IT-Sic her heit im Kr ankenhaus

Größe: px
Ab Seite anzeigen:

Download "IT-Sic her heit im Kr ankenhaus"

Transkript

1 ??? IT-Sic her heit im Kr ankenhaus Standards und Normen zur Umsetzung datenschutzrechtlicher Anforderungen Dr. Bernd Schütze 38. Datenschutzf achtagung (DAFTA), No v e mbe r 2011, Mat er nushaus in Köl n

2 Agenda Gesetzliche Grundlagen Umsetzung der Anforderungen der IT-Sicherheit: Umgang mit Medizinprodukten Umsetzung einer Patientenakte Berechtigungskonzept Pseudonymisierung Digitale Signatur Verschlüsselung Transportverschlüsselung Protokollierung Löschen durch den Einsatz national und international anerkannter Standards.

3 IT-Sic her heit : geset zl ic he Gr undl agen Gesetz zur Kontrolle und Transparenz (KonTraG) Forderung Risikofrüherkennungssysteme, Risikomanagement- und steuerungssysteme zu installieren sowie pot. Risikofelder zu beobachten und daraus result. Risiken gegenzusteuern IT-Risiken sind aufgrund ihrer Auswirkungen auf die Vermögens-, Ertrags- und Finanzlage wesentliche Bestandteile Gilt eigentlich für Ags, aber können auch betroofen sein EU-Eigenkapitalrichtlinie (Capital Requirements Directive, CRD, «Basel II) Ziel: Stabilität im Kreditwesen Absicherung von Krediten hängt Bonität und den Zukunftsaussichten der Kreditnehmer ab Konzept für ein IT-Risikomanagement und IT-Securitymanagement ergibt einen positiven Einfluss auf das Rating des Unternehmens

4 IT-Sic her heit : geset zl ic he Gr undl agen Richtlinie des Europäischen Parlaments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (EuroSOX) EuroSOX bestimmt Kriterien, nach welchen Unternehmen eine Institutionalisierung des Risikomanagements (mindestens) vornehmen müssen Rückwirkung auf Ergebnisse von Wirtschaftsprüfern Mindestanforderungen für das Risikomanagement (MaRisk) Zusammenfassung von Mindestanforderungen an das Kreditgeschäft (MaK) Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) Forderung für Notfälle in allen kritischen Aktivitäten und Prozessen Vorsorge zu treffen

5 IT-Sic her heit : geset zl ic he Gr undl agen Richtlinie des Europäischen Parlaments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (EuroSOX) EuroSOX bestimmt Kriterien, nach welchen Unternehmen eine Institutionalisierung des Risikomanagements Alle Anforderungen (mindestens) betreffen vornehmen aus Sicht müssen eines Krankenhauses - letztlich Rückwirkung Kreditgeschäfte auf Ergebnisse von Wirtschaftsprüfern Mindestanforderungen D.h. wenn ich Kredite/ für das Risikomanagement Geld von der öffentlichen (MaRisk) Hand bekomme, interessieren mich diese Vorgaben kaum Zusammenfassung von Mindestanforderungen Nur wenn ich Geld von an einer das Kreditgeschäft Bank leihen muss, (MaK) spüre ich die Auswirkungen, wenn ich mich nicht um die IT-Sicherheit kümmerte Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) Forderung für Notfälle in allen kritischen Aktivitäten und Prozessen Vorsorge zu treffen

6 IT-Sic her heit : geset zl ic he Gr undl agen BDSG, Anlage zu 9 bzw. SGB X, Anlage zu 78a Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Referentenentwurf vom 18. August 2014 (Erster Entwurf vom 05. März 2013)

7 IT-Sic her heit : geset zl ic he Gr undl agen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit nach dem Stand der Technik Benennung von Warn- und Alarmierungskontakten für das BSI (jederzeit erreichbar: 24 Stunden, 7 Tage) Mindestens alle 2 Jahre sind dem BSI eine Aufstellung der durchgeführten Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel zu übermitteln Meldepflicht bzgl. Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können Meldepflicht bzgl. erheblicher Sicherheitsmängel

8 IT-Sic her heit : geset zl ic he Gr undl agen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit nach dem Stand der Technik Benennung von Warn- und Alarmierungskontakten für das BSI (jederzeit erreichbar: 24 Stunden, 7 Tage) Ministerium des Inneren will nicht länger auf Brüssel warten Mindestens alle 2 Jahre sind dem BSI eine Aufstellung der durchgeführten Sicherheitsaudits IT-Sicherheitsgesetz einschließlich soll in der dieser aufgedeckten Legislaturperiode Sicherheitsmängel verabschiedet zu übermitteln werden (Motto: Je schneller, desto besser) Meldepflicht bzgl. Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können Meldepflicht bzgl. erheblicher Sicherheitsmängel

9 Umgang mit Medizinpr odukt en Medizinprodukte sind aus datenschutzrechtlicher oder IT-sicherheitstechnische Sicht Produkte wie alle anderen auch Ausnahme: Änderungen müssen vom Hersteller bzw. In-Verkehr-Bringer autorisiert werden (ansonsten verliert das Produkt den MP-Status) Daher: Vorsicht mit Installation von Virenscannern, Firewalls, usw. ohne Rücksprache Aber: verbietet Hersteller/In-Verkehr-Bringer eine dem Stand der Technik entsprechende Schutz- Maßnahme, haftet er ggfs. für daraus resultierende Schäden Zu beachtende Normen ISO Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen,Teil 1: Anforderungen und Risikoanalyse ISO Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen, Teil 2: Implementierung eines ISMS DIN EN ISO Anwendung des Risikomanagements auf Medizinprodukte DIN CEN Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten ISO Anleitung zur Auswahl von Normen, die anerkannte grundsätzliche Prinzipien zur Sicherheit und Leistung von Medizinprodukten unterstützen DIN EN Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten, Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten DIN IEC Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten, Teil 2-5: Anleitung für verteilte Alarmsysteme

10 IT-Sic her heit : geset zl ic he Gr undl agen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit nach dem Stand der Technik Benennung von Warn- und Alarmierungskontakten für das BSI (jederzeit erreichbar: 24 Stunden, 7 Tage) Ministerium des Inneren will nicht länger auf Brüssel warten Mindestens alle 2 Jahre sind dem BSI eine Aufstellung der durchgeführten Sicherheitsaudits IT-Sicherheitsgesetz einschließlich soll in der dieser aufgedeckten Legislaturperiode Sicherheitsmängel verabschiedet zu übermitteln werden (Motto: Je schneller, desto besser) Meldepflicht bzgl. Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können Meldepflicht bzgl. erheblicher Sicherheitsmängel

11 Umset zung einer Pat ient enakt e Standards im Gesundheitswesen DICOM HL7 IHE Cross-Enterprise Document Sharing (XDS) Patient Identifier Cross-referencing (PIX) Patient Identifier Cross-referencing HL7 V3 (PIXV3) Patient Demographics Query (PDQ) Patient Demographics Query HL7 V3 (PDQV3) Normung / DIN ISO Medizinische Informatik. Anforderungen an die Architektur einer elektronischen Gesundheitsakte DIN CEN ISO Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA- Systemen ISO Archivierung elektronischer Gesundheitsakten, Teil 1: Prinzipien und Anforderungen ISO Archivierung elektronischer Gesundheitsakten, - Teil 2: Leitlinien DIN EN ISO Funktionales Modell für ein elektronisches Gesundheitsaktensystem (EHRS FM) ISO/TR Elektronische Gesundheitsakte - Definition, Anwendungsbereich und Kontext

12 El ekt r onisc he Akt en: das IHE-Cookbook Zielsetzung: Aktenbasierte einrichtungsübergreifende Bild- und Befund-Kommunikation Erarbeitung von Umsetzungsempfehlungen Einrichtungsübergreifende elektronische Patientenakte (eepa) Persönliche einrichtungsübergreifende elektronische Patientenakte (PEPA) Fallbezogene einrichtungsübergreifende elektronische Patientenakte (efa) Berücksichtigung der deutschen Sicherheitsanforderungen und Vokabularien, insbesondere datenschutzrechtliche Anforderungen Öffentlich verfügbar (http://wiki.hl7.de/index.php/ihe_de_cookbook) Einsatz Eindeutige einrichtungsübergreifende Patientenzuordnung Eindeutige Benutzeridentifikation bzw. -authentifizierung Protokollierung, wem wann welches Recht zugewiesen wurde Protokollierung, wer wann auf was zugegriffen hat Feinstgranulare (falls notwendig Dokumentenbezogen) Rechtezuweisung möglich

13 El ekt r onisc he Akt en: das IHE-Cookbook Praktischer Einsatz efa Verein elektronische Fallakte e.v. HELIOS Ärzteportal Ziel: bessere Kommunikation zwischen Kliniken und Praxen Mittlerweile verfügen über 90% der Helios-Kliniken über die Ärzteportallösung Städtisches Klinikum München: EFA Bayern Regionale Kommunikationsplattform für Ärzte zur Behandlung von Darmkrebs-Patienten Projekt INFOPAT (http://www.infopat.eu/) Vom Patienten gesteuerte Persönliche elektronische Patientenakte Anwendungsfälle: Diabetes und Kolorektales Karzinom Mehrere Anwendungs- und Entwicklungsprojekte mit verschiedensten Forschungsvorhaben von 26 Partnern aus Wissenschaft, Forschung, Industrie, Sozialwesen und dem öffentlichen Sektor

14 Ber ec ht igungskonzept Standards im Gesundheitswesen DICOM Keine Empfehlung HL7 Implementation Guide for CDA Release 2.0: Privacy Consent Directive Healthcare Privacy and Security Classification System IHE Enterprise User Authentication (EUA) Basic Patient Privacy Consents (BPPC) Normung / DIN DIN EN ISO Privilegienmanagement und Zugriffssteuerung, Teil 1: Übersicht und Policy- Management DIN EN ISO Privilegienmanagement und Zugriffssteuerung, Teil 2: Formale Modelle DIN EN ISO Privilegienmanagement und Zugriffssteuerung, - Teil 3: Implementierungen ISO/IEC Sicherheitsverfahren - Rahmenwerk für Identitätsmanagement, Teil 1: Terminologie und Konzept ISO/TS Funktionelle und strukturelle Rollen ISO/IEC Security techniques - Privacy framework ISO/IEC Security techniques - Privacy architecture framework ISO/IEC Security techniques - A framework for access management

15 Ber ec ht igungskonzept : Nut zung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 Zieldefinition Definitionen, z.b. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.b.

16 Ber ec ht igungskonzept : Nut zung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.b. Person, die etwas ver- oder vorschreibt Unterzeicner Darstellung von strukturellen Rollen, z.b. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

17 Ber ec ht igungskonzept : Nut zung der DIN Privilegienmanagement und Zugriffssteuerung a. Teil 1 b. Teil 2 c. Teil 3 Umgang mit Zugriffssteuerungsinstrumenten (ACI) Initiator-ACI, Benutzer-ACI Ziel-ACI Aktions-ACI Kontextuelle-ACI Infrastrukturdienste X.509-basierte Zertifikatsspezifikationen XACML-basierte Rollenzuweisung

18 Pseudonymisier ung Standards im Gesundheitswesen DICOM Supplement 55: Attribute Level Confidentiality (including De-identification) (2001)

19 Pseudonymisier ung Standards im Gesundheitswesen DICOM Supplement 55: Attribute Level Confidentiality (including De-identification) (2001) Supplement142 Clinical Trial De-identification Profiles (2009)

20 Pseudonymisier ung Standards im Gesundheitswesen DICOM Supplement 55: Attribute Level Confidentiality (including De-identification) (2001) Supplement 142 Clinical Trial De-identification Profiles (2009) HL7 Keine Empfehlungen IHE Keine Empfehlungen Normung / DIN ISO/TS Pseudonymisierung DIN CEN ISO/TS Klassifikation des Zwecks zur Verarbeitung von persönlichen Gesundheitsinformationen DIN CEN ISO/TS Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA-Systemen

21 Digit al e SiGna t ur Standards im Gesundheitswesen DICOM Supplement 41 Security Enhancements 2 - Digital Signatures (2000) a. Base RSA Digital Signature Profile b. Creator RSA Digital Signature Profile c. Authorization RSA Digital Signature Profile d. Structured Report RSA Digital Signature Profile Supplement 86 Digital Signatures for Structured Reports (2004) HL7 v2 Embed Detached Signature in ED OBX segment Conceptually like XML digital signature V3 /CDA: eingebettete XML-Signatur

22 Digit al e Signat ur Standards im Gesundheitswesen DICOM Supplement 41 Security Enhancements 2 - Digital Signatures (2000) Supplement 86 Digital Signatures for Structured Reports (2004) HL7 V2: XML-Signatur V3 /CDA: eingebettete XML-Signatur IHE Keine Empfehlungen Normung / DIN ISO Public-Key-Infrastruktur, Teil 1: Überblick über digitale Zertifizierungsdienste ISO Public-Key-Infrastruktur, Teil 2: Zertifikatsprofile ISO Public-Key-Infrastruktur, Teil 3: Policymanagement von Zertifizierungsinstanzen ISO Public-Key-Infrastruktur, Teil 4: Digitale Signatur für Dokumente des Gesundheitswesens DIN 6789 Verfälschungssicherheit und Qualitätskriterien für die Freigabe digitaler Produktdaten DIN EN Schutzprofile für Sichere Signaturerstellungseinheiten DIN Kriterien für vertrauenswürdige digitale Langzeitarchive DN Leitfaden zur Informationsübernahme in digitale Langzeitarchive UNE-ENV Algorithm for digital signature services in Health Care

23 Digit al e Signat ur : DICOM Suppl ement 86 DICOM-Signer: Projekt der Fachhochschule Dortmund (2004) Motivation: digitale Signatur wird von PACS-Herstellern nicht unterstützt Machbarkeitsstudie: Black-Box, die DICOM-Bilder entgegennimmt und digital signiert

24 Digit al e Signat ur : DICOM Suppl ement 86 Nutzung der Vorgaben des DICOM-Standards (elektr. Signatur wird im Bild gespeichert) Literatur: Schütze B, Kroll M, Filler TJ. Ein Lösungsweg, um medizinische Bilder mit digitalen Signaturen nach dem DICOM- Standard zu versehen: Embedded Systems. Fortschr Röntgenstr 177(1): , 2005 Schütze B, Kroll M, Geisbe T, Filler TJ. Patient Data Security in the DICOM Standard. Eur J Radiol 51: , 2004

25 Ver schl üssel ung Standards im Gesundheitswesen DICOM Supplement 51: Media Security (2000) a. Basic DICOM Media Security Profile b. Encapsulation of A DICOM File in a Secure DICOM File I. confidentiality, II. III. IV. Integrity data origin authentication Password as defined in RFC 2898 (PBKDF2)

26 Ver schl üssel ung Standards im Gesundheitswesen DICOM Supplement 51: Media Security (2000) Supplement 55: Attribute Level Confidentiality (2001) HL7 Keine Empfehlung IHE Keine Empfehlungen

27 Ver schl üssel ung Standards im Gesundheitswesen DICOM Supplement 51: Media Security (2000) Supplement 55: Attribute Level Confidentiality (2001) HL7 Keine Empfehlung IHE Keine Empfehlungen Normung / DIN ISO/IEC Verschlüsselungsalgorithmen, Teil 1: Allgemeines Modell ISO/IEC Verschlüsselungsalgorithmen, Teil 2: Asymmetrische Chiffren ISO/IEC Verschlüsselungsalgorithmen, Teil 3: Blockziffern ISO/IEC Verschlüsselungsalgorithmen, Teil 4: Stromchiffren ISO/IEC Authentifizierte Verschlüsselung

28 Tr anspor tver schl üssel ung Standards im Gesundheitswesen DICOM Supplement 31 Security Enhancements (1999) a. Description of the protocol framework and negotiation mechanisms b. Description of the entity authentication an implementation shall support 1. The identity of the entities being authenticated 2. The mechanism by which entities are authenticated 3. Any special considerations for audit log support c. Description of the encryption mechanism an implementation shall support 1. The method of distributing session keys 2. The encryption protocol and relevant parameters d. Description of the integrity check mechanism an implementation shall support

29 Tr anspor tver schl üssel ung Standards im Gesundheitswesen DICOM Supplement 31 Security Enhancements (1999) HL7 Keine spezielle Empfehlung; Verschlüsselung wie jede andere Nachricht, die TCP nutzt IHE Keine Empfehlungen Normung / DIN ISO/TS Kommunikation von Patientendaten in elektronischer Form Teil 4: Sicherheit ISO/TR Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen, Teil 1: Anforderungen und Risikoanalyse ISO/TR Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen, Teil 2: Implementierung eines ISMS ISO/TR Dynamisch abrufbares virtuelles privates Netzwerk für die Informationsinfrastruktur im Gesundheitswesen DIN EN Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements

30 Tr anspor tver schl üssel ung: DICOM E-Ma il Imitative der AG Informationstechnologie der Deutschen röntgengesellschaft Grundidee: Spontaner Austausch von medizinischen Bilddaten, d.h. kein VPN vorhanden Anforderungen: Transportmedium überall vorhanden Keine Änderung von Firewall-Regeln nötig Möglichst geringer Aufwand bei Sender und Empfänger Verschlüsselung möglichst transparent für Anwender Lösung Verschlüsselung mit PGP

31 Tr anspor tver schl üssel ung: DICOM E-Ma il

32 Tr anspor tver schl üssel ung: DICOM E-Ma il Mitglieder mit Telemedizin-Client

33 Pr otokol l ier ung Standards im Gesundheitswesen DICOM Supplement 95 Audit Trail Messages (2009)

34 Pr otokol l ier ung Standards im Gesundheitswesen DICOM Supplement 95 Audit Trail Messages (2009) HL7 HL7 PASS: definiert einen Protokollierungsdienst mit einem Abfrage-Interface für Reporting HL7 FHIR: definiert einen Dienst für die Protokollierung sicherheitsrelevanter Vorfälle; eine Anfragemöglichkeit der Protokolleinträge ist gleichfalls vorgesehen IHE Audit Trail and Node Authentication (ATNA) Normung / DIN DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Vorschläge für audit trigger events und audit data ISO/IEC IT-Sicherheitsverfahren - Sicherheitsobjekte für Zugriffskontrolle

35 Pr otokol l ier ung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Seit Juni 2013 Status Deutsche Norm (vormals mehrere Jahre Vor-Norm ) Definiert Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

36 Pr otokol l ier ung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen Anforderung, aus der Beziehung zur Gesundheitsversorgung resultierender berufsethischer Verantwortung nachzukommen Erstellung einer Zugriffsleitlinie Eindeutige Identifikation der Benutzer von Informationssystemen Benutzerrollen müssen klar definiert und dem Benutzer eindeutig zugewiesen werden Sichere Auditeinträge entsprechend ISO 27799:2008 Verwendung von Auditdaten Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Ethischer oder rechtlicher Aktionsnachweis von Gesundheitsdienstleistern Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

37 Pr otokol l ier ung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zu den Ereignistypen und deren Inhalten Zugriffereignisse auf persönliche Gesundheitsinformationen Abfrageereignisse zu den persönlichen Gesundheitsinformationen Einzelheiten zum Auditeintrag Entspricht Vorgaben von RFC 3881 und DICOM Folgt den Empfehlungen von IHE, genauer ATNA Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

38 Pr otokol l ier ung: DIN EN ISO Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten

39 Pr otokol l ier ung: DIN EN ISO Vorteile: Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse gemeinsam ausgewertet werden Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Wasfehlt: Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten 1) Ein einheitliches Format 2) Damit können Logdateien mehrerer Informations-Systeme 1) Forderung nach Auswertemechanismen Einlesen mehrerer Protokolldateien Filtermechanismen

40 Lösc hen Standards im Gesundheitswesen DICOM Korrektur sowie löschen von Daten an den verschiedensten Stellen im Standard zu finden, z. B. DICOM Study Deleted oder Delete references to retired services oder auch bei den Methoden wie beispielsweise M-DELETE für löschen im File-System HL7 IHE Delete Document Set Physikalische Löschung (derzeit) nicht vorgesehen Normung / DIN DIN EN Sichere Vernichtung von vertraulichen Unterlagen Verfahrensregeln DIN Vernichten von Datenträgern, Teil 1: Grundlagen und Begriffe DIN Vernichten von Datenträgern, Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern DIN Vernichten von Datenträgern, Teil 3: Prozess der Datenträgervernichtung

41 Lösc hen: der zeit nut zbar in?

42 Berechtigungskonzept Haben Sie eins? ;-) Pseudonymisierung So viel e Lösungen und Nor men was haben Sie im Einsat z? DICOM: praktisch in keinem Produkt umgesetzt HL7: keine Empfehlungen Normen: überwiegend ignoriert Digitale Signatur DICOM: praktisch in keinem Produkt umgesetzt HL7: keine Empfehlungen Normen: überwiegend ignoriert Verschlüsselung DICOM: praktisch in keinem Produkt umgesetzt HL7: keine Empfehlungen Normen: überwiegend ignoriert

43 Transportverschlüsselung So viel e Lösungen und Nor men was haben Sie im Einsat z? DICOM: praktisch in keinem Produkt umgesetzt (abgesehen von DICOM- ) HL7: keine Empfehlungen Normen: in Netzwerken zur externen Kommunikation überwiegend etabliert, innerhalb eines Klinikums erfolgt Kommunikation i.d.r. unverschlüsselt Protokollierung DICOM: in PACS-Umfeld täglich im Einsatz HL7: keine Empfehlungen IHE: im Rahmen von IHE XDS Systemen im Einsatz Normen: überwiegend ignoriert Löschen In Healthcare IT-Systemen oftmals nicht vorgesehen Systemübergreifendes Löschen geht überhaupt nicht

44 Umsetzung einer Patientenakte DICOM HL7 So viel e Lösungen und Nor men was haben Sie im Einsat z? IHE: weltweit etabliert, mittlerweile auch in Deutschland auf dem Vormarsch Normen

45 cir cul us vit iosus oder l ösbar e Herausforderung? Hersteller realisiert es entsprechend Kundennachfragen Kunde fragt nach, wenn Hersteller es im Angebot hat

46 Ander s gef r agt : Was sind wir bereit, für IT-Sicherheit im Gesundheitswesen zu zahlen? Ich freue mich auf die Diskussion Kontakt:

Interoperabilität elektronischer Aktensysteme

Interoperabilität elektronischer Aktensysteme Interoperabilität elektronischer Aktensysteme Nürnberger Archivtage 2014 Dr. Ralf Brandner Anwendungsfälle Datenaustausch auf Basis von Aktensystemen Archivierung Konsil Befundung Fallbesprechung Überweisung

Mehr

IHE Cookbook Grundlage für einrichtungsübergreifende Patienten- und Fallakten auf Basis internationaler Standards

IHE Cookbook Grundlage für einrichtungsübergreifende Patienten- und Fallakten auf Basis internationaler Standards IHE Cookbook Grundlage für einrichtungsübergreifende Patienten- und Fallakten auf Basis internationaler Standards Dr. Ralf Brandner, ICW AG Agenda 1. Einleitung 2. Rechtliche und Technische Rahmenbedingungen

Mehr

Björn Schreiweis, Oliver Heinze, Björn Bergh, Universitätsklinikum Heidelberg IHE Deutschland e.v. www.ihe-d.de

Björn Schreiweis, Oliver Heinze, Björn Bergh, Universitätsklinikum Heidelberg IHE Deutschland e.v. www.ihe-d.de IHE-basierte Aktensysteme - Architekturansätze Björn Schreiweis, Oliver Heinze, Björn Bergh, Universitätsklinikum Heidelberg Agenda 1. Hintergrund / Motivation 2. Rechtliche Grundlagen 3. IHE Was ist das?

Mehr

Elektronische Fallakten und IHE

Elektronische Fallakten und IHE Elektronische Fallakten und IHE Elektronische Fallakten: Umsetzung und Etablierung IHE Infotag 2007 Dr. Jörg Caumanns // Fraunhofer ISST Frankfurt, 01.10.07 1 Patientenbezogene vs. Fallbezogene Akten Lebenszyklus

Mehr

EN ISO 27789. Medizinische Informatik Audit-Trails für elektronische Gesundheitsakten

EN ISO 27789. Medizinische Informatik Audit-Trails für elektronische Gesundheitsakten ÖNORM EN ISO 27789 Ausgabe: 2013-07-15 Medizinische Informatik Audit-Trails für elektronische Gesundheitsakten (ISO 27789:2013) Health informatics Audit trails for electronic health records (ISO 27789:2013)

Mehr

IHE-D Cookbook Aktenbasierten einrichtungsübergreifende Bild- und Befund-Kommunikation

IHE-D Cookbook Aktenbasierten einrichtungsübergreifende Bild- und Befund-Kommunikation IHE-D Cookbook Aktenbasierten einrichtungsübergreifende Bild- und Befund-Kommunikation Ziele Methodik und aktueller Stand Dr. Ralf Brandner, ICW AG Oliver Heinze, Universitätsklinikum Heidelberg Agenda

Mehr

IHE Profile für Ausschreibungen und Verhandlungen: Das IHE Leistungsverzeichnis. Dr. Ralf Brandner

IHE Profile für Ausschreibungen und Verhandlungen: Das IHE Leistungsverzeichnis. Dr. Ralf Brandner IHE Profile für Ausschreibungen und Verhandlungen: Das IHE Leistungsverzeichnis Dr. Ralf Brandner Agenda 01 Grundlagen IHE 02 IHE Leistungsverzeichnis 03 Zielsetzung 04 Vorgehen 05 Inhalt 03 EU-Beschusszu

Mehr

Standardisierte Schnittstelle zwischen rechnerunterstützten Dokumentations-, Scan-, Signatur- und Archivlösungen

Standardisierte Schnittstelle zwischen rechnerunterstützten Dokumentations-, Scan-, Signatur- und Archivlösungen Standardisierte Schnittstelle zwischen rechnerunterstützten Dokumentations-, Scan-, Signatur- und Archivlösungen Marco Blevins, CCESigG Inhalt: Ausgangssituation Ziele Vorgehen Signierung elektronischer

Mehr

Anforderungen an eine Telematik-Rahmenarchitektur aus Sicht der Standardisierung

Anforderungen an eine Telematik-Rahmenarchitektur aus Sicht der Standardisierung ATG-Forum 2002 Telematik-Rahmenarchitektur Anforderungen an eine Telematik-Rahmenarchitektur aus Sicht der Standardisierung Erwin Bartels Institut für Luft- und Raumfahrtmedizin Deutsches Zentrum für Luft-

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

Dezernat IT, 32. Marktplatz Gesundheit

Dezernat IT, 32. Marktplatz Gesundheit Dezernat IT, 32. Marktplatz Gesundheit Auswirkungen des E-Health-Gesetzes auf die Krankenhaus-IT Dezernat IT, 32. Marktplatz Gesundheit Auswirkungen des E-Health-Gesetzes auf die Krankenhaus-IT? Auswirkungen

Mehr

Persönliche, einrichtungsübergreifende, elektronische Patientenakten (PEPA) Vision, Architektur und Herausforderungen an die digitale Archivierung

Persönliche, einrichtungsübergreifende, elektronische Patientenakten (PEPA) Vision, Architektur und Herausforderungen an die digitale Archivierung Persönliche, einrichtungsübergreifende, elektronische Patientenakten (PEPA) Vision, Architektur und Herausforderungen an die digitale Archivierung Archivtage Heidelberg, Dezember 2015 Dr. Oliver Heinze

Mehr

Der ELGA Masterplan und die Rolle der Standards. Wien, 30. November 2010 Mag. Hubert A. Eisl ELGA GmbH

Der ELGA Masterplan und die Rolle der Standards. Wien, 30. November 2010 Mag. Hubert A. Eisl ELGA GmbH Der ELGA Masterplan und die Rolle der Standards Wien, 30. November 2010 Mag. Hubert A. Eisl ELGA GmbH Die Rolle der Standards Prozesse Datenaustausch Daten-/Dokumentenstrukturen Relevante IHE Profile werden

Mehr

Entwicklung eines elektronischen Einwilligungsmanagementsystems für intersektorale Informationssysteme

Entwicklung eines elektronischen Einwilligungsmanagementsystems für intersektorale Informationssysteme Entwicklung eines elektronischen Einwilligungsmanagementsystems für intersektorale Informationssysteme Berlin, November 2010 Markus BIRKLE, Oliver HEINZE, Björn BERGH Zentrum für Informations- und Medizintechnik

Mehr

Strukturierte Analyse von Entwicklungs-Frameworks für elektronische Akten im Gesundheitswesen

Strukturierte Analyse von Entwicklungs-Frameworks für elektronische Akten im Gesundheitswesen Strukturierte Analyse von Entwicklungs-Frameworks für elektronische Akten im Gesundheitswesen Christian Schäfer Martin Staemmler 06. September 2010 GMDS Jahrestagung 2010, Mannheim understanding reality

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Cookbook Sichere, einrichtungsübergreifende Bild- und Befund-Kommunikation

Cookbook Sichere, einrichtungsübergreifende Bild- und Befund-Kommunikation Cookbook Sichere, einrichtungsübergreifende Bild- und Befund-Kommunikation Dr. Ralf Brandner Oliver Heinze Agenda Einleitung IHE Cookbook Grundlagen Rechtliche Rahmenbedingungen IHE Profile und weitere

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Claudia Rappold Seminar Biomedizinische Informatik Hall, 02.12.2010

Claudia Rappold Seminar Biomedizinische Informatik Hall, 02.12.2010 Claudia Rappold Seminar Biomedizinische Informatik Hall, 02.12.2010 Motivation Definition Nutzen Voraussetzungen Status Quo in Österreich Länderüberblick Fazit Der Hausarzt ist auf Urlaub. Also geht die

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Softwaregestütztes Einwilligungsmanagement

Softwaregestütztes Einwilligungsmanagement Softwaregestütztes Einwilligungsmanagement Vom Konzept zum Prototyp Berlin, 24. März 2010 Markus BIRKLE, Oliver Heinze, Lennart Köster, Björn Bergh Sektion Medizinische Informationssysteme Agenda Begriffsbestimmung

Mehr

STANDARDISIERUNGSVORGABEN IM RAHMEN DER

STANDARDISIERUNGSVORGABEN IM RAHMEN DER STANDARDISIERUNGSVORGABEN IM RAHMEN DER ELEKTRONISCHEN GESUNDHEITSAKTE ELGA EIN ERFAHRUNGSBERICHT AUS ANWENDERSICHT HL7 JAHRESTAGUNG KASSEL DANIEL GALLER 26.10.2015 x-tention Informationstechnologie GmbH

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Telemed 2015 in Berlin Laura Bresser (B.Sc.) Berlin den 24.06.2015. Hochschule Mannheim University of Applied Sciences

Telemed 2015 in Berlin Laura Bresser (B.Sc.) Berlin den 24.06.2015. Hochschule Mannheim University of Applied Sciences Hochschule Mannheim / Institut für Medizinische Informatik Erfassung und Auswertung von Zugriffen auf die PEPA der Metropolregion Rhein-Neckar mit Hilfe des IHE-Profils ATNA Telemed 2015 in Berlin Laura

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

02131 Elektromagnetische Vertråglichkeit in der Medizintechnik

02131 Elektromagnetische Vertråglichkeit in der Medizintechnik Seite 1 Inhaltsçbersicht 01 Verzeichnisse/Wegweiser 01100 Inhaltsçbersicht 16 0100 Stichwortverzeichnis 16 01300 Verzeichnis der Autoren 16 01400 Verzeichnis der Arbeitshilfen 15 0 Gesetze, Normen, Regelwerke

Mehr

Führung und Moderation von Patientenakten

Führung und Moderation von Patientenakten Prof. Dr. Peter Haas FH Dortmund / (www.prof-haas.de) (2006) Prof. Dr. Peter Haas Seite 1 Regelungen im SGB V 68 Finanzierung einer persönlichen elektronischen Gesundheitsakte Zur Verbesserung der Qualität

Mehr

Beweiswert- und integrationssichernde Archivdienstleistung für Patientendaten Lösung von DMI und Health-Comm und ihre Berücksichtigung von IHE

Beweiswert- und integrationssichernde Archivdienstleistung für Patientendaten Lösung von DMI und Health-Comm und ihre Berücksichtigung von IHE Beweiswert- und integrationssichernde Archivdienstleistung für Patientendaten Lösung von DMI und Health-Comm und ihre Berücksichtigung von IHE Stefan Müller-Mielitz, Geschäftsfeldentwicklung DMI GmbH &

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

@GIT Initiative zur Standardisierung von Telemedizin. Empfehlung für ein standardisiertes Telemedizin/ -radiologie Übertragungsformat via email

@GIT Initiative zur Standardisierung von Telemedizin. Empfehlung für ein standardisiertes Telemedizin/ -radiologie Übertragungsformat via email @GIT Initiative zur Standardisierung von Telemedizin Empfehlung für ein standardisiertes Telemedizin/ -radiologie Übertragungsformat via email Version 1.1r (Mai 2004) agit-telemedizin@dkfz.de 2/7 Impressum

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC

Mehr

KIS-RIS-PACS und DICOM 2009

KIS-RIS-PACS und DICOM 2009 Bildintegration bei eepa und EGA - Umsetzungsaspekte te aus dem ISIS-Projekt S - O. Heinze, U. Engelmann, H. Münch, K. Faiß, J. Heiß, H. Soltau, B. Bergh KIS-RIS-PACS und DICOM 2009 Zentrum für Informations-

Mehr

Machbarkeitsstudie zum digitalen Lesesaal: Ein gemeinsamer Ansatz der Staatsarchive Basel-Stadt und St.Gallen

Machbarkeitsstudie zum digitalen Lesesaal: Ein gemeinsamer Ansatz der Staatsarchive Basel-Stadt und St.Gallen Machbarkeitsstudie zum digitalen Lesesaal: Ein gemeinsamer Ansatz der e Basel-Stadt und St.Gallen 18. Tagung des Arbeitskreises Archivierung von Unterlagen aus digitalen Systemen 12. März 2014 Weimar Lambert

Mehr

Standardisierungsansätze in Leitlinienmanagement und Entscheidungsunterstützung

Standardisierungsansätze in Leitlinienmanagement und Entscheidungsunterstützung Standardisierungsansätze in Leitlinienmanagement und Entscheidungsunterstützung Dr. Martin Sedlmayr Lehrstuhl für Medizinische Informatik Universität Erlangen Agenda Motivation Leitlinienmanagement Einzelbetrachtung

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

http://dic Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt

http://dic Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt http://dic dic.dfki.de/ 1 Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH) Prüfstelle für IT-Sicherheit 2

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Mainz, Juli 2013. O. Heinze, M. Birkle, B. Schreiweis, N. Yüksekogul, B. Bergh

Mainz, Juli 2013. O. Heinze, M. Birkle, B. Schreiweis, N. Yüksekogul, B. Bergh Grundlagen der elektronischen Einwilligungsverwaltung in der Architektur der ISIS-Akte in der MRN für multizentrischen Versorgungs- und Forschungsszenarien Mainz, Juli 2013 O. Heinze, M. Birkle, B. Schreiweis,

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Persönliche einrichtungsübergreifende Patientenakte Entwicklung der Gesundheitsregion

Persönliche einrichtungsübergreifende Patientenakte Entwicklung der Gesundheitsregion Persönliche einrichtungsübergreifende Patientenakte Entwicklung der Gesundheitsregion Sukumar Munshi, Oliver Heinze, Aline Kunz, Joachim Szecsenyi, Björn Bergh Raum für Gesundheit GmbH Metropolregion Rhein-Neckar

Mehr

Datenschutz und Ordnungsmäßigkeit von Programm- sowie von Managementsystemen auf dem Gesundheitssektor

Datenschutz und Ordnungsmäßigkeit von Programm- sowie von Managementsystemen auf dem Gesundheitssektor Unternehmens- und Informations- Management Certification Datenschutz und Ordnungsmäßigkeit von Programm- sowie von Managementsystemen auf dem Gesundheitssektor Eine Studie der UIMCert GmbH Referent: Tim

Mehr

DICOM-eMail in der Teleradiologie

DICOM-eMail in der Teleradiologie DICOM-eMail in der Teleradiologie @GIT-Initiative für Telemedizin TeleHealthCare 2005 09. Mai 2005 PKI - Grundvoraussetzung für die Telemedizin Problem: Weder Gesundheitskarte noch Heilberufsausweis verfügbar

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ehealth Initiativen der Bundesländer Ein Überblick

ehealth Initiativen der Bundesländer Ein Überblick ehealth Initiativen der Bundesländer Ein Überblick Mathias Redders Ministerium für Gesundheit, Emanzipation, Pflege und Alter des Landes Nordrhein-Westfalen ehealth Conference 2012 Saarbrücken, 05.06.2012

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Sicherheit / Sicherung - unterschiedliche Begriffsbestimmung, gemeinsame Fachaspekte

Sicherheit / Sicherung - unterschiedliche Begriffsbestimmung, gemeinsame Fachaspekte Sicherheit / Sicherung - unterschiedliche Begriffsbestimmung, gemeinsame Fachaspekte F. Seidel, BfS Salzgitter (Juli 2002) 1) Begriffsbestimmung (Vergleich unter Nutzung nationaler und internationaler

Mehr

VQZ Bonn Chance und Risiko die Revision der ISO 9001

VQZ Bonn Chance und Risiko die Revision der ISO 9001 Chance und Risiko die Revision der ISO 9001 Prof. Dr. Peter Hampe VQZ-Bonn e.v. Zertifizierungsstelle Schwertberger Straße 14-16 53177 Bonn Bad Godesberg www.vqz-bonn.de Telefon 0228 / 9431900 1 Einführung

Mehr

Elektronische Gesundheitsakten: Wie viel "Akte" braucht der Mensch?

Elektronische Gesundheitsakten: Wie viel Akte braucht der Mensch? Elektronische Gesundheitsakten: Wie viel "Akte" braucht der Mensch? afgis-workshop: Alle wollen nur das Eine! - Der zweifelhafte Umgang mit Patientendaten Dr. Thomas Königsmann Fraunhofer-Institut für

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

ehealth Interoperability 101 workshop 9.9.2015, Zürich, forum digitale gesundheit #fdg15 9.9.2015 Forum Digitale Gesundheit- Zürich #FDG15 - Oliver

ehealth Interoperability 101 workshop 9.9.2015, Zürich, forum digitale gesundheit #fdg15 9.9.2015 Forum Digitale Gesundheit- Zürich #FDG15 - Oliver ehealth Interoperability 101 workshop 9.9.2015, Zürich, forum digitale gesundheit #fdg15 9.9.2015 Forum Digitale Gesundheit- Zürich #FDG15 - Oliver Egger ahdi gmbh image: wikimedia commons interoperabel

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Helmut Reiser, LRZ, WS 08/09 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell

Mehr

Informationssicherheit in der Energieversorgung

Informationssicherheit in der Energieversorgung FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit Impressum Forum Netztechnik / Netzbetrieb

Mehr

PEGASOS Medical Information Broker Hospital Information Broker für grenzenlose Prozessunterstützung im Krankenhaus

PEGASOS Medical Information Broker Hospital Information Broker für grenzenlose Prozessunterstützung im Krankenhaus PEGASOS Medical Information Broker Hospital Information Broker für grenzenlose Prozessunterstützung im Krankenhaus IHE-basierte Aktensysteme, Lübeck, 3.9.213 Thomas Lichtenberg, Geschäftsführer MARABU

Mehr

ELEKTRONISCHE FALLAKTE V2.0 STAND DER ENTWICKLUNG

ELEKTRONISCHE FALLAKTE V2.0 STAND DER ENTWICKLUNG Matthias Heyde / Fraunhofer FOKUS ELEKTRONISCHE FALLAKTE V2.0 STAND DER ENTWICKLUNG Dr. Jörg Caumanns, 10.10.2014 10. Leipziger Forum Gesundheitswirtschaft AGENDA 1. Hintergrund: Elektronische Fallakte

Mehr

Handbuch. Mit Informationen zur Unterstützung des Risikomanagers. von Medizinischen IT-Netzwerken. zur Umsetzung der DIN EN 80001-1

Handbuch. Mit Informationen zur Unterstützung des Risikomanagers. von Medizinischen IT-Netzwerken. zur Umsetzung der DIN EN 80001-1 Handbuch Mit Informationen zur Unterstützung des Risikomanagers eines Betreibers von Medizinischen IT-Netzwerken zur Umsetzung der DIN EN 80001-1 (Anwendung des Risikomanagements für IT-Netzwerke, die

Mehr

Wirtschaftsportalverbund Sicherheitsklassen

Wirtschaftsportalverbund Sicherheitsklassen Wirtschaftsportalverbund Sicherheitsklassen Version 30.8.2014 Rainer Hörbe 1 Inhalt Inhalt... 2 Begriffe... 2 1 Einführung... 2 2 Geltungsbereich der Sicherheitsklassen... 3 3 Risikoeinstufung der Sicherheitsklassen...

Mehr

HL7/Sciphox Spezifikationen in Kooperation mit VHitG und KBV für die deutsche ehealth - Plattform

HL7/Sciphox Spezifikationen in Kooperation mit VHitG und KBV für die deutsche ehealth - Plattform Praxis der Informationsverarbeitung in Krankenhaus und Versorgungsnetzen (KIS 2007) 21.-22. Juni 2007 im Heinrich-Pesch-Haus in Ludwigshafen HL7/Sciphox Spezifikationen in Kooperation mit VHitG und KBV

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Fernwartung und anderes Outsourcing die 203 Problematik

Fernwartung und anderes Outsourcing die 203 Problematik Ich hab doch nur meinen Patienten behandelt! Fernwartung und anderes Outsourcing die 203 Problematik Dicom-Treffen 2014 Dr. Bernd Schütze 203 StGB (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Technische und kryptographische Aspekte

Technische und kryptographische Aspekte Kontaktlose Karten im egovernmentumfeld Technische und kryptographische Aspekte 2. Wildauer Symposium RFID und Medien TFH Wildau, 6. Oktober 2009 Dr. Kim Nguyen Bundesdruckerei, Marketing Product Definition

Mehr

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? 6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? Europa: Entwurf einer Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit

Mehr

Sicherheitsprotokolle bei der Anwendung von HL7

Sicherheitsprotokolle bei der Anwendung von HL7 Sicherheitsprotokolle bei der Anwendung von HL7 Kjeld Engel Bernd Blobel Peter Pharow ehealth Competence Center Regensburg Klinikum der Universität Regensburg Einleitung Medizinische und administrative

Mehr

Datenschutz und Datensicherheit im EPDG

Datenschutz und Datensicherheit im EPDG Datenschutz und Datensicherheit im EPDG Nicolai Lütschg, Projektleiter EPDG MediData EDI Podium Der Auftrag des BAG «Das BAG setzt sich kompetent für die Gesundheit ein, fördert eine gesunde Lebensweise

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Höherwertige Schnittstellenkomponenten für den Datenaustausch im Gesundheitswesen

Höherwertige Schnittstellenkomponenten für den Datenaustausch im Gesundheitswesen Höherwertige Schnittstellenkomponenten für den Datenaustausch im Gesundheitswesen C Ohr, M Krasser, Dr. R Brandner Mannheim, 06.09.2010 Agenda Kommunikationsstandards im Gesundheitswesen Notwendigkeit

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel,

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

www.entscheiderfabrik.com

www.entscheiderfabrik.com www.entscheiderfabrik.com www.entscheiderfabrik.com Agenda Motivation der Teilnahme an der Entscheiderfabrik 2014 Vorstellung der Lösung im Spital Netz Bern Darstellung des Projektes Entscheiderfabrik

Mehr

Zukunft der sicheren DICOM-Email - PGP oder S/MIME?

Zukunft der sicheren DICOM-Email - PGP oder S/MIME? Zukunft der sicheren DICOM-Email - PGP oder S/MIME? Walter H. Kullmann, Zhao Ying Fachhochschule Würzburg-Schweinfurt University of Applied Sciences Medizintechnik Schweinfurt 1 Projektpartner FH Würzburg-Schweinfurt

Mehr

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur Stephan Groth (Bereichsleiter IT-Security) 03.05.2007 CIO Solutions Zentrale E-Mail-Verschlüsselung und Signatur 2 Wir stellen uns vor Gegründet 2002 Sitz in Berlin und Frankfurt a. M. Beratung, Entwicklung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Manuel Koch, Dr. Herbert Bunz 10. September 2009. Datenschutz fördernde Techniken als vertrauensfördernde Maßnahmen der Gesundheitstelematik

Manuel Koch, Dr. Herbert Bunz 10. September 2009. Datenschutz fördernde Techniken als vertrauensfördernde Maßnahmen der Gesundheitstelematik Manuel Koch, Dr. Herbert Bunz 10. September 2009 Datenschutz fördernde Techniken als vertrauensfördernde Maßnahmen der Gesundheitstelematik 2009 gematik 2009 IBM Corporation Der Patient kann selbstbestimmt

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

UPU / CEN / ETSI. E-Zustellung in Europa & weltweit

UPU / CEN / ETSI. E-Zustellung in Europa & weltweit UPU / CEN / ETSI E-Zustellung in Europa & weltweit Wien, den 14. Jänner 2015 Consulting Technology Operations Copyright: Document Exchange Network GmbH EUROPÄISCHE KOMMISSION Brüssel, den 30.7.2014 COM(2014)

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr