Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Sicherheit im Krankenhaus

Veröffentlicht von:Magdalene Arlinghaus Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "IT-Sicherheit im Krankenhaus"—  Präsentation transkript:

1 IT-Sicherheit im Krankenhaus
??? IT-Sicherheit im Krankenhaus Standards und Normen zur Umsetzung datenschutzrechtlicher Anforderungen 38. Datenschutzfachtagung (DAFTA), November 2011, Maternushaus in Köln Dr. Bernd Schütze

2 Dr. Bernd Schütze Studium Zusatz-Ausbildung Berufserfahrung
Studium Informatik (FH-Dortmund) Studium Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) Studium Jura (Fern-Uni Hagen) Zusatz-Ausbildung Zusatzausbildung Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) Zusatzausbildung Datenschutz-Auditor (TüV Süd) Zusatzausbildung Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut) Berufserfahrung 10 Jahre klinische Erfahrung 20 Jahre IT im Krankenhäusern 20 Jahre Datenschutz im Gesundheitswesen Mitarbeit in wiss. Fachgesellschaften Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) Gesellschaft für Informatik (GI) Mitarbeit in Verbänden Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) Berufsverband Medizinischer Informatiker e.V. (BVMI) Fachverband Biomedizinische Technik e.V. (fbmt) HL7 Deutschland e.V.

3 Agenda Gesetzliche Grundlagen
Umsetzung der Anforderungen der IT-Sicherheit: Umgang mit Medizinprodukten Umsetzung einer Patientenakte Berechtigungskonzept Pseudonymisierung Digitale Signatur Verschlüsselung Transportverschlüsselung Protokollierung Löschen durch den Einsatz national und international anerkannter Standards.

4 IT-Sicherheit: gesetzliche Grundlagen
Gesetz zur Kontrolle und Transparenz (KonTraG) Forderung Risikofrüherkennungssysteme, Risikomanagement- und –steuerungssysteme zu installieren sowie pot. Risikofelder zu beobachten und daraus result. Risiken gegenzusteuern IT-Risiken sind aufgrund ihrer Auswirkungen auf die Vermögens-, Ertrags- und Finanzlage wesentliche Bestandteile Gilt eigentlich für Ags, aber können auch betroofen sein EU-Eigenkapitalrichtlinie (Capital Requirements Directive, CRD, « Basel II) Ziel: Stabilität im Kreditwesen Absicherung von Krediten hängt Bonität und den Zukunftsaussichten der Kreditnehmer ab Konzept für ein IT-Risikomanagement und IT-Securitymanagement ergibt einen positiven Einfluss auf das Rating des Unternehmens

5 IT-Sicherheit: gesetzliche Grundlagen
„Richtlinie des Europäischen Parlaments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (EuroSOX) EuroSOX bestimmt Kriterien, nach welchen Unternehmen eine Institutionalisierung des Risikomanagements (mindestens) vornehmen müssen Rückwirkung auf Ergebnisse von Wirtschaftsprüfern Mindestanforderungen für das Risikomanagement (MaRisk) Zusammenfassung von Mindestanforderungen an das Kreditgeschäft (MaK) Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) Forderung „für Notfälle in allen kritischen Aktivitäten und Prozessen … Vorsorge zu treffen“ Alle Anforderungen betreffen – aus Sicht eines Krankenhauses - letztlich Kreditgeschäfte D.h. wenn ich Kredite/Geld von der öffentlichen Hand bekomme, interessieren mich diese Vorgaben kaum Nur wenn ich Geld von einer Bank leihen muss, spüre ich die Auswirkungen, wenn ich mich nicht um die IT-Sicherheit kümmerte

6 IT-Sicherheit: gesetzliche Grundlagen
BDSG, Anlage zu §9 bzw. SGB X, Anlage zu §78a Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Referentenentwurf vom 18. August 2014 (Erster Entwurf vom 05. März 2013)

7 IT-Sicherheit: gesetzliche Grundlagen
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit nach dem Stand der Technik Benennung von „Warn- und Alarmierungskontakten“ für das BSI (jederzeit erreichbar: 24 Stunden, 7 Tage) Mindestens alle 2 Jahre sind dem BSI eine Aufstellung der durchgeführten Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel zu übermitteln Meldepflicht bzgl. „Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können“ Meldepflicht bzgl. „erheblicher“ Sicherheitsmängel Ministerium des Inneren will nicht länger auf Brüssel warten IT-Sicherheitsgesetz soll in dieser Legislaturperiode verabschiedet werden (Motto: Je schneller, desto besser)

8 Umgang mit Medizinprodukten
Medizinprodukte sind aus datenschutzrechtlicher oder IT-sicherheitstechnische Sicht Produkte wie alle anderen auch Ausnahme: Änderungen müssen vom Hersteller bzw. In-Verkehr-Bringer autorisiert werden (ansonsten verliert das Produkt den MP-Status) Daher: Vorsicht mit Installation von Virenscannern, Firewalls, usw. ohne Rücksprache Aber: verbietet Hersteller/In-Verkehr-Bringer eine dem „Stand der Technik“ entsprechende Schutz-Maßnahme, haftet er ggfs. für daraus resultierende Schäden Zu beachtende Normen ISO „Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen“,Teil 1: Anforderungen und Risikoanalyse ISO „Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen“, Teil 2: Implementierung eines ISMS DIN EN ISO „Anwendung des Risikomanagements auf Medizinprodukte“ DIN CEN „Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten“ ISO „Anleitung zur Auswahl von Normen, die anerkannte grundsätzliche Prinzipien zur Sicherheit und Leistung von Medizinprodukten unterstützen“ DIN EN „Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten“, Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten DIN IEC „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten“, Teil 2-5: Anleitung für verteilte Alarmsysteme Merke: Der IT-Sicherheit ist es egal, ob es sich um ein Medizinprodukt handelt Eine Sicherheitslücke ist eine Sicherheitslücke ist eine Sicherheitslücke Ein Medizinprodukt stellt ggfs. nur ein größeres Risiko für einen Patienten dar Daher: in Rücksprache mit Hersteller getreu dem Sicherheitshandbuch vorgehen

9 Umsetzung einer Patientenakte
Standards im Gesundheitswesen DICOM HL7 IHE Cross-Enterprise Document Sharing (XDS) Patient Identifier Cross-referencing (PIX) Patient Identifier Cross-referencing HL7 V3 (PIXV3) Patient Demographics Query (PDQ) Patient Demographics Query HL7 V3 (PDQV3) Normung / DIN ISO „Medizinische Informatik. Anforderungen an die Architektur einer elektronischen Gesundheitsakte“ DIN CEN ISO „Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA-Systemen“ ISO „Archivierung elektronischer Gesundheitsakten“, Teil 1: Prinzipien und Anforderungen ISO „Archivierung elektronischer Gesundheitsakten“, - Teil 2: Leitlinien DIN EN ISO „Funktionales Modell für ein elektronisches Gesundheitsaktensystem (EHRS FM)“ ISO/TR „Elektronische Gesundheitsakte - Definition, Anwendungsbereich und Kontext“

10 Elektronische Akten: das IHE-Cookbook
Zielsetzung: Aktenbasierte einrichtungsübergreifende Bild- und Befund-Kommunikation Erarbeitung von Umsetzungsempfehlungen Einrichtungsübergreifende elektronische Patientenakte (eEPA) Persönliche einrichtungsübergreifende elektronische Patientenakte (PEPA) Fallbezogene einrichtungsübergreifende elektronische Patientenakte (eFA) Berücksichtigung der deutschen Sicherheitsanforderungen und Vokabularien, insbesondere datenschutzrechtliche Anforderungen Öffentlich verfügbar ( Einsatz Eindeutige einrichtungsübergreifende Patientenzuordnung Eindeutige Benutzeridentifikation bzw. -authentifizierung Protokollierung, wem wann welches Recht zugewiesen wurde Protokollierung, wer wann auf was zugegriffen hat Feinstgranulare (falls notwendig Dokumentenbezogen) Rechtezuweisung möglich

11 Elektronische Akten: das IHE-Cookbook
Praktischer Einsatz eFA Verein elektronische Fallakte e.V. HELIOS Ärzteportal Ziel: bessere Kommunikation zwischen Kliniken und Praxen Mittlerweile verfügen über 90% der Helios-Kliniken über die Ärzteportallösung Städtisches Klinikum München: EFA Bayern Regionale Kommunikationsplattform für Ärzte zur Behandlung von Darmkrebs-Patienten Projekt INFOPAT ( Vom Patienten gesteuerte Persönliche elektronische Patientenakte Anwendungsfälle: Diabetes und Kolorektales Karzinom Mehrere Anwendungs- und Entwicklungsprojekte mit verschiedensten Forschungsvorhaben von 26 Partnern aus Wissenschaft, Forschung, Industrie, Sozialwesen und dem öffentlichen Sektor

12 Berechtigungskonzept
Standards im Gesundheitswesen DICOM Keine Empfehlung HL7 Implementation Guide for CDA Release 2.0: Privacy Consent Directive Healthcare Privacy and Security Classification System IHE Enterprise User Authentication (EUA) Basic Patient Privacy Consents (BPPC) Normung / DIN DIN EN ISO „Privilegienmanagement und Zugriffssteuerung“, Teil 1: Übersicht und Policy-Management DIN EN ISO „Privilegienmanagement und Zugriffssteuerung“, Teil 2: Formale Modelle DIN EN ISO „Privilegienmanagement und Zugriffssteuerung“, - Teil 3: Implementierungen ISO/IEC „Sicherheitsverfahren - Rahmenwerk für Identitätsmanagement“, Teil 1: Terminologie und Konzept ISO/TS „Funktionelle und strukturelle Rollen“ ISO/IEC „Security techniques - Privacy framework“ ISO/IEC „ Security techniques - Privacy architecture framework” ISO/IEC „Security techniques - A framework for access management”

13 Berechtigungskonzept: Nutzung der DIN 22600
Privilegienmanagement und Zugriffssteuerung Teil 1 Zieldefinition Definitionen, z.B. Authentifizierung Policy-Repository Aufbau einer Policy-Vereinbarung Beispiel einer Textschablone für die Dokumentation Grundlegende Checklisten, z.B.

14 Berechtigungskonzept: Nutzung der DIN 22600
Privilegienmanagement und Zugriffssteuerung Teil 1 Teil 2 Darstellung der verschiedenen Modelle wie beispielsweise Domainenmodell Dokumentenmodell Policy-Modell Darstellung von funktionellen Rollen, z.B. Person, die etwas ver- oder vorschreibt Unterzeicner Darstellung von strukturellen Rollen, z.B. Ärztliche Direktorin / Ärztlicher Direktor Chefärztin / Chefarzt Beispiel für strukturelle Rollen entspr. ASTM E-1986

15 Berechtigungskonzept: Nutzung der DIN 22600
Privilegienmanagement und Zugriffssteuerung Teil 1 Teil 2 Teil 3 Umgang mit Zugriffssteuerungsinstrumenten (ACI) Initiator-ACI, Benutzer-ACI Ziel-ACI Aktions-ACI Kontextuelle-ACI Infrastrukturdienste X.509-basierte Zertifikatsspezifikationen XACML-basierte Rollenzuweisung

16 Pseudonymisierung Standards im Gesundheitswesen DICOM
Supplement 55: Attribute Level Confidentiality (including De-identification) (2001)

17 Pseudonymisierung Standards im Gesundheitswesen DICOM
Supplement 55: Attribute Level Confidentiality (including De-identification) (2001) Supplement142 „Clinical Trial De-identification Profiles“ (2009)

18 Pseudonymisierung Standards im Gesundheitswesen DICOM
Supplement 55: Attribute Level Confidentiality (including De-identification) (2001) Supplement 142 „Clinical Trial De-identification Profiles“ (2009) HL7 Keine Empfehlungen IHE Normung / DIN ISO/TS „Pseudonymisierung“ DIN CEN ISO/TS „Klassifikation des Zwecks zur Verarbeitung von persönlichen Gesundheitsinformationen“ DIN CEN ISO/TS „Sicherheits- und Datenschutzanforderungen für die Konformitätsprüfung von EGA-Systemen“

19 Digitale SiGnatur Base RSA Digital Signature Profile
Standards im Gesundheitswesen DICOM Supplement 41 „Security Enhancements 2 - Digital Signatures“ (2000) Base RSA Digital Signature Profile Creator RSA Digital Signature Profile Authorization RSA Digital Signature Profile Structured Report RSA Digital Signature Profile Supplement 86 „Digital Signatures for Structured Reports” (2004) HL7 v2 Embed Detached Signature in ED OBX segment Conceptually like XML digital signature V3 /CDA: eingebettete XML-Signatur

20 Digitale Signatur IHE Keine Empfehlungen Standards im Gesundheitswesen
DICOM Supplement 41 „Security Enhancements 2 - Digital Signatures“ (2000) Supplement 86 „Digital Signatures for Structured Reports” (2004) HL7 V2: XML-Signatur V3 /CDA: eingebettete XML-Signatur IHE Keine Empfehlungen Normung / DIN ISO „Public-Key-Infrastruktur“, Teil 1: Überblick über digitale Zertifizierungsdienste ISO „Public-Key-Infrastruktur“, Teil 2: Zertifikatsprofile ISO „Public-Key-Infrastruktur“, Teil 3: Policymanagement von Zertifizierungsinstanzen ISO „Public-Key-Infrastruktur“, Teil 4: Digitale Signatur für Dokumente des Gesundheitswesens DIN 6789 „Verfälschungssicherheit und Qualitätskriterien für die Freigabe digitaler Produktdaten“ DIN EN „Schutzprofile für Sichere Signaturerstellungseinheiten“ DIN „Kriterien für vertrauenswürdige digitale Langzeitarchive“ DN „Leitfaden zur Informationsübernahme in digitale Langzeitarchive“ UNE-ENV „Algorithm for digital signature services in Health Care”

21 Digitale Signatur: DICOM Supplement 86
DICOM-Signer: Projekt der Fachhochschule Dortmund (2004) Motivation: digitale Signatur wird von PACS-Herstellern nicht unterstützt Machbarkeitsstudie: Black-Box, die DICOM-Bilder entgegennimmt und digital signiert

22 Digitale Signatur: DICOM Supplement 86
Nutzung der Vorgaben des DICOM-Standards (elektr. Signatur wird im Bild gespeichert) Literatur: ‚ Schütze B, Kroll M, Filler TJ. Ein Lösungsweg, um medizinische Bilder mit digitalen Signaturen nach dem DICOM-Standard zu versehen: Embedded Systems. Fortschr Röntgenstr 177(1): , 2005 Schütze B, Kroll M, Geisbe T, Filler TJ. Patient Data Security in the DICOM Standard. Eur J Radiol 51: 286–289, 2004

23 Verschlüsselung Basic DICOM Media Security Profile
Standards im Gesundheitswesen DICOM Supplement 51: Media Security (2000) Basic DICOM Media Security Profile Encapsulation of A DICOM File in a Secure DICOM File confidentiality, Integrity data origin authentication Password as defined in RFC 2898 (PBKDF2)

24 Verschlüsselung Standards im Gesundheitswesen DICOM
Supplement 51: Media Security (2000) Supplement 55: Attribute Level Confidentiality (2001) HL7 Keine Empfehlung IHE Keine Empfehlungen

25 Verschlüsselung Standards im Gesundheitswesen DICOM
Supplement 51: Media Security (2000) Supplement 55: Attribute Level Confidentiality (2001) HL7 Keine Empfehlung IHE Keine Empfehlungen Normung / DIN ISO/IEC „Verschlüsselungsalgorithmen“, Teil 1: Allgemeines Modell ISO/IEC „Verschlüsselungsalgorithmen“, Teil 2: Asymmetrische Chiffren ISO/IEC „Verschlüsselungsalgorithmen“, Teil 3: Blockziffern ISO/IEC „Verschlüsselungsalgorithmen“, Teil 4: Stromchiffren ISO/IEC „ Authentifizierte Verschlüsselung“

26 TransportVerschlüsselung
Standards im Gesundheitswesen DICOM Supplement 31 „Security Enhancements“ (1999) Description of the protocol framework and negotiation mechanisms Description of the entity authentication an implementation shall support The identity of the entities being authenticated The mechanism by which entities are authenticated Any special considerations for audit log support Description of the encryption mechanism an implementation shall support The method of distributing session keys The encryption protocol and relevant parameters Description of the integrity check mechanism an implementation shall support

27 TransportVerschlüsselung
Standards im Gesundheitswesen DICOM Supplement 31 „Security Enhancements“ (1999) HL7 Keine spezielle Empfehlung; Verschlüsselung wie jede andere Nachricht, die TCP nutzt IHE Keine Empfehlungen Normung / DIN ISO/TS „Kommunikation von Patientendaten in elektronischer Form“ Teil 4: Sicherheit ISO/TR „Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen“, Teil 1: Anforderungen und Risikoanalyse ISO/TR „Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen“, Teil 2: Implementierung eines ISMS ISO/TR „Dynamisch abrufbares virtuelles privates Netzwerk für die Informationsinfrastruktur im Gesundheitswesen“ DIN EN „Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements“

28 Transportverschlüsselung: DICOM E-Mail
Imitative der AG Informationstechnologie der Deutschen röntgengesellschaft Grundidee: Spontaner Austausch von medizinischen Bilddaten, d.h. kein VPN vorhanden Anforderungen: Transportmedium überall vorhanden Keine Änderung von Firewall-Regeln nötig Möglichst geringer Aufwand bei Sender und Empfänger Verschlüsselung möglichst transparent für Anwender Lösung Verschlüsselung mit PGP

29 Transportverschlüsselung: DICOM E-Mail

30 Transportverschlüsselung: DICOM E-Mail
Mitglieder mit Telemedizin-Client

31 Protokollierung Standards im Gesundheitswesen DICOM
Supplement 95 „Audit Trail Messages“ (2009)

32 Protokollierung Standards im Gesundheitswesen DICOM
Supplement 95 „Audit Trail Messages“ (2009) HL7 HL7 PASS: definiert einen Protokollierungsdienst mit einem Abfrage-Interface für Reporting HL7 FHIR: definiert einen Dienst für die Protokollierung sicherheitsrelevanter Vorfälle; eine Anfragemöglichkeit der Protokolleinträge ist gleichfalls vorgesehen IHE Audit Trail and Node Authentication (ATNA) Normung / DIN DIN EN ISO „Audit-Trails für elektronische Gesundheitsakten“ Vorschläge für audit trigger events und audit data ISO/IEC „IT-Sicherheitsverfahren - Sicherheitsobjekte für Zugriffskontrolle“

33 Protokollierung: DIN EN ISO 27789
Audit-Trails für elektronische Gesundheitsakten Seit Juni 2013 Status „Deutsche Norm“ (vormals mehrere Jahre „Vor-Norm“) Definiert Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

34 Protokollierung: DIN EN ISO 27789
Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Ethische und formale Anforderungen Anforderung, aus der Beziehung zur Gesundheitsversorgung resultierender berufsethischer Verantwortung nachzukommen Erstellung einer Zugriffsleitlinie Eindeutige Identifikation der Benutzer von Informationssystemen Benutzerrollen müssen klar definiert und dem Benutzer eindeutig zugewiesen werden Sichere Auditeinträge entsprechend ISO 27799:2008 Verwendung von Auditdaten Lenkung und Überwachung Wahrnehmung von Rechten durch die behandelten Personen Ethischer oder rechtlicher Aktionsnachweis von Gesundheitsdienstleistern Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

35 Protokollierung: DIN EN ISO 27789
Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zu den Ereignistypen und deren Inhalten Zugriffereignisse auf persönliche Gesundheitsinformationen Abfrageereignisse zu den persönlichen Gesundheitsinformationen Einzelheiten zum Auditeintrag Entspricht Vorgaben von RFC 3881 und DICOM Folgt den Empfehlungen von IHE, genauer ATNA Auditeinträge für einzelne Ereignisse Sichere Verwaltung von Auditeinträgen

36 Protokollierung: DIN EN ISO 27789
Vorteile: Ein einheitliches Format Damit können Logdateien mehrerer Informations-Systeme gemeinsam ausgewertet werden Was fehlt: Forderung nach Auswertemechanismen Einlesen mehrerer Protokolldateien Filtermechanismen Audit-Trails für elektronische Gesundheitsakten Anforderungen an und Verwendung von Auditdaten Auslösende Ereignisse Einzelheiten zum Auditeintrag Auditeinträge für einzelne Ereignisse Zugriffsereignisse Abfrageergebnisse Sichere Verwaltung von Auditeinträgen Sichern der Verfügbarkeit des Auditsystems Anforderungen an die Aufbewahrung Sicherung der Vertraulichkeit und Integrität von Audit-Trails Zugriff auf Auditdaten

37 Löschen Standards im Gesundheitswesen DICOM
Korrektur sowie löschen von Daten an den verschiedensten Stellen im Standard zu finden, z. B. „DICOM Study Deleted“ oder „Delete references to retired services” oder auch bei den Methoden wie beispielsweise “M-DELETE” für löschen im File-System HL7 IHE Delete Document Set Physikalische Löschung (derzeit) nicht vorgesehen Normung / DIN DIN EN „Sichere Vernichtung von vertraulichen Unterlagen – Verfahrensregeln“ DIN „Vernichten von Datenträgern“, Teil 1: Grundlagen und Begriffe DIN „Vernichten von Datenträgern“, Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern DIN „Vernichten von Datenträgern“, Teil 3: Prozess der Datenträgervernichtung

38 Löschen: derzeit nutzbar in…
?

39 So viele Lösungen und Normen – was haben Sie im Einsatz?
Berechtigungskonzept Haben Sie eins? ;-) Pseudonymisierung DICOM: praktisch in keinem Produkt umgesetzt HL7: keine Empfehlungen Normen: überwiegend ignoriert Digitale Signatur Verschlüsselung

40 So viele Lösungen und Normen – was haben Sie im Einsatz?
Transportverschlüsselung DICOM: praktisch in keinem Produkt umgesetzt (abgesehen von DICOM- ) HL7: keine Empfehlungen Normen: in Netzwerken zur externen Kommunikation überwiegend etabliert, innerhalb eines Klinikums erfolgt Kommunikation i.d.R. unverschlüsselt Protokollierung DICOM: in PACS-Umfeld täglich im Einsatz IHE: im Rahmen von IHE XDS Systemen im Einsatz Normen: überwiegend ignoriert Löschen In Healthcare IT-Systemen oftmals nicht vorgesehen Systemübergreifendes Löschen geht überhaupt nicht

41 So viele Lösungen und Normen – was haben Sie im Einsatz?
Umsetzung einer Patientenakte DICOM HL7 IHE: weltweit etabliert, mittlerweile auch in Deutschland auf dem Vormarsch Normen

42 circulus vitiosus oder lösbare Herausforderung?
Hersteller realisiert es entsprechend Kundennachfragen Kunde fragt nach, wenn Hersteller es im Angebot hat

43 Was sind wir bereit, für IT-Sicherheit im Gesundheitswesen zu zahlen?
Anders gefragt: Was sind wir bereit, für IT-Sicherheit im Gesundheitswesen zu zahlen? Ich freue mich auf die Diskussion Kontakt:

Herunterladen ppt "IT-Sicherheit im Krankenhaus"

Ähnliche Präsentationen

Architektur eines Human-Task-Service

Architektur eines Human-Task-Service
INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Medizinische Telematik und Datenschutz

Medizinische Telematik und Datenschutz
Risiko-Management im Projekt

Risiko-Management im Projekt
Rechnernetze und verteilte Systeme (BSRvS II)

Rechnernetze und verteilte Systeme (BSRvS II)
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Vorlesung Gesamtbanksteuerung Operationelle Risiken

Vorlesung Gesamtbanksteuerung Operationelle Risiken
Vorstellung der Diplomarbeit

Vorstellung der Diplomarbeit
Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.

Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.

Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.
Einführung in die Ausbildung

Einführung in die Ausbildung
Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.

Hauptseminar Verteilte Systeme im Gesundheitswesen - Gesundheitstelematik Sommersemester 2007 Telematik im Gesundheitswesen: Überblick und Entwicklungsperspektiven.
QUALITÄTSMANAGEMENT IM FUNDRAISING Für Qualität in der Spendenwerbung.

QUALITÄTSMANAGEMENT IM FUNDRAISING Für Qualität in der Spendenwerbung.
Sicherheit in drahtlosen Netzen

Sicherheit in drahtlosen Netzen
Enterprise Protection Betriebskonzept IT Security –

Enterprise Protection Betriebskonzept IT Security –

Ähnliche Präsentationen

Google-Anzeigen