Kurzfassung der Begutachtung des Produkts epharm

Transkript

1 Kurzfassung der Begutachtung des Produkts epharm datenschutz nord GmbH, August Zeitpunkt der Prüfung Die Begutachtung des Produkts epharm erfolgte entwicklungsbegleitend vom Februar 2003 bis September In diesem Zeitraum wurden zwei Gutachten (Prototyp und Produktversion) erstellt. Beide Gutachten überprüfen das Produkt ausschließlich auf die Einhaltung der Rechtsvorschriften über den Datenschutz und die Datensicherheit. Daher enthält keines der beiden Gutachten Vorgaben oder Hinweise zu Verbesserungen in der Planung, Entwicklung oder Herstellung des begutachteten Prototyps bzw. Produkts. 2. Adresse des Antragstellers/der Antragstellerin Antragstellerin dieses Gutachtens ist die Firma TurboMed EDV GmbH, Schützenwall 59, Kiel. Ansprechpartner seitens der TurboMed EDV GmbH ist Herr von der Burchard. Hauptansprechpartner ist jedoch der mit der Entwicklung und Projektdurchführung beauftragte, externer IT-Dienstleister des Projekts: Herr Christoph Hansen, Schulstrasse 14, Lehmkuhlen (Tel / , christoph.hansen@kielnet.net). 3. Adressen des/der Sachverständigen Sachverständige dieses Gutachtens ist die datenschutz nord GmbH, Barkhausenstr. 2, Bremerhaven. Ansprechpartner ist Herr Dr. Uwe Schläger; daneben haben Herr Oliver Stutz und Herr Günther Diederich an der Erstellung des Gutachtens mitgewirkt. 4. Kurzbezeichnung des IT-Produktes epharm 5. Detaillierte Bezeichnung des IT-Produktes Bei dem Produkt epharm - Die Realisierung einer telematischen Kommunikationslösung für das Gesundheitssystem Version 1.0 der Firma TurboMed GmbH handelt es sich um die Realisierung einer Kommunikationslösung im Gesundheitssystem, bestehend aus Client- und Serverkomponenten. Die Client- Komponenten werden in das EDV-System einer Praxis oder in Systeme anderer Einrichtungen des Gesundheitssystems (z.b. Krankenhäuser) integriert, die Verordnungen von Medikamenten vornehmen. Die Server-Komponenten werden von Versandapotheken eingesetzt.

2 Die nachfolgende Abbildung zeigt den Zusammenhang zwischen den verschiedenen Produktkomponenten (farblich hervorgehoben). Die Clientkomponenten Integrationsmodul (IMC) und VSM-Client werden in das medizinische Informationssystem integriert, während von den serverseitig betriebenen Komponenten VSM-Server und VSM-Broker, dargestellt als VA-VSM, lediglich der VSM-Server in den Server integriert wird. Über das Integrationsmodul wird die Anbindung des epharm Client an das medizinische Informationssystem realisiert. Der VSM-Broker wird getrennt vom VSM-Client und VSM-Server auf einem eigenen System als transparenter Proxy eingesetzt. PRAXIS- SOFT- WARE IMC HPC / PKI Funktionenschnittstelle VSM- Client Produktinterne Kommunikation über das Internet VA-VSM HPC / PKI RMI- Schnittstelle ErpConnector WAREN WIRT- SCHAFTS- SYSTEM VA 6. Tools, die zur Herstellung des IT-Produktes verwendet wurden Die folgenden Tools wurden zum Zeitpunkt der Begutachtung zur Herstellung des Plug-Ins für Clients verwendet, wobei für die Pakete Apache Tomcat, Java Runtime Edition bzw. Java Developer Kit und OpenSSL der Einsatz der jeweils aktuellen Versionen unter Angabe der entsprechenden Internetquellen gefordert wird. Zur Herstellung des Plug-Ins für Clients wurden verwendet: Visual C OpenSSL 0.9.7m OpenSC Zur Herstellung des Plug-Ins für Server verwendet: Sun ONE Studio 4 Update 1, Community Edition (IDE) JDK ant 1.51 (Java-make) Tomcat OpenSSL 0.9.7m Java Runtime Environment / Java Developer Kit Zweck und Einsatzbereich Das Produkt epharm erweitert ein medizinisches Informationssystem (z.b. eine Praxissoftware) und das System einer Versandapotheke durch Plug-Ins sowie einen Proxy auf Seite der Versandapotheke. Es ermöglicht mit diesen Komponenten die verschlüsselte Kommunikation zwischen einem medizinischen Informationssystem mit dem System einer Versandapotheke. Der rechtliche Rahmen zur Auditierung des Produkts besteht aus der Datenschutzauditverordnung Schleswig-Holstein (DSAVO), dem Landesdatenschutzgesetz Schleswig-Holstein (LDSG-SH) sowie dem

3 Telemediengesetz (TMG), dem Bundesdatenschutzgesetz (BDSG) und das Sozialgesetzbuch Fünftes Buch (SGB V). 8. Modellierung des Datenflusses Das Produkt übermittelt Nutzdaten (z.b. Bestandsabfrage, Rezeptdaten) und Daten zur Authentifizierung am epharm Client (vorab eingetragene Kartennummern), zusätzlich werden Daten zur Authentifizierung am epharm Server (Benutzername und Passwort) übertragen. Bei folgenden Funktionen des epharm Client wird die Nachricht zusätzlich unter Verwendung der HPC (Health Professional Card) signiert: An- und Abmelden am epharm Server Anforderung einer Transaktionsnummer Bestätigen einer Bestellung Die zu übermittelnden Daten werden vor dem Versand an den Server unter Verwendung von Blowfish (128 Bit) und RSA (1024 Bit) mit dem öffentlichen Schlüssel des internen Server-Systems der Versandapotheke verschlüsselt. Die Übertragung selbst wird zusätzlich per SSL gesichert, hierfür wird der öffentliche Schlüssel des extern erreichbaren Broker-Systems der Versandapotheke verwendet. Die Antworten des Servers werden in gleicher Weise verschlüsselt. Die Protokolldaten werden dem medizinischen Informationssystem als Datei zur Verfügung gestellt. Der Client verarbeitet all die erhaltenen Daten im Anschluss, es kommt somit zu keiner langfristigen Speicherung. Die Inhaltsdaten des Servers werden direkt als Ergebnis eines Funktionsaufrufs an das medizinische Informationssystem übergeben. Der epharm Server stellt dem System der Versandapotheke ebenfalls Protokollinformationen über eine Datei zur Verfügung. Auf dem VSM-Broker werden die Statusmeldungen und die Verbindungsdaten an den VSM-Server übermittelt. Auf dem VSM-Server wird die Protokollfunktion des SQL-Server eingesetzt, um alle Datenbankzugriffe zu protokollieren. Der datenschutzrechtlich korrekte Umgang mit Protokolldaten auf Client und Server obliegt damit den Wirtssystemen der Plug-Ins und umfasst sowohl die Behandlung der Protokolldateien (Zugriffsschutz, Löschung nach Auswertung, Löschen der Backups) als auch die Behandlung der daraus generierten Datenbankeinträge (Zugriffsschutz, Löschung wenn nicht mehr benötigt, Löschen der Backups). Aus den Prozessen zur Datenverarbeitung lassen sich die folgenden Datenarten identifizieren: Primärdaten A1 Sekundärdaten B1 Sekundärdaten B2 Nutzdaten Zugangsdaten Protokolldaten, sofern durch epharm verarbeitet 9. Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde Version Zusammenfassung der Prüfungsergebnisse Das Produkt epharm erweitert ein medizinisches Informationssystem (z.b. eine Praxissoftware) und das System einer Versandapotheke durch Plug-Ins sowie einen

4 Proxy auf Seite der Versandapotheke. Es ermöglicht mit diesen Komponenten die verschlüsselte Kommunikation zwischen einem medizinischen Informationssystem mit dem System einer Versandapotheke. Das Produkt ergänzt in seiner Eigenschaft als Plug-In die Wirtssysteme nicht nur um die verschlüsselte Kommunikation, sondern sieht darüber hinaus die Überprüfung der auf dem Client gespeicherten Zugangsdaten vor. Im Rahmen dieser Funktionen werden zudem Protokollinformationen erhoben, wobei die Protokolltiefe von demjenigen, der das Produkt in das Wirtssystem integriert, festgelegt werden kann. Im Rahmen der Produktinformation macht der Hersteller des Produkts epharm an verschiedenen Stellen im geeigneten Kontext auf datenschutzrechtlich relevante Situationen und Abläufe aufmerksam. Hinsichtlich der Anforderungen an die Technikgestaltung, der Zulässigkeit der angestrebten Datenverarbeitung, den technisch-organisatorischen Maßnahmen sowie den Rechten der Betroffenen wurde im Rahmen des Audits folgendes festgestellt (die möglichen Bewertungen Das Produkt entspricht der Anforderung in vorbildlicher Weise / in adäquater Weise / in unzureichender Weise / nicht., wurden um die Bewertung n.a. ergänzt. Diese Bewertung wird angewendet, soweit aufgrund der Produktart Plug-In Anforderungen nicht anwendbar waren): Anforderung Nutzdaten Zugangsdaten Protokolldaten Technikgestaltung Datensparsamkeit Löschen, Anonymisierung, Pseudonymisierung Transparent und Produktbeschreibung Zulässigkeit Anmerkung: (Grundlage ist die Einwilligung der Betroffenen in die Datenverarbeitung) TO-Maßnahmen Unbefugten Zugang verhindern Unbefugte Verarbeitung oder Inkenntnisnahme verhindern Angemessene Protokollierung Vorbildlich Adäquat n.a. - - Adäquat Weitere TO-Maßnahmen Erleichterung der Vorabkontrolle Erleichterung für Verfahrensverzeichnis Sonstige Unterstützung bdsb

5 Pflichten nach DSVO Betroffenenrechte Aufklärung/Benachrichtigung Auskunft Berichtigung, Löschung, Sperrung, Einwand / Widerruf 11. Beschreibung, wie das IT-Produkt den Datenschutz fördert Insgesamt zeichnet sich das Produkt dadurch aus, dass die Nutzdaten nicht nur zum Transport verschlüsselt werden, sondern zusätzlich auf Applikationsebene, so dass jeglicher Vorgang zum Transport der Nachricht unabhängig von der eigentlichen Verarbeitung der Nutzdaten erfolgen kann. Für die Verschlüsselung werden Signaturkarten eingesetzt und bzgl. der kartenausgebenen Stellen auf die Liste der von der Bundesnetzagentur anerkannten Produkte verwiesen. Die Protokollierung kann detailliert eingestellt werden, die Mehrzahl der Protokollierungsstufen sieht dabei von vornherein nicht die Protokollierung der Nutzerdaten vor. Die Protokollierungsstufen, die eine Protokollierung von Nutzerangaben enthalten, sind als solche kenntlich gemacht, und es wird auf die datenschutzrechtliche Relevanz verwiesen. Obgleich das Produkt keinen Einfluss auf die Sicherung der Dateien im Wirtssystem nehmen kann, steht mit Hilfe von Signaturen der Administratorkarte für den Client eine Sicherung der Integrität der dort vom Wirtssystem gespeicherten Zugangsdaten zur Verfügung. Ort, Datum Unterschrift des Sachverständigen