Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte

Notfalldaten und Datenerhalt mit der elektronischen Gesundheitskarte Smartcard-Workshop Darmstadt, 9. Februar 2012 Georgios Raptis Bundesärztekammer

Notfalldatensatz auf der egk 2003 291a SGB V die egk muss Anwendungen unterstützen, insbesondere das Erheben, Verarbeiten und Nutzen von medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind 2008 Feldtest des Notfalldatensatzes Release R1 erheblicher Nachbesserungs-Bedarf 2010 Bundesärztekammer wird von gematik- Gesellschaftern mit der Projektleitung für Notfalldatenmanagement betraut Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 2

Notfalldatensatz auf der egk Notfalldatensatz wird im Chip der egk gespeichert Soll im Notfall von einem Arzt ausgelesen werden Fachlichkeit der Anwendung: interessant für Ärzte, Informatiker, Datenschützer und Patienten Diskussion willkommen! Hier: ausgewählte Smartcardspezifische Aspekte der Anwendung Fokus auf Datenerhalt Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 3

Diskussion aktueller Planungsstand Notfallrelevante medizinische Informationen [für Ärzte ohne PIN auslesbar] Persönliche Erklärungen des Patienten [für Ärzte ohne PIN auslesbar] Falls Sie eine Falls Sie eine Falls Sie eine Erklärung zur Patienten- Vorsorge- Organ- und Verfügung Vollmacht Gewebespende ausgefüllt haben: ausgefüllt haben: ausgefüllt haben: Wo bewahren Wo bewahren Wo bewahren Sie Sie diese auf? Sie diese auf? diese auf? Wer ist als Betreuer genannt? Getrennte Datencontainer Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 4

Notfallversorgung Welche Information wird wann benötigt? Notfallrelevante medizinische Information Diagnose Medikation Notfall tritt auf Präklinische Versorgung Notaufnahme Intensivstation Willenserklärungen Organ- und Gewebespende Patienten-Verfügung Vorsorge-Vollmacht Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 5

Zugriffschutz Zugriffschutzmechanismus: Authentisierung eines Heilberufsausweises / SMC (Praxiskarte) durch CV-Zertifikat Schreiben durch den Arzt Lesen im Notfall PIN (falls initialisiert) für die Dokumentation (!) des lesenden Zugriffs außerhalb eines Notfalls Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 6

PIN-Handling Abgestuftes Prüfungsverfahren beim Lesen der Notfalldaten Prüfkriterien: PIN Initialisierung Notfallszenario Änderung des NFD Kein Notfallszenario Berechtigter (Lesen NFD von egk): n. Z. Arzt / Mitarbeiter Arzt / Mitarbeiter Arzt / Mitarbeiter Versicherter / Apotheker / psych. Psychotherapeut mind. 2 x PIN-Eingabe durch den Versicherten PIN-Eingabe des Versicherten PIN-Eingabe des Versicherten Keine PIN-Eingabe durch den Versicherten Keine PIN-Eingabe durch den Versicherten Keine Initialisierung Keine PIN-Eingabe (Einverständnis des Versicherten) Nicht möglich! Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 7

Online-Sicherungskopie der Notfalldaten Freiwillige Online-Sicherungskopie Wird später im Verlauf des Projektes realisiert Bei Verlust oder Austausch der egk Wieso? Alternative: Arztbesuch, nur um Notfalldaten auf neue egk aufzuspielen. Persönliche Erklärungen würden immer verloren gehen, da sie nicht beim Arzt gespeichert werden Wie absichern? Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 9

Datenspeicherung in der Telematik- Infrastruktur Viele geplante Anwendungen der egk brauchen auch eine zentrale Datenspeicherung Auf Wunsch des Patienten Z.B. Arzneimitteltherapiesicherheitsprüfung, Patientenakte Paradigma für Datensicherheit: dezentrale patientenindividuelle Verschlüsselung mit den egk-schlüsseln Klassische Hybridverschlüsselung Daten werden symmetrisch verschlüsselt Symmetrischer Schlüssel wird mit RSA-Schlüsseln des Patienten und aller berechtigten Ärzte verschlüsselt Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 10

Datenspeicherung in der Telematik- Infrastruktur Die egk + PIN wird für die Entschlüsselung benötigt Sehr wirksamer Schutz gegen Angriffe auf die Datenspeicher Technischer Anbieter erhält keinen Zugriff auf die Daten Falls Anbieter gehackt Angreifer erhält nur verschlüsselte Daten Immanentes Problem: Datenerhalt bei Verlust/Austausch der egk sichere Umschlüsselung der Daten Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 11

Drei Datenerhalt-Konzepte zur Diskussion 1. Rekonstruktion des privaten egk Schlüssels Konzept nach Vorschlag der BÄK vom Jahr 2007 von der Gematik vor der Neuausrichtung der TI favorisiert 2. Rekonstruktion der symmetrischen Schlüssel Eingebracht von den Kostenträgern, 2009 3. Umschlüsselung mit egk-individuellem Schlüsselpaar BÄK & Fraunhofer ISST im Rahmen des FuE-Projektes epatientenakte nach 291a SGB V, 2010 Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 12

Datenerhalt-Konzepte Rekonstruktion des privaten egk Schlüssels Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 13

Rekonstruktion des privaten egk Schlüssels Initialisierung bei Kartenproduktion im HSM, als Teil der Schlüsselgenerierung Privaten egk Schlüssel mit öffentlichem Schlüssel eines Umschlüsselungsdienstes verschlüsseln Bindung an HSM des Umschlüsselungsdienstes Verschlüsselten priv. Schlüssel teilen (Shamir Secret Sharing oder XOR mit Zufallszahl). Teilschlüssel asymmetrisch verschlüsseln, für Kostenträger und Treuhänder Verschlüsselte Teilschlüssel verteilen (Kostenträger, Treuhänder) und hinterlegen Ggf. Speicherung eines Teilschlüssels auf der egk, Patient muss ihn (rechtzeitig) an Treuhänder aktiv schicken Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 14

Rekonstruktion des privaten egk Schlüssels Umschlüsselung bei Austausch der egk Entschlüsselung der Teilschlüssel bei Treuhänder und Kostenträger Übermittlung an Umschlüsselungsdienst Rekonstruktion des verschlüsselten privaten Schlüssels, Entschlüsselung Hybridschlüssel von Fachdiensten holen, für neuen egk-schlüssel umschlüsseln, an Fachdienste zurückspielen Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 15

Rekonstruktion des privaten egk Schlüssels Probleme Infrastruktur muss VOR Produktion der ersten egk stehen Treuhänder- und Kostenträger-Dienste mit HSMs und Datenbanken Schnittstellen zu egk-personalisierern Problematisch bei bestehenden Verträgen (Change Requests) Anpassung egk-spec für Speicherung des Teilschlüssels D.h. Datenerhalt wäre erst mit egk/hba Generation 2 möglich Feste Bindung an Treuhänder, kein Wechsel möglich Fehlende Transparenz für den Patienten, keine aktive Mitwirkung beim Anstoßen der Umschlüsselung Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 16

Datenerhalt-Konzepte Rekonstruktion der symmetrischen Schlüssel der Datenobjekte Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 17

Rekonstruktion der symmetrischen Schlüssel Initialisierung bei Einstellung von hybrid verschlüsselten Daten in einem Fachdienst Eine Kopie des symmetrischen Schlüssels wird für n Treuhänder geteilt Verschlüsselung der Teilschlüssel mit den öffentlichen Schlüsseln der jeweiligen Treuhänder Hinterlegung beim Fachdienst, zusammen mit dem Hybridschlüssel des Patienten (der egk) Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 18

Rekonstruktion der symmetrischen Schlüssel Umschlüsselung bei Austausch der egk Fachdienst schickt n Teilschlüssel an n Treuhänder n Treuhänder entschlüsseln die Teilschlüssel und schicken sie an Umschlüsselungsdienst Umschlüsselungsdienst rekonstruiert symmetrischen Schlüssel Umschlüsselung für neuen egk Schlüssel, zurückspielen an Fachdienst Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 19

Rekonstruktion der symmetrischen Schlüssel Probleme Für den Patienten intransparent, keine aktive Mitwirkung beim Anstoßen der Umschlüsselung Konnektor und Fachdienste müssen stark angepasst werden Private Treuhänder-Schlüssel sehr kritisch Können Millionen von Datensätzen entschlüsseln Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 20

Datenerhalt-Konzepte Umschlüsselung mit egk-individuellem Schlüsselpaar Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 21

Umschlüsselung mit egk-individuellem Schlüsselpaar Vorschlag der BÄK in Zusammenarbeit mit Herrn Caumanns (Fraunhofer ISST), eingereicht bei der Gematik, aktuell in Prüfung Für einen generischen Umschlüsselungsmechanismus für egk-verschlüsselte Daten Ziele: Flexibilität, minimale Anforderungen an Fachdienste, Unabhängigkeit von der Kartenproduktion, einfacher Wechsel des Datenerhalt-Anbieters, aktive Mitwirkung des Patienten, maximale Transparenz Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 22

Vorschlag der BÄK / FhG ISST für Datenerhalt Patient schließt Vertrag mit Datenerhalt-Anbieter ab Anbieter erzeugt in HSM einen für den Patienten individuellen Schlüsselpaar Privater Schlüssel wird noch im HSM mit öffentlichen HSM-Schlüssel verschlüsselt Bindung an HSM, Umschlüsselung kann später nur innerhalb des HSM erfolgen Privater Schlüssel wird dann noch im HSM mit einem symmetrischen Aktivierungsschlüssel verschlüsselt Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 23

Vorschlag der BÄK / FhG ISST für Datenerhalt Der nun doppelt verschlüsselte private Datenerhalt- Schlüsselt wird vom HSM exportiert und vom Anbieter archiviert Der Aktivierungsschlüssel wird ausgedruckt und dem Patienten als PIN-Brief (oder z.b. 2D-Barcode?) zugestellt Für den öffentlichen Schlüssel wird ein Zertifikat erzeugt mit den persönlichen Daten des Patienten und bei allen Fachdiensten für egk-anwendungen als Datenerhalt-Zertifikat autorisiert Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 24

Betrieb Datenerhalt-Zertifikat wird nun als ein weiterer Berechtigter in den Tickets der verschlüsselten Datensätze geführt Online-Sicherungskopie der Notfalldaten wird also mit dem egk-schlüssel und zusätzlich mit dem Datenerhalt-Schlüssel verschlüsselt Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 25

Initialisierung Patient Umschlüsselungsdienst Aktivierungsschlüssel 1. Privater Datenerhalt- Schlüssel des Patienten 2. HSM Öffentlicher Datenerhalt- Schlüssel / Zertifikat des Patienten Online-Sicherungskopie Fachdienst egk-schlüssel Med. Daten Hybridschlüssel Datenerhalt- Schlüssel Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 26

Umschlüsselung Patient Umschlüsselungsdienst Neue egk Aktivierungsschlüssel HSM Online-Sicherungskopie Fachdienst egk-schlüssel Med. Daten Hybridschlüssel Neuer egk- Schlüssel / Datenerhalt- Zertifikat Schlüssel Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 27

Betrieb Vorteile Datenerhalt kann jederzeit, auch nach Speicherung der Notfalldaten- Kopie initialisiert werden Unabhängig von der Ausgabe der egk Dienst kann später aufgebaut werden Einfacher Wechsel des Anbieters alten Datenerhalt-Schlüssel vom Ticket löschen, Datenerhalt mit neuem Anbieter neu initialisieren Für Fachdienste ist das Datenerhalt-Zertifikat wie ein gewöhnliches Zertifikat eines berechtigten Arztes Keine Sonderbehandlung erforderlich Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 28

Austausch egk, Umschlüsselung wird angestoßen Patient gibt seinen Aktivierungsschlüssel ein Z.B. In der UzWdRdV (?!...), am Konnektor des Arztes, per Post Erste Entschlüsselung des priv. Datenerhalt-Schlüssels beim Anbieter mit dem Aktivierungsschlüssel Zweite Entschlüsselung des priv. Datenerhalt-Schlüssels im HSM mit HSM-Schlüssel Privater Datenerhalt-Schlüssel des Patienten ist nun im HSM vollständig entschlüsselt Öffentliche Schlüssel der neuen egk werden im HSM importiert Umschlüsselung der Notfalldaten im HSM für den Schlüssel der neuen egk Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 29

Transparenz des Prozesses Der Prozess ist transparent weil der Patient mit seinem Aktivierungsschlüssel aktiv mitwirken muss der Patient kann sehen und nachvollziehen welche Daten erhalten werden, weil das Datenerhalt-Zertifikat wie ein gewöhnlicher Berechtigter erscheint Der Patient kann die Berechtigung für einzelne Daten auch entziehen Oder auch seinen Aktivierungsschlüssel einfach wegwerfen... Reduktion der Komplexität des Gesamtsystems Datenerhalt nutzt generische Mechanismen zur Berechtigung auf verschlüsselte Daten, keine Sonderbehandlung Keine besonderen Voraussetzungen für egk-fachdienste Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 30

Probleme Problem Die Prozesse rund um den Aktivierungsschlüssel sind nicht einfach zu implementieren Die aktive Mitwirkung des Patienten darf nicht zu impraktikablen Prozessen führen Smartcard-Forum 2012, Darmstadt, Notfalldatenmanagement auf der egk, Raptis, Bundesärztekammer 31