Home >Health & Medicine >Integritätssicherung beim ersetzenden scannen für das Gesundheitswesen
Integritätssicherung beim ersetzenden scannen für das Gesundheitswesen
Date post:17-Aug-2015
Category:Health & Medicine
View:74 times
Download:3 times
Share this document with a friend
Transcript:
  1. 1. Integrittssicherung beim Ersetzenden Scannen TR RESISCAN fr das Gesundheitswesen
  2. 2. 2014 intarsys consulting GmbH Ausgangslage Grundsatz: normales Scanprodukt = Papierkopie Technische und organisatorische Manahmen sorgen dafr, dass das Scanprodukt einen dem Original vergleichbaren Beweiswert bekommt Drei Stadien sind zu unterscheiden, die unterschiedliche Beweisprobleme haben: 2 Quelle: Auszug Simulationsstudie Ersetzendes Scannen / Maxi Nebel Zweifel am Originaldokument Zweifel am Scanprozess Zweifel am Scanprodukt
  3. 3. 2014 intarsys consulting GmbH Beweisproblematiken Beweislast Misslingt der Beweis, entscheidet das Gericht nach der Beweislast Die Beweislast trgt die Partei, die eine ihr gnstige Tatsache behauptet Beweisfhrung? Echt? Ist das Papieroriginal unverflscht und stammt es vom angegebenen Aussteller? Korrekt? Wurde das Papieroriginal korrekt mit allen relevanten Eigenschaften in ein elektronisches Dokument bertragen? Unverflscht? Wurde das elektronische Dokument nach seiner Erstellung verflscht? 3 Quelle: Auszug SimulationsstudieErsetzendes Scannen / Maxi Nebel
  4. 4. 2014 intarsys consulting GmbH Beispiel: Zweifel am Originaldokument Echtheit des Originals nach dessen Vernichten nicht mehr prfbar Umstnde der Erstellung des Dokuments haben Aussagekraft darber, ob dem vorgelegten Abbild des Originals vertraut werden kann (Plausibilitt des Bestreitens der Echtheit des Originals entscheidend) Zum Beispiel: Zeitpunkt der Entstehung eines Manipulationsinteresses Gelegenheit und Mittel, die Manipulation durchzufhren Person des Scannenden (Dritter ohne Manipulationsinteresse) Oftmals entscheidend: Zeitpunkt des Scannens 4 Quelle: Auszug Simulationsstudie Ersetzendes Scannen / Maxi Nebel
  5. 5. 2014 intarsys consulting GmbH Beispiel: Ersetzendes Scannen bei Sozialversicherungen nach 36 SRVwV und 110 SGB IV 5 Zentraler Posteingang Briefe ffnen, gruppieren und Stapel bilden. Stapel werden gem BVA Handbuch gescannt. Stapelsignatur mit qeS des Mitarbeiters, der die bildliche elektronische Kopie erstellt hat Zugangskontrolle: Nur berechtigte Mitarbeiter knnen den Raum betreten und drfen sich dort aufhalten. IT-Insel: Das Netz innerhalb des Raumes ist vom Firmennetz durch eine Firewall getrennt. Dokumente knnen nur aus diesem Netz ins Firmennetz bertragen werden. Durch technische Umgebung ist eine einfache Verfahrensbeschreibung mglich. Mitarbeiter sind eingewiesen und begleiten jeweils den gesamten Prozess vom Papier bis zur Signatur. Rahmenbedingungen wurden durch die Aufsichtsbehrde, BVA, festgelegt.
  6. 6. 2014 intarsys consulting GmbH Rahmenbedingungen Zentraler oder dezentraler Posteingang. Zeitspanne und Weg zwischen ffnen des Briefes bzw. der Akte und Digitalisierung. Anzahl der Personen, die am Digitalisierungsprozess fr ein Dokumente beteiligt sind. Art der Dokumente: Stark formal (wie AU, Familienfragebogen bei einer GKV) oder formlos. Elektronischer Workflow: Interne und externe Angriffsmglichkeiten. Zweck der spteren Verwendung. 6
  7. 7. 2014 intarsys consulting GmbH BSI TR RESISCAN 7 Die TR RESISCAN hat zum Ziel, Anwendern in Justiz, Verwaltung, Wirtschaft und Gesundheitswesen als Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten. Dies betrifft insbesondere solche Anwendungen, in denen gesetzliche oder anders begrndete Aufbewahrungs- und Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach sich ziehen, wenn das Original vernichtet werden soll. Die TR hat ohne besondere rechtliche Bestimmungen lediglich empfehlenden Charakter. Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf;jsessionid=B2104965FDF4DC46B455DA88C78E5B34.2_cid359?__blob=publicationFile
  8. 8. 2014 intarsys consulting GmbH TR RESISCAN: Der generische Scanprozess Der generische Scanprozess, der bei der Entwicklung der vorliegenden TR zu Grunde gelegt wurde, umfasst die Dokumentenvorbereitung, das Scannen, die Nachverarbeitung und schlielich die Integrittssicherung. 8 Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf;jsessionid=B2104965FDF4DC46B455DA88C78E5B34.2_cid359?__blob=publicationFile
  9. 9. 2014 intarsys consulting GmbH Methodik Fr die Risikoanalyse des Scanprozesses wurde eine an die internationalen Standards[ISO27001], [ISO27005], das IT-Sicherheitshandbuch [BSI-IT-SiHB] bzw. die IT- Grundschutz-Vorgehensweise des BSI angelehnte Methodik herangezogen. Diese umfasste die folgenden Aufgaben: Strukturanalyse Schutzbedarfsanalyse Bedrohungsanalyse Risikoanalyse Sicherheitsmanahmen Modularer Anforderungskatalog Whrend in der hier angestellten generischen Betrachtung in der Regel nur allgemeingltige Aspekte bercksichtigt werden konnten, wurde soweit mglich auf die Bandbreite der unterschiedlichen in der Praxis auftretenden Ausprgungen der eingesetzten Systeme und Prozesse hingewiesen. 9 Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf;jsessionid=B2104965FDF4DC46B455DA88C78E5B34.2_cid359?__blob=publicationFile
  10. 10. 2014 intarsys consulting GmbH Sicherheitsmanahmen beim Scannen A.SC.1 Auswahl und Beschaffung geeigneter Scanner A.SC.2 Zugangs- und Zugriffskontrollen fr Scanner A.SC.3 nderung voreingestellter Passwrter A.SC.4 Sorgfltige Durchfhrung von Konfigurationsnderungen A.SC.5 Geeignete Benutzung des Scanners A.SC.6 Geeignete Scan-Einstellungen A.SC.7 Geeignete Erfassung von Metainformationen A.SC.8 Qualittssicherung der Scanprodukte A.SC.9 Sichere Auerbetriebnahme von Scannern A.SC.10 Informationsschutz und Zugriffsbeschrnkung bei netzwerkfhigen Scannern A.SC.11 Protokollierung beim Scannen 10 Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf;jsessionid=B2104965FDF4DC46B455DA88C78E5B34.2_cid359?__blob=publicationFile
  11. 11. 2014 intarsys consulting GmbH Sicherheitsmanahmen bei der Nachbearbeitung A.NB.1 Geeignete und nachvollziehbare Nachbearbeitung A.NB.2 Qualittssicherung der nachbearbeiteten Scanprodukte A.NB.3 Durchfhrung der Vollstndigkeitsprfung A.NB.4 Transfervermerk A.NB.5 Barrierefreiheit der Integrittssicherung A.IS.1 Nutzung geeigneter Dienste und Systeme fr den Integrittsschutz 11 Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf;jsessionid=B2104965FDF4DC46B455DA88C78E5B34.2_cid359?__blob=publicationFile
  12. 12. 2014 intarsys consulting GmbH Anlage R: Unverbindliche rechtliche Hinweise R.1.2.4 Medizinische Dokumentation 12 R.1.2 Hinweise zur Schutzbedarfsanalyse Die Patientenakte kann in Papierform oder originr elektronisch gefhrt werden. Im Gegensatz zu 10 Abs. 5 MBO-, der Aufzeichnungen auf elektronischen Datentrgern besonderen Sicherungs- und Schutzmanahmen unterwirft, um eine Vernderung, Vernichtung oder unrechtmige Verwendung zu verhindern, ist gem 630f Abs. 1 Satz 2 BGB eine Vernderung der Daten zulssig, solange neben dem ursprnglichen Inhalt der Zeitpunkt der Vernderung erkennbar bleibt. Unzulssig ist daher das Lschen von Daten; nur Ergnzungen sind gestattet. Dies ist gem 630f Abs. 1 Satz 3 BGB auch fr elektronische Patientenakten durch den Einsatz geeigneter Software sicherzustellen.
  13. 13. 2014 intarsys consulting GmbH Anlage R: Unverbindliche rechtliche Hinweise R.1.2.4 Medizinische Dokumentation 13 Aus den genannten Regelungen ergeben sich folgende Kriterien fr die Ausgestaltung der Aufbewahrung medizinischer Dokumentation: Akteneinsicht (Patient), Therapiesicherung, Erfllung der Rechenschaftspflicht des Arztes, Zuordnung der Verantwortlichkeit sowie Beweisfhrung und Beweissicherung. Anwendungsgebiet Vorschriften zum ersetzenden Scannen Voraussetzungen fr die Vernichtung der Papieroriginale Medizinische 28 Abs. 4 RntgenV Bildliche und inhaltliche bereinstimmung24 Dokumentation Herstellung der Lesbarkeit innerhalb angemessener Zeit keine Informationsvernderungen und Informationsverluste
  14. 14. 2014 intarsys consulting GmbH Hinweise zur Schutzbedarfsanalyse fr Verwaltungsunterlagen - Integritt Sicherheitsziel Hinweise zur Einstufung des Schutzbedarfs Integritt Jede unsichtbare Vernderung knnte den Verlauf einer aktuellen oder zuknftigen Behandlung beeinflussen und unter Umstnden die Gesundheit und das Leben des Patienten/der Patientin beeintrchtigen. Authentizitt Die Authentizitt des Originals und ggf. der im Rahmen des Scanprozesses daraus abgeleiteten Datenobjekte ist fr mgliche Schadensersatzprozesse von hoher Relevanz. Vollstndigkeit Der Wert einer Akte ergibt sich aus der Gesamtheit der in ihr enthaltenen Einzeldokumente. Fr Patientenakten ist dies von hchster Bedeutung. Nachvollziehbarkeit Sie ist fr die ordnungsgeme rztliche Dokumentations- und Aufbewahrungspflicht von hchster Relevanz. 14 Integritt: Signatur Authentizitt: qeS besser als Zeitstempel
  15. 15. 2014 intarsys consulting GmbH Hinweise zur Schutzbedarfsanalyse fr Verwaltungsunterlagen - Verfgbarkeit Sicherheitsziel Hinweise zur Einstufung des Schutzbedarfs Verfgbarkeit Medizinische Daten knnen fr die sptere Behandlung des Patienten bentigt werden. Unter Umstnden mssen medizinische Daten eines Kindes bis ins hohe Alter aufbewahrt werden, weil ihre Kenntnisse auch dann relevant sein knnen. Lesbarkeit Die Dokumente mssen bei laufenden Behandlungen dauerhaft und schnellstmglich sichtbar gemacht werden knnen. Auch bei abgeschlossenen Behandlungen hier mssen die Dokumente fr eine mgliche weitere Behandlung dauerhaft lesbar gemacht werden knnen. Verkehrsfhigkeit Besonders wichtig fr das Akteneinsichtsrecht des Patienten sowie fr den Austausch z. B. zwischen mehreren b
Embed Size (px)
Recommended