Revisionssicherheit in der digitalen Archivierung von Patientenakten SIEMENS | DMI Partnertreffen 2012 Revisionssicherheit in der digitalen Archivierung von Patientenakten Dr. Ulrich Kampffmeyer Münster , 29.11.2012

(1) Was ist Archivierung? Ablage & Archivierung Revisionssicherheit Rechtssicherheit Beweiswert Vertrauenswürdige Archivierung Archivierung nach BSI TR 03125 und 03138 ISO 14721:2012: Standard für die Archivierung

(1) Was ist Archivierung? Ablage & Archivierung Aufbewahrung ≠ Archivierung Der vom Gesetzgeber verwendete Begriff für Archivierung vor der eigentlichen Langzeitarchivierung ist „Aufbewahrung“ Nur Bundes- und Landesarchivgesetze kennen den Begriff der Archivierung. Dieser bezieht sich auf die „Langzeitarchivierung“ archivisch (historisch) relevanter Information. GOBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme, HGB (Handelsgesetzbuch) oder auch AO (Abgabenordnung) sprechen nur von „Aufbewahrung“

(1) Was ist Archivierung? Revisionssichere Archivierung Ein deutscher Begriff für Aufbewahrung im Sinne von Records Management und elektronische Archivierung: „Re-vision-ssicherheit“ ist rückblickend – man hat alles richtig und ordenungsgemäß getan. Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB AO in Deutschland) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.

(1) Was ist Archivierung? Folgende grundsätzlichen Kriterien gelten für die Revisionssicherheit von Archivsystemen: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit

(1) Was ist Archivierung? Rechtssicherheit gibt es nicht bei der Archivierung: Rechtssicherheit ist ein Begriff aus dem Staatsrecht und dem Grundgesetz, der nicht auf Archivsysteme angewendet werden kann. Der Bürger muss darauf vertrauen können, dass die Legislative ihm Rechtssicherheit gewährt. Gesetze können sich ändern – auch rückwirkend. Systeme und Verfahren können nicht über (bis zu) 100 Jahre die Kontinuität gewährleisten. 6

(1) Was ist Archivierung? Definition Rechtssicherheit bei ArchiSafe Ziel des Projektes "ArchiSafe„ ist es, eine ebenso rechtssichere wie skalierbare elektronische Archivinfrastruktur zu definieren und beispielhaft zu implementieren. ArchiSafe stellt ein technisches Konzept zur rechtssicheren Langzeitspeicherung elektronischer (ggf. signierter) Dokumente dar, welches so für den aktiven oder passiven Bestand eines Vorgangsbearbeitungssystems (VBS) und auch - nach erfolgter Aussonderung - durch das zuständige Archiv eingesetzt werden kann. ArchiSafe will die Grundlagen für eine skalierbare IT-basierte Aufbewahrungslösung schaffen, die die rechtssichere Ablage von elektronisch signierten Dokumenten über lange Zeiträume (mehrere Jahrzehnte) gestattet Philosophie von ArchiSafe Vollständigkeit Lesbarkeit Integrität und Authentizität (http://www.informatik.fhmannheim.de/aku/at_braunschweig20060404/vortraege/AKU2006_HACKEL_Archivtage%20BS_V10_Druck_2 0060505.pdf) 7

Beweisführung mit unterschiedlichen Dokumenten (1) Was ist Archivierung? Beweisführung mit unterschiedlichen Dokumenten Unsignierte Dokumente Keine Beweiserleichterung, Beweisprobleme beim Beweispflichtigen bei widersprüchlichen Dokumenten Echtheit oft nicht entscheidbar Dokumente mit fortgeschrittenen Signaturen Keine Beweiserleichterung, Beweisprobleme beim Beweispflichtigen Fehlende Nachweise, Bestreiten der Echtheit oft nicht zu widerlegen Dokumente mit qualifizierten Signaturen Beweis der erfolgreichen Prüfung und Qualifizierung notwendig Nach 5 Jahren oder Betriebseinstellung nicht mehr prüfbar Voraussetzungen einer qualifizierten Signatur mangels Vorabprüfung möglicherweise nicht nachweisbar Dokumente mit akkreditierten Signaturen Prüfung noch 30 Jahre sichergestellt (Bundesnetzagentur) Sicherheitsvermutung nach § 15 I 4 SigG aufgrund Vorabprüfung für technische und administrative Sicherheit: Voraussetzungen nachweisbar (Quelle: Rechtliche Rahmenbedingungen für eine beweissichere Archivierung, Fachkonferenz „Rechtssicherheit bei der elektronische Archivierung“, Bundesministerium für Wirtschaft, Berlin, 13. Dezember 2005)

Vertrauenswürdige Archivierung (1) Was ist Archivierung? Vertrauenswürdige Archivierung Begriff des „nestor“-Projektes Wird in einer DIN-Norm verankert Betrifft die Langzeitarchivierung – und damit eher die „dauerhafte historische Bewahrung“ Langzeitarchivierung beginnt nach Ablauf der Aufbewahrungsfristen und beinhaltet die vorherige Bewertung und Aussonderung nicht archivierungswürdiger Informationen

Beweiswerterhaltende Archivierung (1) Was ist Archivierung? Beweiswerterhaltende Archivierung Von einigen Anbietern verwendeter Begriff Keine „Produkteigenschaft“ von Archivierungssystemen Die Sicherstellung dieser Eigenschaften muss im Bereich der Archivierung mindestens den Zeitraum der Aufbewahrungsfristen bzw. des Einsatzes der Lösung abdecken Erfordert den Einsatz qualifizierter elektronischer Signaturen und das Nachsignieren (siehe BSI Dokumentationen zu TR 03125 und TR 03138)

(1) Was ist Archivierung? Archivierung nach BSI TR 03125 Ursprünglich TR-VELS, heute TR-ESOR „Beweiswerterhaltung kryptographisch signierter Dokumente“ Nachsignieren von Dokumenten Archivieren und Scannen nach BSI TR 03138 "Ersetzendes Scannen (RESISCAN)" Nachsignieren von elektronisch signierten Scans

(1) Was ist Archivierung? ISO 14721:2012 Space data and information transfer systems -- Open archival information system (OAIS) -- Reference model Version 2.0 der ISO 14721:2012 wurde am 21.08.2012 veröffentlicht Diese Norm gilt als der weltweit akzeptierte Standard für die elektronische Archivierung Auch die Version 2.0 basiert wieder auf dem Standard der Weltraumbehörden CCSDS Während die ISO käuflich erworben werden muss, ist die "bis auf das Deckblatt" identische CCSDS-Version frei im Download verfügbar Zahlreiche Unklarheiten beseitigt: Betrifft konzeptionelle "Schwammigkeiten" aber auch neue Abschnitte zu Zugriffsrechten, Authentizität und anderen Funktionen Grafiken vollständig überarbeitet

OAIS Functional Entities (1) Was ist Archivierung? OAIS Functional Entities

Thesen (T1) (T1.1) „Archivierung“ geht auch auf Festplattensystemen (T1.2) WORM ist keine allein technische Eigenschaft sondern schließt das gesamte Verfahren ein (T1.3) Rechtssicherheit gibt es nicht (T1.4) Langfristige Sicherheit gibt es nur durch kontinuierliche, nachvollziehbare und verlustfreie Migration (T1.5) Standards bei Formaten – wie PDF/A – helfen nur eingeschränkt und mittelfristig (T1.6) Die neue ISO 14721 OAIS Norm passt auch für das Gesundheitswesen

Was sind die Besonderheiten bei E-Health? „Breite“ der Anforderungen und Beteiligten Vertraulichkeit der Daten Nachweis- und Haftungsfragen Lange Aufbewahrungsfristen Besondere Standards, Datenformate und Schnittstellen Nachsignieren Elektronische Kommunikation mit Gesundheitskarte, De-Mail, etc.

Was sind die Besonderheiten bei E-Health? „Breite“ der Anforderungen und Beteiligten: Gesetzgeber Prüfungseinrichtungen Pharma-Industrie Krankenhäuser Kranken- und Pflegekassen Pflegeeinrichten Ärzte Apotheken Patienten

Was sind die Besonderheiten bei E-Health? Vertraulichkeit der Daten Besondere Anforderungen an Vertraulichkeit und Schutz von Patienteninformationen „Standard“-Archivierungsanforderungen im Verwaltungsbereich

Was sind die Besonderheiten bei E-Health? Nachweis- und Haftungsfragen

Was sind die Besonderheiten bei E-Health? Lange Aufbewahrungsfristen

Was sind die Besonderheiten bei E-Health? Besondere Standards, Datenformate und Schnittstellen Dicom Artikel zu Standards in der medizinspezifischen Kommunikation: http://www.bvmed.de/themen/medizinprodukteindustrie-1/Medizinprodukteindustrie/pressemitteilung/12-ehealth-konferenz-von-medinform.html ???

Artikel Elektronische Archivierung e-Health http://www. e-health-com

Nachsignieren bei gescannten Dokumenten BSI TR RESISCAN - 03138 1.1Zielsetzung und Titel Diese TR zielt auf eine Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens ab und trägt den Titel "Ersetzendes Scannen (RESISCAN)“. Hierbei wird unter dem „ersetzenden Scannen“ der Vorgang des elektronischen Erfassens von Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des papiergebundenen Originals verstanden. Die TR RESISCAN hat zum Ziel, Anwendern in Justiz, Verwaltung und Wirtschaft als Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten. Dies betrifft insbesondere solche Anwendungen, in denen gesetzliche oder anders begründete Aufbewahrungs- und Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach sich ziehen, wenn das Original vernichtet werden soll. Die TR hat ohne besondere rechtliche Bestimmungen lediglich empfehlenden Charakter. Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich relevanten Umfeld nach AO und HGB seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der elektronischen Aufbewahrung existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete Umsetzungsvorgaben für die meisten anderen, aber zunehmend betroffenen Bereiche (Ausnahme: Sozialversicherungsrecht). Darüber hinaus gibt es auch in den bereits von unterschiedlich detaillierten Regelungen betroffenen Bereichen zunehmend davon nicht erfasste Dokumente (zum Beispiel solche, die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen Beweissicherung aufbewahrt werden sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls ersetzend gescannt werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage tun zu können, wurden die Empfehlungen in dieser TR erarbeitet. Ziel ist es, die mit einer Vernichtung des Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. Schließlich kann die TR im Rahmen künftiger Regelungsvorhaben als Referenz dienen, wenn es z.B. konkret um die Schaffung weiterer Zulässigkeitstatbestände für das ersetzende Scannen insbesondere im Bereich der elektronischen Aktenführung geht. Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile

Nachsignieren bei gescannten Dokumenten BSI TR RESISCAN - 03138 1.1Zielsetzung und Titel Die TR beruht auf den langjährigen Erfahrungen der Praxis in den verschiedenen Anwendungs-bereichen in Verwaltung und Wirtschaft und berücksichtigt so umfassend wie möglich die hier etablierten Prozesse. Der Mehrwert für alle Scanprozesse, in denen das Scanprodukt das Original tatsächlich ersetzen soll, liegt insbesondere in der systematischen Darstellung der im Ablauf eines Scanprozesses bedeutsamen Bedrohungen für die wesentlichen Grundziele der Informationssicherheit. Diese werden die in einer Strukturanalyse u.a. dezidiert für alle betroffenen Datenobjekte und Kommunikationsbeziehungen dargestellt. Auf Grundlage einer darauf aufbauenden sorgfältigen Schutzbedarfsanalyse und anhand der entlang der verschiedenen Scanphasen durchgeführten Risikoanalyse werden konkrete Sicherheitsmaßnahmen beschrieben. Dadurch wird der Anwender in die Lage versetzt, die für seine Fachanwendung notwendigen Maßnahmen zu identifizieren und „seinen“ Scanprozess angemessen sicher zu gestalten. Durch die detaillierte Bedrohungsanalyse und die daraus abgeleiteten Sicherheitsempfehlungen profitieren voraussichtlich auch bereits etablierte Scanprozesse von der TR, indem diese, sofern gewünscht, ihre Konformität zu den hier erarbeiteten Empfehlungen mit angemessenem Aufwand feststellen können, und mit Hilfe der mit der TR zur Verfügung gestellten Checkliste ggfs. die bereits bestehende Ordnungsmäßigkeit ihres Scanprozesses bei Bedarf weiter optimieren können. Aufgrund der enormen Unterschiede der fachspezifischen Anforderungen jedes Anwendungsbereichs, sieht die TR einen modularen Anforderungskatalog vor, der unterschiedliche praxisrelevante Sicherheitsstufen umfasst. In der Basisstufe geht es vor allem um einen grundsätzlich ordnungsgemäßen und mit grundlegenden Sicherheitsmaßnahmen ausgestalteten Scanprozess. In den Ausbaustufen wird besonderen Anforderungen an Integrität, Verfügbarkeit und Vertraulichkeit mit entsprechend angepassten und erhöhten Sicherheitsmaßnahmen Rechnung getragen. Gegenstand der TR (und damit potentieller Zertifizierungsgegenstand) ist der Prozess des (ersetzenden) Scannens als solcher in technischer und organisatorischer Hinsicht, nicht aber bestimmte Soft- oder Hardwarekomponenten zur tatsächlichen Durchführung des Scannens. Im Rahmen der nach der TR möglichen Nachweisführung der Konformität durch eine Zertifizierung des Scanprozesses werden daher Soft- und Hardware nicht explizit betrachtet. Ebenso ist die sich an einen Scanprozess im Rahmen eines Vorgangsbearbeitungssystems und/oder Dokumentenmanagementsystems anschließende Langzeitspeicherung oder Archivierung nicht Gegenstand der TR. Diesbezüglich wird lediglich die notwendige Interoperabilität und Kompatibilität zu gängigen Archivformaten berücksichtigt. Die hier formulierten Empfehlungen beinhalten nicht nur funktionale und auf die Sicherheits-eigenschaften bezogene Maßnahmen, sondern auch gleichrangig organisatorische Empfehlungen, die gerade beim Scannen von besonderer Relevanz sind. Denn ein Scanprozess kann in keinem Fall vollständig automatisiert erfolgen, sondern bedarf immer auch der sorgfältigen Bedienung durch Menschen, die damit eine potentielle und nicht zu unterschätzende Fehlerquelle des Scanprozesses darstellen. Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile

Was sind die Besonderheiten bei E-Health? Elektronische Kommunikation Gesundheitskarte (mit Patientenakte?) De-Mail (für die sichere Zustellung) Neuer Personalausweis nPA (für die Identifikation) Elektronische Signatur beim Scannen (nach Sozialversicherungsgesetzen) Elektronische Signatur zur kryptographischen Kodierung (bei der Übermittlung von Informationen)

Thesen (T2) (T2.1) Kryptographische Kodierung von Informationen nur bei der Übermittlung, aber nicht im Archiv (T2.2) Chip-Karten mit gespeicherten Daten stellen ein Sicherheitsrisiko dar (T2.3) „Nachsignieren“ – ein Kropf (T2.4) Spezielle proprietäre Systeme liefern Massen von Daten die sich der langfristigen Verfügbarkeit „widersetzen“ (T2.5) Zugriff auf die Patientenakte auch mit BYOD Bring your own Device und mit mobilen Geräten über das Internet (T2.6) Die Patientenakte bei Google

Betrieb von Archivsystemen (3) Informationen erfassen Inhouse oder im Outsourcing Informationen archivieren Inhouse oder im Outsourcing Helfen Standards wie die neue ISO 17068 Wie wird „Vertrauen“ definiert?

Betrieb von Archivsystemen (3) Informationen erfassen Inhouse oder im Outsourcing Szenarien: mit eigenem Personal Inhouse mit fremden Personal Inhouse Im Outsourcing mit externem Personal Outhouse Besondere Anforderungen: Qualität Prozesse Personal Signaturen

Betrieb von Archivsystemen (3) Informationen archivieren Inhouse oder im Outsourcing

& Chancen Risiken Cloud Computing Schnellere Verfügbarkeit Provider Vertrauen Kontrolle Abhängigkeit Zuverlässigkeit der Cloud Engpässe in der Datenübertragung Software-Lizenzen Eigentumsrechte Schnellere Verfügbarkeit von Innovationen Theoretisch unbegrenzte Skalierbarkeit Kosteneinsparung bei Hardware, Personal und Lizenzen Aufwandersparnis bei Programmupdates Schnelle Anpassung an sich ändernde Anforderungen Kostenkontrolle durch Pay-for-use

Sichere Auslegung von Archivsystemen Archiv operativ Archiv Sicherung „Inhouse“ on premise „Outhouse“ outsourced Eigen- Anwender Eigen- Anwender mit outge- sourctem Sicherheits- archiv SaaS & Outsourcing

Archivierung in der Cloud Angebote neben bisherigen Spezialisten aus dem ECM-Umfeld auch von Startups wie Boxnet und Dropbox sowie zunehmend die großen Web-Konzerne wie Amazon, Apple und Google Probleme: Wenn man viel Archiviertes erst einmal auf einer Plattform hat, dann  kann man nur mit großem Aufwand auf eine andere Plattform wechseln. Keine Kontrolle darüber, was für Informationsobjekte die Anwender hochladen Sicherheit nur bei „sicheren“ Leitungen und kryptografischer Codierung, jedoch Probleme beim Recovery von kryptografisch codierten Informationsobjekten

Cloud „On-Premise“ (lokal im eigenen Haus) installierte Systeme gelten als „outdated“ (veraltet).

Betrieb von Archivsystemen (3) Helfen Standards wie die neue ISO 17068? Standards;

Betrieb von Archivsystemen (3) Wie wird „Vertrauen“ definiert? Vertrauen ist die Erwartung, nicht durch das Handeln anderer benachteiligt zu werden; als solches stellt es die unverzichtbare Grundlage jeder Kooperation dar. Man kann  zwischen Vertrauen in Personen und Vertrauen in Systeme unterscheiden. In Interaktionssituationen steht Vertrauen stets im Zusammenhang mit Verantwortung; Akteure, denen Vertrauen geschenkt wird, haben die Verantwortung, dieses zu honorieren. Quelle: http://wirtschaftslexikon.gabler.de/Archiv/9314/vertrauen-v5.html

Thesen (3) (T3.1) Ein einzelnes Archivsystem ist nie genug: man braucht das Produktionssystem plus einem sofort verfügbaren Sicherheitssystem (T3.2) Outsourcing von Erfassung kann zu mehr Sicherheit, höherer Qualität und geringeren Kosten führen (T3.3) Archivsysteme müssen auf den Zugriff durch Dritte von außen eingerichtet sein, z.B. der Patient will an seine eigenen Daten (T3.4) Die Speicherung von Patientendaten ist unter bestimmten Bedingungen in der Cloud zulässig (es gibt auch die „private Cloud“) (T3.5) Die Informationsmenge im E-Health-Bereich wächst – auf E-Health hat ein „Big Data“ Problem

Ulrich Kampffmeyer E-Mail: Kff@PROJECT-CONSULT.com War mir ein Vergnügen! Ulrich Kampffmeyer E-Mail: Kff@PROJECT-CONSULT.com Weitere Informationen... www.PROJECT-CONSULT.com