update Die Daten-Festung: Für die Zukunft gut gerüstet AUSGABE 1 / 2007 hintergrund Vertrauensstelle Krankenversichertennummer

Transkript

1 update Das Magazin für Datenaustausch im Gesundheitswesen AUSGABE 1 / 2007 Feb. '07 Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung GmbH Die Daten-Festung: Für die Zukunft gut gerüstet aktuell ELENA: Das Ende des Papiers hintergrund Vertrauensstelle Krankenversichertennummer innovation Mehr Effizienz im Datenaustausch

2 willkommen 2 Liebe Leserinnen, liebe Leser, ohne eine leistungsfähige und sichere Informationstechnologie wäre ein modernes Gesundheitssystem undenkbar. Das gilt ganz besonders für die gesetzlichen Krankenkassen (GKV). Mit der Gründung der ITSG haben die Spitzenverbände der Krankenkassen das Ziel verbunden, den Datenaustausch mit Leistungserbringern und Arbeitgebern auf Basis von Standards und Normen konsequent in elektronischer Form durchzuführen. Harald Flex - ITSG Geschäftsführer Heute, im Jahre 2007, zeigt sich, dass dieser Weg erfolgreich war. Mit Produkten und Dienstleistungen rund um den Datenaustausch hat die ITSG einen wesentlichen Beitrag dazu geleistet, diverse Verfahren durch den zielgerichteten Einsatz von IT nachhaltig zu verbessern. Dabei haben wir unsere Aktivitäten konsequent auf drei Säulen aufgebaut: Standards & Normen: Seit der Gründung der ITSG unterstützen wir den Datenaustausch mit Arbeitgebern und Leistungserbringern aktiv mit Produkten und Dienstleistungen. So arbeiten wir unter anderem an der ständigen Fortschreibung der technischen Richtlinien mit, führen die Systemuntersuchung von ca. 350 Entgeltabrechnungsprogrammen durch und versorgen mit dem Produkt dakota zur Verschlüsselung und Kommunikation mehr als Teilnehmer. Neutrale Datenzusammenführung: Wir führen zentral die pseudonymisierten Arzneimittel- und Heilmitteldaten zusammen und erstellen monatlich ca arztbezogene Auswertungen, sammeln die Qualitätsberichte der Krankenhäuser, stellen die anonymisierten Fehlermeldungen aus Sozialversicherungsmeldungen und Beitragsnachweisen zum optimierten Qualitätsmanagement im Datenaustausch bereit und bieten mehr als Arbeitgebern mit sv.net eine elektronische Ausfüllhilfe als Papierersatz. Vertrauensstellen: Wir erzeugen die neue Krankenversichertennummer als Basis für die elektronische Gesundheitskarte, pseudonymisieren Arzneimittel- und Heilmitteldaten für statistische Auswertungen und haben in unserem Trust Center mehr als Zertifikate erstellt. Die aktuelle Ausgabe von ITSG: update widmen wir der Informationstechnologie im Umfeld der Krankenkassen. Sie werfen einen Blick hinter die Kulissen unseres leistungsstarken Rechenzentrums. Außerdem finden Sie spannende Beiträge zu den Themen ELENA, XML, SOA und GKVNET- Services. Ich wünsche Ihnen viel Spaß bei der Lektüre und freue mich auf Ihre Meinungen und Kommentare. ELENA/JobCard-Verfahren: Das Ende des Papiers Qualitätsberichte Krankenhäuser: Das Internet wird zur nutzerfreundlichen Plattform Portale zum Thema aktuell hintergrund Vorstufe zur Gesundheitskarte: Vertrauensstelle Krankenversichertennummer Stets zu Diensten: Serviceorientierte-Architektur (SOA) Die Daten-Festung: Das Rechenzentrum der ITSG Für die Zukunft gut gerüstet nachgefragt: Prof. Dr. Hartmut Pohl XML: Neuer Trend im Datenaustausch nachgefragt: Wilhelm Knoop, AWV e.v. Die Service-Experten: GKVNET-Services praxis innovation Herzlichst, Ihr Harald Flex ITSG Geschäftsführer

3 aktuell 3 ELENA/JobCard-Verfahren: Das Ende des Papiers Die Bundesregierung hat am 21. August 2002 beschlossen, für alle Arbeitnehmer eine Signaturkarte ( JobCard ) einzuführen, mit deren Hilfe die Verwaltungen auf Beschäftigungszeiten, die Höhe von Entgeltzahlungen sowie Angaben zur Auflösung des Beschäftigungsverhältnisses elektronisch zugreifen können. Das Bundesministerium Zentrale Speicherung senkt Kosten für Wirtschaft und Technologie (BMWi) ist seitdem Träger des Projektes JobCard und hat die Spitzenverbände der Krankenkassen vertreten durch die ITSG mit der Durchführung des Projektes beauftragt. Seit Herbst 2002 wurde in einem Modellversuch Projekt JobCard Stufe 1 die zentrale Speicherung der Arbeitnehmerdaten beispielhaft an Arbeitsbescheinigungen unter Beteiligung der Bundesanstalt für Arbeit entwickelt und in der Praxis erprobt. In dem sich unmittelbar daran anschließenden Projekt JobCard Stufe 2 wurde das Verfahren auf die häufigsten Verdienstbescheinigungen ausgedehnt. Dem Projekt Job- Card liegt das Ziel zugrunde, die Daten sämtlicher Verdienstbescheinigungen für alle Arbeitnehmer in einer Datenstelle vorzuhalten. Im Leistungsfall kann die jeweils berechtigte Behörde auf diese Entgeltdaten unmittelbar zugreifen, so dass Bearbeitung und Bewilligung durch die Übernahme der elektronischen Daten schneller erfolgen können. Für die Unternehmen bedeutet dies eine erhebliche Entlastung, da sie von der Ausstellung der Arbeits- und Verdienstbescheinigungen in Papierform befreit werden können. Verwaltung und Wirtschaft sind mit dem Vorhaben grundsätzlich einverstanden, da sie die zentrale Speicherung von Arbeitnehmerdaten zum Abbau bürokratischer Belastungen wünschen. Sie sehen in dem Vorhaben den Einstieg in dieses Verfahren. Das etablierte elektronische Datenaustauschverfahren der Gesetzlichen Krankenversicherung (GKV) ist Träger für unterschiedliche Meldungen und Nachweise, die von den Arbeitgebern seit dem 1. Januar 2006 ausschließlich elektronisch übermittelt werden. Die GKV hat eine umfassende Vorarbeit geleistet und für die Verfahren eine funktionierende organisatorische und technische Infrastruktur aufgebaut. Diese Erfahrungen wurden in das Modellvorhaben eingebracht. Die ITSG hat im Auftrag der Spitzenverbände der Krankenkassen mit einer Expertengruppe (beteiligt unter anderem: Bundesministerium für Arbeit und Soziales, Bundesministerium des Inneren, Bundesministerium für Gesundheit, Bundesbeauftragter für den Datenschutz, Bundesamt für Sicherheit in der Informationstechnik, Bundesanstalt für Arbeit, Rentenversicherung, Arbeitsgemeinschaft für wirtschaftliche Verwaltung und die Spitzenverbände der Krankenkassen) die Anforderungen an einen Modellbetrieb und das nachfolgende Praxisverfahren erarbeitet sowie die technischen und organisatorischen Richtlinien erstellt. Im Modellbetrieb wurde der theoretische Ansatz praktisch geprüft und der Nachweis erbracht, dass die angestrebten Verfahren praxistauglich sind. Von Beginn an wurde die gesamte Infrastruktur für den Modellbetrieb der drei Ausbaustufen im Rechenzentrum der ITSG betrieben und administriert. In der aktuellen Ausbaustufe haben wir zusätzlich Aufgaben in den Bereichen Spezifikationen und Realisierung übernommen, sagt Thorsten Merz von der ITSG. Gemeinsam mit seinem Kollegen Andreas Meier arbeitet er an Prozessbeschreibungen und Schnittstellenspezifikationen. Die Projektstufe III wird im Frühjahr 2007 beendet. Die ITSG schließt damit vorerst die fachlichen Arbeiten erfolgreich ab. Der Beweis für die Das Verfahren ist praxistauglich Funktionalität wurde auch im praktischen Betrieb erbracht. Weitere Ausbaustufen sind geplant. Es liegt nun an der Gesetzgebung, den Weg zur Umsetzung in die Praxis zu ebnen. Das BMWi hat in der Konsequenz im Herbst 2006 ein Gesetzgebungsverfahren eingeleitet, das sich ausschließlich auf den Stand bezieht, der mit dem Projekt JobCard Stufe 2 erarbeitet und verifiziert wurde. Mit dem Gesetz zur Einführung des elektronischen Einkommensnachweises (ELENA) ist der Zeitplan verbunden, dass ab dem 1. Januar 2009 der Regelbetrieb mit der Aufnahme der Daten beginnt und ab 2011 sollen dann die für die relevanten Bescheinigungen erforderlichen Daten von den leistungsgewährenden Stellen abgerufen werden. Das Gesetz soll bis Sommer 2007 verabschiedet werden.

4 aktuell 4 Qualitätsberichte Krankenhäuser Deutsche Krankenhäuser stehen unter Druck: Experten schätzen, dass etwa die Hälfte der rund Kliniken auf Dauer dem Wettbewerb nicht gewachsen ist. Im Ringen um die Gunst der Patienten rückt deshalb das Thema Qualität in den Mittelpunkt. Krankenhäuser, die Art und Anzahl ihrer Leistungen sowie die Qualität derselben transparent machen, sind im Vorteil. Dem Thema Qualität hat sich auch der Gesetzgeber angenommen. Er hat deshalb alle nach 108 SGB V zugelassenen Krankenhäuser dazu verpflichtet, im Abstand von zwei Jahren einen strukturierten Qualitätsbericht zu erstellen und zu veröffentlichen. Wir gehen mit großen Schritten den Weg zur notwendigen Qualitätsverbesserung und hin zu mehr Transparenz im deutschen Gesundheitswesen - alles im Interesse der Patientinnen und Patienten, erklärte Bundesgesundheitsministerin Ulla Schmidt seinerzeit unter Inhalt und Umfang dieser neuen strukturierten Qualitätsberichte wurden von den Spitzenverbänden der gesetzlichen Krankenkassen (GKV), dem Verband der Privaten Krankenversicherung (PKV) und der Deutschen Krankenhausgesellschaft (DKG) unter Beteiligung der Bundesärztekammer sowie des Deutschen Pflegerates festgelegt. So ist ein Qualitätsbericht entstanden, der im Vorfeld einer Krankenhausbehandlung Information und Entscheidungshilfe für Patienten ist und eine Orientierungshilfe bei Komfortables Annahmeverfahren der Einweisung und Weiterbetreuung der Patienten darstellt, insbesondere für Vertragsärzte und Krankenkassen. Für die Verfasser der Qualitätsberichte, die Krankenhäuser selbst, bietet er die Möglichkeit, die angebotenen Leistungen nach Art, Anzahl und Qualität nach außen transparent und sichtbar darzustellen. Aber wie gelangen die Qualitätsberichte der über Krankenhäuser Deutschlands an die interessierte Öffentlichkeit? Auch das ist geregelt, heißt es doch: Der Qualitätsbericht ist den Landesverbänden der Krankenkassen und den Verbänden der Ersatzkassen sowie dem Verband der privaten Krankenversicherung in elektronischer Fassung zur Verfügung zu stellen, die ihrerseits die Verpflichtung haben, die Qualitätsberichte zu veröffentlichen. Die verantwortlichen Orga- nisationen haben die ITSG im Sommer 2005 mit der Annahme und Prüfung der Qualitätsberichte aller deutschen Krankenhäuser beauftragt und damit einen zentralen Ansprechpartner benannt. Mehr Transparenz für Patienten Die IT-Experten aus Rodgau haben ein Online-Registrierungsverfahren entwickelt, damit nur autorisierte Lieferanten einen Qualitätsbericht elektronisch abgeben können. Das komfortable Annahmeverfahren (die Lieferung erfolgt an das Rechenzentrum der ITSG mittels http, ftp oder ) können die Krankenhäuser erst nutzen, wenn die Sicherheitsüberprüfungen im Rahmen der Registrierung von der ITSG mit einer Zulassung zur elektronischen Abgabe der Qualitätsberichte quittiert werden. Anschließend liefern die Krankenhäuser die Qualitätsberichte als PDF-Datei und zusätzlich in einem so genannten maschinenlesbaren Format. Nach eingehender Prüfung stehen diese dann im Internet für die breite Öffentlichkeit bereit. Zum Start der Internet-Plattform und des Annahmeverfahrens haben wir sogar eine eigene Hotline für die Kliniken eingerichtet, berichtet Jens Killermann, der bei der ITSG für das Projekt verantwortlich ist. Damit die Übernahme der Berichte und deren Veröffentlichung künftig noch einfacher wird, liefern alle Kliniken im Jahr 2007 zusätzlich einen XML-Datensatz, erklärt der Experte. Für die erweiterte Auswertung der Qualitätsberichte übernehmen die Krankenkassen bzw. die Spitzenverbände diese von der ITSG und bieten komfortable Suchmaschinen an (siehe Portale). Portale zum Thema (AOK-Krankenhaus-Navigator) (Beispiele in alphabetischer Reihenfolge kein Anspruch auf Vollständigkeit)

5 hintergrund 5 Vorstufe zur Gesundheitskarte: Vertrauensstelle Krankenversichertennummer Die Einführung einer bundeseinheitlichen individuellen Krankenversichertennummer ist ein wichtiger Meilenstein auf dem Weg zur elektronischen Gesundheitskarte (egk). Im technischen Vergabeprozess spielt der Datenschutz eine bedeutende Rolle. Der Gesetzgeber hat entschieden: Jeder Bürger soll in Zukunft eine Nummer erhalten, die ihn sein Leben lang begleitet und ihm auch bei einem Wechsel der Krankenkasse erhalten bleibt. Deshalb haben die Spitzenverbände der gesetzlichen Krankenkassen die ITSG mit der Einrichtung und dem Betrieb einer Vertrauensstelle Krankenversichertennummer Datenschutz hat Vorrang kurz VST beauftragt. Diese Vertrauensstelle steht unter Rechtsaufsicht des Bundesministeriums für Gesundheit. Die Organisation und Technik der Vertrauensstelle wurde strikt nach dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgerichtet und dokumentiert. Aufgabe der VST ist es, für jeden Bürger eine neue Krankenversichertennummer zu erstellen. Seit dem Start des Regelbetriebs im November 2005 haben wir mehr als neue Krankenversichertennummern erzeugt und an die gesetzlichen Krankenkassen übermittelt, sagt Projektleiter Eduard Pop. In einem komplexen technischen Verfahren kommen kombinierte Verschlüsselungs-Algorithmen zum Einsatz. Eduard Pop: Wir arbeiten mit so genannten geclusterten Systemen und RAID-gestützten Speicherkomponenten. Sämtliche Datenbestände werden täglich gesichert. Ein Vier-Augen-Prinzip sorgt zusätzlich für Sicherheit und Diskretion, berichtet Pop. Basis der neuen Krankenversichertennummer ist die Rentenversicherungsnummer. Da nicht jeder Bürger automatisch über eine Rentenversicherungsnummer verfügt, muss diese zunächst über die Rentenversicherungsträger vergeben werden. Dabei kommt dem Datenschutz eine besondere Bedeutung zu, weiß Eduard Pop. Denn der 20. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz fordert, dass die Rentenversicherungsnummer nicht als Krankenversichertennummer verwendet werden darf. Der Grund: Die Rentenversicherungssummer stellt ein personenbezogenes Sozialdatum dar und unterliegt somit dem Sozialgeheimnis. Die Nummer könnte also den Charakter eines unzulässigen Personenkennzeichens erlangen. Die Rentenversicherungsnummer wird in eine so genannte Krankenversicherten-Hilfsnummer umgewandelt. Daraus wird dann die neue Krankenversichertennummer generiert, die den gesetzlichen Vorgaben entspricht, sagt Eduard Pop. Basis für die elektronische Gesundheitskarte Die neue Krankenversichertennummer ist die Voraussetzung dafür, dass die elektronische Gesundheitskarte eingeführt werden kann. Erst mit einer eindeutigen Krankenversichertennummer, die alle Bürger lebenslang begleitet, wird ein Ordnungskriterium geschaffen, das Speicherung und Abruf der personenbezogenen Gesundheitsdaten sicher ermöglicht. Durch die Aufnahme einer neuen Krankenversichertennummer mussten alle Krankenkassenverwaltungssysteme in vielen Modulen angepasst werden, da dieser Ordnungsbegriff die Zuordnung der Versichertendaten steuert. Dies bedeutet einen erheblichen Arbeitsaufwand für alle Beteiligten. Die gesetzlichen Krankenkassen haben diese anspruchsvolle Aufgabenstellung hervorragend gemeistert.

6 praxis 6 Stets zu Diensten Die Serviceorientierte Architektur (SOA) der ITSG richtet sich an Geschäftsprozessen aus Die Kommunikation und der Austausch von Informationen zwischen Geschäftspartnern stellen in komplexen Anwendungen eine große Herausforderung für alle Beteiligten dar. Heterogene IT-Landschaften und unterschiedliche Software-Konzepte verursachen hohe Kosten. Mit der Serviceorientierten Architektur (SOA) sorgt derzeit ein Managementkonzept für Furore, das sich in erster Linie an den Geschäftsprozessen orientiert. Systemübergreifende Geschäftsprozesse erfordern, dass alle beteiligten der Enterprise Application Integration-Ansatz (EAI). Zwar konnte die Systeme über Unternehmensgrenzen hinweg die prozessrelevanten Schnittstellenproblematik mit EAI reduziert werden; dennoch basieren Daten in geeigneter Form also kompatibel, sicher und schnell miteinander austauschen können und insbesondere bezüglich der Daten ein und Interfaces auch unter Verwendung von XML auf herstellerspezi- derartige Lösungen und die damit verfügbaren normalisierten Adapter gleiches Verständnis haben. Die Technik verfolgt somit keinen Selbstzweck mehr. Vielmehr soll mit geeigneter Technik eben diese Integration tekturen (SOA) stellen die logische Weiterentwicklung des Enterprise fischen proprietären Integrationsarchitekturen. Serviceorientierte Archi- von Anwendungssystemen umgesetzt werden. Aus klassischen Pointto-Point-Integrationsarchitekturen entwickelte sich aufgrund fehlender turen, in denen Funktionen in Form von wieder verwendbaren, technisch Application Integration-Ansatzes dar. Sie bestehen aus Systemarchitek- Standardtechnologien und Protokolle sowie mangelnder Generalisierung voneinander unabhängigen und fachlich lose gekoppelten Services und damit Wiederverwendung vorhandener implementiert werden. Systembausteine über Jahre Security Services Firewall Application Services Network Services (LAN) VPN 34Mbit WAN User Interface VST Vertrauensstelle neue KV-Nummer GKVDIC GKV DataInterChange GamSi Arzneimittel Schnellinformation HIS Heilmittelinformationssystem Wirtschaftlichkeitsprüfung nach 109 SGB V Qualitäts Berichte Krankenkäuser sv.net Qualitätsmanagement Arbeitgeberverfahren Internet Präsenzen Broker Service Broker ID S Intrusion Detection Service Module Computing Services Annahme Prüfung Import Aggregation Blade Server Blade Server Blade Server Blade Server Auswertung Statistik Storage Services Ausgabe Fibre Channel SAN Storage Intrusion Detection ID S Cluster Service Cluster Service Blade Server Blade Server Blade Server Blade Server Fibre Channel SAN Storage VPN Firewall Spamschutz Virenschutz

7 praxis 7 Nicht mehr die Technik, sondern die Funktion, also die serviceorientierte Dienstleistung, steht im Mittelpunkt. Services können unabhängig von zugrunde liegenden Implementierungen über Schnittstellen aufgerufen werden, deren Spezifikationen öffentlich und damit vertrauenswürdig sein können. Serviceinteraktion findet über eine dafür vorgesehene Kommunikationsinfrastruktur statt. SOA verbindet die Gestaltungsziele der Geschäftsprozessorientierung, der Wandlungsfähigkeit (Flexibilität), Die Geschäftsprozesse im Fokus der Wiederverwendung und der Unterstützung verteilter Softwaresysteme. Solche SOA-Architekturen setzen meistens auf bestehende Standards wie SOAP, WSDL und UDDI auf. Die ITSG ist letztlich von Hause aus ein Teil der serviceorientierten Architektur der Gesetzlichen Krankenversicherung, erklärt Harald Flex, Geschäftsführer des Systemhauses, das im vergangenen Jahr seinen zehnten Geburtstag feierte. Als Servicestelle bietet die ITSG unter anderem Leistungen in den Bereichen Datenaustausch, Datenzusammenführung oder Standards und Normen an, erläutert Harald Flex und ergänzt: Die IT-Infrastruktur der ITSG richtet sich seit Gründung an den Geschäftsprozessen aus. Nur so kann auf veränderte Anforderungen schnell und flexibel reagiert werden. Dabei stellt die Systemarchitektur fachliche Dienste und Funktionalitäten überwiegend in Form von die Integration von Content (Inhalt) gehört im Rahmen der SOA zum Portfolio. So ist es zum Beispiel im Rahmen des Projektes Qualitätsberichte Krankenhäuser für Krankenkassen möglich, Service-Anfragen an den entsprechenden Dienst der ITSG zu stellen. Die Antwort wird direkt als Bestandteil der Internetpräsenz der anfragenden Krankenkasse als integrierter Content dargestellt. Der XML-Services-Response fügt sich also nahtlos in die Webanwendung und das Corporate Design der Krankenkassen ein. Natürlich betrifft dies auch konventionelle Anwendungen, die noch nicht auf moderne Services umgestellt wurden. Daten in herkömmlichen Formaten, die dem Standard KKS (Krankenkassen-Kommunikations- System) folgen, werden nach dem PUSH- oder PULL-Prinzip zugestellt. Diese Verfahren nutzen unterschiedliche Transportservices wie FTAM, ftp, http oder auch . Allen gemeinsam ist, dass die Daten auf Basis eines langjährig etablierten Sicherheitsverfahrens in der Regel verschlüsselt und damit geschützt übertragen werden. Die Umsetzung einer Serviceorientierten Architektur im Hause ITSG hilft, Redundanzen immer weiter zu verringern. Modularität und Flexibilität nehmen zu. Harald Flex: Der standardisierte und sichere Austausch von Daten mit autorisierten Kommunikationspartnern minimiert die Aufwendungen für Schnittstellen und macht SOA damit zu einem sehr attraktiven Konzept für unser Haus und die gesetzlichen Krankenkassen. Früher war EAI SOA ist heute Services zur Verfügung. Diese Dienste können über standardisierte Schnittstellen von den unterschiedlichen Kommunikationspartnern wie Krankenkassen, Arbeitgebern und deren Dienstleistern sowie Software- Erstellern genutzt werden. Außerdem entwickeln die IT-Spezialisten Anwendungssysteme auf Basis von gekoppelten Diensten zur Unterstützung von Geschäftsprozessen. Doch damit nicht genug: Die ITSG bietet als Service Provider Services für die Annahme, Prüfung und Veröffentlichung von Daten an, die für diverse Anwendungen (zum Beispiel Grundlageninformationen, Verzeichnisse, Beitragssatzdatei, Betriebsnummerndatei, Qualitätsmanagement Entgeltabrechnungsprogramme, Qualitätsberichte Krankenhäuser) von Krankenkassen, Arbeitgebern und Leistungserbringern sowie deren Dienstleistungspartnern in Deutschland genutzt werden. Nutznießer sind alle Beteiligten, denen die Daten online und maschinell verwertbar zur Verfügung gestellt werden. Auch

8 8 praxis praxis 8 Die Daten-Festung: Im leistungsfähigen Rechenzentrum der ITSG laufen wichtige Daten aus dem deutschen Gesundheits- und Sozialwesen zusammen Wer in die Daimlerstraße 11 nach Rodgau kommt, vermutet hinter den Mauern des dreistöckigen Flachbaus wohl kaum eines der modernsten Rechenzentren im deutschen Gesundheitswesen. Höchstens die tonnenförmige Richtfunkantenne auf dem Dach deutet an, dass in den Räumen der ITSG fortschrittliche Informationstechnologie den Ton angibt. Und diese Technik ist auch notwendig. Denn in Deutschland sorgen täglich rund 80 Millionen Versicherte, fast Ärzte und Zahnärzte, mehr als Krankenhäuser, Apotheken und etwa 250 gesetzliche Krankenkassen für eine Datenflut im Gesundheitswesen, die keinen Vergleich mit anderen Branchen zu scheuen braucht. So werden nach Angaben der Kassenärztlichen Bundesvereinigung (KBV) jeden Tag allein rund zwei Millionen Rezepte ausgestellt. Im Datenaustausch zwischen Arbeitgebern und Krankenkassen werden zudem jährlich ca. 230 Mio. Sozialversicherungsmeldungen und Beitragsnachweise übermittelt. Seit zehn Jahren sorgt deshalb die ITSG im Auftrag der gesetzlichen Krankenkassen dafür, dass der Datenaustausch zwischen den beteiligten Akteuren effizienter wird und die Sicherheit zunimmt. Dazu entwickeln die IT-Experten Produkte, Dienstleistungen und Fachverfahren, unterstützen die Standardisierung und Normierung, verarbeiten Daten und führen Modellprojekte für öffentliche Auftraggeber durch. Herzstück aller Aktivitäten ist ein leistungsfähiges Rechenzentrum, das die hohen Sicherheitsstandards der einzelnen Fachverfahren innerhalb der gesetzlichen Krankenversicherung erfüllt und wertvolle Dienste für einen sicheren Datenaustausch leistet. Im Regelbetrieb sind über 100 leistungsstarke Server im Einsatz, die von der Abteilung ZIV Zentrale Informationsverwaltung eingerichtet und administriert werden. Selbstlernende Abwehrmechanismen sorgen dafür, dass Viren und Spam permanent Hausverbot haben. Verschiedene Firewall-Systeme und komplexe Anwendungen zur Einbruchserkennung gewährleisten dabei

9 praxis 9 eine optimale Zugriffssicherheit, ohne die Verfügbarkeit zu beeinflussen. durch moderne Backup-Systeme, Zugriffsschutz und Verschlüsselung Will heißen: Durch ein so genanntes Hochverfügbarkeits-Cluster werden der Übertragungswege gewährleistet. Damit die ITSG auch in Zukunft Sicherheit steht an erster Stelle Sicherheit und Geschwindigkeit aufeinander abgestimmt. Eine voll integrierte Prozess- und Systemüberwachung garantiert nicht nur eine hohe Verfügbarkeit, sondern erlaubt auch den Betrieb des Rechenzentrums durch eine kleine Gruppe von Spezialisten, erklärt Uwe Runkel, Leiter der Abteilung ZIV, und fügt hinzu: Die Systeme können im Bedarfsfall Tag und Nacht direkt Kontakt mit dem verantwortlichen Systemspezialisten aufnehmen. Er und sein Systemadministratoren-Team gehören zu einem Kreis handverlesener Experten, der Zugang zum Allerheiligsten der ITSG hat. Im Rahmen unseres abgestuften Sicherheitskonzeptes benötigen Berechtigte für den Zutritt zum Rechenzentrum personenbezogene elektronische Schlüssel, erklärt der IT-Fachmann. Wer erst einmal drin ist, kann sich aber noch lange nicht an den Servern zu schaffen machen. Für den Zugriff auf die Server-Racks sind Smartcards erforderlich, sagt Uwe Runkel. Und die funktionieren nur in Verbindung mit einer persönlichen Identifikationsnummer. Und auch gegen Unbill von außerhalb hat man sich gewappnet: Lichtschranken, Bewegungsmelder und Schocksensoren tun rund um die Uhr ihren Dienst. Sie schlagen sogar Alarm, wenn sich Eindringlinge gewaltsam durch die Wände des Rechenzentrums Zutritt verschaffen wollen. Sicherheit steht also an erster Stelle, wenn es um den wirksamen Schutz der Rechnersysteme und Netze vor unberechtigten Zugriffen und unerwünschten Angriffen geht und das auf allen Ebenen. Für die Zukunft gut gerüstet Akzente in der zunehmenden Optimierung und Digitalisierung des Gesundheitswesens setzen kann, entwickeln die IT-Spezialisten ihre Systeme permanent weiter. Die gesetzlichen Krankenkassen stellen sich den Forderungen nach steigender Effizienz auch im IT-Sektor. So setzen wir bereits heute skalierbare Komponenten ein und bauen die integrierte Prozess- und Systemüberwachung konsequent aus, erklärt Abteilungsleiter Uwe Runkel. Allein der technische Schutz ist nicht ausreichend. Die Anwendung bzw. das Verfahren bestimmt letztendlich die Anforderungen an den Datenschutz und damit die Datenverarbeitung und Datenübermittlung. Daher werden für jede Anwendung zuerst in einem Sicherheitskonzept die Datenprofile, die Datenhaltung, die Kommunikationsverfahren, die Beteiligten und die Berechtigungen festgelegt. Die Anforderungen und Prozesse werden in Verfahrensbeschreibungen dokumentiert und mit den zuständigen Gremien der Krankenkassen abgestimmt. So wird sichergestellt, dass die ITSG die Aufgaben zur neutralen Datenzusammenführung und die Funktion einer Vertrauensstelle für alle Teilnehmer transparent, aber nach menschlichem Ermessen absolut sicher durchführen kann. Beispielhaft hierfür stehen die Projekte GKV Arzneimittel Schnellinformation (GAmSi), Heilmittel Informations Denn wirksam geschützt werden nicht nur Rechner und Hardware. System (HIS), sv.net und Qualitätsmanagement Arbeitgeberverfahren Auch die spezifischen und komplexen Anwendungen und Datenbanken (AGV). In den letzten Jahren wurden große Datenmengen störungsfrei allesamt von der ITSG im Auftrag ihrer Gesellschafter entwickelt sind über die ITSG ausgetauscht und nach klaren Regeln ausschnittsweise den bestens behütet. Uwe Runkel: Datensicherheit wird unter anderem berechtigten Partnern zur Verfügung gestellt. nachgefragt: Prof. Dr. Hartmut Pohl, Leiter Schwerpunkt Informationssicherheit / FH Bonn-Rhein-Sieg Die Fachhochschule Bonn-Rhein-Sieg wurde 1995 gegründet. Inzwischen lehren und forschen über 120 Professorinnen und Professoren in 15 Studiengängen aus den Bereichen Betriebswirtschaft, Informatik, Ingenieurwissenschaften, Angewandte Naturwissenschaften und Sozialversicherung. Der Hauptsitz und die Verwaltung der Fachhochschule, an der zurzeit ca Studierende eingeschrieben sind, befinden sich in Sankt Augustin. Fachhochschule Bonn-Rhein-Sieg Warum haben Studierende der Informationssicherheit Hackangriffe gegen die Server der zentralen Funktionseinheiten des Modellprojektes ELENA geführt? Die ITSG hat uns wegen der im späteren Praxisverfahren ELENA gespeicherten wertvollen Daten mit diesem Projekt beauftragt. Ein solcher Penetration Test (systematisches Hacking) ist zusätzlich zu vorbeugenden Sicherheitsmaßnahmen (Sicherheitsstrategie, Installation von Sicherheitsmechanismen etc.) nützlich, weil kein System zu 100 Prozent sicher sein kann. Unsere Studierenden haben ELENA mit den im Internet öffentlich verfügbaren und verdeckt erhältlichen Tools geprüft und auch eigene Prüfungen vorgenommen. Wie erfolgreich waren Ihre Hacker? Wegen des - für uns schon im Vorfeld erkennbar - hohen Sicherheitsniveaus von ELENA war es das ambitionierte Ziel der Studierenden, möglichst viele Angriffsszenarien durchzuspielen. Wenngleich bei der Datenstelle daher selbst kein Eindringen möglich war, so konnten die Studenten doch bei den meldenden und abrufenden Stellen sicherheitsrelevante Anregungen zur weiteren Verbesserung der Sicherheitskonzepte liefern.

10 innovation 10 XML: Neuer Trend im Datenaustausch Die ITSG unterhält als Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung eine Vielzahl von Kommunikationsbeziehungen. So fungiert sie in vielen Verfahren als Datenannahme- und Verteilstelle. Dabei nehmen XML-basierte Standards eine wichtige Rolle ein. Die Bedeutung von XML wächst beständig. Gerade im Zusammenhang mit dem Ansatz einer Serviceorientierten Architektur (SOA) der ITSG nimmt XML als textbasierte Meta-Auszeichnungssprache eine bedeutende Rolle ein. Damit lassen sich Daten und Dokumente bezüglich Inhalt und Darstellungsform derart beschreiben und strukturieren, dass sie vor allem auch über das Internet zwischen unterschiedlichen Anwendungen und Kommunikationspartnern in verschiedenen Hardund Softwareumgebungen automatisiert, ausgetauscht und weiterverarbeitet werden können. Alle angebotenen Services der ITSG sind bereits ausgerichtet auf die Nutzung von XML-basierten Standards wie beispielsweise von SOAP, UDDI, WSDL und XML Encryption sowie XML Signature. Schon heute wird XML in vielfältigen Einsatzgebieten intensiv genutzt: Beispielsweise nimmt die ITSG-Annahmestelle im Auftrag der Spitzenverbände der gesetzlichen Krankenkassen Qualitätsberichte aller nach 108 SGB V zugelassenen Krankenhäuser im XML-Format an. Diese werden auf deren Richtigkeit überprüft, anschließend automatisiert in einer Datenbank abgespeichert und den Krankenkassen in einem beliebigen Format zur weiteren Verwendung zur Verfügung gestellt. XML-basierte Suchanfragen von autorisierten Nutzern können an einen Service der ITSG gerichtet werden, der anhand dieser Werte alle abgegebenen Qualitätsberichte und Stammdaten der Krankenhäuser durchsucht und eine verschlüsselte und signierte XML-basierte Antwort zurücksendet. Auch im vom Bundesministerium für Wirtschaft und Technologie beauftragten Projekt ELENA (vormals JobCard) werden XML-basierte Datenaustauschverfahren mit verschlüsselten und signierten Inhalten eingesetzt. Die Entwicklungsarbeiten wurden bereits vor vier Jahren begonnen Generieren Datenerzeuger Senden Empfangen Datenannahme Aggregieren Weiterleiten/Senden Empfangen Verarbeitungsstelle Validieren/Prüfen Verarbeiten in einer Zeit, in der XML noch nicht in allen Medien als die Zukunft des Datenaustausches gewürdigt wurde. Die ITSG arbeitet im Auftrag der gesetzlichen Krankenkassen aktiv im Arbeitskreis 2.1 der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.v. (AWV) mit. Ziel dieses nachgefragt: Wilhelm Knoop, verantwortlich für die betriebliche Altersvorsorge im Lufthansa-Konzern Arbeitskreises ist die Verabschiedung eines Standards auf XML-Basis zur Vereinheitlichung von Datenübermittlungssystemen. Gegenwärtig erarbeitet die ITSG mit der Technischen Arbeitsgruppe der Spitzenverbände der Krankenkassen ein Grundsatzpapier für die Anwendungen von XML und dem XML-basierenden Datenaustausch. Danach sollen in einer Fallstudie von der Praxis aufgeworfene XML-Themen, wie beispielsweise die Geschwindigkeit und der Datendurchsatz beim Parsing (Analyse von XML-Dokumenten) und individuellen Prüfen von XML-Dokumenten in Abhängigkeit von unterschiedlich gewählten Systemkonfigurationen und Routinen, erarbeitet werden. Ziel dieser Untersuchungen ist es, fundierte Aussagen über den praxisbezogenen Einsatz von XML im Umfeld der gesetzlichen Krankenkassen machen zu können. Auf dieser Basis werden technische Richtlinien für den XML-Einsatz in der GKV erarbeitet, die unter anderem allgemein gültige Namenskonventionen und Prüfregeln enthalten. Er ist Vorstandsmitglied der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV) e.v. und leitet dort den Fachausschuss 2 (Verwaltungsvereinfachung und Entbürokratisierung im personalwirtschaftlichen Umfeld) Warum ist das Thema XML derzeit in aller Munde? Mit XML steht eine äußerst flexible Strukturierung zur Darstellung und Verarbeitung standardisierter und halbstandardisierter Daten zur Verfügung. Damit lassen sich für verschiedene Plattformen und Anwendungen einheitliche Datensätze erstellen und austauschen. Speziell Datenaustauschverfahren zwischen Arbeitgebern und der Verwaltung können mit XML-basierenden Datenstrukturen effektiv unterstützt werden. Wo liegen die Grenzen von XML? XML ist ein technisches Hilfsmittel, das die Abstimmungen zwischen den Beteiligten des Datenaustauschs nicht ersetzen kann. Die Entwicklung von schlanken Austauschverfahren für eine optimale Prozessgestaltung setzt weiterhin die intensive inhaltliche Beschäftigung mit den Anforderungen von Sender und Empfänger voraus.

11 innovation 11 Die Service-Experten: GKVNET-Services Im Auftrag der Spitzenverbände der gesetzlichen Krankenversicherung übernimmt die ITSG seit zehn Jahren die zentrale Erstellung und Verteilung von Informationen rund um den Datenaustausch zwischen Arbeitgebern und den Krankenkassen. Zielgruppen der verschiedenen Serviceangebote sind vor allen Dingen die rund drei Millionen Brötchengeber in Deutschland, deren Dienstleister (zum Beispiel Steuerberater) sowie die Leistungserbringer (Kliniken, Ärzte, Apotheken etc.). In den letzten Jahren sind die Anforderungen der Krankenkassen, Arbeitgeber, Leistungserbringer sowie deren Dienstleistungspartner und Software-Ersteller stetig gewachsen, variable Grunddaten und Steuerungsinformationen direkt in die Programmsysteme zu übernehmen. Manueller Pflegeaufwand ist teuer und soll nach Möglichkeit weitgehend vermieden werden. Die ITSG hat dieser Anforderung Rechnung getragen und die GKVNET-Services entwickelt. Auf der Internet-Seite der ITSG können die berechtigten Teilnehmer die Nutzung der Services beantragen. Es werden diverse Informationen und Basisdateien, die in regelmäßigen oder unregelmäßigen Abständen einen Update erfahren, zur Verfügung gestellt. Nach einer ausgefeilten Berechtigungsprüfung kann der Teilnehmer entscheiden, ob die Daten mittels nach jeder Aktualisierung zugestellt oder der aktive Zugriff mittels File-Transfer bzw. Download genutzt werden sollen. Unsere Service-Angebote erfreuen sich großer Beliebtheit, sagen Monika Hein und Arnold Kümmelschuh, die für die GKVNET-Services zuständig sind. Das belegen die ständig steigenden Nutzerzahlen. Eine tragende Säule der GKVNET- Services sind auch zwei Datenbanken, deren Inhalte als Service -Datei eine erhebliche Arbeitserleichterung für Arbeitgeber darstellen: In der Beitragssatzdatei werden die aktuellen Beitragssätze aller gesetzlichen Krankenkassen gepflegt. Neben den allgemeinen, den ermäßigten und den erhöhten Beitragssätzen können auch die Sätze für Versorgungsempfänger und die Umlagesätze für Krankheit (U1) und Mutterschutz (U2) kostenlos abgerufen werden. Da die Entgeltabrechnung durch die Arbeitgeber elektronisch erfolgt, müssen auch alle Grunddaten zur Berechnung der Beitragsanteile zum jeweils aktuellen Stand elektronisch zur Verfügung stehen, sagt Udo Banger, Leiter Qualitätssicherung Entgeltabrechnungsprogramme, der bei der ITSG auch für die Beitragssatzdatei verantwortlich ist. Die Software der Arbeitgeber greift jeweils auf die entsprechenden Daten zu, um die korrekte Gehaltsabrechnung zu erstellen. Gepflegt werden die Beitragssätze in der Regel von den Krankenkassen selbst, erklärt Banger das Vorgehen. Voraussetzung ist allerdings, dass das Entgeltabrechnungsprogramm durch die ITSG-Experten geprüft wurde (Status systemgeprüft ) und der Arbeitgeber am automatisierten Meldeverfahren teilnimmt. Arbeitgeber, die Meldungen zur Sozialversicherung und Beitragsnachweise elektronisch übermitteln, müssen auch die Betriebsnummer der jeweiligen Krankenkasse und die -Adresse der Datenannahmestelle kennen. Die Betriebsnummern-Datei enthält genau diese wichtigen Informationen für den elektronischen Datenaustausch zwischen Arbeitgebern und Krankenkassen. Udo Banger: Die Ersteller von Entgeltabrechnungs-Programmen haben geeignete Import-Schnittstellen entwickelt, um die Beitragssatzdatei und die Betriebsnummerndatei direkt in die Anwendungsprogramme zu übernehmen. Beim Arbeitgeber werden die Daten dann maschinell eingelesen. Beitragssätze frei Haus

12 Impressum Herausgeber: ITSG Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung GmbH Daimlerstraße Rodgau Telefon / Telefax / V.i.S.d.P.: Harald Flex Geschäftsführer Konzept & Redaktion: Uwe Berndt, Mainblick Marketing Frankfurt am Main Konzept, Gestaltung, Bildredaktion & Lektorat: K2 Werbeagentur GmbH Frankfurt am Main Copyright: 2007 ITSG Alle Rechte vorbehalten. Insbesondere das Recht auf Verbreitung, Nachdruck von Text und Bild, Übersetzung in Fremdsprachen sowie Vervielfältigung jeder Art durch Fotokopien, Mikrofilm, Funk- und Fernsehsendung für alle veröffentlichten Beiträge einschließlich aller Abbildungen. Änderungen und Irrtümer vorbehalten.