Datensicherheit im Ausführungsrecht des EPDG
|
|
- Lucas Bauer
- vor 7 Jahren
- Abrufe
Transkript
1 Swiss ehealth Summit 2016 Risiken und Nebenwirkungen Datensicherheit im Ausführungsrecht des EPDG Walid Ahmed Leiter a.i. Sektion Innovationsprojekte
2 3-Faktor Authentisierung 2
3 but a process! Bruce Schneier Security Guru Security is a not a product, 3
4 RISIKEN UND BEDROHUNGEN 4
5 Gesundheitsdaten als Ziel Quelle: IBM X-Force Research 2016 Cyber Security Intelligence Index 5
6 Gesundheitsdaten als Ziel «Top Target 2015: Healthcare*» «5 of 8 of the largest healthcare security breaches during Jan-Jun 2015!*» (since 2010; >1 Mio. records compromised) * Quelle: IBM X-Force Research 2016 Cyber Security Intelligence Index 6
7 Warum Gesundheitsdaten? vergleichsweise schwach geschützt; (lebens-)wichtig für Patienten und Leistungserbringer; viele weitere persönliche Daten enthalten (Namen, Adressen, Sozialversicherungsdaten, Zahlungsinformationen,...) geeignet für: gezielte Phishing-Angriffe; Profiling; Erpressung (Patienten, Leistungserbringer); Identitätsdiebstahl; Leistungs-/Abrechnungs-Betrug; wertvoll (bis zu $ 1 000) v.a. USA 7
8 Bleibt die Schweiz verschont? vielleicht... Identitätsdiebstahl und Betrug sind v.a. in den USA lukrativ. hoher Reputationsverlust bei illegaler Nutzung durch Arbeitgeber/Versicherungen aber... keine Meldepflicht in CH; viele Daten hoher Nutzen; Quelle: Gemalto Studie zum Breach Level Index Annual Report 2015 Cybercrime kennt keine Grenzen. 8
9 WIRKUNGEN 9
10 Datenschutz und Datensicherheit - Ziele Vertraulichkeit Verfügbarkeit Integrität Nachvollziehbarkeit Eintrittswahrscheinlichkeit und Schadensausmass für Schadensereignisse verringern. 10 Icons 2013
11 Strategien Schulung / Awareness; Systeme patchen/härten; 2-Faktor-Authentifizierung; Zugriffsrechte; Anomalien erkennen; Sicherheit kontinuierlich managen. plan, do, check, act! Prävention Reaktion Detektion «a priori» «a posteriori» «in tempore» 11
12 «Privacy Silver Bullets» privacy by design; Dezentralisierung; Verschlüsselung bewegter... und ruhender Daten penetration-testing; containment; awareness. Prävention Reaktion Detektion «a priori» «a posteriori» «in tempore» 12
13 Ausgangslage Risiko-/Bedrohungsanalyse EPD Vertrauen in Datenschutz und Datensicherheit kritisch für die Akzeptanz (Patienten und GFP). Bedrohungslage allgemein sehr hoch. Abwägung zwischen Wirtschaftlichkeit, Sicherheit und Benutzbarkeit zentral für das Entstehen von Gemeinschaften. Risiko- und Bedrohungsanalyse als Basis für Zertifizierungsvoraussetzungen der EPDV. Stakeholderpartizipation: Datenschützer, Umsetzer, Anwender, Pat.-Organisationen, Experten, «white hat» Hacker; 13
14 14
15 Generischer Bedrohungskatalog Höhere Gewalt G1 Personenausfall G2 Systemausfall, Netzausfall (WAN), Klimaanlage, Heizung G3 Feuer, Wasser, Blitz, Lawinen, Sturm, Temperatur, Feuchtigkeit, Staub G4 Technische Katastrophe, benachbarte Gebäude, KKW Unfall, Magnetfelder, Licht G5 Grossveranstaltungen, Demonstrationen, Krawalle Organisatorische Mängel G6 Fehlende Betriebsmittel G7 Fehlende Kontrollen, Tests, Auswertungen G8 Fehlende oder unzureichende Schulung, Komplexität von Systemen und Komponenten G9 Fehlende Regelungen oder Prozesse G10 Mangelhaftes Management bei Änderungen G11 Prozess wird nicht gelebt oder Verstoss gegen gültige Regelung G12 Unbefugter oder schlecht geschützter Zutritt Menschliche Fehlhandlungen G13 Fahrlässigkeit, unbeabsichtigte Beschädigung G14 Fehlerhafte Administration G15 Fehlverhalten Benutzer G16 Gefährdung durch Fremdpersonal G17 Nichtbeachtung von Vorschriften Technisches Versagen G18 Ausfall von Sicherheitskomponenten / nicht funktionierende Sicherheitskomponenten G19 Datenverlust G20 Hardwaredefekt G21 Softwareschwachstelle G22 Versorgungsausfall oder Beeinträchtigung durch Netzausfall, DB Ausfall, Stromausfall usw. Vorsätzliche Handlungen G23 Abhören, Auswerten, Analysen, Hacken, Spoofing G24 Bösartige Software, Trojanische Pferde und Viren G25 Gefälschte Daten, Integritäts- und Vertraulichkeitsverlust G26 Manipulieren, kompromittieren, vortäuschen G27 Missbrauchen von Konten, Zutritten, Berechtigungen usw., Erpressen von Mitarbeitern G28 Schwachstellen ausnutzen G29 Unberechtigte Handlungen, Diebstahl (auch z.b. defekte HD), Betrug G30 Vandalismus, Anschläge, Sabotagen 15
16 Von der ISO zur TOZ Vorgehen: Vorlage ISO 27001/27002 («Rahmenwerk») Expertenmandat und «peerreview» Risiko- und Bedrohungsanalyse EPD Risiko- und Bedrohungsanalyse EPD lieferte die Grundlage für das spezifische «Tailoring» der ISO-Anforderungen für die EPD-Zertifizierung ISO27001/2 Experten + Peer-Review Risiko- und Bedrohungsanalyse TOZ 16
17 AUSWIRKUNGEN 17
18 Sicherheit durch dezentrale Architektur ext. Zugangsportal Zentrale Abfragedienste (Art. 14): Gemeinschaften & ext. Zugangsportale Gesundheitsfachpersonen Gesundheitsorganisationen Metadaten (inkl. «Rollen») Objektidentifikatoren (OID) UPI-DB der ZAS (Art. 4) Stammgemeinschaft Stammgemeinschaft EPD- Vertrauensraum Icons 2013 Gemeinschaft
19 Datenschutz- und Datensicherheitsmanagementsystem «Gemeinschaften und Stammgemeinschaften müssen ein Datenschutz- und Datensicherheitsmanagementsystem betreiben» 19 Icons 2013
20 Managementsystem zur Umsetzung von Vorgaben Richtlinien und Prozesse bzgl. einzuhaltender Sicherheitsmassnahmen müssen: definiert/dokumentiert; umgesetzt/kommuniziert; eingehalten ( Sanktionen); und weiterentwickelt werden. Vorgaben müssen lückenlos, d.h. auch für Dritte (Lieferanten und Sub-Unternehmen) gelten. 20
21 Governance Datenschutz und Datensicherheit Zertifizierung prüft fordert ein Gemeinschaft stellt sicher DSDS-Mgmt. & -verantwortliche(r) Technik (HW/SW) Organisation (Policies) informiert & verpflichtet Ges.- Einrichtung informiert & verpflichtet stellt sicher Technik (HW/SW) Organisation (Policies) Ges.- Fachperson stellt sicher Technik (HW/SW) Verhalten 21
22 Überprüfung der Vorgaben durch Zertifizierung Audit prüft im Wesentlichen: Existenz und Zweckmässigkeit der Prozesse und des Prozessmanagements; Umsetzung der Vorgaben und Wirksamkeit der Prozesse durch Stichproben; 22
23 Eckpunkte des Ausführungsrechts
24 Datenhaltung / Datenübertragung Querschnittsanforderungen: 2-Faktor Authentifizierung aller Anwender. Integrität und Authentizität von Nachrichten muss gewährleistet sein. Verschlüsselung ruhender und bewegter Daten; Dokumentenablagen Isolierte Ablagen für EPD-Dokumente; nur bestimmte Dateiformate möglich; Art. 9 EPDV Kap. 2 TOZ 24
25 Datenschutz und Datensicherheit (Art. 11 EPDV) - Kernelemente (1/2) Datenschutz und Datensicherheitsverantwortlicher: unabhängig; verfügt über die erforderlichen Kompetenzen und Ressourcen. Elemente des Datenschutz und Datensicherheits- Managementsystem u.a.: Risikokatalog und Risikobehandlungsplan; Inventar: Datenbestände; Betriebsmittel; Verantwortlichkeiten; 25
26 Datenschutz und Datensicherheit (Art. 11 EPDV) - Kernelemente (2/2) Elemente des DSDS-Managementsystem u.a.: Richtlinien, Verfahren/Prozesse, Massnahmen z.b.: Erkennen von, und Umgang mit Sicherheitsvorfällen (SIEM) System-Monitoring, Fraud Detection Prozesse, Verantwortlichkeiten, Containment-Massnahmen Schutz vor Schadcode Massnahmen (Schutz, Erkennen, Entfernen) Reak-tion Prävention Detektion Umgang mit Sicherheitsschwachstellen Aktives Schwachstellen-Management Penetration-Testing «a priori» «a posteriori» «in tempore» 26
27 Datenschutz und Datensicherheit (Art. 11 EPDV) «IT-Grundschutz» (TOZ ) Anforderungen an: Verwaltung schützenswerter Daten und Systeme; angeschlossene Einrichtungen, GFP und Endgeräte; das (nicht-gfp-) Personal und an Dritte; Meldepflicht für Sicherheitsvorfälle; Lifecycle-, Change- und Konfigurationsmanagement: im Betrieb; bei Anschaffung, Entwicklung und Instandhaltung. 27
28 Datenschutz und Datensicherheit (Art. 11 EPDV) Besonderheiten Patienten-Hoheit über die Daten; Umfassende Protokollierung; Verschlüsselte Kommunikation und Datenspeicherung; keine Zwischenspeicher/Intermediäre; Datenspeicher unter Schweizer Rechtshoheit; Notfallzugriff erfordert zusätzlichen Sicherheits-Schritt; «rate limits» für den Abruf/Download; Offline-Archivierung; «Not-Aus» via Sperren des CPI-Eintrags; 28
29 NEBENWIRKUNGEN 29
30 Wirkungen und Nebenwirkungen 30
31 Nebenwirkungen Investment Return Kosten Privacy/ Security Personal Vertrauen Usability Rechtssicherheit 31
32 FAZIT Bedrohungslage ist hoch und wird weiter zunehmen Verlust von Privacy im Bereich Gesundheit ist nicht kompensierbar! Für viele Organisationen im Gesundheitswesen ist der Sprung hoch, aber (längst) fällig!... und machbar Innovationen für Sicherheit und Usability; Alle sitzen «im gleichen Boot Vertrauensraum». Vertrauen ist die Basis für einen nachhaltigen Erfolg des EPD. Nutzen des EPD nicht aus den Augen verlieren. 32
33 Herzlichen Dank
34 BACKUP-FOLIEN 34
35 Datenschutz und Datensicherheit (Art. 9 EPDV) Art. 9 Datenhaltung und Datenübertragung 1 Gemeinschaften müssen sicherstellen, dass: a. die von den Gesundheitsfachpersonen im elektronischen Patientendossier erfassten Daten nach 10 Jahren vernichtet werden; b. bei einer Aufhebung des elektronischen Patientendossiers nach Artikel 20 Absatz 1 sämtliche Daten vernichtet werden; c. Daten des elektronischen Patientendossiers nur in Ablagen gespeichert werden, die ausschliesslich dafür vorgesehen sind. 2 Sie haben auf Verlangen der Patientin oder des Patienten: [...] c. bestimmte auf diese oder diesen bezogene Daten aus dem elektronischen Patientendossier zu vernichten. 3 Das EDI legt die weiteren Vorgaben für die Verwaltung und die Übertragung der Daten des elektronischen Patientendossiers fest. Es regelt insbesondere: [...] d. die zu verwendenden Integrationsprofile; e. die Vorgaben betreffend die Protokolldaten. 4 [...] 5 Das Bundesamt für Gesundheit (BAG) kann die Vorgaben nach Absatz 3 dem Stand der Technik anpassen. 35
36 Datenschutz und Datensicherheit (Art. 11 EPDV) Art. 11 Datenschutz und Datensicherheit 1 Gemeinschaften müssen ein Datenschutz- und Datensicherheitsmanagementsystem betreiben. Dieses muss insbesondere folgende Elemente umfassen: a. die Benennung eines oder einer Datenschutz- und Datensicherheitsverantwortlichen; b. ein System zur Erkennung von und zum Umgang mit Sicherheitsvorfällen; c. ein Verzeichnis der Datenablagen; d. ein Verzeichnis der angeschlossenen Primärsysteme; e. die Datenschutz- und Datensicherheitsvorgaben für die angeschlossenen Gesundheitseinrichtungen und deren Gesundheitsfachpersonen; f. die Datenschutz- und Datensicherheitsanforderungen an das Personal und Dritte. 2 Sie müssen die im Datenschutz- und Datensicherheitsmanagementsystem als sicherheitsrelevant eingestuften Vorfälle der Zertifizierungsstelle und dem BAG melden. 3 Das EDI legt die Anforderungen in Bezug auf Datenschutz und Datensicherheit fest. 4 Die Datenspeicher müssen sich in der Schweiz befinden und dem Schweizer Recht unterstehen. 36
37 EPD Big Picture 37
38 Bezug zu ISO 27001, 27002, ISO Rahmenwerk («Zielkatalog») für die Zertifizierung nach EPDG. ISO liefert «Controls» die im Rahmen der Zertifizierung geprüft werden können («... shall...»). ISO «Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002» unterstützt und definiert was Ges.-spezifisch erforderlich ist («... must...»); 38
39 Ziel: Virtuelles elektronisches Patientendossier
Datenschutz und Datensicherheit im EPDG
Datenschutz und Datensicherheit im EPDG Nicolai Lütschg, Projektleiter EPDG Information Security in Health Conference Der Auftrag des BAG «Das BAG setzt sich kompetent für die Gesundheit ein, fördert eine
MehrTechnische und organisatorische Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften
Eidgenössisches Departement des Innern EDI Änderungsentwurf zum Anhang 2 der Verordnung des EDI vom 22. März 2017 über das elektronische Patientendossier Technische und organisatorische Zertifizierungsvoraussetzungen
MehrVon der Inkraftsetzung des EPDG bis zur Eröffnung des ersten Patientendossiers
Von der Inkraftsetzung des EPDG bis zur Eröffnung des ersten Patientendossiers Dr. Reinhold Sojer Bundesamt für Gesundheit Sektion ehealth und Krankheitsregister WAS IST DAS ELEKTRONISCHE PATIENTENDOSSIER
MehrVerordnung über das elektronische Patientendossier (EPDV)
(EPDV) Fassung für die Anhörung vom. März 06 Der Schweizerische Bundesrat, gestützt auf das Bundesgesetz vom 9. Juni 05 über das elektronische Patientendossier (EPDG), verordnet:. Kapitel: Vertraulichkeitsstufen
MehrVerordnung über das elektronische Patientendossier
Verordnung über das elektronische Patientendossier (EPDV) 816.11 vom 22. März 2017 (Stand am 1. März 2018) Der Schweizerische Bundesrat, gestützt auf das Bundesgesetz vom 19. Juni 2015 1 über das elektronische
MehrDr. Salome von Greyerz, BAG Bundesgesetz über das elektronische Patientendossier: Eckpunkte des Ausführungsrechts
Dr. Salome von Greyerz, BAG Bundesgesetz über das elektronische Patientendossier: Eckpunkte des Ausführungsrechts Stand der Arbeiten 19. Juni 2015: Verabschiedung des Bundesgesetzes über das elektronische
MehrDatenschutz und Datensicherheit im EPDG
Datenschutz und Datensicherheit im EPDG Nicolai Lütschg, Projektleiter EPDG MediData EDI Podium Der Auftrag des BAG «Das BAG setzt sich kompetent für die Gesundheit ein, fördert eine gesunde Lebensweise
MehrBundesgesetz über das elektronische Patientendossier
Bundesgesetz über das elektronische Patientendossier 09. Dezember 2014 Dr. Salome von Greyerz Eckpunkte der Gesetzgebung Rahmenbedingungen für bedürfnisgerechte und flexible Entwicklung des elektronischen
MehrMittagsveranstaltungen MERH 15. Dezember 2016
Mittagsveranstaltungen MERH 15. Dezember 2016 ehealth - Umsetzung im Kanton Zürich Rechtlicher Rahmen (EPDG et al.) Marius Kobi 2 3 Ausgangslage 27. Juni 2007: Bundesrat verabschiedet Strategie ehealth-
MehrErfahrungen mit dem Schweizer Patientendossier
Erfahrungen mit dem Schweizer Patientendossier Dr. Reinhold Sojer Abteilungsleiter Digitalisierung / ehealth Verbindung der Schweizer Ärztinnen und Ärzte FMH U.S. Department of Commerce, CC BY-NC 2.0 2
MehrVerordnung über die Finanzhilfen für das elektronische Patientendossier (EPDFV)
Verordnung über die Finanzhilfen für das elektronische Patientendossier (EPDFV) Fassung für die Anhörung vom. März 06 Der Schweizerische Bundesrat, gestützt auf Artikel Absatz 3 des Bundesgesetzes vom...
MehrBundesgesetz über das elektronische Patientendossier (EPDG)
Bundesgesetz über das elektronische Patientendossier (EPDG) Welche Auswirkungen hat das EPDG auf das E-Health in den nächsten Jahren? Welche Rolle spielt ein Identitfikationsmittel wie die SuisseID? 29.9.2016
MehrFormular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische Patientendossier EPDG
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Formular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische
MehrVerordnung über die Finanzhilfen für das elektronische Patientendossier
Verordnung über die Finanzhilfen für das elektronische Patientendossier (EPDFV) vom 22. März 2017 Der Schweizerische Bundesrat, gestützt auf Artikel 22 Absatz 3 des Bundesgesetzes vom 19. Juni 2015 1 über
MehrMassnahmen zur Erfüllung der Anforderungen an den Datenschutz und die Datensicherheit des EPDG
Massnahmen zur Erfüllung der Anforderungen an den Datenschutz und die Datensicherheit des EPDG Markus J. Jakober Information Security in Healthcare Conference 7. Juni 2018 Rotkreuz CSP AG Competence Solutions
MehrDATENSCHUTZ in der Praxis
DATENSCHUTZ in der Praxis Rechtliche Rahmenbedingungen: EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene
MehrBundesgesetz über das elektronische Patientendossier
Bundesgesetz über das elektronische Patientendossier 03. September 2013 Meilensteine auf dem Weg zum Entwurf des EPDG September 2010 Bericht der Expertengruppe ehealth zur rechtlichen Umsetzung Strategie
MehrInformationssicherheit an der RWTH
Informationssicherheit an der RWTH Dipl.-Inform. Guido Bunsen IT Center / RWTH Aachen University Was tun wir für die Sicherheit Überprüfung aller eingehenden E-Mail auf Viren Schutz vor weiteren schädlichen
MehrElektronisches Patientendossier
Elektronisches Patientendossier Grundlagen und Stand der Arbeiten Dr. Salome von Greyerz, Stv. Leiterin, Bundesamt für Gesundheit Symposium «Die Chancen einer integrierten Versorungsorganisation» 21. September
MehrInformationssicherheit für den Mittelstand
Informationssicherheit für den Mittelstand Herzlich Willkommen Stefan Ohlmeyer IT-Architekt sohlmeyer@sievers-group.com Tel: 05419493-0 Agenda Informationssicherheit für den Mittelstand Stefan Ohlmeyer
MehrHilfestellung des Bundesamts für Gesundheit (BAG)
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Hilfestellung des Bundesamts für Gesundheit (BAG) Datum: 24. Juli 2018 Für ergänzende Auskünfte:
MehrEinsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen
Einsatz für das EPDG Pragmatische Erfüllung der hohen Sicherheitsanforderungen Oktober 2016 Christian Greuter, Geschäftsführer Health Info Net AG Agenda Anforderungen gemäss EPDG/EPDV HIN eid als Identifikationsmittel
MehrTechnische und organisatorische Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften
Eidgenössisches Departement des Innern EDI Revisionsentwurf zum Anhang 2 der Verordnung des EDI vom 22. März 2017 über das elektronische Patientendossier Technische und organisatorische Zertifizierungsvoraussetzungen
MehrStrukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001
Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001 IT-Mittelstandstag Hochschule Esslingen 29. November 2017 DRIVING THE MOBILITY OF TOMORROW Kurzvorstellung Studium
MehrVerordnung des EDI über das elektronische Patientendossier
Verordnung des EDI über das elektronische Patientendossier (EPDV-EDI) vom 22. März 2017 (Stand am 15. April 2017) Das Eidgenössische Departement des Innern (EDI), gestützt auf die Artikel 5 Absatz 2, 10
MehrTechnische und organisatorische Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik / Anhang 2 der Verordnung des EDI vom... über das elektronische Patientendossier Technische
MehrTechnische und organisatorische Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften
Eidgenössisches Departement des Innern EDI SR 816.111 Anhang 2 der Verordnung des EDI vom 22. März 2017 über das elektronische Patientendossier Technische und organisatorische Zertifizierungsvoraussetzungen
MehrVerordnung des EDI über das elektronische Patientendossier
Verordnung des EDI über das elektronische Patientendossier (EPDV-EDI) vom 22. März 2017 Das Eidgenössische Departement des Innern (EDI), gestützt auf die Artikel 5 Absatz 2, 10 Absätze 3 5, 11, 12 Absatz
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrRainer Faldey Datenschutzbeauftragter GDDcert. EU Rainer Faldey Dipl. Betriebswirt (FH) Datenschutzbeauftragter GDDcert. EU Datenschutzbeauftragter IHK Mitglied der Gesellschaft für Datenschutz und Datensicherheit
MehrSmart Metering. IT-Sicherheit in der Produktion. Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur
Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur www.cybersecurityaustria.at IT-Sicherheit in der Produktion Smart Metering Chancen und Risiken Herbert Dirnberger Strategische
MehrEPD: Chancen und Risiken der informationellen Selbstbestimmung
EPD: Chancen und Risiken der informationellen Selbstbestimmung Information Security in Healthcare Conference Track Governance Thomas Kessler TEMET AG 07.06.2018 14:15 14:55 Über den Referenten Thomas Kessler
Mehrehealth Anlass Kanton Glarus
ehealth Anlass Kanton Glarus Was kann ehealth? - Perspektiven Glarus, 15. Mai 2017 Richard Patt, Geschäftsführer Verein ehealth Südost Leiter Informationsmanagement KSGR Verein ehealth Südost (35 Mitglieder)
MehrFormular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische Patientendossier EPDG
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Formular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische
MehrCyber Risk Management by Spiegel & Pohlers und Hiscox. Warum muss sich heute jedes Unternehmen mit Cyber Risks beschäftigen?
Cyber Risk Management by Spiegel & Pohlers und Hiscox Warum muss sich heute jedes Unternehmen mit Cyber Risks beschäftigen? Unternehmen, die in den letzten zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24
MehrVerordnung des EDI über das elektronische
Verordnung des EDI über das elektronische Patientendossier Fassung für die Anhörung vom 22. März 2016 (EPDV-EDI) Das Eidgenössische Departement des Innern (EDI), gestützt auf die Artikel 4 Absatz 2, 9
MehrVerordnung des EDI über das elektronische Patientendossier
Dieser Text eine provisorische Fassung. Massgebend ist die definitive Fassung, welche unter www.bundesrecht.admin.ch veröffentlicht werden wird. Verordnung des EDI über das elektronische Patientendossier
MehrBundesgesetz über das elektronische Patientendossier
Bundesgesetz über das elektronische Patientendossier (EPDG) vom 19. Juni 2015 (Stand am 15. April 2017) Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 95 Absatz 1
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Bundesdruckerei GmbH Kommandantenstraße 18 10969 Berlin für das IT-System BDrive v. 2.0.51.4 die Erfüllung
MehrAktueller Stand. Bundesgesetz über das elektronische Patientendossier EPDG: Nicolai Lütschg, Projektleiter EPDG ehealth Summit, 15.9.
Bundesgesetz über das elektronische Patientendossier EPDG: Aktueller Stand Nicolai Lütschg, Projektleiter EPDG ehealth Summit, Stand parlamentarischer Prozess Das EPDG wurde am 19.6.2015 in der Schlussabstimmung
MehrUMSETZUNGSHILFE DATENSCHUTZ UND DATENSICHERHEIT
ID: 17-594037-001 Umsetzungshilfe beim elektronischen Patientendossier UMSETZUNGSHILFE DATENSCHUTZ UND DATENSICHERHEIT 28.06.2017 / RG-C0 Agenda 1 Vorstellung 2 Factsheet 3 Vorgehen 4 Themenübersicht 5
MehrCybersecurity im epd
Cybersecurity im epd Aufgaben, Kompetenzen und (AKV) ehealth Forum Schweiz 09./10. März 2017 Thomas Kessler Dipl. Physiker ETH Gründer und Geschäftsführer TEMET AG Agenda Einleitung Vorstellung TEMET AG
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch
und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation
Mehrehealth und das elektronische Patientendossier eine Einführung
ehealth und das elektronische Patientendossier eine Einführung Adrian Schmid Leiter ehealth Suisse Kompetenz- und Koordinationsstelle von Bund und Kantonen ehealth Suisse nationale Koordination seit 2008
MehrStammgemeinschaft ehealth Aargau
Geschäftsstelle Stammgemeinschaft ehealth Aargau Zuger Gespräche zu ehealth und elektronisches Patientendossier Nicolai Lütschg Geschäftsführer Patientinnen und Patienten Gesundheitsfachpersonen Gemeinsame
Mehr«Georgis»: Angebot einer Gemeinschaft as a Service
«Georgis»: Angebot einer Gemeinschaft as a Service Georgis GmbH Dr. Christian Schatzmann, CIO STGAG und Präsident Georgis Stamm-Gemeinschaft Jürg Lindenmann, Geschäftsführer Georgis GmbH Agenda Grundlagen
MehrFachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems
Fachvortrag 20.03.2019 Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen Markus Willems Leistungsportfolio Your Partner in Digital Forensics Ethical Hacking IT & Cyber
MehrInformations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -
2016-04-05_FV_27001 IS-Management.pptx Fachvortrag Informations-Sicherheits- Management DIN ISO/IEC 27001:2015 - einfach und sinnvoll - Keil GmbH www.keil-group.de Fachvortrag Ausgangslage Bedrohung Inhalte
MehrDatenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der
Datenschutzmanagement im Zeichen der DS-GVO mit ISIS12 IT-Sicherheit am Donaustrand Regensburg Die EU-Datenschutzgrundverordnung (DS-GVO) und ihre Umsetzung im Unternehmen 06.07.2017 Michael Gruber Fachbeirat
MehrWillkommen in der ORANGEN Welt. UNSER WEG ZUR ISO ZERTIFIZIERUNG
Willkommen in der ORANGEN Welt. UNSER WEG ZUR ISO 27001 ZERTIFIZIERUNG Gebrüder Weiss ist das älteste Transportunternehmen der Welt. Weltweites Netzwerk ÜBER GEBRÜDER WEISS Nettoumsatz in Mio Euro ÜBER
MehrElektronisches Patientendossier
Elektronisches Patientendossier Herausforderungen für die nationale Gesundheitspolitik Dr. Salome von Greyerz, Stv. Leiterin, Bundesamt für Gesundheit forumofac.16, Lugano Herausforderungen für das Gesundheitssystem
MehrWie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen
Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen Kai Wittenburg Geschäftsführer, ISO27001 Auditor (BSI) Ihre IT in sicheren Händen Was ist Informationssicherheit? Vorhandensein von
MehrVision der Vernetzung heute morgen unabhängig von Ort und Zeit CURAVIVA-Impulstag, 25. April
Das elektronische Patientendossier in der Nordwestschweiz (NWCH) Jan Zbinden ehealth-beauftragter Basel-Stadt Teilprojektleiter bei ehealth NWCH CURAVIVA-Impulstag, 25. April 2018 1 Vision der Vernetzung
MehrAblauf. 1. Einführung > Das elektronische Patientendossier EPD > Der EPD-Projectathon 2017 > So funktioniert der EPD-Projectathon
Geführte Tour Ablauf 1. Einführung > Das elektronische Patientendossier EPD > Der EPD-Projectathon 2017 > So funktioniert der EPD-Projectathon 2. Einblick in den Testraum 3. Fragen & Antworten Organisationen
MehrIT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller
IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller Christoph Isele Senior Solution Designer 27. April 2017; conhit Kongress Cerner leistet einen Beitrag zur systemischen Verbesserung einer vernetzten
MehrDie wichtigsten Elemente des EPDG zum Wohle der Bürgerin und der Patientin
Die wichtigsten Elemente des EPDG zum Wohle der Bürgerin und der Patientin Nicolai Lütschg, Projektleiter EPDG Symposium elektronisches Patientendossier Ausgangslage Quelle: Stiftung für Patientensicherheit
MehrThomas W. Harich. IT-Sicherheit im Unternehmen
Thomas W. Harich IT-Sicherheit im Unternehmen Vorwort von Dr. Markus Morawietz n Vorwort 15 1 Einfuhrung in die IT-Sicherheit 25 1.1 IT-Sicherheit und wie man sie erreicht 25 1.2 Wichtige Begriffe 28 1.2.1
MehrErläuterungen zum elektronischen Patientendossier gemäss EPDG & Verordnungsentwürfen
Datum: 10. Mai 2016 Ersteller: Martin Bruderer (mbr) Version: 2.0 ICT Strategische Projektleitung ehealth / EPD Erläuterungen zum elektronischen Patientendossier gemäss EPDG & Verordnungsentwürfen Wichtige
MehrInformationssicherheit in der Rechtspflege. Chancen, Herausforderungen, praktische Lösungen
Informationssicherheit in der Rechtspflege Chancen, Herausforderungen, praktische Lösungen Reto Frischknecht, Delta Logic AG Adolf J. Doerig, Doerig + Partner AG ejustice.ch,, 19. März 2013 Agenda Ausgangslage
MehrAblauf. 1. Einführung > Das elektronische Patientendossier EPD > Warum ein EPD-Projectathon? > So funktioniert der EPD-Projectathon
Guided Tour Ablauf 1. Einführung > Das elektronische Patientendossier EPD > Warum ein EPD-Projectathon? > So funktioniert der EPD-Projectathon 2. Einblick in den Testraum 3. Fragen & Antworten Organisationen
MehrNeues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?
Plant Security Services Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen? siemens.com Die Lage der IT-Sicherheit in Deutschland 2014 Bedrohung Gesetz Betroffene
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit
und der IT-Sicherheit Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter) kann zum
MehrDie neue EU-Datenschutz- Grundverordnung EU-DSGVO
Die neue EU-Datenschutz- Grundverordnung EU-DSGVO Agenda Kurzvorstellung Verimax Einführung in die neue Datenschutzgesetzgebung Überblick über Ihre zukünftigen Aufgaben Methoden und Ansätze zur Umsetzung
MehrDas elektronische Patientendossier der Schweiz und sein Beitrag zur Patientensicherheit
Das elektronische Patientendossier der Schweiz und sein Beitrag zur Patientensicherheit Adrian Schmid Leiter ehealth Suisse Kompetenz- und Koordinationsstelle von Bund und Kantonen Die Ausgangslage Das
MehrNIS-RL und die Umsetzung im NISG
NIS-RL und die Umsetzung im NISG 17.12.2018 Datenschutz neu : Erste Erfahrungen und neue Herausforderungen Mag. Verena Becker, BSc Bundessparte Information und Consulting Inhalt Zeitablauf NIS-RL Allgemeines
MehrVerordnung über das elektronische Patientendossier (EPDV)
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Erläuterungen zur Verordnung über das elektronische Patientendossier (EPDV) Fassung vom 22.
MehrCompliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?
Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um? Entscheidend für den Erfolg der Umsetzung der EU-DSGVO ist der geschickte initiale Einstieg in die Fülle von erforderlichen
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Lösungen zur 6. Übung: Bedrohungen der IT-Sicherheit 6.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter) kann zum Ausfall
MehrNEUE ENTWICKLUNGEN IM DATENSCHUTZ DATENSCHUTZ VERTRAUENSRÄUME SCHAFFEN. Dorothee Schrief, it-sa Nürnberg,
NEUE ENTWICKLUNGEN IM DATENSCHUTZ DATENSCHUTZ VERTRAUENSRÄUME SCHAFFEN Dorothee Schrief, it-sa Nürnberg, 07.10. 09.10.2014 DATENSCHUTZ DATENSICHERHEIT WORUM GEHT S? SCHUTZ DES MENSCHEN DATENSCHUTZ SCHUTZ
MehrVerordnung des EDI über das elektronische Patientendossier
Dieser Text eine provisorische Fassung. Massgebend ist die definitive Fassung, welche unter www.bundesrecht.admin.ch veröffentlicht werden wird. Revisionsentwurf zur Verordnung des EDI vom 22. März 2017
MehrDS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht
1 DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht I H K S c h w a b e n A u g s b u r g, d e n 1 6. A p r i l 2 0 1 8 T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s
Mehrehealth und das elektronische Patientendossier eine Einführung
ehealth und das elektronische Patientendossier eine Einführung Adrian Schmid Leiter ehealth Suisse Kompetenz- und Koordinationsstelle von Bund und Kantonen Die Ausgangslage ehealth und das elektronische
MehrStatus Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016
Status Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016 Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was
MehrLifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens
Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59
MehrCyber-Sicherheitstag Niedersachsen 2018
Niedersachsen 22. Oktober Fachforum 5 Datenschutz und Informationssicherheit ISMS und DSMS können in Teilen gemeinsam entwickelt werden Heike Köhler, Geschäftsführerin WITstor GmbH 2016 Seite 0 Informationssicherheit
MehrFormular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische Patientendossier EPDG
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Formular für Stellungnahme zur Anhörung Ausführungsrecht zum Bundesgesetz über das elektronische
MehrTraining für Energieversorger. Security Awareness. Nachhaltig und wirksam
Security Awareness Training für Energieversorger Security Awareness Nachhaltig und wirksam Zum 31. Januar 2018 wird die Einführung und Zertifizierung eines Informationssicherheits- Management-Systems (ISMS)
MehrRM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG
RM vs. ISMS Integration von IT-Risiken in das ganzheitliche Risikomanagement it-sa, 8. Oktober 2013 Seite 1 Inhalt 1. Neuartige IT-Risiken 2. Risikomanagementprozess 3. Bedrohungsanalyse 4. Business Impact
MehrAareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO
Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO Mario Werner, Aareon Ein Unternehmen der Aareal Bank Gruppe www.aareon.de 1 Agenda EU-DSGVO Übersicht und Änderungen Ihre Herausforderung
MehrVorstellung, Status & Vision
ISMS-Tool Vorstellung, Status & Vision Unterstützung von KRITIS Healthcare Projekten Dresden, 25.04.2018 Agenda 1. Warum ein eigenes Tool? 2. Anforderungen an ISMS-Tool 3. ISMS@Aeneis - Funktionsmerkmale
MehrISIS12 und die DS-GVO
ISIS12 und die DS-GVO it-sa 2017, Congress@it-sa, bayme vbm: ITcompliance. Management - Recht+Technik für die Sicherheit in Ihrem Unternehmen, 11.10.2017, 2017 BSP-SECURITY Michael Gruber Fachbeirat Datenschutz
MehrANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN
ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN Stand November 2017 Dieses Dokument enthält vertrauliche und firmeneigene Informationen der MAN. Dieses Dokument und
MehrVerordnung des EDI über das elektronische Patientendossier
Dieser Text eine provisorische Fassung. Massgebend ist die definitive Fassung, welche unter www.bundesrecht.admin.ch veröffentlicht werden wird. Revisionsentwurf zur Verordnung des EDI vom 22. März 2017
MehrHacking und die rechtlichen Folgen für die Geschäftsleitung
Hacking und die rechtlichen Folgen für die Geschäftsleitung - Christoph Winderling, GF Arbor-Link - Haiko Molitor, Projektleiter Arbor-Link - Jonas Spieckermann, Watchguard - Dr. Tobias Hemler, Rechtsanwalt
MehrICT-Sicherheitsleitlinie vom 11. August 2015
vom 11. August 2015 In Kraft seit: 1. Oktober 2015 (nachgeführt bis 1. Oktober 2015) Inhaltsverzeichnis Art. 1 Einleitung... 1 Art. 2 Geltungsbereich... 1 Art. 3 Informationssicherheitsniveau... 1 Art.
MehrDatenschutzmanagement ohne Kosten- und Stolperfallen
Datenschutzmanagement ohne Kosten- und Stolperfallen Ernst Söllinger ACP IT Solutions GmbH 8.3.2018 440 Millionen Euro Umsatz w urden im Geschäftsjahr 2016/2017 erzielt. 100 % Datenhaltung in Österreich
MehrAuthentisierung und HIN Login in der praktischen Anwendung
Bilder einfügen: Post-Menü > Bild > Fotografie einfügen. Weitere Bilder unter www.brandingnet.ch Technische Angaben Bildgrösse vollflächig B 36,1 cm x H 20,3 cm entsprechen B 2132 Pixel x H 1199 Pixel
MehrCyber Security in der Stromversorgung
12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung
MehrTechnisch-organisatorische Maßnahmen
Technisch-organisatorische Maßnahmen 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.b.: Magnet- oder Chipkarten, Schlüssel,
MehrCheckliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)
Checkliste Technische und organisatorische Maßnahmen der Datensicherheit (TOMs) Art. 32 DSGVO verpflichtet jeden Betrieb zu Maßnahmen, die die Integrität und Vertraulichkeit der Datenverarbeitung gewährleisten.
MehrVerordnung über das elektronische Patientendossier (EPDV) und zur Verordnung des EDI über das elektronische Patientendossier (EPDV-EDI)
Eidgenössisches Departement des Innern EDI Bundesamt für Gesundheit BAG Direktionsbereich Gesundheitspolitik Erläuterungen zur Verordnung über das elektronische Patientendossier (EPDV) und zur Verordnung
MehrBSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden
BSI - Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen Ziele & Nutzen 05/24/12 DiKOM Süd in Wiesbaden Inhalt 1. Ziele 2. Fragen 3. Vorgehensweise 4. Projekt 5.
MehrDie praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos
Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten Sascha Paris Snr. Sales Engineer, Sophos Sophos im Überblick 1985 in Oxford, UK gegründet $632 Millionen Umsatz in FY17 3.000 Mitarbeiter,
MehrStand. Elektronisches Patientendossier
Stand Elektronisches Patientendossier Johannes Gnägi Austauschformate und Semantik Ausgangslage Das elektronische Patientendossier Die Umsetzung Auf was muss geachtet werden? Rechte des Patienten Ausgangslage
Mehr