Lars Zimmer Notfalldaten-Management mit der elektronischen Gesundheitskarte Schutz medizinischer Versichertendaten auf der egk Im Notfall bleibt medizinischen Einsatzkräften keine Zeit Informationen zur medizinischen Vorgeschichte des Patienten zu sammeln. Da aber genau solche Informationen lebensrettend sein können, wird es zukünftig möglich sein, diese freiwillig auf der elektronischen Gesundheitskarte zu hinterlegen und für den Notfall zugänglich zu machen. Der Beitrag zeigt, wie Informationssicherheit und Datenschutz in der Architektur des Notfalldaten-Managements verankert sind, so dass die Sicherheit dieser medizinischen Daten gewährleistet ist. 1 Einleitung Für Menschen in einer Notfallsituation zählt oft jede Minute. Ärzte, Notfallsanitäter und Mitarbeiter medizinischer Institutionen müssen unverzüglich und schnell handeln. In diesem Szenario ist es undenkbar, erst Informationen über die medizinische Vorgeschichte des Patienten bspw. bei dessen Hausarzt einzuholen. Ebenso können die Patienten selbst oft keine Auskunft geben, da sie z. B. nicht ansprechbar sind oder unter Schock stehen. Es sind aber meist genau diese medizinischen Informationen, die einen ungünstigen Behandlungsverlauf abwenden können, wenn sie dem behandelnden Heilberufler frühzeitig bekannt sind. Dieser Informationsengpass wird nun vom Notfalldaten-Management (NFDM) geschlossen. NFDM ist eine freiwillige medizinische Fachanwendung der Telematikinfrastruktur (TI) des deutschen Gesundheitswesens gemäß 291a SGB V 1. Genau genommen handelt es sich um zwei voneinander unabhängige freiwillige Anwendungen. Zum einen das Erstellen und Pflegen des Notfalldatensatzes (NFD) und zum anderen das Erstellen und Pflegen des Datensatzes persönliche Erklärungen (DPE). Bei den Versicherten, die diese Anwendungen nutzen möchten, sind beide Datensätze getrennt voneinander auf der elektronischen Gesundheitskarte (egk) abgelegt. Da es sich bei den Notfalldaten um personenbezogene medizinische Daten, also besonders sensible Daten handelt, spielen Da- 1 Sozialgesetzbuch (SGB) Fünftes Buch (V) Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477). Dr. Lars Zimmer Spezialist für Informationssicherheit bei der gematik. Sicherheitskonzeption für Fachanwendungen und Infrastrukturdienste der Telematikinfrastruktur E-Mail: lars.zimmer@gematik.de tenschutz und Informationssicherheit bei NFDM eine sehr wichtige Rolle. Im Folgenden soll dargestellt werden, wie die in NFDM verarbeiteten Daten geschützt und die Rechte des Versicherten gewahrt werden, wobei der Fokus auf der Informationssicherheit liegt. 2 Notfalldatensatz Zunächst stellt sich die Frage, welche Daten eines Versicherten Inhalt des NFD sein können. Notfalldaten sind im Rahmen der Anwendung NFDM wie folgt definiert: Notfallrelevante medizinische Informationen sind diejenigen Informationen aus der Vorgeschichte des Patienten, die dem behandelnden Arzt zur Abwendung eines ungünstigen Krankheitsverlaufs sofort zugänglich sein müssen. In Abstimmung mit der Bundesärztekammer sind schließlich die folgenden Informationen als notfallrelevant definiert worden: Befunddaten Besondere Hinweise (bspw. Schwangerschaft, Implantate) Allergien & Unverträglichkeiten Diagnosen Medikationsdaten Arzneimittel (Wirkstoffe, Dosierschema) Freiwillige Zusatzinformationen Zusatzinformationen durch den Versicherten (bspw. Blutgruppe) Es wird deutlich, dass es sich bei den Informationen um personenbezogene Daten gemäß 3 Abs. 1 BDSG handelt, die aufgrund ihrer Gesundheitsbezogenheit zudem besonders schützenswerte Daten i. S. d. 3 Abs. 9 BDSG darstellen. 2 Zusätzlich zu den medizinischen Informationen wird ebenfalls der jeweilige Arzt gespeichert, der die Angaben hinterlegt hat. Dies erleichtert eine schnelle Kontaktaufnahme bei eventuellen Rückfragen. 2 Zum Begriff sensibler Daten bspw. bei Gola/Schomerus, BDSG, 11. Aufl., München 2012, 3 Rn. 56; Buchner, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, 3 Rn. 57 ff. m. w. Nw. 394 DuD Datenschutz und Datensicherheit 6 2014
3 Datensatz persönliche Erklärungen Der DPE ist ein eigenständiger Datensatz und wird unabhängig vom NFD verwaltet. Die Definition der persönlichen Erklärungen lautet: Persönliche Erklärungen sind Hinweise auf den Aufbewahrungsort von Willenserklärungen des Patienten zum Behandlungsverlauf oder zur Organ- und Gewebespende. Der DPE enthält also nicht die persönlichen Erklärungen selbst, sondern lediglich einen Hinweis auf den Ablageort der jeweiligen Erklärung. In Situationen, in denen diese Erklärungen benötigt werden, ist der Patient in der Regel selbst nicht ansprechbar oder auskunftsfähig. Über die im DPE hinterlegten Hinweise sind die Erklärungen trotzdem schnell zu finden. Die persönlichen Erklärungen können den jeweiligen Aufbewahrungsort der Gewebe- und Organspendeerklärung 3, der Vorsorgevollmacht (vgl. 164 ff. BGB) sowie der Patientenverfügung (vgl. 1901a BGB) beinhalten. Die Informationen zur Vorsorgevollmacht enthalten zudem Kontaktdaten des Bevollmächtigten, damit dieser im Ernstfall erreicht werden kann. Im DPE befinden sich somit auch personenbezogene Daten jedoch im Gegensatz zum NFD keine medizinischen Daten. 4 Einwilligung Die Anwendung NFDM ist für jeden Versicherten freiwillig. Es ist gesetzlich verankert, dass sowohl für das erstmalige Anlegen des NFD als auch des DPE eine Einwilligung des Versicherten vorliegen muss (vgl. 291a Abs. 3 SGB V), welche nach Bundesdatenschutzgesetz der Schriftform bedarf. 4 Der Name des jeweiligen Arztes, bei dem diese Einwilligung erstellt und hinterlegt wurde, ist sowohl im NFD als auch im DPE gespeichert, wodurch die Einwilligung auf der egk dokumentiert wird. Der Versicherte kann seine Einwilligung jederzeit widerrufen. Durch das Löschen des NFD und/oder DPE wird dann auch die jeweilige Dokumentation der Einwilligung von der egk entfernt. 5 Speicherort NFD und DPE werden ausschließlich dezentral innerhalb des vom Versicherten oder Arzt kontrollierten Bereichs gespeichert. 5 Sie liegen somit einerseits auf der egk des Versicherten und andererseits beim erstellenden Arzt in dessen Behandlungsdokumentation vor. Die beiden Datensätze werden zugriffsgeschützt jedoch nicht verschlüsselt auf der egk gespeichert. Sind Daten verschlüsselt auf der egk hinterlegt, erzwingt dies immer die Eingabe der PIN des Versicherten, wenn die Daten gelesen und somit vorher entschlüsselt werden sollen. Diese zwingende PIN-Eingabe vor je- 3 Näher geregelt im Transplantationsgesetz, zu finden unter http://www. gesetze-im-internet.de/tpg/index.html (letzter Abruf 19.3.2014). 4 Geregelt in 4a Abs. 1 Satz 3 BDSG. 5 Für eine zukünftige Ausbaustufe der Anwendung NFDM ist das Angebot zur freiwilligen Nutzung eines Online-Backups der Datensätze geplant. Entscheidet sich ein Versicherter für dieses Backup, könnten nach einem eventuellen Verlust oder Defekt seiner egk die Datensätze auf der neuen egk wiederhergestellt werden. Die Daten werden verschlüsselt gespeichert und das Wiederherstellen und somit Entschlüsseln der Daten ist ausschließlich unter Mitwirkung des Versicherten möglich. dem Lesen ist unvereinbar mit dem Sinn und Zweck der Anwendung NFDM. Dies wird im folgenden Abschnitt näher erläutert. 6 Zugriffsberechtigungskonzept 6 Da in der Anwendung NFDM personenbezogene medizinische Daten verarbeitet werden, die besonderer Vertraulichkeit unterliegen, ist es im Interesse des Versicherten und des Heilberuflers, den Zugriff auf diese Daten nur berechtigten en zu gewähren. Das Interesse des Versicherten gilt seiner Privatsphäre und jenes des Heilberuflers der ärztlichen Schweigepflicht. Das Berechtigungskonzept für den Zugriff der einzelnen e der TI (Arzt, Apotheker, Notfallsanitäter etc.) auf den NFD oder den DPE, ist daher ein besonders wichtiger Teil der Anwendung NFDM. Zunächst muss sich die Motivation für das Anlegen eines NFD und eines DPE in Erinnerung gerufen werden. Die Daten sollen in Situationen, in denen sie benötigt werden, ohne Interaktion des Versicherten für bestimmte Heilberufler zugänglich sein, da der Versicherte selbst nicht ansprechbar oder auskunftsfähig ist. Ein übergreifender Zugriffsschutz der Daten durch die PIN des Versicherten auch indirekt über eine Verschlüsselung der Daten auf der egk widerspricht diesem Zweck, obwohl eine solche Maßnahme auf Grund der Vertraulichkeit der Informationen naheliegen mag. Bestimmte Heilberufler müssen also auch ohne Eingabe der PIN des Versicherten Zugriff auf NFD und DPE von der egk erhalten. Gleichzeitig muss sichergestellt sein, dass die Daten nicht für unberechtigte Personen, die eventuell in Besitz der egk kommen, zugänglich werden. 6.1 Berechtigte e und ihre Zugriffsrechte Ziel des Berechtigungskonzepts ist es, den Kreis der e, die auf den NFD und/oder den DPE zugreifen dürfen, so groß wie nötig, aber so klein wie möglich zu halten. In Abstimmung mit den betroffenen Heilberuflern, dem Bundesministerium für Gesundheit und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurde nach dieser Prämisse das Berechtigungskonzept der Anwendung NFDM erstellt. Die einzigen e, die neben dem Versicherten selbst überhaupt auf den NFD zugreifen können, sind Ärzte und deren Mitarbeiter 7, Zahnärzte und deren Mitarbeiter, Notfall sanitäter 8, Apotheker, Mitarbeiter in Apotheken und Psychotherapeuten. Dies gilt unabhängig von der Art der Zugriffsrechte und davon, ob das Recht unmittelbar oder erst durch Autorisierung des Versicherten mittels Eingabe seiner PIN gewährt wird. Auf den DPE haben neben dem Versicherten ausschließlich Ärzte und deren 6 Für die Beschreibung technischer Abläufe wird im vorliegenden Artikel ausschließlich die egk der 2. Generation betrachtet, da diese für den Wirkbetrieb der Anwendung NFDM die größere Relevanz hat. Die Unterschiede in den jeweiligen technischen Abläufen bei Karten der 1. Generation sind nur gering. 7 Dies beinhaltet im Kontext von NFDM auch medizinisches Personal in Krankenhäusern. 8 Im Gesetz ist festgelegt, dass in Notfällen auch Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, auf Notfalldaten zugreifen dürfen (vgl. 291a Abs. 4 S. 2 SGB V). Im Fokus von NFDM stehen hierbei nur Notfallsanitäter und Rettungsassistenten. Im Rahmen dieses Artikels wird zur Vereinfachung nur von Notfallsanitätern gesprochen. DuD Datenschutz und Datensicherheit 6 2014 395
Mitarbeiter Zugriff. Nur diesen jeweiligen Personenkreisen ist es mittels ihres Heilberufsausweis (HBA) oder im Falle der Mitarbeiter von Ärzten, Zahnärzten bzw. einer Apotheke mit der Institutionskarte (Security Modul Card Typ B, SMC-B) technisch möglich, auf die Daten zuzugreifen. 9 6.1.1 Zwingender und optionaler PIN-Schutz Wie bereits erwähnt, ist in bestimmten Fällen die Eingabe der PIN des Versicherten notwendig, um Zugriffsrechte zu gewähren. Dabei ist wiederum zu unterscheiden zwischen Fällen, in denen dieser PIN-Schutz zwingend ist und Fällen, in denen er optional ist. Es ist dem Versicherten überlassen, ob er für bestimmte Zugriffe einen zusätzlichen PIN-Schutz aktivieren möchte. Die konkreten Fälle werden in den folgenden Unterkapiteln beschrieben. Das Aktivieren und Deaktivieren des optionalen PIN-Schutzes kann der Versicherte zukünftig entweder an speziell für die Anwendungen des Versicherten bereitgestellten Versicherten-Terminals oder mit spezieller Software für den privaten PC auch zu Hause durchführen. 6.1.2 Schreibender Zugriff Im Folgenden wird die technische Berechtigung zum Schreiben der Daten auf die egk betrachtet, die auch das Löschen der Daten beinhaltet. Die technische Berechtigung zum Lesen der Daten von der egk wird im Abschnitt darauf behandelt. Auf den DPE haben ausschließlich Ärzte sowie deren Mitarbeiter schreibenden Zugriff. Der NFD kann zusätzlich auch von Zahnärzten und deren Mitarbeitern geschrieben werden. Ebenso kann der Versicherte selbst den DPE schreiben, indem er die Versicherten-Terminals nutzt. Bei allen Schreibvorgängen bezüglich NFD und DPE kommt immer der optionale PIN-Schutz zum Tragen. Hat der Versicherte diesen aktiviert, muss stets vor dem Schreiben die PIN des Versicherten eingegeben werden. 6.1.3 Lesender Zugriff Für den lesenden Zugriff ist das vorliegende Szenario von Bedeutung. Notfallsituation Zu Beginn des Projekts NFDM sind in Abstimmung mit Vertretern der Ärzte (Bundesärztekammer) die folgenden drei Szenarien als Notfallszenarien definiert worden: Präklinische Patientenversorgung durch Rettungsdienst (bspw. nach einem Verkehrsunfall) Ungeplante Patientenaufnahme in der Notaufnahme eines Krankenhauses Arzt trifft im ambulanten Versorgungssektor auf unbekannten Patient mit Akutbeschwerden In einer solchen Notfallsituation dürfen auf den DPE Ärzte und deren Mitarbeiter und auf den NFD zusätzlich auch Zahnärzte und deren Mitarbeiter sowie Notfallsanitäter zugreifen. Diese Rechte werden ohne PIN-Schutz gewährt, was sich aus der bereits beschriebenen Motivation und dem Zweck der Anwendung NFDM ableitet. Aktualisierung des Datensatzes Zum Zwecke der Aktualisierung und Pflege des Datensatzes also bspw. im Zuge des Routinebesuchs beim Hausarzt ist der lesende Zugriff auf den DPE für Ärzte sowie deren Mitarbeiter und auf den NFD zudem auch für Zahnärzte sowie deren Mitarbeiter gestattet. In diesem Szenario gibt es ebenfalls keine Abfrage der PIN des Versicherten. Außerhalb von Notfall und Aktualisierung In den sonstigen Fällen abseits von Notfall und Aktualisierung dürfen Ärzte und deren Mitarbeiter auf den DPE sowie zusätzlich Zahnärzte und deren Mitarbeiter auf den d zugreifen, wobei hier der optionale PIN-Schutz greift. Zusätzlich ist Apothekern und Mitarbeitern der Apotheke sowie Psychotherapeuten der lesende Zugriff gestattet, jedoch ausschließlich mit zwingendem PIN-Schutz. Darüber hinaus kann der Versicherte selbst lesend auf den NFD und den DPE zugreifen. Der technische Zugriff des Versicherten ist dabei über die bereits erwähnten Versicherten-Terminals bzw. im Fall des DPE außerdem über eine Anwendung auf dem heimischen PC möglich. Da auf den NFD gemäß 291a Abs. 5 S. 3 SGB V nur in Verbindung mit einem HBA zugegriffen werden darf, ist der Einblick in den NFD für den Versicherten ausschließlich an Versicherten-Terminals in Arztpraxen, Krankenhäusern oder anderen Umgebungen unter Arztaufsicht möglich. Beim lesenden Zugriff auf den NFD oder DPE über einen Versicherten-Terminal oder eine Heim-PC-Anwendung (nur DPE) gilt der zwingende PIN-Schutz, so dass niemand durch bloßen Besitz einer egk deren Daten an einem Versicherten-Terminal auslesen kann. Tabelle 1 gibt eine genaue Übersicht über die beschriebenen Zugriffsrechte der verschieden e. Tabelle 1 Zugriffsrechte auf NFD und DPE Versicherter Recht Notfall Aktual. sonst. PIN* NFD schreiben Arzt & MA PIN PIN Zahnarzt & MA PIN PIN Notfallsanitäter Apotheker & MA PIN Psychotherapeut PIN Recht DPE lesen DPE Notfall Aktual. sonst. schreiben Versicherter PIN PIN Arzt & MA PIN PIN PIN (fett) = zwingender PIN-Schutz; PIN (kursiv) = optionaler PIN-Schutz; * = nur in Verbindung mit einem HBA; MA = Mitarbeiter 6.2 Durchsetzung der Zugriffsrechte Wie der bisherigen Beschreibung des Berechtigungskonzepts entnommen werden kann, beruht der Schutz des NFD und des DPE zum einen auf der Beschränkung des Kreises der e, die zugreifen dürfen, und zum anderen auf einer zusätzlichen Differenzierung verschiedener Szenarien. 9 Ein Zugriff ohne einen HBA (bspw. durch den Mitarbeiter), muss durch eine Person die über einen HBA verfügt (bspw. Arzt) autorisiert werden. 396 DuD Datenschutz und Datensicherheit 6 2014
6.2.1 Beschränkung der berechtigten e Bis auf den Fall des Versicherten selbst er beweist seine Identität technisch durch die Eingabe seiner PIN wird die Zugriffsbeschränkung auf bestimmte e mit Hilfe des HBA bzw. der SMC-B dieser e technisch durchgesetzt. Mit dem HBA bzw. der SMC-B können sich e der TI auch technisch ausweisen und zwar gegenüber der egk. Je nachdem um welchen es sich handelt (Arzt, Mitarbeiter, Notfallsanitäter etc.), verleiht der HBA / die SMC-B diesem bestimmte Zugriffsrechte auf der egk. Dies geschieht im Zuge einer Card-to-Card Authentisierung (C2C) mit Hilfe einer PKI basierend auf Card Verifiable Certificates (CVC, CV-Zertifikate). Card-to-Card Authentisierung Die Hierarchie der PKI der CV-Zertifikate ist zweistufig. Unter der höchsten Certificate Authority (CA), der CVC-Root-CA, befinden sich CVC-CAs, welche dann direkt Endnutzer-CV-Zertifikate ausstellen. Die Prüfung der Identität eines HBA / einer SMC-B (im Folgenden nur noch HBA, da der Ablauf für eine SMC-B identisch ist) erfolgt in drei Schritten. Zunächst präsentiert der HBA der egk sein CVC-CA-Zertifikat. Dieses ist entsprechend von der CVC- Root-CA signiert und die egk prüft die Signatur mit dem fest auf ihr aufgebrachten öffentlichen Schlüssel der CVC-Root-CA. Anschließend präsentiert der HBA der egk sein Endnutzer-CV- Zertifikat. Dessen Signatur von der CVC-CA prüft die egk mit dem öffentlichen Schlüssel der CVC-CA, der im vorher erhaltenen CVC-CA-Zertifikat enthalten ist. Mit diesen zwei Schritten ist die Echtheit des Endnutzer-CV-Zertifikats bewiesen. Im letzten Schritt muss der HBA der egk beweisen, dass er im Besitz des zum öffentlichen Endnutzer-CV-Zertifikat gehörenden privaten Schlüssels ist, den nur der echte HBA besitzen kann. Dafür erzeugt die egk einen Zufallswert (Challenge), den der HBA mit dem privaten Schlüssel signieren muss. Die Nutzung dieses privaten Schlüssels unterliegt einem PIN-Schutz. Der Heilberufler kann eine C2C also nur durchführen, wenn er seinen HBA mittels PIN-Eingabe freigeschaltet hat. Die Signatur der Challenge kann die egk mit dem im Endnutzer CV-Zertifikat enthaltenen öffentlichen Schlüssel prüfen. Schlägt keiner der drei Schritte fehl, hat sich der HBA erfolgreich gegenüber der egk authentisiert. Flaglisten Die Endnutzer-CV-Zertifikate des HBA / der SMC-B enthalten die Informationen über die Rechte, die dem jeweiligen auf der egk gewährt werden. Diese sind in Form von Flaglisten hinterlegt und von der Signatur des Zertifikats umfasst, so dass eine Fälschung der Flagliste zu einem Fehler in der C2C führt. Jedes Flag in der Flagliste entspricht genau einer Berechtigung auf der egk, und ein Flag kann entweder gesetzt oder nicht gesetzt sein, die Berechtigung also gewährt oder nicht gewährt werden. Nur genau die Flaglisten des HBA / der SMC-B der oben erwähnten e haben die entsprechenden Flags für den lesenden oder schreibenden Zugriff auf den NFD oder DPE gesetzt. Somit ist technisch garantiert, dass nur berechtigte e Zugriff auf die Daten der Anwendung NFDM haben. Da auch der HBA und die SMC-B über eine PIN geschützt sind, führt auch der Verlust oder Diebstahl bspw. eines HBA nicht dazu, dass eine unberechtigte Person Zugriff auf den NFD oder den DPE erlangt, da der HBA erst mit dem PIN freigeschaltet werden müsste. Zur Veranschaulichung ist in Tabelle 2 für die e mit Zugriffsrechten auf den NFD und DPE der Ausschnitt der Flagliste in den CV-Zertifikaten ihres HBA / ihrer SMC-B dargestellt, der den NFD / den DPE betrifft. Tabelle 2 Ausschnitt der Flaglisten der e mit Zugriffsrechten auf den NFD / DPE Flag / Berechtigung NFD schreiben mit PIN.NFD mit PIN.NFD ohne PIN DPE schreiben mit PIN.PE DPE lesen mit PIN.PE DPE lesen ohne PIN Arzt Mitarbeiter Arzt Zahnarzt MA Zahnarzt Apotheker MA Apotheke Psychotherapeut Notfallsanitäter mit PIN (fett) = zwingender PIN-Schutz; mit PIN (kursiv) = optionaler PIN-Schutz; MA = Mitarbeiter 6.2.2 Differenzierung der Szenarien Bei der zusätzlichen Differenzierung von Zugriffsrechten verschiedener e in verschiedenen Szenarien ist zu beachten, dass dies nicht durch die egk technisch durchgesetzt werden kann. Die zuvor beschriebene Einschränkung des Kreises der berechtigten e wird über die Flaglisten auf den berechtigten Karten direkt von der egk im Zuge der C2C realisiert. Eine Unterscheidung verschiedener Szenarien durch die egk ist hingegen nicht möglich. Das heißt die egk kann nicht erkennen, ob es sich im konkreten Fall um einen Notfall handelt. Dementsprechend gibt es keine spezielle Berechtigung und auch kein dazu passendes Flag in der Flaglist für den Fall Lesen des NFD im Notfall oder Lesen des DPE außerhalb von Notfall und Aktualisierung. Es gibt lediglich z.b. die Berechtigung zum Lesen des NFD mit PIN-Schutz und jene zum Lesen des NFD ohne PIN- Schutz (vgl. Tabelle 2). Daraus wird klar, dass die Berechtigungen so vergeben werden müssen, dass die egk einem Arzt, Zahnarzt deren jeweiligen Mitarbeitern sowie einem Notfallsanitäter immer die Berechtigung zum Lesen des NFD ohne PIN-Schutz gewähren wird (vgl. Tabelle 2). Nur so ist garantiert, dass ein Lesen des NFD wenn nötig (z. B. Notfallsituation) ohne PIN-Eingabe durch den Versicherten möglich ist, auch wenn in anderen Situationen kein Leserecht oder lediglich ein Leserecht mit zusätzlichem PIN-Schutz gewährt wird (vgl. Tabelle 1). Ebenso gewährt die egk einem Apotheker, dessen Mitarbeitern sowie einem Psychotherapeuten immer die Berechtigung den NFD nach zwingender PIN-Eingabe des Versicherten zu lesen (vgl. Tabelle 2), auch wenn das für die Szenarien Notfall und Aktualisierung nicht vorgesehen ist, sondern nur in sonstigen Situationen (vgl. Tabelle 1). An dieser Stelle kommt die Ablauflogik der Anwendung NFDM ins Spiel. Bevor der Heilberufler lesend auf den NFD oder DuD Datenschutz und Datensicherheit 6 2014 397
DPE zugreifen kann, muss er eine bewusste Entscheidung treffen, um welche Situation es sich handelt. Dies geschieht über eine Abfrage auf dem Bildschirm seines Primärsystems oder dem Display eines mobilen Kartenterminals. Wird vom Heilberufler ein Szenario gewählt, welches nach Tabelle 1 einen zusätzlichen PIN-Schutz beinhaltet oder dem Heilberufler den Zugriff komplett verwehrt, wird dies von der Ablauflogik der Anwendung NFDM technisch durchgesetzt. Ob es sich im Falle eines zusätzlichen PIN-Schutzes um einen zwingenden oder optionalen PIN- Schutz handelt, wird wiederum stets von der egk durchgesetzt. Das vom Heilberufler gewählte Szenario wird auch im Protokoll der egk festgehalten, so dass diese bewusste Entscheidung des Heilberuflers für den Versicherten nachvollziehbar bleibt (vgl. Kapitel 8). 7 Authentizität des NFD Die Notfalldaten sind medizinische Informationen, die einen behandelnden Heilberufler bei Entscheidungen unterstützen sollen, wie eine Notfall-Behandlung vorgenommen wird. Die Authentizität der Daten ist daher von höchster Wichtigkeit. Der lesende Heilberufler muss die Gewissheit haben, dass der NFD von einem Arzt erstellt wurden, der nach bestem Wissen und Gewissen für deren Korrektheit einsteht, um sie überhaupt in seine Entscheidungsfindung einzubeziehen. Dieses Maß an Authentizität der Informationen und Rechtssicherheit für den lesenden Heilberufler wird bei digitalen Dokumenten nur von einer qualifizierten elektronischen Signatur (QES) gewährt, die das digitale Äquivalent zur handschriftlichen Unterschrift darstellt. Die QES des NFD wird bei jedem Lesen geprüft. Es findet dabei stets eine vollständige, mit dem Signaturgesetz konforme Prüfung unter Verwendung einer Signaturanwendungskomponente statt. Zu einer solchen vollständigen Prüfung gehört nicht nur die mathematische Prüfung der Signatur und die Prüfung der Zertifikatskette vom QES-Zertifikat bis zum Vertrauensanker der Bundesnetzagentur. Es muss auch der Sperrstatus des QES-Zertifikats geprüft werden. Dies gilt ebenso für das übergeordnete CA- Zertifikat des Zertifizierungsdiensteanbieters, der das QES-Zertifikat ausgestellt hat. Diese Prüfung geschieht üblicherweise online mittels des Online Certificate Status Protocol (OCSP). In vielen Notfallsituationen steht jedoch keine Onlineanbindung zur Verfügung bspw. an einer Unfallstelle und auf dem Weg zum Krankenhaus. Für diese Fälle werden bei der Erstellung der QES die aktuellen OCSP-Antworten falls möglich eingeholt und der QES beigefügt. Bei der Prüfung der QES im Offline-Fall, werden diese eingebetteten OCSP-Antworten kontrolliert, um so den Sperrstatus der Zertifikate zum Zeitpunkt der Signaturerstellung zu ermitteln. Eine eventuelle spätere Sperrung eines der beteiligten Zertifikate ist nicht von Bedeutung, wenn die Zertifikate bei der Signaturerstellung gültig waren. Für den Fall, dass die QES-Prüfung fehlschlägt, wird dem lesenden Heilberufler der NFD dennoch angezeigt, jedoch mit einer Warnung, dass die QES nicht (oder nicht vollständig) verifiziert werden konnte. Ob die Notfalldaten berücksichtigt werden oder nicht, liegt somit nach wie vor im Ermessen des Heilberuflers, der die Information über die fehlende oder ungültige QES in diese Entscheidung mit einbezieht. Falls die fehlgeschlagene Verifikation der QES auf einen Fehler beim Erstellen zurückzuführen ist, wird so gewährleistet, dass der Heilberufler dennoch die Chance hat, eventuell wichtige Information zur Kenntnis zu nehmen. 8 Nachvollziehbarkeit der Zugriffe auf NFD und DPE Da es sich beim Zugriff auf den NFD oder den DPE um einen Zugriff auf personenbezogene Daten des Versicherten handelt, muss dieser stets nachvollziehen können, wer wann und wie auf welche Daten zugegriffen hat. Dies ist über die Protokolldatei auf der egk möglich. Die Ablauflogik der Anwendung NFDM gewährleistet eine automatische Protokollierung eines jeden Zugriffs. Der zugreifende kann die Protokollierung weder verhindern, noch deren Inhalt ändern. Im Falle eines lesenden Zugriffs wird auch protokolliert, in welcher Situation (Notfall, Aktualisierung, sonstige Szenarien) dies stattfand. Die Protokolldatei der egk kann 50 Einträge aufnehmen, bevor dann jeweils der älteste Eintrag überschrieben wird. Das Protokoll ist nur durch den Versicherten auslesbar. Es gibt keinen direkten Schreibzugriff auf die gesamte Protokolldatei. Lediglich das Anhängen neuer Einträge und damit ab dem 51. Eintrag auch das Löschen des jeweils ältesten Eintrags ist den en der TI technisch gestattet. 9 Zusammenfassung Die freiwillige Anwendung Notfalldaten-Management soll Heilberufler in Notfallsituationen mit wichtigen Informationen zur medizinischen Vorgeschichte des Patienten versorgen, um das Risiko für negative Behandlungsverläufe zu minimieren. Ebenso liefert sie Informationen, die die Durchsetzung des Willens des Patienten in Fällen, in denen er dies nicht selbst kann, unterstützen sollen. Diese Informationen sind dezentral auf der elektronischen Gesundheitskarte des Versicherten gespeichert und durch ein technisch umgesetztes Zugriffsberechtigungssystem geschützt. Ein direkter Zugriff auf die Daten durch den bloßen Besitz der elektronischen Gesundheitskarte ist dadurch unmöglich. Die medizinischen Informationen werden nur von Ärzten erstellt und von diesen qualifiziert elektronisch signiert, wodurch die Authentizität der Daten bei jedem Lesen gewährleistet werden kann. Die Zugriffe auf seine Daten kann der Versicherte über ein Protokoll auf seiner elektronischen Gesundheitskarte stets nachvollziehen. 398 DuD Datenschutz und Datensicherheit 6 2014