[DE] "Revisionssicherheit in der digitalen Archivierung von Patientenakten" | Dr. Ulrich Kampffmeyer | DMI Partnertreffen 2012 | Münster

PROJECT CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
www.PROJECT-CONSULT.com
© PROJECT CONSULT 2012
Postfach 20 25 55
20218 Hamburg
1
© PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH 2011 / Autorenrecht: <Vorname Nachname> Mai-19 / Quelle: PROJECT CONSULT 1
Revisionssicherheit in der digitalen
Archivierung von Patientenakten
Dr. Ulrich Kampffmeyer
Münster , 29.11.2012
SIEMENS | DMI Partnertreffen 2012

Revisionssicherheit in der digitalen Archivierung von Patientenakten SIEMENS | DMI Partnertreffen 2012Dr. Ulrich Kampffmeyer 2
(1) Was ist Archivierung?
• Ablage & Archivierung
• Revisionssicherheit
• Rechtssicherheit
• Beweiswert
• Vertrauenswürdige Archivierung
• Archivierung nach BSI TR 03125 und 03138
• ISO 14721:2012: Standard für die Archivierung

Ablage & Archivierung
Aufbewahrung ≠ Archivierung
• Der vom Gesetzgeber verwendete Begriff für
Archivierung vor der eigentlichen Langzeitarchivierung
ist „Aufbewahrung“
• Nur Bundes- und Landesarchivgesetze kennen den
Begriff der Archivierung. Dieser bezieht sich auf die
„Langzeitarchivierung“ archivisch (historisch) relevanter
Information.
• GOBS (Grundsätze ordnungsgemäßer DV-gestützter
Buchführungssysteme, HGB (Handelsgesetzbuch) oder
auch AO (Abgabenordnung) sprechen nur von
„Aufbewahrung“

Revisionssichere Archivierung
Ein deutscher Begriff für Aufbewahrung im Sinne von
Records Management und elektronische Archivierung:
„Re-vision-ssicherheit“ ist rückblickend – man hat alles
richtig und ordenungsgemäß getan.
Unter „revisionssicherer Archivierung“ versteht man
Archivsysteme, die nach den Vorgaben der
Abgabenordnung (HGB AO in Deutschland) und der
GoBS Daten und Dokumente sicher, unverändert,
vollständig, ordnungsgemäß, verlustfrei
reproduzierbar und datenbankgestützt recherchierbar
verwalten.

Folgende grundsätzlichen Kriterien gelten für die
Revisionssicherheit von Archivsystemen:
• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit

6
Revisionssicherheit in der digitalen Archivierung von Patientenakten SIEMENS | DMI Partnertreffen 2012Dr. Ulrich Kampffmeyer
Rechtssicherheit gibt es nicht bei der Archivierung:
• Rechtssicherheit ist ein Begriff aus dem
Staatsrecht und dem Grundgesetz, der nicht auf
Archivsysteme angewendet werden kann.
• Der Bürger muss darauf vertrauen können, dass die
Legislative ihm Rechtssicherheit gewährt.
• Gesetze können sich ändern – auch rückwirkend.
• Systeme und Verfahren können nicht über (bis
zu) 100 Jahre die Kontinuität gewährleisten.

7
Revisionssicherheit in der digitalen Archivierung von Patientenakten SIEMENS | DMI Partnertreffen 2012Dr. Ulrich Kampffmeyer
• Ziel des Projektes "ArchiSafe„ ist es, eine ebenso rechtssichere wie
skalierbare elektronische Archivinfrastruktur zu definieren und beispielhaft
zu implementieren.
• ArchiSafe stellt ein technisches Konzept zur rechtssicheren
Langzeitspeicherung elektronischer (ggf. signierter) Dokumente dar,
welches so für den aktiven oder passiven Bestand eines
Vorgangsbearbeitungssystems (VBS) und auch - nach erfolgter
Aussonderung - durch das zuständige Archiv eingesetzt werden kann.
• ArchiSafe will die Grundlagen für eine skalierbare IT-basierte
Aufbewahrungslösung schaffen, die die rechtssichere Ablage von
elektronisch signierten Dokumenten über lange Zeiträume (mehrere
Jahrzehnte) gestattet
• Philosophie von ArchiSafe
• Vollständigkeit
• Lesbarkeit
• Integrität und Authentizität
(http://www.informatik.fhmannheim.de/aku/at_braunschweig20060404/vortraege/AKU2006_HACKEL_Archivtage%20BS_V10_Druck_2
0060505.pdf)
Definition Rechtssicherheit bei ArchiSafe

Beweisführung mit unterschiedlichen Dokumenten
• Unsignierte Dokumente
• Keine Beweiserleichterung, Beweisprobleme beim Beweispflichtigen bei
widersprüchlichen Dokumenten Echtheit oft nicht entscheidbar
• Dokumente mit fortgeschrittenen Signaturen
• Keine Beweiserleichterung, Beweisprobleme beim Beweispflichtigen
• Fehlende Nachweise, Bestreiten der Echtheit oft nicht zu widerlegen
• Dokumente mit qualifizierten Signaturen
• Beweis der erfolgreichen Prüfung und Qualifizierung notwendig
• Nach 5 Jahren oder Betriebseinstellung nicht mehr prüfbar
• Voraussetzungen einer qualifizierten Signatur mangels Vorabprüfung
möglicherweise nicht nachweisbar
• Dokumente mit akkreditierten Signaturen
• Beweis der erfolgreichen Prüfung und Qualifizierung notwendig
• Prüfung noch 30 Jahre sichergestellt (Bundesnetzagentur)
• Sicherheitsvermutung nach § 15 I 4 SigG aufgrund Vorabprüfung für
technische und administrative Sicherheit: Voraussetzungen nachweisbar
(Quelle: Rechtliche Rahmenbedingungen für eine beweissichere Archivierung, Fachkonferenz „Rechtssicherheit bei der elektronische
Archivierung“, Bundesministerium für Wirtschaft, Berlin, 13. Dezember 2005)

Vertrauenswürdige Archivierung
• Begriff des „nestor“-Projektes
• Wird in einer DIN-Norm verankert
• Betrifft die Langzeitarchivierung – und damit eher
die „dauerhafte historische Bewahrung“
• Langzeitarchivierung beginnt nach Ablauf der
Aufbewahrungsfristen und beinhaltet die vorherige
Bewertung und Aussonderung nicht
archivierungswürdiger Informationen

Beweiswerterhaltende Archivierung
• Von einigen Anbietern verwendeter Begriff
• Keine „Produkteigenschaft“ von
Archivierungssystemen
• Die Sicherstellung dieser Eigenschaften muss im
Bereich der Archivierung mindestens den Zeitraum
der Aufbewahrungsfristen bzw. des Einsatzes der
Lösung abdecken
• Erfordert den Einsatz qualifizierter elektronischer
Signaturen und das Nachsignieren (siehe BSI
Dokumentationen zu TR 03125 und TR 03138)

Archivierung nach BSI TR 03125
Ursprünglich TR-VELS, heute TR-ESOR
„Beweiswerterhaltung kryptographisch
signierter Dokumente“
• Nachsignieren von Dokumenten
Archivieren und Scannen nach BSI TR 03138
"Ersetzendes Scannen (RESISCAN)"
• Nachsignieren von elektronisch signierten Scans

ISO 14721:2012 Space data and information transfer
systems -- Open archival information system (OAIS) --
Reference model
• Version 2.0 der ISO 14721:2012 wurde am 21.08.2012
veröffentlicht
• Diese Norm gilt als der weltweit akzeptierte Standard für
die elektronische Archivierung
• Auch die Version 2.0 basiert wieder auf dem Standard
der Weltraumbehörden CCSDS
• Während die ISO käuflich erworben werden muss, ist die
"bis auf das Deckblatt" identische CCSDS-Version frei im
Download verfügbar
• Zahlreiche Unklarheiten beseitigt: Betrifft konzeptionelle
"Schwammigkeiten" aber auch neue Abschnitte zu
Zugriffsrechten, Authentizität und anderen Funktionen
• Grafiken vollständig überarbeitet

OAIS Functional Entities

Thesen (T1)
(T1.1) „Archivierung“ geht auch auf
Festplattensystemen
(T1.2) WORM ist keine allein technische Eigenschaft
sondern schließt das gesamte Verfahren ein
(T1.3) Rechtssicherheit gibt es nicht
(T1.4) Langfristige Sicherheit gibt es nur durch
kontinuierliche, nachvollziehbare und
verlustfreie Migration
(T1.5) Standards bei Formaten – wie PDF/A – helfen
nur eingeschränkt und mittelfristig
(T1.6) Die neue ISO 14721 OAIS Norm passt auch für
das Gesundheitswesen

Was sind die Besonderheiten bei E-Health?
• „Breite“ der Anforderungen und Beteiligten
• Vertraulichkeit der Daten
• Nachweis- und Haftungsfragen
• Lange Aufbewahrungsfristen
• Besondere Standards, Datenformate und
Schnittstellen
• Nachsignieren
• Elektronische Kommunikation mit
Gesundheitskarte, De-Mail, etc.

„Breite“ der Anforderungen und Beteiligten:
• Gesetzgeber
• Prüfungseinrichtungen
• Pharma-Industrie
• Krankenhäuser
• Kranken- und Pflegekassen
• Pflegeeinrichten
• Ärzte
• Apotheken
• Patienten

• Vertraulichkeit der Daten
• Besondere Anforderungen an Vertraulichkeit und
Schutz von Patienteninformationen
• „Standard“-Archivierungsanforderungen im
Verwaltungsbereich

Nachweis- und Haftungsfragen

Lange Aufbewahrungsfristen

Besondere Standards, Datenformate und
Schnittstellen
• Dicom
• Artikel zu Standards in der medizinspezifischen
Kommunikation:
http://www.bvmed.de/themen/medizinprodukteindus
trie-1/Medizinprodukteindustrie/pressemitteilung/12-
ehealth-konferenz-von-medinform.html
• ???

• Artikel Elektronische Archivierung e-Health
http://www.e-health-com.eu/details-
news/elektronische-archivierung/

Nachsignieren bei gescannten Dokumenten
BSI TR RESISCAN - 03138
1.1Zielsetzung und Titel
• Diese TR zielt auf eine Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens ab und trägt
den Titel "Ersetzendes Scannen (RESISCAN)“.
• Hierbei wird unter dem „ersetzenden Scannen“ der Vorgang des elektronischen Erfassens von
Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei
entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des papiergebundenen
Originals verstanden.
• Die TR RESISCAN hat zum Ziel, Anwendern in Justiz, Verwaltung und Wirtschaft als Handlungsleitfaden und
Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach
Erstellung des Scanproduktes auch zu vernichten. Dies betrifft insbesondere solche Anwendungen, in denen
gesetzliche oder anders begründete Aufbewahrungs- und Dokumentationspflichten bestehen, die eine besondere
Handhabung digitalisierter Dokumente nach sich ziehen, wenn das Original vernichtet werden soll. Die TR hat
ohne besondere rechtliche Bestimmungen lediglich empfehlenden Charakter.
• Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich relevanten Umfeld
nach AO und HGB seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der elektronischen Aufbewahrung
existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete Umsetzungsvorgaben für die meisten
anderen, aber zunehmend betroffenen Bereiche (Ausnahme: Sozialversicherungsrecht). Darüber hinaus gibt es
auch in den bereits von unterschiedlich detaillierten Regelungen betroffenen Bereichen zunehmend davon nicht
erfasste Dokumente (zum Beispiel solche, die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen
Beweissicherung aufbewahrt werden sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls
ersetzend gescannt werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage
tun zu können, wurden die Empfehlungen in dieser TR erarbeitet. Ziel ist es, die mit einer Vernichtung des
Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen
an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar ordnungsgemäßen Prozess
erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. Schließlich kann die TR
im Rahmen künftiger Regelungsvorhaben als Referenz dienen, wenn es z.B. konkret um die Schaffung weiterer
Zulässigkeitstatbestände für das ersetzende Scannen insbesondere im Bereich der elektronischen Aktenführung
geht.
Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile

Nachsignieren bei gescannten Dokumenten
BSI TR RESISCAN - 03138
1.1Zielsetzung und Titel
• Die TR beruht auf den langjährigen Erfahrungen der Praxis in den verschiedenen Anwendungs-bereichen in
Verwaltung und Wirtschaft und berücksichtigt so umfassend wie möglich die hier etablierten Prozesse. Der
Mehrwert für alle Scanprozesse, in denen das Scanprodukt das Original tatsächlich ersetzen soll, liegt
insbesondere in der systematischen Darstellung der im Ablauf eines Scanprozesses bedeutsamen Bedrohungen
für die wesentlichen Grundziele der Informationssicherheit. Diese werden die in einer Strukturanalyse u.a.
dezidiert für alle betroffenen Datenobjekte und Kommunikationsbeziehungen dargestellt. Auf Grundlage einer
darauf aufbauenden sorgfältigen Schutzbedarfsanalyse und anhand der entlang der verschiedenen Scanphasen
durchgeführten Risikoanalyse werden konkrete Sicherheitsmaßnahmen beschrieben. Dadurch wird der Anwender
in die Lage versetzt, die für seine Fachanwendung notwendigen Maßnahmen zu identifizieren und „seinen“
Scanprozess angemessen sicher zu gestalten. Durch die detaillierte Bedrohungsanalyse und die daraus
abgeleiteten Sicherheitsempfehlungen profitieren voraussichtlich auch bereits etablierte Scanprozesse von der
TR, indem diese, sofern gewünscht, ihre Konformität zu den hier erarbeiteten Empfehlungen mit angemessenem
Aufwand feststellen können, und mit Hilfe der mit der TR zur Verfügung gestellten Checkliste ggfs. die bereits
bestehende Ordnungsmäßigkeit ihres Scanprozesses bei Bedarf weiter optimieren können.
• Aufgrund der enormen Unterschiede der fachspezifischen Anforderungen jedes Anwendungsbereichs, sieht die
TR einen modularen Anforderungskatalog vor, der unterschiedliche praxisrelevante Sicherheitsstufen umfasst. In
der Basisstufe geht es vor allem um einen grundsätzlich ordnungsgemäßen und mit grundlegenden
Sicherheitsmaßnahmen ausgestalteten Scanprozess. In den Ausbaustufen wird besonderen Anforderungen an
Integrität, Verfügbarkeit und Vertraulichkeit mit entsprechend angepassten und erhöhten Sicherheitsmaßnahmen
Rechnung getragen.
• Gegenstand der TR (und damit potentieller Zertifizierungsgegenstand) ist der Prozess des (ersetzenden)
Scannens als solcher in technischer und organisatorischer Hinsicht, nicht aber bestimmte Soft- oder
Hardwarekomponenten zur tatsächlichen Durchführung des Scannens. Im Rahmen der nach der TR möglichen
Nachweisführung der Konformität durch eine Zertifizierung des Scanprozesses werden daher Soft- und Hardware
nicht explizit betrachtet. Ebenso ist die sich an einen Scanprozess im Rahmen eines
Vorgangsbearbeitungssystems und/oder Dokumentenmanagementsystems anschließende Langzeitspeicherung
oder Archivierung nicht Gegenstand der TR. Diesbezüglich wird lediglich die notwendige Interoperabilität und
Kompatibilität zu gängigen Archivformaten berücksichtigt.
• Die hier formulierten Empfehlungen beinhalten nicht nur funktionale und auf die Sicherheits-eigenschaften
bezogene Maßnahmen, sondern auch gleichrangig organisatorische Empfehlungen, die gerade beim Scannen
von besonderer Relevanz sind. Denn ein Scanprozess kann in keinem Fall vollständig automatisiert erfolgen,
sondern bedarf immer auch der sorgfältigen Bedienung durch Menschen, die damit eine potentielle und nicht zu
unterschätzende Fehlerquelle des Scanprozesses darstellen.
Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile

Elektronische Kommunikation
• Gesundheitskarte (mit Patientenakte?)
• De-Mail (für die sichere Zustellung)
• Neuer Personalausweis nPA (für die Identifikation)
• Elektronische Signatur beim Scannen (nach
Sozialversicherungsgesetzen)
• Elektronische Signatur zur kryptographischen
Kodierung (bei der Übermittlung von Informationen)

Thesen (T2)
(T2.1) Kryptographische Kodierung von Informationen
nur bei der Übermittlung, aber nicht im Archiv
(T2.2) Chip-Karten mit gespeicherten Daten stellen
ein Sicherheitsrisiko dar
(T2.3) „Nachsignieren“ – ein Kropf
(T2.4) Spezielle proprietäre Systeme liefern Massen
von Daten die sich der langfristigen
Verfügbarkeit „widersetzen“
(T2.5) Zugriff auf die Patientenakte auch mit BYOD
Bring your own Device und mit mobilen
Geräten über das Internet
(T2.6) Die Patientenakte bei Google

Betrieb von Archivsystemen (3)
• Informationen erfassen Inhouse oder im
Outsourcing
• Informationen archivieren Inhouse oder im
Outsourcing
• Helfen Standards wie die neue ISO 17068
• Wie wird „Vertrauen“ definiert?

Informationen erfassen Inhouse oder im Outsourcing
• Szenarien:
• mit eigenem Personal Inhouse
• mit fremden Personal Inhouse
• Im Outsourcing mit externem Personal Outhouse
• Besondere Anforderungen:
• Qualität
• Prozesse
• Personal
• Signaturen

Informationen archivieren Inhouse oder im
Outsourcing

Cloud Computing
Chancen Risiken&
• Provider
• Vertrauen
• Kontrolle
• Abhängigkeit
• Zuverlässigkeit der Cloud
• Engpässe in der
Datenübertragung
• Software-Lizenzen
• Eigentumsrechte
• Schnellere Verfügbarkeit
von Innovationen
• Theoretisch unbegrenzte
Skalierbarkeit
• Kosteneinsparung bei
Hardware, Personal und
Lizenzen
• Aufwandersparnis bei
Programmupdates
• Schnelle Anpassung an
sich ändernde
Anforderungen
• Kostenkontrolle durch
Pay-for-use

Sichere Auslegung von Archivsystemen
Archiv
operativ
Archiv
Sicherung
„Inhouse“
on premise
„Outhouse“
outsourced
Archiv
operativ
Archiv
Sicherung
Archiv
operativ
Archiv
Sicherung
Eigen-
Anwender
Eigen-
Anwender
mit outge-
sourctem
Sicherheits-
archiv
SaaS &
Outsourcing

Archivierung in der Cloud
• Angebote neben bisherigen Spezialisten aus dem
ECM-Umfeld auch von Startups wie Boxnet und
Dropbox sowie zunehmend die großen Web-
Konzerne wie Amazon, Apple und Google
• Probleme:
• Wenn man viel Archiviertes erst einmal auf einer
Plattform hat, dann kann man nur mit großem
Aufwand auf eine andere Plattform wechseln.
• Keine Kontrolle darüber, was für Informationsobjekte
die Anwender hochladen
• Sicherheit nur bei „sicheren“ Leitungen und
kryptografischer Codierung, jedoch Probleme beim
Recovery von kryptografisch codierten
Informationsobjekten

„On-Premise“ (lokal im eigenen Haus) installierte
Systeme gelten als „outdated“ (veraltet).
Cloud

Helfen Standards wie die neue ISO 17068?
• Standards;

Wie wird „Vertrauen“ definiert?
Vertrauen ist die Erwartung, nicht durch das Handeln
anderer benachteiligt zu werden; als solches stellt es
die unverzichtbare Grundlage jeder Kooperation dar.
Man kann zwischen Vertrauen in Personen und
Vertrauen in Systeme unterscheiden. In
Interaktionssituationen steht Vertrauen stets im
Zusammenhang mit Verantwortung; Akteure, denen
Vertrauen geschenkt wird, haben die Verantwortung,
dieses zu honorieren.
Quelle: http://wirtschaftslexikon.gabler.de/Archiv/9314/vertrauen-v5.html

Thesen (3)
(T3.1) Ein einzelnes Archivsystem ist nie genug: man
braucht das Produktionssystem plus einem sofort
verfügbaren Sicherheitssystem
(T3.2) Outsourcing von Erfassung kann zu mehr
Sicherheit, höherer Qualität und geringeren Kosten
führen
(T3.3) Archivsysteme müssen auf den Zugriff durch Dritte
von außen eingerichtet sein, z.B. der Patient will an
seine eigenen Daten
(T3.4) Die Speicherung von Patientendaten ist unter
bestimmten Bedingungen in der Cloud zulässig (es
gibt auch die „private Cloud“)
(T3.5) Die Informationsmenge im E-Health-Bereich wächst
– auf E-Health hat ein „Big Data“ Problem

PROJECT CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
© PROJECT CONSULT 2012
Postfach 20 25 55
20218 Hamburg
36
War mir ein Vergnügen!
Ulrich Kampffmeyer
E-Mail: Kff@PROJECT-CONSULT.com
Weitere Informationen...

[DE] "Revisionssicherheit in der digitalen Archivierung von Patientenakten" | Dr. Ulrich Kampffmeyer | DMI Partnertreffen 2012 | Münster

Recommended

Recommended

More Related Content

What's hot

What's hot (8)

Similar to [DE] "Revisionssicherheit in der digitalen Archivierung von Patientenakten" | Dr. Ulrich Kampffmeyer | DMI Partnertreffen 2012 | Münster

Similar to [DE] "Revisionssicherheit in der digitalen Archivierung von Patientenakten" | Dr. Ulrich Kampffmeyer | DMI Partnertreffen 2012 | Münster (20)

More from PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH

More from PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH (20)

[DE] "Revisionssicherheit in der digitalen Archivierung von Patientenakten" | Dr. Ulrich Kampffmeyer | DMI Partnertreffen 2012 | Münster