Notfalldaten-Management mit der elektronischen Gesundheitskarte



Ähnliche Dokumente
Notfalldatenmanagement auf der elektronischen Gesundheitskarte. Dezernat Telematik Bundesärztekammer Berlin

TELEMED 2013 NOTFALLDATEN AUF DER egk AUS ANWENDERSICHT. Ute Taube, Fachärztin für Allgemeinmedizin Vorstandsmitglied Sächsische Landesärztekammer

Einführung medizinischer Anwendungen in der TI

Datenschutz und Informationssicherheit in der Telematikinfrastruktur

Die elektronische Gesundheitskarte (egk)

Aktionsbündnis Patientensicherheit Jahrestagung 2016 Notfalldaten auf der elektronischen Gesundheitskarte

Die Gesundheitskarte Schlüssel zum vernetzten Gesundheitswesen

im Rahmen der Telematikinfrastruktur im Gesundheitswesen

Infoblatt. Elektronische Gesundheitskarte Daten Anwendungen [#7744] Juni 2015, Pressestelle der gematik

Glossar. Glossar Seite 1 / 5

Sicher vernetzt für Ihre Gesundheit. Das Wichtigste rund um die elektronische Gesundheitskarte

Aktionsbündnis Patientensicherheit Jahrestagung 2017 Elektronischer Medikationsplan

Wo steht die gematik heute?

Online-Rollout der Telematik-Infrastruktur (TI)

BESCHLUSS. des Erweiterten Bewertungsausschusses nach 87 Abs. 4 SGB V in seiner 53. Sitzung am 19. Dezember Teil A

Datenverarbeitung - Inhalt

Datenschutz-Forum Schweiz

Lesefassung des B E S C H L U S S E S

BESCHLUSS. des Erweiterten Bewertungsausschusses nach 87 Abs. 4 SGB V in seiner 53. Sitzung am 19. Dezember Teil A

NSA-Affäre Kapitulation für den Datenschutz?

Die Telematikinfrastruktur in der Praxis: Die gematik vernetzt das Gesundheitswesen

Workshop 21: Patienten-Akte und Patienten-App. Was wird aus der egk und der Telematikinfrastruktur? 17. Nationales DRG-Forum Berlin,16.03.

Informationen zum Thema Elektronische Patientenakte (EPA)

Die Telematik Infrastruktur der deutschlandweite Rollout beginnt. Was bedeutet die digitale Datenautobahn für die Rehabilitation?

Der Backbone zur Vernetzung im deutschen Gesundheitswesen

Notfalldaten auf der egk aus Anwendersicht

Presseseminar gematik Gesundheitskarte

emp/amts- Datenmanagement elektronischer Medikationsplan / Arzneimitteltherapiesicherheit

Validierung des Notfalldatensatzes für die egk

Gemeinsam erfolgreich Die Telematikinfrastruktur kommt

Datenschutz und Datensicherheit der egk

Nutzungsvereinbarung CGM LIFE Key und CGM LIFE Konto der CompuGroup Medical Deutschland AG

Deutscher Ethikrat: Zur Telematik im Gesundheitswesen

KOCO SAGT: SCHULUNGSUNTERLAGEN WER TI SAGT, KANN AUCH INSTALLATION SAGEN. KOCOBOX MED+ VERSION 1.0 STAND: JULI 2018 RELEASE-NUMMER:

Bestätigungsverfahren für weitere Anwendungen. Fragen und Antworten

Aktueller Status egk / Telematik-Infrastruktur

egk-zugriffsprofile: Datensicherheit durch Card-to-Card-Authentifizierung Dr. S. Buschner

KOCO SAGT: SCHULUNGSUNTERLAGEN WER TI SAGT, KANN AUCH INSTALLATION SAGEN. KOCOBOX MED+ VERSION 1.0 STAND: JULI 2018 RELEASE-NUMMER: 22.3.

Start der elektronischen Gesundheitskarte: Was bleibt? - Was ist neu? Rainer Höfer Abteilungsleiter IT-Systemfragen

PROZESSBESCHREIBUNG ZUM EINSATZ DES NOTFALLDATENMANAGEMENTS IN DER KLINISCHEN PRAXIS

Transparent. Weiß. Whitepaper. Datenschutz und Informationssicherheit. Wie werden Gesundheitsdaten in der Telematikinfrastruktur geschützt?

Transparent. Weiß. Whitepaper. Datenschutz und Informationssicherheit. Wie werden Gesundheitsdaten in der Telematikinfrastruktur geschützt?

Einführung der elektronischen Gesundheitskarte in Krankenhäusern

Zulassungsverfahren der gematik. Fragen und Antworten

Methode zur Dokumentation der Berechtigungen in der Telematikinfrastruktur

Scheitert die Telematik-Infrastruktur im Gesundheitswesen am Datenschutz?

INFORMATIONEN FÜR DIE PRAXIS

Informationsblatt. Anschluss einer medizinischen Einrichtung. So funktioniert der Zugang zur Telematikinfrastruktur praktisch!

ELEKTRONISCHE HEILBERUFS- UND BERUFSAUSWEISE. STAND DER AUSGABE UND ANWENDUNGSPEKTRUM

Die folgenden Informationen zur Datenverarbeitung und zum Datenschutz erhalten Sie aufgrund gesetzlicher Vorschriften von der

Datenschutz in der Telematik

Deutscher Bundestag. Ausarbeitung. Vorbehalte der Hausärzte gegenüber der elektronischen Gesundheitskarte. Wissenschaftliche Dienste

Sicherheitsmaßnahmen bei der Vernetzung der Akteure des Gesundheitswesens

r die Anbindung an die Telematikinfrastruktur

Dr. Stefan Bales Bundesministerium für Gesundheit

Zugriffs-, Sperr- und Löschkonzeption für Krankenhaus-EDV-Systeme

KOCO SAGT: SCHULUNGSUNTERLAGEN WER TI SAGT, KANN AUCH INSTALLATION SAGEN. KOCOBOX MED+ VERSION 1.0 STAND: JULI 2018 RELEASE-NUMMER: 0035

Handbuch & FAQ für Payment Card Industry Data Security Standard (PCI)

Projekt Status: elektronische Gesundheitskarte und Telematikinfrastruktur

Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte

Interoperabilität und Versorgungsziele bei ehealth- Methoden in der Patientenversorgung

Telematik-Konferenz 2014: Wann kommt die Telematik-Infrastruktur nach Brandenburg?

Elektronischer Arztausweis Fragen und Antworten rund um den elektronischen Arztausweis

Vorbemerkung für Fachleute: Patienteninformation in Leichter Sprache

Einfachere Nutzung von Ausweisen im Gesundheitswesen durch Verwendung von Biometrie. Dr. Dirk Scheuermann

Telematik G2-Karte Zukunft egk. Anja Martin und Mike von Gliszczynski, BITMARCK Neuss, 04. November 2014

Schnelleinstieg Dateien signieren

Ihr starker Partner für die gematik Online-Telematikinfrastruktur

Signaturrichtlinie QES. Notfalldaten-Management (NFDM)

Benutzerverwaltung. UserAdministrator 2.1

MERKBLATT DIE BEDIENSTETENCHIPKARTE DER RUB ÖFFENTLICHER SCHLÜSSEL, PRIVATER SCHLÜSSEL, ZERTIFIKAT

Checkliste. Datenschutzrechtliche Aspekte im Rahmen von Verträgen nach 140a SGB V

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.4 Berlin, September Copyright 2018, Bundesdruckerei GmbH

NFDM-Sprint Präsentation Projektergebnisse Teil I (Befragungen)

Patientenverfügung SRK Damit Ihr Wille zählt.

Wie sicher sind eigentlich die Daten auf dem biometrischen Pass?

Das neue ehealth-gesetz und der weitere Fahrplan

Die elektronische Gesundheitskarte Aktueller Stand ehealth Niedersachsen

Informationen zum Thema Datensicherheit

Die elektronische Gesundheitskarte - Risiken und Nebenwirkungen

Fragen und Antworten zur elektronischen Gesundheitskarte (egk)

Signaturen im Gesundheitswesen. Workflow und Verfahren

WICHTIGE RECHTSGRUNDLAGEN FÜR DIE ARBEIT IN DER AUGENÄRZTLICHEN PRAXIS

Sehr geehrte Patientin, sehr geehrter Patient,

Ihr starker Partner für die gematik Online-Telematikinfrastruktur

Das ehealth-gesetz. Rechtsanwältin Carolin Böhmig, Bundespsychotherapeutenkammer. 12. Juni 2015

aufgrund des 217f Absatz 4b SGB V

SECURE & WEBMAIL

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 6.2 Berlin, Juni Copyright 2018, Bundesdruckerei GmbH

Basisinformationen zur elektronischen Gesundheitskarte

Datenschutz im vernetzten Gesundheitswesen

DAS MEDICAL ACCESS PORT- BUNDLE DER START IN DAS DIGITALE GESUNDHEITSWESEN BERLIN,

Die elektronische Gesundheitskarte aus Patientensicht

Einführung der Gesundheitskarte Prüfbericht Einbeziehung von Endgeräten der Versicherten

VEREINSINFORMATION ZUSTIMMUNGS- ERKLÄRUNGEN IM SYSTEM

Fragen und Antworten zum QES-Aufladeverfahren

AGENDA. Das Gesundheitswesen im digitalen Umbruch Online-Praxis-Seminar

Transkript:

Lars Zimmer Notfalldaten-Management mit der elektronischen Gesundheitskarte Schutz medizinischer Versichertendaten auf der egk Im Notfall bleibt medizinischen Einsatzkräften keine Zeit Informationen zur medizinischen Vorgeschichte des Patienten zu sammeln. Da aber genau solche Informationen lebensrettend sein können, wird es zukünftig möglich sein, diese freiwillig auf der elektronischen Gesundheitskarte zu hinterlegen und für den Notfall zugänglich zu machen. Der Beitrag zeigt, wie Informationssicherheit und Datenschutz in der Architektur des Notfalldaten-Managements verankert sind, so dass die Sicherheit dieser medizinischen Daten gewährleistet ist. 1 Einleitung Für Menschen in einer Notfallsituation zählt oft jede Minute. Ärzte, Notfallsanitäter und Mitarbeiter medizinischer Institutionen müssen unverzüglich und schnell handeln. In diesem Szenario ist es undenkbar, erst Informationen über die medizinische Vorgeschichte des Patienten bspw. bei dessen Hausarzt einzuholen. Ebenso können die Patienten selbst oft keine Auskunft geben, da sie z. B. nicht ansprechbar sind oder unter Schock stehen. Es sind aber meist genau diese medizinischen Informationen, die einen ungünstigen Behandlungsverlauf abwenden können, wenn sie dem behandelnden Heilberufler frühzeitig bekannt sind. Dieser Informationsengpass wird nun vom Notfalldaten-Management (NFDM) geschlossen. NFDM ist eine freiwillige medizinische Fachanwendung der Telematikinfrastruktur (TI) des deutschen Gesundheitswesens gemäß 291a SGB V 1. Genau genommen handelt es sich um zwei voneinander unabhängige freiwillige Anwendungen. Zum einen das Erstellen und Pflegen des Notfalldatensatzes (NFD) und zum anderen das Erstellen und Pflegen des Datensatzes persönliche Erklärungen (DPE). Bei den Versicherten, die diese Anwendungen nutzen möchten, sind beide Datensätze getrennt voneinander auf der elektronischen Gesundheitskarte (egk) abgelegt. Da es sich bei den Notfalldaten um personenbezogene medizinische Daten, also besonders sensible Daten handelt, spielen Da- 1 Sozialgesetzbuch (SGB) Fünftes Buch (V) Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477). Dr. Lars Zimmer Spezialist für Informationssicherheit bei der gematik. Sicherheitskonzeption für Fachanwendungen und Infrastrukturdienste der Telematikinfrastruktur E-Mail: lars.zimmer@gematik.de tenschutz und Informationssicherheit bei NFDM eine sehr wichtige Rolle. Im Folgenden soll dargestellt werden, wie die in NFDM verarbeiteten Daten geschützt und die Rechte des Versicherten gewahrt werden, wobei der Fokus auf der Informationssicherheit liegt. 2 Notfalldatensatz Zunächst stellt sich die Frage, welche Daten eines Versicherten Inhalt des NFD sein können. Notfalldaten sind im Rahmen der Anwendung NFDM wie folgt definiert: Notfallrelevante medizinische Informationen sind diejenigen Informationen aus der Vorgeschichte des Patienten, die dem behandelnden Arzt zur Abwendung eines ungünstigen Krankheitsverlaufs sofort zugänglich sein müssen. In Abstimmung mit der Bundesärztekammer sind schließlich die folgenden Informationen als notfallrelevant definiert worden: Befunddaten Besondere Hinweise (bspw. Schwangerschaft, Implantate) Allergien & Unverträglichkeiten Diagnosen Medikationsdaten Arzneimittel (Wirkstoffe, Dosierschema) Freiwillige Zusatzinformationen Zusatzinformationen durch den Versicherten (bspw. Blutgruppe) Es wird deutlich, dass es sich bei den Informationen um personenbezogene Daten gemäß 3 Abs. 1 BDSG handelt, die aufgrund ihrer Gesundheitsbezogenheit zudem besonders schützenswerte Daten i. S. d. 3 Abs. 9 BDSG darstellen. 2 Zusätzlich zu den medizinischen Informationen wird ebenfalls der jeweilige Arzt gespeichert, der die Angaben hinterlegt hat. Dies erleichtert eine schnelle Kontaktaufnahme bei eventuellen Rückfragen. 2 Zum Begriff sensibler Daten bspw. bei Gola/Schomerus, BDSG, 11. Aufl., München 2012, 3 Rn. 56; Buchner, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, 3 Rn. 57 ff. m. w. Nw. 394 DuD Datenschutz und Datensicherheit 6 2014

3 Datensatz persönliche Erklärungen Der DPE ist ein eigenständiger Datensatz und wird unabhängig vom NFD verwaltet. Die Definition der persönlichen Erklärungen lautet: Persönliche Erklärungen sind Hinweise auf den Aufbewahrungsort von Willenserklärungen des Patienten zum Behandlungsverlauf oder zur Organ- und Gewebespende. Der DPE enthält also nicht die persönlichen Erklärungen selbst, sondern lediglich einen Hinweis auf den Ablageort der jeweiligen Erklärung. In Situationen, in denen diese Erklärungen benötigt werden, ist der Patient in der Regel selbst nicht ansprechbar oder auskunftsfähig. Über die im DPE hinterlegten Hinweise sind die Erklärungen trotzdem schnell zu finden. Die persönlichen Erklärungen können den jeweiligen Aufbewahrungsort der Gewebe- und Organspendeerklärung 3, der Vorsorgevollmacht (vgl. 164 ff. BGB) sowie der Patientenverfügung (vgl. 1901a BGB) beinhalten. Die Informationen zur Vorsorgevollmacht enthalten zudem Kontaktdaten des Bevollmächtigten, damit dieser im Ernstfall erreicht werden kann. Im DPE befinden sich somit auch personenbezogene Daten jedoch im Gegensatz zum NFD keine medizinischen Daten. 4 Einwilligung Die Anwendung NFDM ist für jeden Versicherten freiwillig. Es ist gesetzlich verankert, dass sowohl für das erstmalige Anlegen des NFD als auch des DPE eine Einwilligung des Versicherten vorliegen muss (vgl. 291a Abs. 3 SGB V), welche nach Bundesdatenschutzgesetz der Schriftform bedarf. 4 Der Name des jeweiligen Arztes, bei dem diese Einwilligung erstellt und hinterlegt wurde, ist sowohl im NFD als auch im DPE gespeichert, wodurch die Einwilligung auf der egk dokumentiert wird. Der Versicherte kann seine Einwilligung jederzeit widerrufen. Durch das Löschen des NFD und/oder DPE wird dann auch die jeweilige Dokumentation der Einwilligung von der egk entfernt. 5 Speicherort NFD und DPE werden ausschließlich dezentral innerhalb des vom Versicherten oder Arzt kontrollierten Bereichs gespeichert. 5 Sie liegen somit einerseits auf der egk des Versicherten und andererseits beim erstellenden Arzt in dessen Behandlungsdokumentation vor. Die beiden Datensätze werden zugriffsgeschützt jedoch nicht verschlüsselt auf der egk gespeichert. Sind Daten verschlüsselt auf der egk hinterlegt, erzwingt dies immer die Eingabe der PIN des Versicherten, wenn die Daten gelesen und somit vorher entschlüsselt werden sollen. Diese zwingende PIN-Eingabe vor je- 3 Näher geregelt im Transplantationsgesetz, zu finden unter http://www. gesetze-im-internet.de/tpg/index.html (letzter Abruf 19.3.2014). 4 Geregelt in 4a Abs. 1 Satz 3 BDSG. 5 Für eine zukünftige Ausbaustufe der Anwendung NFDM ist das Angebot zur freiwilligen Nutzung eines Online-Backups der Datensätze geplant. Entscheidet sich ein Versicherter für dieses Backup, könnten nach einem eventuellen Verlust oder Defekt seiner egk die Datensätze auf der neuen egk wiederhergestellt werden. Die Daten werden verschlüsselt gespeichert und das Wiederherstellen und somit Entschlüsseln der Daten ist ausschließlich unter Mitwirkung des Versicherten möglich. dem Lesen ist unvereinbar mit dem Sinn und Zweck der Anwendung NFDM. Dies wird im folgenden Abschnitt näher erläutert. 6 Zugriffsberechtigungskonzept 6 Da in der Anwendung NFDM personenbezogene medizinische Daten verarbeitet werden, die besonderer Vertraulichkeit unterliegen, ist es im Interesse des Versicherten und des Heilberuflers, den Zugriff auf diese Daten nur berechtigten en zu gewähren. Das Interesse des Versicherten gilt seiner Privatsphäre und jenes des Heilberuflers der ärztlichen Schweigepflicht. Das Berechtigungskonzept für den Zugriff der einzelnen e der TI (Arzt, Apotheker, Notfallsanitäter etc.) auf den NFD oder den DPE, ist daher ein besonders wichtiger Teil der Anwendung NFDM. Zunächst muss sich die Motivation für das Anlegen eines NFD und eines DPE in Erinnerung gerufen werden. Die Daten sollen in Situationen, in denen sie benötigt werden, ohne Interaktion des Versicherten für bestimmte Heilberufler zugänglich sein, da der Versicherte selbst nicht ansprechbar oder auskunftsfähig ist. Ein übergreifender Zugriffsschutz der Daten durch die PIN des Versicherten auch indirekt über eine Verschlüsselung der Daten auf der egk widerspricht diesem Zweck, obwohl eine solche Maßnahme auf Grund der Vertraulichkeit der Informationen naheliegen mag. Bestimmte Heilberufler müssen also auch ohne Eingabe der PIN des Versicherten Zugriff auf NFD und DPE von der egk erhalten. Gleichzeitig muss sichergestellt sein, dass die Daten nicht für unberechtigte Personen, die eventuell in Besitz der egk kommen, zugänglich werden. 6.1 Berechtigte e und ihre Zugriffsrechte Ziel des Berechtigungskonzepts ist es, den Kreis der e, die auf den NFD und/oder den DPE zugreifen dürfen, so groß wie nötig, aber so klein wie möglich zu halten. In Abstimmung mit den betroffenen Heilberuflern, dem Bundesministerium für Gesundheit und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurde nach dieser Prämisse das Berechtigungskonzept der Anwendung NFDM erstellt. Die einzigen e, die neben dem Versicherten selbst überhaupt auf den NFD zugreifen können, sind Ärzte und deren Mitarbeiter 7, Zahnärzte und deren Mitarbeiter, Notfall sanitäter 8, Apotheker, Mitarbeiter in Apotheken und Psychotherapeuten. Dies gilt unabhängig von der Art der Zugriffsrechte und davon, ob das Recht unmittelbar oder erst durch Autorisierung des Versicherten mittels Eingabe seiner PIN gewährt wird. Auf den DPE haben neben dem Versicherten ausschließlich Ärzte und deren 6 Für die Beschreibung technischer Abläufe wird im vorliegenden Artikel ausschließlich die egk der 2. Generation betrachtet, da diese für den Wirkbetrieb der Anwendung NFDM die größere Relevanz hat. Die Unterschiede in den jeweiligen technischen Abläufen bei Karten der 1. Generation sind nur gering. 7 Dies beinhaltet im Kontext von NFDM auch medizinisches Personal in Krankenhäusern. 8 Im Gesetz ist festgelegt, dass in Notfällen auch Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, auf Notfalldaten zugreifen dürfen (vgl. 291a Abs. 4 S. 2 SGB V). Im Fokus von NFDM stehen hierbei nur Notfallsanitäter und Rettungsassistenten. Im Rahmen dieses Artikels wird zur Vereinfachung nur von Notfallsanitätern gesprochen. DuD Datenschutz und Datensicherheit 6 2014 395

Mitarbeiter Zugriff. Nur diesen jeweiligen Personenkreisen ist es mittels ihres Heilberufsausweis (HBA) oder im Falle der Mitarbeiter von Ärzten, Zahnärzten bzw. einer Apotheke mit der Institutionskarte (Security Modul Card Typ B, SMC-B) technisch möglich, auf die Daten zuzugreifen. 9 6.1.1 Zwingender und optionaler PIN-Schutz Wie bereits erwähnt, ist in bestimmten Fällen die Eingabe der PIN des Versicherten notwendig, um Zugriffsrechte zu gewähren. Dabei ist wiederum zu unterscheiden zwischen Fällen, in denen dieser PIN-Schutz zwingend ist und Fällen, in denen er optional ist. Es ist dem Versicherten überlassen, ob er für bestimmte Zugriffe einen zusätzlichen PIN-Schutz aktivieren möchte. Die konkreten Fälle werden in den folgenden Unterkapiteln beschrieben. Das Aktivieren und Deaktivieren des optionalen PIN-Schutzes kann der Versicherte zukünftig entweder an speziell für die Anwendungen des Versicherten bereitgestellten Versicherten-Terminals oder mit spezieller Software für den privaten PC auch zu Hause durchführen. 6.1.2 Schreibender Zugriff Im Folgenden wird die technische Berechtigung zum Schreiben der Daten auf die egk betrachtet, die auch das Löschen der Daten beinhaltet. Die technische Berechtigung zum Lesen der Daten von der egk wird im Abschnitt darauf behandelt. Auf den DPE haben ausschließlich Ärzte sowie deren Mitarbeiter schreibenden Zugriff. Der NFD kann zusätzlich auch von Zahnärzten und deren Mitarbeitern geschrieben werden. Ebenso kann der Versicherte selbst den DPE schreiben, indem er die Versicherten-Terminals nutzt. Bei allen Schreibvorgängen bezüglich NFD und DPE kommt immer der optionale PIN-Schutz zum Tragen. Hat der Versicherte diesen aktiviert, muss stets vor dem Schreiben die PIN des Versicherten eingegeben werden. 6.1.3 Lesender Zugriff Für den lesenden Zugriff ist das vorliegende Szenario von Bedeutung. Notfallsituation Zu Beginn des Projekts NFDM sind in Abstimmung mit Vertretern der Ärzte (Bundesärztekammer) die folgenden drei Szenarien als Notfallszenarien definiert worden: Präklinische Patientenversorgung durch Rettungsdienst (bspw. nach einem Verkehrsunfall) Ungeplante Patientenaufnahme in der Notaufnahme eines Krankenhauses Arzt trifft im ambulanten Versorgungssektor auf unbekannten Patient mit Akutbeschwerden In einer solchen Notfallsituation dürfen auf den DPE Ärzte und deren Mitarbeiter und auf den NFD zusätzlich auch Zahnärzte und deren Mitarbeiter sowie Notfallsanitäter zugreifen. Diese Rechte werden ohne PIN-Schutz gewährt, was sich aus der bereits beschriebenen Motivation und dem Zweck der Anwendung NFDM ableitet. Aktualisierung des Datensatzes Zum Zwecke der Aktualisierung und Pflege des Datensatzes also bspw. im Zuge des Routinebesuchs beim Hausarzt ist der lesende Zugriff auf den DPE für Ärzte sowie deren Mitarbeiter und auf den NFD zudem auch für Zahnärzte sowie deren Mitarbeiter gestattet. In diesem Szenario gibt es ebenfalls keine Abfrage der PIN des Versicherten. Außerhalb von Notfall und Aktualisierung In den sonstigen Fällen abseits von Notfall und Aktualisierung dürfen Ärzte und deren Mitarbeiter auf den DPE sowie zusätzlich Zahnärzte und deren Mitarbeiter auf den d zugreifen, wobei hier der optionale PIN-Schutz greift. Zusätzlich ist Apothekern und Mitarbeitern der Apotheke sowie Psychotherapeuten der lesende Zugriff gestattet, jedoch ausschließlich mit zwingendem PIN-Schutz. Darüber hinaus kann der Versicherte selbst lesend auf den NFD und den DPE zugreifen. Der technische Zugriff des Versicherten ist dabei über die bereits erwähnten Versicherten-Terminals bzw. im Fall des DPE außerdem über eine Anwendung auf dem heimischen PC möglich. Da auf den NFD gemäß 291a Abs. 5 S. 3 SGB V nur in Verbindung mit einem HBA zugegriffen werden darf, ist der Einblick in den NFD für den Versicherten ausschließlich an Versicherten-Terminals in Arztpraxen, Krankenhäusern oder anderen Umgebungen unter Arztaufsicht möglich. Beim lesenden Zugriff auf den NFD oder DPE über einen Versicherten-Terminal oder eine Heim-PC-Anwendung (nur DPE) gilt der zwingende PIN-Schutz, so dass niemand durch bloßen Besitz einer egk deren Daten an einem Versicherten-Terminal auslesen kann. Tabelle 1 gibt eine genaue Übersicht über die beschriebenen Zugriffsrechte der verschieden e. Tabelle 1 Zugriffsrechte auf NFD und DPE Versicherter Recht Notfall Aktual. sonst. PIN* NFD schreiben Arzt & MA PIN PIN Zahnarzt & MA PIN PIN Notfallsanitäter Apotheker & MA PIN Psychotherapeut PIN Recht DPE lesen DPE Notfall Aktual. sonst. schreiben Versicherter PIN PIN Arzt & MA PIN PIN PIN (fett) = zwingender PIN-Schutz; PIN (kursiv) = optionaler PIN-Schutz; * = nur in Verbindung mit einem HBA; MA = Mitarbeiter 6.2 Durchsetzung der Zugriffsrechte Wie der bisherigen Beschreibung des Berechtigungskonzepts entnommen werden kann, beruht der Schutz des NFD und des DPE zum einen auf der Beschränkung des Kreises der e, die zugreifen dürfen, und zum anderen auf einer zusätzlichen Differenzierung verschiedener Szenarien. 9 Ein Zugriff ohne einen HBA (bspw. durch den Mitarbeiter), muss durch eine Person die über einen HBA verfügt (bspw. Arzt) autorisiert werden. 396 DuD Datenschutz und Datensicherheit 6 2014

6.2.1 Beschränkung der berechtigten e Bis auf den Fall des Versicherten selbst er beweist seine Identität technisch durch die Eingabe seiner PIN wird die Zugriffsbeschränkung auf bestimmte e mit Hilfe des HBA bzw. der SMC-B dieser e technisch durchgesetzt. Mit dem HBA bzw. der SMC-B können sich e der TI auch technisch ausweisen und zwar gegenüber der egk. Je nachdem um welchen es sich handelt (Arzt, Mitarbeiter, Notfallsanitäter etc.), verleiht der HBA / die SMC-B diesem bestimmte Zugriffsrechte auf der egk. Dies geschieht im Zuge einer Card-to-Card Authentisierung (C2C) mit Hilfe einer PKI basierend auf Card Verifiable Certificates (CVC, CV-Zertifikate). Card-to-Card Authentisierung Die Hierarchie der PKI der CV-Zertifikate ist zweistufig. Unter der höchsten Certificate Authority (CA), der CVC-Root-CA, befinden sich CVC-CAs, welche dann direkt Endnutzer-CV-Zertifikate ausstellen. Die Prüfung der Identität eines HBA / einer SMC-B (im Folgenden nur noch HBA, da der Ablauf für eine SMC-B identisch ist) erfolgt in drei Schritten. Zunächst präsentiert der HBA der egk sein CVC-CA-Zertifikat. Dieses ist entsprechend von der CVC- Root-CA signiert und die egk prüft die Signatur mit dem fest auf ihr aufgebrachten öffentlichen Schlüssel der CVC-Root-CA. Anschließend präsentiert der HBA der egk sein Endnutzer-CV- Zertifikat. Dessen Signatur von der CVC-CA prüft die egk mit dem öffentlichen Schlüssel der CVC-CA, der im vorher erhaltenen CVC-CA-Zertifikat enthalten ist. Mit diesen zwei Schritten ist die Echtheit des Endnutzer-CV-Zertifikats bewiesen. Im letzten Schritt muss der HBA der egk beweisen, dass er im Besitz des zum öffentlichen Endnutzer-CV-Zertifikat gehörenden privaten Schlüssels ist, den nur der echte HBA besitzen kann. Dafür erzeugt die egk einen Zufallswert (Challenge), den der HBA mit dem privaten Schlüssel signieren muss. Die Nutzung dieses privaten Schlüssels unterliegt einem PIN-Schutz. Der Heilberufler kann eine C2C also nur durchführen, wenn er seinen HBA mittels PIN-Eingabe freigeschaltet hat. Die Signatur der Challenge kann die egk mit dem im Endnutzer CV-Zertifikat enthaltenen öffentlichen Schlüssel prüfen. Schlägt keiner der drei Schritte fehl, hat sich der HBA erfolgreich gegenüber der egk authentisiert. Flaglisten Die Endnutzer-CV-Zertifikate des HBA / der SMC-B enthalten die Informationen über die Rechte, die dem jeweiligen auf der egk gewährt werden. Diese sind in Form von Flaglisten hinterlegt und von der Signatur des Zertifikats umfasst, so dass eine Fälschung der Flagliste zu einem Fehler in der C2C führt. Jedes Flag in der Flagliste entspricht genau einer Berechtigung auf der egk, und ein Flag kann entweder gesetzt oder nicht gesetzt sein, die Berechtigung also gewährt oder nicht gewährt werden. Nur genau die Flaglisten des HBA / der SMC-B der oben erwähnten e haben die entsprechenden Flags für den lesenden oder schreibenden Zugriff auf den NFD oder DPE gesetzt. Somit ist technisch garantiert, dass nur berechtigte e Zugriff auf die Daten der Anwendung NFDM haben. Da auch der HBA und die SMC-B über eine PIN geschützt sind, führt auch der Verlust oder Diebstahl bspw. eines HBA nicht dazu, dass eine unberechtigte Person Zugriff auf den NFD oder den DPE erlangt, da der HBA erst mit dem PIN freigeschaltet werden müsste. Zur Veranschaulichung ist in Tabelle 2 für die e mit Zugriffsrechten auf den NFD und DPE der Ausschnitt der Flagliste in den CV-Zertifikaten ihres HBA / ihrer SMC-B dargestellt, der den NFD / den DPE betrifft. Tabelle 2 Ausschnitt der Flaglisten der e mit Zugriffsrechten auf den NFD / DPE Flag / Berechtigung NFD schreiben mit PIN.NFD mit PIN.NFD ohne PIN DPE schreiben mit PIN.PE DPE lesen mit PIN.PE DPE lesen ohne PIN Arzt Mitarbeiter Arzt Zahnarzt MA Zahnarzt Apotheker MA Apotheke Psychotherapeut Notfallsanitäter mit PIN (fett) = zwingender PIN-Schutz; mit PIN (kursiv) = optionaler PIN-Schutz; MA = Mitarbeiter 6.2.2 Differenzierung der Szenarien Bei der zusätzlichen Differenzierung von Zugriffsrechten verschiedener e in verschiedenen Szenarien ist zu beachten, dass dies nicht durch die egk technisch durchgesetzt werden kann. Die zuvor beschriebene Einschränkung des Kreises der berechtigten e wird über die Flaglisten auf den berechtigten Karten direkt von der egk im Zuge der C2C realisiert. Eine Unterscheidung verschiedener Szenarien durch die egk ist hingegen nicht möglich. Das heißt die egk kann nicht erkennen, ob es sich im konkreten Fall um einen Notfall handelt. Dementsprechend gibt es keine spezielle Berechtigung und auch kein dazu passendes Flag in der Flaglist für den Fall Lesen des NFD im Notfall oder Lesen des DPE außerhalb von Notfall und Aktualisierung. Es gibt lediglich z.b. die Berechtigung zum Lesen des NFD mit PIN-Schutz und jene zum Lesen des NFD ohne PIN- Schutz (vgl. Tabelle 2). Daraus wird klar, dass die Berechtigungen so vergeben werden müssen, dass die egk einem Arzt, Zahnarzt deren jeweiligen Mitarbeitern sowie einem Notfallsanitäter immer die Berechtigung zum Lesen des NFD ohne PIN-Schutz gewähren wird (vgl. Tabelle 2). Nur so ist garantiert, dass ein Lesen des NFD wenn nötig (z. B. Notfallsituation) ohne PIN-Eingabe durch den Versicherten möglich ist, auch wenn in anderen Situationen kein Leserecht oder lediglich ein Leserecht mit zusätzlichem PIN-Schutz gewährt wird (vgl. Tabelle 1). Ebenso gewährt die egk einem Apotheker, dessen Mitarbeitern sowie einem Psychotherapeuten immer die Berechtigung den NFD nach zwingender PIN-Eingabe des Versicherten zu lesen (vgl. Tabelle 2), auch wenn das für die Szenarien Notfall und Aktualisierung nicht vorgesehen ist, sondern nur in sonstigen Situationen (vgl. Tabelle 1). An dieser Stelle kommt die Ablauflogik der Anwendung NFDM ins Spiel. Bevor der Heilberufler lesend auf den NFD oder DuD Datenschutz und Datensicherheit 6 2014 397

DPE zugreifen kann, muss er eine bewusste Entscheidung treffen, um welche Situation es sich handelt. Dies geschieht über eine Abfrage auf dem Bildschirm seines Primärsystems oder dem Display eines mobilen Kartenterminals. Wird vom Heilberufler ein Szenario gewählt, welches nach Tabelle 1 einen zusätzlichen PIN-Schutz beinhaltet oder dem Heilberufler den Zugriff komplett verwehrt, wird dies von der Ablauflogik der Anwendung NFDM technisch durchgesetzt. Ob es sich im Falle eines zusätzlichen PIN-Schutzes um einen zwingenden oder optionalen PIN- Schutz handelt, wird wiederum stets von der egk durchgesetzt. Das vom Heilberufler gewählte Szenario wird auch im Protokoll der egk festgehalten, so dass diese bewusste Entscheidung des Heilberuflers für den Versicherten nachvollziehbar bleibt (vgl. Kapitel 8). 7 Authentizität des NFD Die Notfalldaten sind medizinische Informationen, die einen behandelnden Heilberufler bei Entscheidungen unterstützen sollen, wie eine Notfall-Behandlung vorgenommen wird. Die Authentizität der Daten ist daher von höchster Wichtigkeit. Der lesende Heilberufler muss die Gewissheit haben, dass der NFD von einem Arzt erstellt wurden, der nach bestem Wissen und Gewissen für deren Korrektheit einsteht, um sie überhaupt in seine Entscheidungsfindung einzubeziehen. Dieses Maß an Authentizität der Informationen und Rechtssicherheit für den lesenden Heilberufler wird bei digitalen Dokumenten nur von einer qualifizierten elektronischen Signatur (QES) gewährt, die das digitale Äquivalent zur handschriftlichen Unterschrift darstellt. Die QES des NFD wird bei jedem Lesen geprüft. Es findet dabei stets eine vollständige, mit dem Signaturgesetz konforme Prüfung unter Verwendung einer Signaturanwendungskomponente statt. Zu einer solchen vollständigen Prüfung gehört nicht nur die mathematische Prüfung der Signatur und die Prüfung der Zertifikatskette vom QES-Zertifikat bis zum Vertrauensanker der Bundesnetzagentur. Es muss auch der Sperrstatus des QES-Zertifikats geprüft werden. Dies gilt ebenso für das übergeordnete CA- Zertifikat des Zertifizierungsdiensteanbieters, der das QES-Zertifikat ausgestellt hat. Diese Prüfung geschieht üblicherweise online mittels des Online Certificate Status Protocol (OCSP). In vielen Notfallsituationen steht jedoch keine Onlineanbindung zur Verfügung bspw. an einer Unfallstelle und auf dem Weg zum Krankenhaus. Für diese Fälle werden bei der Erstellung der QES die aktuellen OCSP-Antworten falls möglich eingeholt und der QES beigefügt. Bei der Prüfung der QES im Offline-Fall, werden diese eingebetteten OCSP-Antworten kontrolliert, um so den Sperrstatus der Zertifikate zum Zeitpunkt der Signaturerstellung zu ermitteln. Eine eventuelle spätere Sperrung eines der beteiligten Zertifikate ist nicht von Bedeutung, wenn die Zertifikate bei der Signaturerstellung gültig waren. Für den Fall, dass die QES-Prüfung fehlschlägt, wird dem lesenden Heilberufler der NFD dennoch angezeigt, jedoch mit einer Warnung, dass die QES nicht (oder nicht vollständig) verifiziert werden konnte. Ob die Notfalldaten berücksichtigt werden oder nicht, liegt somit nach wie vor im Ermessen des Heilberuflers, der die Information über die fehlende oder ungültige QES in diese Entscheidung mit einbezieht. Falls die fehlgeschlagene Verifikation der QES auf einen Fehler beim Erstellen zurückzuführen ist, wird so gewährleistet, dass der Heilberufler dennoch die Chance hat, eventuell wichtige Information zur Kenntnis zu nehmen. 8 Nachvollziehbarkeit der Zugriffe auf NFD und DPE Da es sich beim Zugriff auf den NFD oder den DPE um einen Zugriff auf personenbezogene Daten des Versicherten handelt, muss dieser stets nachvollziehen können, wer wann und wie auf welche Daten zugegriffen hat. Dies ist über die Protokolldatei auf der egk möglich. Die Ablauflogik der Anwendung NFDM gewährleistet eine automatische Protokollierung eines jeden Zugriffs. Der zugreifende kann die Protokollierung weder verhindern, noch deren Inhalt ändern. Im Falle eines lesenden Zugriffs wird auch protokolliert, in welcher Situation (Notfall, Aktualisierung, sonstige Szenarien) dies stattfand. Die Protokolldatei der egk kann 50 Einträge aufnehmen, bevor dann jeweils der älteste Eintrag überschrieben wird. Das Protokoll ist nur durch den Versicherten auslesbar. Es gibt keinen direkten Schreibzugriff auf die gesamte Protokolldatei. Lediglich das Anhängen neuer Einträge und damit ab dem 51. Eintrag auch das Löschen des jeweils ältesten Eintrags ist den en der TI technisch gestattet. 9 Zusammenfassung Die freiwillige Anwendung Notfalldaten-Management soll Heilberufler in Notfallsituationen mit wichtigen Informationen zur medizinischen Vorgeschichte des Patienten versorgen, um das Risiko für negative Behandlungsverläufe zu minimieren. Ebenso liefert sie Informationen, die die Durchsetzung des Willens des Patienten in Fällen, in denen er dies nicht selbst kann, unterstützen sollen. Diese Informationen sind dezentral auf der elektronischen Gesundheitskarte des Versicherten gespeichert und durch ein technisch umgesetztes Zugriffsberechtigungssystem geschützt. Ein direkter Zugriff auf die Daten durch den bloßen Besitz der elektronischen Gesundheitskarte ist dadurch unmöglich. Die medizinischen Informationen werden nur von Ärzten erstellt und von diesen qualifiziert elektronisch signiert, wodurch die Authentizität der Daten bei jedem Lesen gewährleistet werden kann. Die Zugriffe auf seine Daten kann der Versicherte über ein Protokoll auf seiner elektronischen Gesundheitskarte stets nachvollziehen. 398 DuD Datenschutz und Datensicherheit 6 2014

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback