises.

Avis d'utilisation

Ceci n'est pas une publication officielle. Seule la publication par la Chancellerie d'État du canton de Zurich fait foi.

Lien vers le recueil officiel : zhlex.zh.ch

Aucune garantie n'est donnée quant à l'exactitude, l'exhaustivité, la qualité ou l'actualité des contenus mis à disposition. L'utilisation de ce service ne remplace pas la consultation des publications officielles et se fait entièrement aux propres risques et responsabilité de l'utilisateur. Toute responsabilité pour d'éventuelles pertes ou dommages de quelque nature que ce soit pouvant être liés à l'utilisation de ce service est déclinée.

Ce service s'adresse aux utilisateurs en Suisse. Seuls des cookies techniquement nécessaires sont utilisés.

Cette confirmation est enregistrée dans le navigateur pour 365 jours et n'est pas transmise à odat.ch. Après l'expiration de ce délai, le dialogue réapparaît. Il réapparaît également dans les fenêtres de navigation privée, lorsque la confirmation enregistrée n'est pas disponible ou a été supprimée, ainsi qu'en cas de modifications du texte.

La version allemande du présent avis d'utilisation fait foi.

Avviso di utilizzo

Questa non è una pubblicazione ufficiale. Fa fede solo la pubblicazione della Cancelleria di Stato del Cantone di Zurigo.

Link alla raccolta ufficiale: zhlex.zh.ch

Per la correttezza, la completezza, la qualità o l'attualità dei contenuti messi a disposizione non viene assunta alcuna garanzia. L'utilizzo di questo servizio non sostituisce la consultazione delle pubblicazioni ufficiali e avviene interamente a proprio rischio e responsabilità. Si declina qualsiasi responsabilità per eventuali perdite o danni di qualsiasi natura che possano essere connessi all'utilizzo di questo servizio.

Questo servizio è destinato agli utenti in Svizzera. Vengono utilizzati esclusivamente cookie tecnicamente necessari.

Questa conferma viene salvata nel browser per 365 giorni e non viene trasmessa a odat.ch. Dopo la scadenza di questo termine, il dialogo riappare. Riappare anche nelle finestre di navigazione privata, quando la conferma salvata non è disponibile o è stata cancellata, nonché in caso di modifiche al testo.

Fa fede la versione tedesca del presente avviso di utilizzo.

Usage Notice

This is not an official publication. Only the publication by the State Chancellery of the Canton of Zurich is authoritative.

Link to the official collection: zhlex.zh.ch

No guarantee whatsoever is given for the accuracy, completeness, quality, or currency of the content provided. The use of this service is no substitute for consulting the official publications and is entirely at the user's own risk and responsibility. Any liability for potential losses or damages of any kind that may be connected to the use of this service is disclaimed.

This service is intended for users in Switzerland. Only technically necessary cookies are used.

This confirmation is stored in the browser for 365 days and is not transmitted to odat.ch. After this period expires, the dialog reappears. It also reappears in private browsing windows when the stored confirmation is not available or has been deleted, and when the text has been changed.

The German version of this usage notice is authoritative.