EFA Sicherheitsanforderungen
Implementierungsleitfaden
Dieses Dokument gibt wieder:
Implementierungsleitfaden EFA Sicherheitsanforderungen (0.9). Die Teilmaterialien gehören der Kategorie cdaefa an. |
EFA Sicherheitsanforderungen
EFA Sicherheitsanforderungen
Implementierungsleitfaden
vorgelegt von:
February 2013
Jörg Caumanns, Raik Kuhlisch
February 2013
Jörg Caumanns, Raik Kuhlisch
Draft
Copyright © 2012-2013: HL7 Deutschland
Inhaltsverzeichnis
Identifizierung und Authentifizierung von EFA-Teilnehmern
Anforderungen
- Die Identität jedes zugriffsanfragenden Leitungserbringers muss vorab ausreichend sicher authentisiert werden. Die Zusicherung bezüglich der Identität des Leistungserbringer muss durch den ausstellenden (und haftenden) Dienst attestierbar und kommunizierbar gestaltet werden.
- Der austellende Dienst muss neben der Zuweisung der Identität und der Zusicherung über die korrekte Authentisierung des Leistungserbringers auch zusätzliche Attribute liefern, die der datenhaltenden Stelle ermöglichen, informierte und korrekte Zugriffsentscheidungen zu treffen. Der ausstellende Dienst ist zur bereitstellung der folgenden Informationen verpflichtet:
- die eindeutige und korrekte Korrelation zwischen Patient, Daten und Leistungserbringer (Behandlungskontext) ausschließlich anhand der gelieferten Informationen zu ermöglichen
- Kontextinfomationen über die Natur des Zugriffs zu liefern (Stärke des Autentisierungsverfahrens, Zugriffsart etc.)
- den ausstellenden und ggf. haftenden Dienst eindeutig und für die datenhaltende Stelle dokumentierbar zu bennennen
- Die Identitätsinformationen, inklusive eventuell benötigter zugewiesener Attribute, müssen "in-band", d. h. innerhalb der zu tätigenden Transaktion, übermittelt werden.
- Die datenhaltende Stelle ist verpflichtet, die innerhalb der Transaktion übermittelten Identitätsinformationen vor jeder datenverarbeitung oder -offenbarung detailliert zu prüfen. Dabei ist es auch zwingend notwendig, neben der Gültigkeit der Identität und der Zusicherung über die korrekte Zuweisung, auch Kontextinformationen wie beispielsweise die Stärke der Authentisierungsverfahren oder die Stabilität des Vertrauensverhältnis zum austellenden Dienst zu bewerten.
- The requesting HP MUST have been authenticated at the point of care. A dedicated identity service provider MUST be able to verify the attesting HP identity assertion.
- The requesting party MUST deliver the requesting HP authentication claim in a form of an in-band (i.e. sent along an EFA business transaction) authentication assertion.
- The service provider MUST NOT deliver access to a medical data to a EFA client if the HP authentication assertion is valid, but not trusted (i.e., authentication mean considered as insecure).
- The in-band authentication assertion MUST contain additional identity attributes that MUST be used by the EFA provider for authorization decisions and patient consent enforcement. If an additional Admission assertion is needed, it MUST be issued using as security claim the HP authentication assertion. If an additional Access assertion is needed, it MUST be issued using as security claim the HP authentication assertion or an Admission assertion.
HP Identity Assertion
Verweis auf das entsprechende Kapitel im IHE Cookbook
Autorisierung von EFA-Teilnehmern
Anforderungen
…
EFA Access Assertion und EFA Policy Assertion
Verweis auf das entsprechende Kapitel im IHE Cookbook
Vertraulichkeit
Anforderungen
- Personenbezogene und/oder medizinische Informationen dürfen ohne vorherige Einwilliung des Patienten keinesfalls gegenüber Dritten offenbart werden, sofern die Offenbarung nicht durch eine vorrangige Rechtsvorschrift vorgeschrieben ist oder es sich um einen geduldeten gesetzlichen Bruch handelt (wie beispielsweise einen Notfallzugriff bei Gefahr für Leib und Leben des Patienten).
- Personenbezogene und/oder medizinische Informationen innerhalb der EFA dürfen ausschließlich an (medizinische) Leistungserbringer und deren benannte Auftragsdatenverarbeiter im Rahmen der Behandlung offenbart werden.
- Personenbezogene und/oder medizinische Informationen dürfen ausschließlich den explizit als berechtigt benannten Stellen offenbart werden. Sollten vorrangige Rechtsvorschriften bestehen, die eine weitere Offenbarung gegenüber Dritten anordenen, so sollte der Patient möglichst über die Grundlage, Art und den Umfang dieser Offenbarung vorab informiert werden.
- Die legitime Verarbeitung von personenbezogene und/oder medizinische Informationen muss lückenlos über den kompletten Lebenszyklus einer EFA durch den Einsatz geeigneter technischer, organisatorischer und rechtlicher Mittel sichergestellt werden. Der angemessene Einsatz dieser Mittel und die korrete Umsetzung der Patientenwünsche (dokumentiert in der Patienteneinwilligung) muss für den Patienten sowie Stellen mit datenschutzrechtlichen Kontrollaufgaben jederzeit und freimütig nachvollziehbar und überprüfbar sein.
- Medical data MUST NOT be disclosed to persons or organizations unless they have been authorized by the patient and the disclosure is legally or explicitly required for fulfilling the treatment.
- Medical data MUST NOT be disclosed to others than healthcare professionals or healthcare professional organizations in any case.
- Medical data MUST NOT be transferred to other destinations unless this disclosure has been authorized by the patient or is mandated by national law. In case that data processing outside the original destination is mandated by national law, the patient SHOULD be informed about this data processing before he authorizes the disclosure of his medical data.
- The legitimate disclosure and secure transfer of medical data MUST be safeguarded by appropriate means.
The proper enforcement of the willful disclosure MUST be controllable and verifiable by the patient.
EFA Secure Channels
Use of TLS and/or WS SecureConversation
Authentizität und Integrität von EFA Daten
Anforderungen
- Jeder durch eine EFA vollzogene Datenaustausch muss gesicherte Informationen über die
- Urheberschaft der medizinischen Daten (author and/or ownership)
- Verantwortung und Haftung der Daten (legal authenticator)
- Identität der datenvermittelten Stelle (beispielsweise ein Zwischenspeicher-Szenario)
- Die datenverarbeitende Stelle (datenkonsumierender Leistungserbringer) muss durch die in der Transaktion und EFA enthaltenden Informationen in der Lage versetzt werden, den Datenursprung (Originator Authenticity) und den Grad der Datenautenzität (legal authenticator & data authenticity) selbstständig bewerten und dokumentieren zu können.
- Die Informationen über Datenauthenzität und Datenursprung innerhalb der EFA oder den begleitenden Metadaten dürfen durch die Übertragungsmittel nicht innerhalb des Transfers geändert werden.
- The intended recipient of a medical data communication MUST be able to determine the originator and level of authenticity of the medical data received.
- Information on the identity and authenticity of the data originator that is assigned to the data or its metadata MUST NOT be altered during transfer.
Digital Signature
Als future extension, wenn HBA und SMC flächendeckend verfügbar….
Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail
Anforderungen
- Jeder durch die EFA vollzogene Datenaustausch muss geeignet dokumentiert werden, so dass eine nachträgliche lückenlose Rekonstruktion der Kommunikation und des Kontexts möglich ist.
- Die innerhalb der digitale Beweiskette und dem Audit-Trail abzulegenden Informationen sind manipulations- und revisionssicher abzuspeichern.
- Die digitale Beweiskette und der Audit-Trail müssen geeignet archiviert werden und die Aufbewahrungsfristen sind an den gesetzlichen Gegebenheiten auszurichten. Sollten lediglich Minimalaufbewahrungsfristen gewahrt werden, so sind alle direkt Betroffenen über diesen Umstand geeignet zu unterrichten.
- Eine geeignete Beweiskette muss sich aus dem Audit-Trail ergeben, die eventuellen Betroffenen und mit datenschutzrechtlichen Kontrollaufgaben beauftragten Personen eine fallbezogene, umfassende Überprüfung der Legitimität der aktuellen und historischen Fallaktenzugriffe ermöglicht.
- Die digitale Beweiskette und der Audit-Trail darf lediglich die zwingend zur Erfüllung der Dokumentationspflichten personenbezogenen und/oder medizinischen Daten erfassen. Andere Protokolle und -arten, wie beispielsweise Performancelogs, dürfen keinerlei personenbezogenen und/oder medizinischen Daten erfassen.
- Die digitale Beweiskette und der Audit-Trail sind auf Grund der zwingend zur Erfüllung der Dokumentationspflichten enthaltenden personenbezogenen und/oder medizinischen Daten vor Zugriffen unberechtigter Dritter zu schützen und verfügen prinzipiell über den gleichen Schutzbedarf wie die darin enthaltenen Daten.
- Die innerhalb der digitalen Beweiskette und dem Audit-Trail enthaltenden Infrmationen dürfen lediglich gegenüber dem Patienten und mit datenschutzrechtlichen Kontrollaufgaben betrauten Personen offenbart werden. Reguläre Leistungserbringer haben generell keinen Zugriff auf die digitale Beweiskette und den Audit-Trail. Die digitale Beweiskette und der Audit-Trail dürfen keinesfalls Zweckfremd verwendet werden und werden ausschließlich zu Dokumentations- und Nachweiszwecken erfasst. Automatisierte Kontrollsysteme des Audit-Trails sind gesondert zu berechtigen und der Patient ist über den Einsatz derartiger Systeme zu informieren.
- Every EFA mediated exchange of medical data MUST be documented in a fully traceable, reconstructable, and seamless fashion.
- Every EFA mediated exchange of medical data MUST produce a usable chain of digital evidence that enables both, the patient and his assigned DPA, to pursue, enforce, and proof any assumed or detected violation of the patient’s data protection and privacy rights.
- The chain of digital evidence MUST disclose the minimum of personal health data required to serve its purpose and MUST be specifically safeguarded against wrongdoing. Part of these safeguards MUST be a protocol that is not accessible to HPs.