Architektur, Datenschutz und Informationssicherheit der Gesundheitstelematik

Transkript

1

2 Architektur, Datenschutz und Informationssicherheit der Gesundheitstelematik Die Sicherheitsarchitektur - Grundlage für die Absicherung sensibler Daten Michael Bartkowiak Leiter IT-Strategie Sven Marx Leiter Datenschutz und Informationssicherheit gematik - Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh Friedrichstraße Berlin 8. März 2008 TeleHealth 2008, Hannover

3 Aufbau eines vernetzten Gesundheitswesens auf der Grundlage des 291a SGB V 291a SGB V Erklärtes Ziel ist die Verbesserung von Wirtschaftlichkeit, Qualität und Transparenz der Behandlung. Definiert Anwendungen und Grundregeln. egk Speicherung von administrativen und medizinischen Daten direkt auf der Karte. SmartCard mit kryptographischer Funktionalität (asymmetrische Schlüsselpaare und zugehörige X.509 Zertifikate). Telematikinfrastruktur Technische Plattform zur Verwendung der egk Umsetzung der gesetzlichen und funktionalen Anforderungen. Nutzung der kryptographischen Möglichkeiten der egk.

4 Der Schutz sensibler Daten ist im Gesetz verankert und wird durch die Architektur umgesetzt Gesetzliche Grundlagen der Sicherheitsanforderungen Approbationsgebundene Rechte [ ] Der Zugriff auf Daten [ ] mittels der elektronischen Gesundheitskarte darf nur in Verbindung mit einem elektronischen Heilberufsausweis, [ oder] Berufsausweis, erfolgen[ ]" [ 291a Abs. 5 SGB V] Grundrecht auf informationelle Selbstbestimmung Das Erheben, Verarbeiten und Nutzen von Daten [ ] ist nur mit dem Einverständnis der Versicherten zulässig. Durch technische Vorkehrungen ist zu gewährleisten, dass [ ] der Zugriff nur durch Autorisierung der Versicherten möglich ist[ ] [ 291a Abs. 5 SGB V] Rechteverwaltung durch den Versicherten [ ]Der Zugriff auf Daten [ ] mittels der elektronischen Gesundheitskarte kann [ ] auch erfolgen, wenn die Versicherten den jeweiligen Zugriff durch ein geeignetes technisches Verfahren autorisieren. [ 291a Abs. 5 SGB V] Sicherstellungsauftrag der gematik Im Rahmen der Aufgaben nach 291a Abs. 7 Satz 2 hat die Gesellschaft für Telematik 1. die technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen[ ]. Sie [die gematik] hat die Interessen von Patientinnen und Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen. [ 291b Abs. 1 SGB V]

5 Eckpunkt der Sicherheitsstrategie I Im übergreifenden Sicherheitskonzept der Telematikinfrastruktur werden die Eckpunkte / Grundsätze für die Sicherheitsstrategie festgelegt: EP01: Übergreifendes Sicherheitskonzept gewährleistet eine ganzheitliche Sicht auf die Sicherheit enthält die von der Telematikinfrastruktur zu gewährleistenden Sicherheitsziele und Sicherheitsanforderungen basierend auf gesetzlichen Vorgaben und dem Schutzbedarf der Informationsobjekte legt technische und organisatorische Mindeststandards fest EP02: 2-Karten Prinzip Der Zugriff auf Daten mittels der egk MUSS in Verbindung mit einem HBA / SMC-B, die über eine Möglichkeit zur sicheren Authentifizierung verfügt, erfolgen. In Fällen, in denen die egk des Versicherten nicht anwesend ist, MUSS ein geeignetes, nachvollziehbares technisches Verfahren eingesetzt werden, bei dem die Zustimmung und Information des Versicherten nachvollziehbar und revisionsfähig sichergestellt ist. EP03: Schutz der Informationen durch starke Kryptoalgorithmen Die unautorisierte Modifikation oder Zerstörung von Daten, die unautorisierte Bekanntgabe von Informationen MÜSSEN beim Transfer von Daten, bei deren Verarbeitung und Speicherung in der Telematikinfrastruktur mit Kryptoalgorithmen mindestens der Mechanismenstärke hoch erkannt bzw. verhindert werden.

6 Eckpunkt der Sicherheitsstrategie II EP04: Versichertenindividuelle Verschlüsselung Die Verschlüsselung der medizinischen Daten eines Versicherten erfolgt individuell für diesen Versicherten. Medizinische Daten sind in der Telematikinfrastruktur immer verschlüsselt und im Klartext nicht verfügbar und bearbeitbar. Die Verschlüsselungsschlüssel sind in der alleinigen Verfügungsgewalt des Versicherten, damit dieser und nur dieser entscheiden kann, welche Daten welchen dritten Personen zugänglich gemacht werden. EP05: Datenvermeidung, Datensparsamkeit und Datentrennung Um u. a. das Erstellen von Bewegungsprofilen oder z. B. eine Analyse des Verschreibungsverhalten, zu verhindern, DÜRFEN in der Telematikinfrastruktur nur die minimal für die Funktionalität notwendigen Daten übertragen und gespeichert werden. Die Daten sind in der Telematikinfrastruktur so zu übertragen bzw. zu speichern, dass eine Zusammenführung und Profilbildung nicht möglich ist. Soweit es möglich ist, wird eine zeitliche, räumliche, technische und organisatorische Trennung der gespeicherten Daten angestrebt um Datensammlungen zu vermeiden. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

7 Eckpunkt der Sicherheitsstrategie III EP06: Aufteilung der Architektur in gestufte Sicherheitszonen mit evaluierten Komponenten Gestufte Sicherheitszonen mit einheitlichen Sicherheitsmaßnahmen werden eingeführt und erlauben eine unabhängige Sicherheitsbetrachtung innerhalb einer (Sub-)Zone Sicherheitskritische Komponenten und Dienste der Telematikinfrastruktur müssen die Wirksamkeit der Sicherheitsmassnahmen im Gegenstand der Evaluation durch zugelassene Prüfstellen bzw. im Rahmen der Zulassungsverfahren der gematik zeigen. EP07: Proaktive Prozesse zur schnellen Reaktion Auf erkannte Schwachstellen und Kompromittierungen MUSS eine schnelle Reaktion erfolgen und eine koordinierte, proaktive Bereitstellung von Ersatz- und Notfallmaßnahmen MUSS vorgesehen werden. EP08: Schutz der Beteiligten Die an der Telematikinfrastruktur Beteiligten (Versicherte, Leistungserbringer und deren Mitarbeiter, Kostenträger) MÜSSEN sicher sein können, dass die Einhaltung der rechtlichen Vorgaben von der Telematikinfrastruktur technisch erzwungen wird. Durch einen vorbeugenden Ausschluss unzulässiger Zugriffe sowie eine nachträgliche Erkennung unzulässiger Zugriffe MUSS technisch ein Schutz der Beteiligten vor ungerechtfertigten Verdächtigungen bereitgestellt werden.

8 Datenschutz - Grundsätze und datenschutzfördernde Technik in der TI Datensparsamkeit und Datentrennung in den Komponenten Diensten z.b. durch frühzeitiges Löschen, Keine zentrale Datenspeicherung an einem Ort / auf einem System Anonymisierung und Pseudonymisierung z.b. Anonymisierung bei Zugriffen der Leistungserbringer auf Verordnungsdaten Selbstdatenschutz (aktive Wahrnehmung der Beteiligtenrechte) Eigenständige Rechtevergabe Auskunftsrechte, Transparenz und Selbstbestimmung bei jeder Kommunikation (z.b. aktives Opt in) Freiwilligkeit der Nutzung Anwendungen nutzen bzw. widerrufen Anwendungen deaktivieren bzw. reaktivieren Verordnungen verbergen Transparenz schaffende Maßnahmen und Funktionen Audit -Service Patientenfach Umgebungen und Verfahren für die aktive Wahrnehmung der Beteiligtenrechte die selbstbestimmte Nutzung von technischen und organisatorischen Schutzinstrumenten, einfach zu bedienende Instrumente zur Wahrnehmung der Versichertenrechte

9 Mehrschichtige Sicherheitsmechanismen in der Telematikinfrastruktur Medizinische Daten Individuelle Verschlüsselung Datenbasierte Zugriffskontrolle Rollenbasierte Zugriffskontrolle Transportverschlüsselung Zertifizierte Komponenten Zugriffe erfolgen über abgesicherte, zertifizierte und zugelassene Komponenten (Konnektor, Kartenterminals, Karten) Kommunikation erfolgt über abgesicherte Kanäle - Client- und Serverauthentifizierung Zugriffe dürfen nur durch Personen erfolgen, die für die Art des Zugriffs zugelassen sind. Die Identifikation erfolgt über den HBA. Zugriffe dürfen nur nach Autorisierung durch den Versicherten erfolgen. Die Autorisierung erfolgt entweder durch die egk des Versicherten oder durch zuvor explizit vergebene Berechtigung. Die individuelle Verschlüsselung der Daten wird erst auf den Systemen des jeweiligen Leistungserbringers entfernt.

10 Telematikinfrastruktur Überblick Strukturierung der Telematikinfrastruktur nach s Unterteilung der Systeme der Telematikinfrastruktur in zwei s. Service- Consumer Consumer- Adapter Telematik- dezentral Telematik- zentral Service- Provider Legacy- and existing Applications Je für den zentralen und dezentralen Teil. Es folgen Schnittstellen zu den Primär- bzw. Bestandssysteme Systeme und Komponenten der Telematikinfrastruktur Schnittstellen von/zur Telematikinfrastruktur Primär- und Bestandssysteme außerhalb der Telematikinfrastruktur An den Außengrenzen der Infrastruktur befinden sich die nicht mehr von den Spezifikationen der gematik erfassten Systeme.

11 Telematikinfrastruktur Überblick Komponenten in den s der Telematikinfrastruktur Service- Consumer Primärsysteme (PS, inkl. Adapter) Consumer- Adapter ekiosk / Patiententerminal Internetportale Telematik- dezentral Konnektor keine Komponenten spezifiziert durch die Telematikinfrstruktur Karten- Terminal Trusted Viewer Telematik- zentral Infrastrukturdienste VPN-Konz. OCSP DNS Broker NTP Verzeichnis -Dienst Audit Service- Provider CAMS UFS VSD VOD NFD (Backup) Legacy- and existing Applications SDS Treuhand Umschl.- Dienst AMTS PFD Zentrale Anwendungsinfrastrukturdienste...

12 Telematikinfrastruktur Überblick

13 Komponenten in der Telematikinfrastruktur Karten Heilberufsausweis Elektronische Gesundheitskarte Berufsausweis Health Professional Card SMC-B Augenoptikerin SMC-B SMC-B elektronisches Berufsregister Gesundheitsberufe ebgr.de Verena Muster Vorname/Name Given Names/Surname gültig bis Praxis Dr.med Musterarzt Karteninhaber 2 Rolle Berufsausweis Secure Module Card Evaluierte und zertifizierte Smartcards mit Kryptofunktionen

14 Komponenten in der Telematikinfrastruktur Dezentrale Systeme Evaluierte und zertifizierte Komponenten erlauben kontrollierten Zugriff auf die TI Kartenterminal Protection Profile und Evaluation Zertifiziert und von der gematik zugelassen Manipulationsschutz Konnektor Protection Profile und Evaluation Zertifiziert und von der gematik zugelassen Manipulationsschutz Baut VPN für den Zugang zur Telematik auf Garantiert Kommunikation in vorgesehenen Abläufen Stellt Schnittstelle zur Telematik für Primärsysteme zur Verfügung

15 Komponenten in der Telematikinfrastruktur Zentrale Systeme Physisch und organisatorisch abgesicherter Betrieb und Implementierung VPN Gateway Zugang nur über zugelassene Konnektoren Broker Anonymisiert Zugriffe wo nötig Garantiert Audit Implementiert in Anlehnung an Common Criteria Auditservice Protokolliert jeden Zugriff und Versuch Implementiert in Anlehnung an CC PKI Vertrauensanker der Telematikinfrastruktur Betrieb gemäß Policy der gematik

16 Komponenten in der Telematikinfrastruktur Fachdienste Physisch und organisatorisch abgesicherter Betrieb Back bone Fachdienste VSDD VODD Fachdienst Authentizitätsprüfung Keine Prüfung der medizinischen Daten (z.b. everordnung, nicht lesbar für FD) Berechtigungsprüfung Rollenprüfung (Datenbearbeiter) Approbationsgebundene Berechtigung Berechtigungsprüfung (Datenautorität) Tickets AMTS...

17 Telematikinfrastruktur Überblick

18 Telematikinfrastruktur Gesamtübersicht AVS egk Musterk asse Musterk asse KIS egk Musterk asse Musterk asse Mustername Mustername HPC Mustername Mustername HPC PVS egk Musterk asse Musterk asse Mustername Mustername HPC SMC/A A Card Terminal SMC/A A Card Terminal SMC/A A Card Terminal SMC/B B Konnektor SMC/B B Konnektor SMC/B B Konnektor DSL/ ISDN/... Internet DSL/ ISDN/... DSL/ ISDN/... Sectoral Access Service (DAV) DNS Sectoral Access Service (KZBV) DNS Sectoral Access Service (KBV) DNS Sectoral Access Service (DKG) DNS Value-added Services Interface NTP NTP NTP NTP PKI PKI PKI PKI Sectoral Access Service (gematik) Front end Sectoral Broker (DAV) Broker Trusted Services TMS Sectoral Broker (KZBV) Broker Trusted Services TMS Sectoral Broker (KBV) Broker Trusted Services TMS Sectoral Broker (DKG) Broker Trusted Services TMS Sectoral Broker (gematik) OIDD OIDD OIDD OIDD Central Infrastructure DNS & NTP (gematik) DNS NTP Central Infrastructure SDS/Audit (gematik) SDS Audit Central Infrastructure PKI (gematik) TCS- Proxy MPLS Telematics- Net (NN) TSL- OCSP- Proxy Responder Back end Update-Service Primary System Service Update-Services Konnektor/Card Terminal Available non-ti-services (Billing etc.) Time Service (NN) VODD (KBV) VSDD (div.) Application Service Interface PKI-Provider egk PKI-Provider HPC + QES DNS NTP PKI Broker Trusted Services TMS OIDD PKI-Provider SMC B PKI KT PKI Konn PKI VPN PKI Broker Trusted Component Services, TCS (NN) Trusted Service List, TSL (D-Trust) PKI-Provider Services

19 Besuchen Sie uns Stand B37