Rahmenrichtlinie der KBV und Kassenärztlichen Vereinigungen KV-SafeNet Medizinische Netz- / Dienste-Infrastruktur Die von der KBV und den Kassenärztlichen Vereinigungen (beteiligte KVen siehe Anlage 1) beschriebenen Rahmenbedingungen sind Grundlage für die Teilnahme am KV- SafeNet. Sie müssen daher Vertragsbestandteil zwischen Anbieter und Teilnehmer sein. Der Anbieter wird durch die Zertifizierung KV-SafeNet zum KV-SafeNet zugelassen. Der Teilnehmer wird seitens der örtlich für den Teilnehmer bzw. dessen Geschäftsniederlassung zuständigen KV zum KV-SafeNet zugelassen. Die Rahmenrichtlinie KV-SafeNet beschreibt die gesicherte Verbindung zwischen dem Teilnehmer und dem Dienstanbieter sowie der KV. 1. Zertifizierung KV-SafeNet 1.1 Anbieter, die die folgenden Spezifikationen im Zusammenhang mit der sicheren Anbindung von Teilnehmernetzwerken an das KV-SafeNet fortlaufend erfüllen und dies insbesondere durch die Vorlage des mit dem Teilnehmer abzuschließenden Vertrages, sowie des technischen Konzepts, belegen, bekommen dies von der KBV auf Antrag und nach Überprüfung der Einhaltung dieser Richtlinien in Form eines Zertifikates bestätigt. 1.2 Ein ausgestelltes Zertifikat erlischt nach 3 Jahren und muss vom Anbieter neu beantragt werden.
2 1.3 Dieses Zertifikat ist zur Vorlage gegenüber Teilnehmern gedacht, die sich durch den jeweiligen Anbieter an das KV-SafeNet anschließen lassen und dabei die Gewährleistung haben wollen, dass diese Anbindung den technischen Standards, insbesondere den Sicherheitsbestimmungen der Rahmenrichtlinie, genügt. 1.4 Die KBV stellt auf ihrer Webseite eine Onlineliste zur Verfügung, auf der sämtliche zertifizierten Anbieter mit Kontaktdaten und zusätzlichen Informationen angeführt sind. 1.5 Der Vertrag zwischen Teilnehmer und Anbieter sieht ein Kontrollrecht des Teilnehmers hinsichtlich der fortlaufenden Einhaltung dieser Rahmenrichtlinien vor, dass die KBV für ihn ausüben kann. Im Falle einer Verletzung dieser Rahmenrichtlinien ist die KBV berechtigt, dem Anbieter dieses Zertifikat wieder zu entziehen und den Teilnehmer umgehend über den Entzug der Zertifizierung zu informieren. Mit dem Entzug der Zertifizierung entfällt die Vertragsgrundlage und der Vertrag ist damit automatisch beendet. 1.6 Mit Blick auf das mit den Rahmenrichtlinien verfolgte Regelungsanliegen (Sicherheit des Datenverkehrs und Verfügbarkeit nach einheitlichen, für alle Anbieter geltenden Maßstäben) sagt jeder Anbieter, der auf seinen Antrag hin zertifiziert wird, eine Beachtung der Rahmenrichtlinien in der Fassung zum Zeitpunkt der Zertifizierung verbindlich und dauerhaft zu. 1.7 Jeder Anbieter sagt mit der antragsgemäßen Zertifizierung weiterhin zu, bei geschäftlichen Angeboten und insbesondere in den vorbereiteten Vertragsformularen auf die Version der Rahmenrichtlinien zum Zeitpunkt der Zertifizierung hinzuweisen, weiterhin auch darauf, ob es ggf. eine seither geänderte Fassung überhaupt gibt (mit Benennung der dann jeweils neuesten Version). 1.8 Bei Änderungen der Rahmenrichtlinien wird die KBV die jeweils neueste Fassung der Rahmenrichtlinie zeitnah zur Verfügung stellen und der zertifi-
3 zierte Anbieter wird dann in angemessener Zeit eine Stellungnahme dazu vorlegen, ob das bisher angebotene Leistungsspektrum an netzbezogene Leistungen auf Basis dieser Neufassung ebenso angeboten werden könnte oder (insbesondere technische) Einschränkungen bestehen, und ob vom Anbieter eine Neu-Zertifizierung nach der übersandten Neufassung der Rahmenrichtlinie angestrebt wird. 2. Beschreibung der Lösung 2.1 Die bei den Teilnehmern vorhandenen PCs sind mit möglichst geringem Kostenaufwand über vorhandene und / oder speziell angebotene Anschlüsse an das KV-SafeNet anzubinden, wobei die laufenden Betriebskosten möglichst gering gehalten werden sollen. 2.2 Das KV-SafeNet ist eine technische Struktur, bei der die Teilnehmer (z.b. Ärzte) über ein virtuelles privates Netzwerk Dienste des Netzes nutzen können. Die Kommunikation mit anderen Partnern erfolgt über die KV oder deren Dienstleister. Die KV ist dabei selbst nicht der Betreiber des KV- SafeNet, sondern gibt lediglich diese Richtlinien hinsichtlich der Sicherheitsstandards, Anforderungen an die Verfügbarkeit und Anforderungen an die Struktur vor. 2.3 Die KBV und Kassenärztlichen Vereinigungen oder deren Dienstleister bieten mit dem KV-SafeNet eine technische Infrastruktur für den Datenaustausch über eine normierte Schnittstelle. Es basiert auf Techniken und Protokollen des Internets, wird aber durch hochwertige Sicherheitsmechanismen vom öffentlichen Internetverkehr getrennt.
7x 8x 9x 10x 11x 12 x 7x 8x 9x 10x 11 x 12x C 78 9101112 A 123456 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A B 4 Teilnehmernetzwerk Transportnetz KV-Dienstleister Blackbox vom Safenetanbieter garantiert den Schutz vor Zugriffen aus dem Transportnetz Switch/Hub Verbindungsaufbau darf nur durch die Teilnehmerpraxis erfolgen können Netzanbindung wahlweise über: ISDN xdsl X.25 Internet.. sonstige Netzwerke Gateway Ethernet Diensteserver Praxis Computer Praxis Computer Praxis Computer Abbildung : Grundzüge einer Anbindung über eine Black Box. Alternative Ansätze sind ebenfalls möglich. 2.4 Begriffsdefinitionen: Blackbox: Eine Hardwarelösung, die grundsätzlich den Zugriff aus dem Transportnetz in das Netz des Teilnehmers verhindert. Zusätzlich wird durch den Aufbau eines VPNs eine sichere Verbindung zum Einwahlknoten hergestellt, der mit dem KV-SafeNet verbunden ist. Teilnehmercomputer: Alle Rechner eines Teilnehmernetzwerkes, auf denen Patientenbezogene Daten gespeichert bzw. verarbeitet werden und von denen aus über die Blackbox mittels VPN auf das KV-SafeNet zugegriffen werden kann. Teilnehmernetzwerk: Die untereinander lokal vernetzten Teilnehmercomputer bilden das Teilnehmernetzwerk. In diesem Teilnehmernetzwerk können sich auch weitere über LAN
5 vernetzte Endsysteme (z.b. Server, PC s, Drucker, Kartenleser) befinden. 2.5 Zur Realisierung der Struktur installiert der Anbieter einen Einwahlknoten bei der regionalen KV oder dessen Dienstleister. Die Anforderungen an diesen Knoten ergeben sich aus den Ziffern 3 und 5 dieser Richtlinien und müssen ausdrücklicher Bestandteil des Vertrages zwischen dem Teilnehmer und dem Anbieter sein. 3. Sicherheitsanforderungen 3.1 Der Anbieter muss sich zur Gewährleistung der Sicherheit des Teilnehmernetzwerkes zur Einhaltung folgender Sicherheitsanforderungen verpflichten: a) Aus dem Teilnehmernetzwerk heraus kann über die Blackbox ausschließlich eine Verbindung zum KV-SafeNet aufgebaut werden. b) Ein Zugriff auf das Teilnehmernetzwerk und die darin befindlichen Rechner über die Anbindung an das KV-SafeNet muss aus jedem Netz (ausgenommen zugelassene Dienste) jederzeit ausgeschlossen sein. Die Teilnehmercomputer (bzw. die IP-Adressen der Computer) dürfen durch die Anbindung an das KV-SafeNet nicht über das Internet oder sonstige Netze sichtbar sein. c) Diese Sicherheitsanforderungen müssen auch bei einer eventuellen (ggf. absichtlichen) Fehlkonfiguration eines Teilnehmerrechners bzw. einem bewussten Anbindungsversuch an das Internet über die Blackbox aus dem Teilnehmernetzwerk gewährleistet sein.
6 d) Die vorsätzliche Umgehung der Blackbox durch Änderungen an der Netzwerkkonfiguration liegt in der Verantwortung der Teilnehmer und wird aus dieser Zusicherung ausgeschlossen. e) Die von den Teilnehmern übermittelten und/oder empfangenen Daten müssen vor einem Zugriff Dritter durch einen verschlüsselten VPN Tunnel (z.b. IP-SEC) geschützt sein. Der Tunnelaufbau über das Internet darf erst nach einer gegenseitigen Authentifikation der Tunnelendpunkte (durch PKI Zertifikat oder Preshared Secret) erfolgen. Die zur Authentifikation eingesetzten Verfahren müssen dem Stand der Technik entsprechen und nicht gefälscht werden können. f) Eine Softwarelösung in Verbindung mit Computerbetriebssystemen wird ausgeschlossen, da diese bewusst oder unbewusst deaktiviert oder umkonfiguriert werden können. Die eingesetzten Verfahren zur Verschlüsselung und Signierung müssen jederzeit dem Stand der Technik entsprechen. 3.2 Die Anbindung an das KV-SafeNet darf die Sicherheit der gesamten Netzkonstellation (KV-SafeNet und die Netzwerke der anderen Teilnehmer) nicht gefährden. Dazu sind folgende Vorgaben notwendig umzusetzen: a) Ein Zugriff aus dem KV-SafeNet über die vom Anbieter bereitgestellte Anbindung auf das Teilnehmernetzwerk muss jederzeit ausgeschlossen sein. Der Anbieter hat dafür Sorge zu tragen, dass über das von ihm bereitgestellte KV-SafeNet unbefugte Zugriffe auf das Teilnehmernetzwerk jederzeit und laufend verhindert werden. Zu Wartungs- und Störungsbehebungszwecken ist ein Zugriff auf die Blackbox (z.b. Router) bei Bedarf in Absprache mit dem Teilnehmer unter Einhaltung der Datenschutzbestimmungen zulässig. Entsprechende Re-
7 gelungen sind in den Verträgen mit den Teilnehmern festzuhalten. b) Die Blackbox muss so konfiguriert werden, dass von den Teilnehmercomputern nur eine Verbindung in das KV-SafeNet und mit den frei geschalteten Diensten, geschützt durch einen VPN-Tunnel, möglich ist. Eine direkte Verbindung aus dem Internet auf die Box (und das geschützte Teilnehmernetz) muss jederzeit und laufend ausgeschlossen sein. Der Anbieter hat sicherzustellen, dass die Blackbox jederzeit Angriffe auf sich abwehrt und sich in einem sicheren Konfigurationsstand befindet. c) Die Konfiguration der Blackbox ist, z.b. durch eine geeignete, hochwertige Passwortvergabe, inklusive CallBack oder einem Preshared Key Verfahren vor unbefugtem Zugriff auch aus dem Teilnehmernetzwerk zu schützen. Die in der Box vorgehaltenen Daten zur Authentifikation sind so geheim zu halten, dass nur bestimmte, eingewiesene Mitarbeiter des Anbieters, die auf die Einhaltung des Datenschutzes verpflichtet sind, dieses Wissen besitzen können. d) Auf Fernwartungszugänge an der Blackbox sollte grundsätzlich verzichtet werden. Sind diese betrieblich notwendig, hat der Anbieter sicherzustellen, dass eine Gefährdung der Blackbox, des Teilnehmernetzwerks oder des KV-SafeNet ausgeschlossen ist. e) Bei durch den Teilnehmer/KBV/KV festgestellte und gemeldete Angriffsversuche ist der Anbieter verpflichtet durch geeignete Maßnahmen den Angreifer ausfindig zu machen und angemessene Gegenmaßnahmen einzuleiten. f) Bei durch den Anbieter festgestellten Angriffsversuchen ist der Anbieter verpflichtet durch geeignete Maßnahmen den
8 Angreifer ausfindig zu machen und angemessene Gegenmaßnahmen einzuleiten. Der Angriffsversuch und die eingeleiteten Maßnahmen sind dem Betroffenen und der KBV unverzüglich zu melden. 3.3 Der Anbieter wird vor Vertragabschluss dem Teilnehmer eine Erklärung dazu vorlegen, dass die angebotene Lösung nach allgemein anerkannten Standards zertifiziert ist (idealerweise ein BSI Zertifikat). Diese Erklärung beinhaltet die Zusicherung zur Einhaltung von relevanten Sicherheitsstandards (nach dem Angebotskonzept muss ein Zugriff auf Daten der Teilnehmer-PCs ausdrücklich ausgeschlossen sein) bei der Installation, der Wartung und auch der Hardware. 3.4 Der Anbieter erhält am Standort der zentralen VPN-Gateways Zugangsmöglichkeiten zur Installation und Wartung des Einwahlknotens. Ein unbefugter Zutritt zu dem Aufstellort der dafür benötigten Komponenten und unbefugte Administrationszugriffe auf diese über das lokale Netz des Anbieters werden wirksam unterbunden. Dazu wird insbesondere das Subnetz, in dem sich die Komponenten des Anbieters befinden, durch eine Firewall geschützt und sichergestellt, dass ausschließlich IPSec-Verbindungen oder wenigstens gleichsichere Verbindungen in Richtung dieses Subnetzes möglich sind. 3.5 Die KBV behält sich vor, die Beachtung der Sicherheitsanforderungen jederzeit durch eine zur Berufsverschwiegenheit verpflichtete Person überprüfen zu lassen, soweit es um den Bereich des Anbieters geht; diese Person ist von der KBV und dem Anbieter dazu berechtigt und verpflichtet, der KBV ggf. Mitteilung über Verstöße gegen die vorstehend definierten Anforderungen zu machen. 3.6 Der Anbieter stellt gegenüber den Teilnehmern sicher, dass der KBV als von diesen beauftragter Kontrolleinrichtung zwei funktionierende
9 Testsysteme zu Test- und Analysezwecken in deren Räumen zur Verfügung gestellt wird. 3.7 Der Anbieter stellt der KBV eine monatliche Übersicht von Neuanmeldungen und Vertragskündigungen zur Verfügung. 3.8 Der Anbieter weist die in der Rahmenvereinbarung geforderte Verfügbarkeit in Form eines monatlichen Reports nach. 3.9 Der Anbieter verpflichtet sich, eventuell auftretende Schwachstellen Ihrer Lösung zu melden und entsprechend Abhilfe zu schaffen. Hiervon sind sowohl das Anbindungskonzept (VPN) als auch die Blackbox beim Teilnehmer sowie die bei der KV aufgestellten KV-SafeNet Zugangsknoten betroffen. 4. Dienstleistungen 4.1 Vertragspartner der Anbieter bei der Leistungserbringung sind ausschließlich die Teilnehmer. Die entsprechend anfallenden einmaligen und monatlichen Entgelte inklusive aller zeitabhängig oder sonst bestimmter Kosten für die Anbindung an das KV-SafeNet müssen im Vertrag mit den Teilnehmern und in den monatlichen Rechnungen deutlich und nachvollziehbar ausgewiesen werden. Miet- und Kaufpreis für eventuell benötigte Router oder zusätzliche Sicherheitskomponenten sind im Voraus anzugeben. Die Rechnungsstellung für Warenlieferungen und Dienstleistungen erfolgt direkt an die Teilnehmer. 4.2 Die zentral anfallenden Kosten wie z.b. für den notwendigen Einwahlknoten und dessen Betrieb trägt der Anbieter, der seine Angebote an die Teilnehmer entsprechend kalkuliert. 4.3 Der Anbieter wird dem Teilnehmer bei Angebotsunterbreitung, jedenfalls aber vor Abschluss des Vertrages, ausführlich darauf hinweisen, dass eine tatsächliche Verbindung zum KV-SafeNet wenigstens einen
10 funktionierenden und mit der entsprechenden Software bestückten Teilnehmercomputer erfordert. Auf Wunsch des Teilnehmers wird der Anbieter die beim Teilnehmer vorhandene Hardware testen und den Teilnehmer über erforderliche Maßnahmen informieren. Der Vertrag zwischen Anbieter und Teilnehmer sieht vor, dass dem Teilnehmer im Falle einer Verletzung dieser Aufklärungspflicht ein außerordentliches Kündigungsrecht zusteht. 4.4 Der Anbieter stellt der KV folgende Informationen zur Verfügung: eine Kopie des abgeschlossenen Vertrags (innerhalb von 5 Werktagen), das Datum des Anschlusses, und ggf. das Datum der Kündigung. 4.5 Der Anbieter stellt der KBV folgende Informationen zur Verfügung: Anzahl der Teilnehmer Der Anbieter stellt der KBV folgende Informationen zur Verfügung und erklärt sich mit der Veröffentlich der Daten einverstanden: Einen Ansprechpartner für Rückfragen seitens der KV Einmalige und laufende Kosten für Standardzugänge (ADSL, ISDN, VPN, etc.) sowie die Blackbox auf Seiten des Teilnehmers Einen Ansprechpartner für Rückfragen seitens der Teilnehmer Ein Produktblatt, welches die eingesetzte Lösung beim Teilnehmer beschreibt Ein Produktblatt, welches die eingesetzte Lösung am Einwahlknoten beschreibt (VPN-Konzentrator) 5. Verfügbarkeit der Anbindung 5.1 Die Einwahlknoten, welche vom Anbieter bei der KV oder dessen Dienstleister installiert werden sollen, müssen in der Summe mindestens 700 gleichzeitige Verbindungen bei einer Verfügbarkeit von 99,9% per annum, 7 x 24 Stunden pro Woche Betriebszeit, gewährleisten und
11 dies durch ein Redundanzkonzept sicherstellen. Die Stromversorgung wird dabei vom Dienstleister vor Ort, beim Einwahlknoten gewährleistet. Die Kapazität des Einwahlknotens muss bei Bedarf erweiterbar sein. 5.2 Die jeweiligen Reaktionszeiten im Störungsfall sind individuell über Wartungsverträge mit den Teilnehmern zu regeln. 6. Supportkonzept 6.1 Jeder Anbieter teilt der KBV anlässlich der Installation seines zentralen Einwahlknotens mindestens zwei Ansprechpartner mit, die sowohl die notwendige technische Kompetenz als auch die zur schnellen Lösung von auftretenden Problemen erforderliche Entscheidungsgewalt besitzen. 7. Laufzeit Die Mindestlaufzeit der Erreichbarkeit des zentralen Einwahlknotens (und damit der Aufrechterhaltung des Dienstes), der für den Anbieter und dessen Kunden aus dem Kreis der Teilnehmer für die Erreichbarkeit des KV-SafeNet geschaffen wird, beträgt 3 Jahre. Diese Zusicherung ist in den von dem Anbieter mit den Teilnehmern zu schließenden Verträgen enthalten. 8. Haftung 8.1 Die KBV und die Kassenärztlichen Vereinigungen übernehmen gegenüber dem Anbieter keinerlei Haftung aus Anlass der Vorgaben technischer und / oder wirtschaftlicher sowie damit im Zusammenhang stehender Art und / oder aus der Umsetzung dieser Vorgaben. 8.2 Der Anbieter verpflichtet sich vertraglich gegenüber den Teilnehmern, die in diesen Rahmenrichtlinien festgelegten Sicherheitsanforderungen
12 sowie die Verfügbarkeit des Einwahlknotens zur Anbindung an das KV- SafeNet fortlaufend zu erfüllen und die Mindestlaufzeit sicherzustellen. 8.3 Der Anbieter verpflichtet sich ebenfalls vertraglich gegenüber den Teilnehmern, wenn und soweit er diesen Verpflichtungen nicht nachkommen sollte, nach Setzen einer angemessenen Nachfrist durch Mitteilung des Teilnehmers oder der KV, den vertragswidrigen Zustand zu beseitigen. Als angemessen soll eine Frist von 24 Stunden angesehen werden. 8.4 Weiterhin muss der Vertrag des Anbieters mit dem jeweiligen Teilnehmer eine Vertragsstrafeklausel beinhalten. Diese Vertragsstrafe soll mit Ablauf der gesetzten Nachfrist fällig werden und pro Tag Euro 100,00 nicht unterschreiten. Eine Begrenzung auf eine Summe von Euro 1.000,00 im Jahr ist möglich. 8.5 Ein etwaiges Kündigungsrecht des Teilnehmers gemäß Vertrag zwischen Teilnehmer und Anbieter bleibt von dieser Regelung unberührt. 9. KV-SafeNet Mitglieder (KVen) Die KVen, die die KV-SafeNet-Richtlinie anwenden, sind aus der Anlage 1 ersichtlich. 10. Zertifizierte Anbieter Die Mitglieder-KVen erkennen die zertifizierten Dienstleister gegenseitig an.
13 11. Teilnehmer Die dem Teilnehmer zugehörige KV definiert den Kreis der möglichen Teilnehmer. Die Freigabe der KV an den Anbieter erfolgt als Voraussetzung für einen Vertragsabschluss.
14 12. Arztnetze über das Safenet Der Zugriff zwischen KV-SafeNet-Teilnehmernetzwerken kann durch den Anbieter eingerichtet werden. Hierbei wird eine VPN-Verbindung von einem KV-SafeNet- Teilnehmer zu einem anderen KV-SafeNet-Teilnehmer ermöglicht. Voraussetzungen für eine solche Verbindung sind: a) die schriftliche Einwilligung aller beteiligten KV-SafeNet-Teilnehmer (Antrag an Anbieter, entsprechend Anlage 2: Formular Einrichtung weitere VPN- Verbindungen). b) Einreichung des Antrages durch den Anbieter bei der KV und Genehmigung des Antrages durch die KV, erst dann darf der Zugriff über den Anbieter freigeschaltet werden. c) Die im KV-SafeNet enthaltenen Sicherheitsmerkmale "kein Zugriff auf Teilnehmernetzwerke" und "Verfügbarkeit" werden mit der Einwilligung des Teilnehmers für die direkten Teilnehmerverbindungen ausdrücklich aufgehoben. Für die zusätzlichen direkten Teilnehmer-Verbindungen untereinander ist jeder KV-SafeNet-Teilnehmer im Sinne der Sicherheit (Virenschutz, Firewall etc.) eigenverantwortlich. Weder KBV noch KV wird für jegliche Störung, die durch diese Kommunikationsverbindung verursacht wurde, Haftung und Support übernehmen. Alle weiteren KV-SafeNet-Rahmenbedingungen bleiben mit der Einwilligung weiter bestehen.
15 13. Zugriff auf andere Mehrwertdienste Die Zugriffsmöglichkeiten auf andere Mehrwertdienste können durch den Anbieter auf ausdrücklichen Wunsch des einzelnen KV-SafeNet-Teilnehmers eingerichtet werden. Voraussetzungen für eine solche Verbindung sind: a) die schriftliche Einwilligung des einzelnen KV-SafeNet-Teilnehmers (Antrag an Anbieter, entsprechend Anlage 3: Formular Einrichtung weitere Mehrwertdienste). b) der Zugriff darf ausdrücklich nur in einer Richtung, vom KV-SafeNet- Teilnehmer zum Mehrwertdienst möglich sein. c) Einreichung des Antrages durch den Anbieter bei der KV und Genehmigung des Antrages durch die KV, erst dann darf der Zugriff über den Anbieter freigeschaltet werden. d) Für den Zugriff auf Mehrwertdienste ist jeder KV-SafeNet Teilnehmer im Sinne der Sicherheit (Virenschutz, Firewall etc.) eigenverantwortlich. Die KV wird für jegliche Störung, die durch diese Kommunikationsverbindung verursacht wurde, keinerlei Haftung und Support übernehmen. Alle weiteren KV-SafeNet-Rahmenbedingungen bleiben mit der Einwilligung weiter bestehen. Die Gewährleistung des Datenschutzes und der Datensicherheit obliegt dem beantragenden KV-Safenet-Teilnehmer.
16 14. Salvatorische Klausel Sollten Teile oder einzelne Formulierungen dieser Richtlinien aus irgendeinem Grund ungültig sein, bleiben die übrigen Teile des Dokuments in ihrem Inhalt und ihrer Gültigkeit unberührt. [BNetzA_Algo] Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen), Stand: 17.12.2007
17 Anlage 1 Teilnehmende Kassenärztliche Vereinigungen (KVen) KV /Ansprechpartner: Kassenärztliche Bundesvereinigung Herr Stefan Holtkamp, Tel: +49 (030) 40 05 20 53 email: sholtkamp@kbv.de KV Bayern Herr Chahir Etayaa, Tel: +49 (089) 5 70 93 26 88 email: chahir.etayaa@kvb.de KV Westfalen-Lippe Herr Frank Winkler, Tel: +49 (0231) 94 32 38 36 email: Frank.Winkler@kvwl.de KV Nordrhein Herr Dirk Gohe, Tel: +49 (0211) 59 70 83 11 email: Dirk.Gohe@kvno.de KV Sachsen Herr Peter Heilmann, Tel. +49 (0351) 8 29 07 00 email: safenet@extern.kvs-sachsen.de
18 KV Baden-Württemberg Herr Ralph Schimmer, Tel. +49 (0711) 7 87 53 19 email: Ralph.Schimmer@kvbawue.de KV Hessen Herr Edgar Pohl, Tel. +49 (069) 79 50 27 26 email: Edgar.Pohl@kvhessen.de KV Thüringen Herr Wilfried Schmidt, Tel. +49 (3643) 559 110 email: WSchmidt@kvt.de KV Mecklenburg-Vorpommern Herr Ecklebe Christian, Tel. +49 (385) 743 12 57 email: CEcklebe@kvmv.de KV Sachsen-Anhalt Herr Graßhoff Volker, Tel. +49 (391) 627 73 23 email: volker.grasshoff@kvsa.de KV Hamburg Herr Hans-Heinrich Faby, Tel: +49 (40) 22 80 23 68 email: hans-heinrich.faby@kvhh.de KV Niedersachsen Herr Joerg Sittig, Tel: +49 (511) 380 31 63 email: joerg.sittig@kvn.de
19 KV Bremen Herr G. Antpöhler, Tel.: +49 (421) 340 41 20 email: g.antpoehler@kvhb.de KV Schleswig-Holstein Herr Udo Karlins, Tel. +49 (4551) 88 34 32 email: Udo.Karlins@kvsh.de KV Rheinland-Pfalz Herr Franz Masfelder, Tel. +49 (261) 39 00 22 60 email: franz.masfelder@kv-rlp.de KV Saarland Herr Patrick Schumacher, Tel. +49 (681) 40 03 264 email: p.schumacher@kvsaarland.de
20 Anlage 2 Antrag zum Einrichten weiterer VPN-Verbindungen über das KV-SafeNet Einrichtung weitere VPN-Verbindungen Hiermit wird der [KV-SafeNet Anbieter] beauftragt weitere VPN-Verbindungen zu den im Folgenden aufgeführten KV-SafeNet Teilnehmern einzurichten. Mit der Unterschrift akzeptieren alle Teilnehmer die entsprechenden Vereinbarungen der Rahmenrichtlinie und übernehmen die volle Verantwortung für die Sicherheit der zusätzlich eingerichteten VPN-Verbindungen entsprechend des Kapitels 12 der Rahmenrichtlinie. Kap 12 der Rahmenrichtlinie Arztnetze über das Safenet Der Zugriff zwischen KV-SafeNet-Teilnehmer Netzwerken kann durch den Anbieter eingerichtet werden. Hierbei wird eine VPN-Verbindung von einem KV-SafeNet-Teilnehmer zu einem anderen KV-SafeNet-Teilnehmer ermöglicht. Voraussetzungen für eine solche Verbindung sind:
21 Der Zugriff zwischen KV-SafeNet-Teilnehmernetzwerken kann durch den Anbieter eingerichtet werden. Hierbei wird eine VPN-Verbindung von einem KV-SafeNet- Teilnehmer zu einem anderen KV-SafeNet-Teilnehmer ermöglicht. Voraussetzungen für eine solche Verbindung sind: a) die schriftliche Einwilligung aller beteiligten KV-SafeNet-Teilnehmer (Antrag an Anbieter, entsprechend Anlage 2: Formular Einrichtung weitere VPN- Verbindungen). b) Einreichung des Antrages durch den Anbieter bei der KV und Genehmigung des Antrages durch die KV, erst dann darf der Zugriff über den Anbieter freigeschaltet werden. c) Die im KV-SafeNet enthaltenen Sicherheitsmerkmale "kein Zugriff auf Teilnehmernetzwerke" und "Verfügbarkeit" werden mit der Einwilligung des Teilnehmers für die direkten Teilnehmerverbindungen ausdrücklich aufgehoben. Für die zusätzlichen direkten Teilnehmer-Verbindungen untereinander ist jeder KV-SafeNet-Teilnehmer im Sinne der Sicherheit (Virenschutz, Firewall etc.) eigenverantwortlich. Die KV wird für jegliche Störung, die durch diese Kommunikationsverbindung verursacht wurde, keinerlei Haftung und Support übernehmen. Alle weiteren KV-SafeNet-Rahmenbedingungen bleiben mit der Einwilligung weiter bestehen.
22 KV-SafeNet Teilnehmer zwischen denen eine zusätzliche direkte Verbindung eingerichtet werden soll: Name: Adresse: Datum, Unterschrift der Teilnehmer:
23 Anlage 3 Antrag zum Einrichten weiterer Mehrwertdienste (z.b. Internet) auf dem KV-SafeNet Router Einrichtung weiterer Mehrwertdienste Hiermit wird der [KV-SafeNet Anbieter] beauftragt Mehrwertdienste einzurichten. Mit der Unterschrift verzichtet der Teilnehmer auf die entsprechenden Vereinbarungen der Rahmenrichtlinie und übernimmt die volle Verantwortung über die Auswirkungen der zusätzlich eingerichteten Mehrwertdienste entsprechend des Kapitels 13 der Rahmenrichtlinie. Kap 13 der Rahmenrichtlinie Die Zugriffsmöglichkeiten auf andere Mehrwertdienste können durch den Anbieter auf ausdrücklichen Wunsch des einzelnen KV-SafeNet-Teilnehmers eingerichtet werden. Voraussetzungen für eine solche Verbindung sind: a) die schriftliche Einwilligung des einzelnen KV-SafeNet-Teilnehmers (Antrag an Anbieter, entsprechend der Anlage). b) der Zugriff darf ausdrücklich nur in einer Richtung, vom KV-SafeNet- Teilnehmer zum Mehrwertdienst möglich sein.
24 c) Einreichung des Antrages durch den Anbieter bei der KV und Genehmigung des Antrages durch die KV, erst dann darf der Zugriff über den Anbieter freigeschaltet werden. d) Für den Zugriff auf andere Mehrwertdienste ist jeder KV-SafeNet Teilnehmer im Sinne der Sicherheit (Virenschutz, Firewall etc.) eigenverantwortlich. Die KV wird für jegliche Störung, die durch diese Kommunikationsverbindung verursacht wurde, keinerlei Haftung und Support übernehmen. Alle weiteren KV-SafeNet-Rahmenbedingungen bleiben mit der Einwilligung weiter bestehen. Die Gewährleistung des Datenschutzes und der Datensicherheit obliegt dem beantragenden KV-Safenet-Teilnehmer.
25 KV-SafeNet Teilnehmer dem zusätzliche Mehrwertdienste eingerichtet werden sollen: Zieladresse Mehrwertdienst Einzeladresse / Adressbereich Art des Dienstes Name / Adresse Datum, Unterschrift des Teilnehmers:..........
26 Anlage 4 4.860 1.660 3.950 2.750 12.950 3.730 13.140 17.280 11.190 3.760 6.780 1.850 6.700 18.400 22.820 gelb = KV SafeNet-Teilnehmer
27 Historie Version Datum Autor Änderung KVB 01.04.2004 Prücklmaier Norbert Veröffentlichung KVB Rahmenrichtlinie 1.0 17.02.2005 Prücklmaier Norbert Überführung der KVB Rahmenrichtline in KV-SafeNet Rahmenrichtline Anschluss der KVWL und KVNO 2.0 20.07.2006 Prücklmaier Norbert Aufnahme neuer Ansprechpartner und Neuaufnahme Punkt 12 Arztnetze im KV-SafeNet 2.1 25.05.2007 Lösch Ramona Neuaufnahme Punkt 13 Zugriff auf andere Mehrwertdienste. Verdeutlichung Punkt 12 Zusatz Punkt c); Redaktionelle Überarbeitung sowie Aufnahme der Historie Redaktionelle Namensänderung: KV Sachsen nun Herr Peter Heilmann Anlage 4 Aufnahme Länderkarte Deutschland Neuaufnahme Anlage 2 Antrag VPN Verbindung über KV SafeNet Neuaufnahme Anlage 3 Antrag Mehrwertdienste über KV SafeNet Redaktionelle Überarbeitung / Entfernung Unterschriftsblatt Anpassung Punkt 3.2 Abs. 3
28 2.2 2.2.1 13.07.2007 14.11.2007 20.02.2008 Prücklmaier Norbert / Lösch Ramona Lösch Ramona Lösch Ramona Änderung Punkt 1.2 das Zertifikat erlischt nach 3 Jahren Neuaufnahme der Punkte 1.6, 1.7 und 1.8 Austausch Aufzählungsspunkte durch Buchstaben in 3.1 und 3.2 Punkt 12 (Virenschutz, Firewall etc.) eingefügt Punkt 13 d) Fehlerhafte Beschreibung kein Zugriff auf Teilnehmernetzwerk entfernt Neuaufnahme KV Mecklenburg-Vorpommern Anpassung Anlage 4 Neuaufnahme KV Sachsen-Anhalt Anpassung Anlage 4 Anpassung Anlage 1 Neuaufnahme Teilnehmende KVen: KV Bremen KV Hamburg KV Niedersachsen KV Rheinland-Pfalz KV Schleswig-Holstein Anpassung Anlage 4 Neuaufnahme KV Saarland - Anpassung Anlage 1 und Anlage 4 / Kartenübersicht 2.2.2 16.06.2008 N. Prücklmaier Übergabe der gesamten KV-SafeNet Organisation, inklusive der Pflege der Rahmenrichtlinie an die KBV
29 2.3 13.10.2008 S. Holtkamp Anpassung Seite 1, Absatz 1: Die von den Kassenärztlichen Vereinigungen ersetzt mit Die von der KBV und den Kassenärztlichen Vereinigungen Einfügung Seite 1, Absatz 2: örtlich für den Teilnehmer bzw. dessen Geschäftsniederlassung zuständigen Anpassungen in den Kapiteln 1.1, 1.4, 1.5, 1.8, 3.5, 3.6, 4.4, 5.1, 6, 8, 10 und 12c) KV durch KBV ersetzt Anpassung Kapitel 2.3: Die KV ersetzt mit KBV und Kassenärztlichen Vereinigungen Einfügung Titel: KBV und Übernahme der Erweiterungsvorschläge des TÜV-IT (betrifft Kapitel 3.1b), 3.1e), 3.1g), 3.2a), 3.2b), 3.2d), Neuaufnahme Kapitel 3.7 bis 3.11 sowie 4.5 Anlage 1: Aufnahme KBV in die Liste der teilnehmenden KVen