Anforderungen an Online
Transcrição
Anforderungen an Online
Online-Portale / eKommunikation – Anforderungen an die Umsetzung – „Fortführung“ der Tagung 12/2014 BKK-Akademie Vorstände im Dialog 2015 Rotenburg a.d.F., 5.- 6. Mai 2015, Peter Strothmann 05.05.2015 Bundesversicherungsamt · Friedrich-Ebert-Allee 38 · 53113 Bonn 1 Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an Online-Kommunikation Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 2 Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an OnlineKommunikation - Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 3 Module Prüftätigkeit • Elektronische Poststelle – Kommunikationsmittel • De-Mail, E-Mail, Online-Kommunikation – Infrastruktur / Funktionalität • Weiterbearbeitung der Daten in IT-Systemen • Scanprozess • Projektbegleitung – Bedarfsanalyse – Dokumentation • Langzeitspeicherung / Löschung 4 Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an OnlineKommunikation - Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 5 Keine Neuerungen • • • • E-Government-Gesetz De-Mail-Gesetz Signaturgesetz und Signaturverordnung § 36a SGB I • § 78a SGB X (mit Anlage) • Einführung der GoBD 6 Neuerungen • 5. SGB-IV-Änderungsgesetz (BGBl. I Nr. 15 vom 21.04.2015, S. 583) – Inhalt • u.a. Aufhebung § 110d SGB IV • „Abschwächung“ § 110a SGB IV – Einschätzung • Änderungen wie erwartet • „Problematik“: – Geltungsbereich § 7 EGovG / Landesgesetze – Anforderungen des § 7 EGovG 7 Neuerungen (2) • 9. VV zur Änderung SRVwV (Begr.: BR-Drs. 539/14; 5. November 2014) – „ein in der Sicherheit gleichwertiges Verfahren“ neben qeS möglich • 6. VO zur Änderung SVRV (Begr.: BR-Drs. 533/14; 5. November 2014) – „gleichwertige sichere elektronische Verfahren“ neben qeS möglich – aber: Gleichwertigkeit hier vom BSI festzustellen! vermutlich über Technische Richtlinie betrifft nur kasseninterne Kommunikation trotzdem Ansätze für Online-Kommunikation heranziehbar 8 Perspektivisch ? eHealth-Gesetz (1) • Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen • Stand: Referentenentwurf (Januar 2015) • Ziel – Sichere / schnellere Kommunikation – Verbesserung Interoperabilität – Ersatz papiergebundener Verfahren („Prüfauftrag Formularwesen“) 9 eHealth-Gesetz (2) • Anforderungen – § 87 Abs. 2a SGB V • Bundesmantelvertrag, EBM, Orientierungswerte • „… Einsatz sicherer elektronischer Informations- und Kommunikationstechnologien…“ • Prüfung durch Bewertungsausschuss • Vorgaben nach amtl. Begründung: keine näheren Ausführungen 10 eHealth-Gesetz (3) – § 291b Abs. 1 Nr. 5a • gematik • „…Einzelheiten zu den Sicherheitsmaßnahmen..“ • Festlegung durch gematik • Vorgaben nach amtl. Begründung: –Authentisierungsverfahren –dabei: „…Festlegung technischer Verfahren und Komponenten einschließlich der Ausgabeverfahren für notwendige Schlüssel und Zertifikate“ 11 eHealth-Gesetz (4) – § 291b Abs. 1a Satz 2 SGB V • gematik • „…funktionsfähig, interoperabel und sicher…“ • Beurteilung durch gematik • Vorgaben nach amtl. Begründung: keine konkretisierenden Ausführungen 12 eHealth-Gesetz (5) – § 291h Abs. 2 SGB V • Übermittlung elektronischer Briefe • „…Einzelheiten zu den Sicherheitsmaßnahmen…“ • Regelung durch KBV Benehmen: GKV-SV und gematik • Vorgaben nach amtl. Begründung: keine konkretisierenden Ausführungen 13 eHealth-Gesetz (6) – § 291g SGB V • Elektronischer Entlassbrief • „… Einzelheiten zu den Sicherheitsmaßnahmen…“ • Vereinbarung DKHG mit KBV Benehmen: GKV-SV, gematik • Vorgaben nach amtl. Begründung: keine für Sicherheitsmaßnahmen Patientendaten!! Vorschrift müsste Maßstab bilden für 14 Sicherheitsniveau! eHealth-Gesetz (7) • Ergebnis – keine gesetzgeberischen Vorgaben – Betonung der „Selbstregulierung“ – auch für Selbstregulierung keine Parameter trotz Ziel Datenschutz: Keine Vorgabe der Klassifizierung nach Bedeutung etc. 15 Perspektivisch ? IT-Sicherheitsgesetz • Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme • Stand: Gesetzentwurf der Bundesregierung (BT-Drs. 18/4096, 25. Februar 2015) • Ziel – Stärkung IT-Sicherheit von Unternehmen und kritischen Infrastrukturen – Schutz Bürgerinnen / Bürger 16 IT-Sicherheitsgesetz (2) • Anforderungen allgemein – Aufbau organisatorischer und technischer Vorkehrungen – zur Vermeidung von Störungen der Systeme / Komponenten / Prozesse bezogen auf • • • • Verfügbarkeit Integrität Authentizität Vertraulichkeit – hinsichtlich der kritischen Infrastrukturen Mindestniveau an IT-Sicherheit 17 IT-Sicherheitsgesetz (3) • Betreiber Kritischer Infrastrukturen – Definition • Einrichtungen / Anlagen / Teile davon • die u.a. dem Sektor „Gesundheit“ angehören • und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind weitere Konkretisierung durch RVO nach Anhörung der „Wirtschaftsverbände“ 18 IT-Sicherheitsgesetz (4) – Merkmale für konkrete Dienstleistungen • Erbringung kritischer Dienstleistungen (Qualität) • Folgen bei Beeinträchtigung (Quantität) – im Gesundheitssektor mögl. betroffen: • Medizinische Versorgung • Versorgung mit Arzneimitteln und Medizinprodukten Online-Kommunikation wohl nicht 19 IT-Sicherheitsgesetz (5) • Anforderungen – Definition Absicherungsmaßnahmen • organisatorische und technische Maßnahmen • dabei auch –infrastrukturelle Maßnahmen –personelle Maßnahmen • Angemessenheit der Maßnahmen • Stand der Technik zu berücksichtigen sehen die allgemeine Anforderungen der Prüfdienste bereits vor 20 IT-Sicherheitsgesetz (6) – Definition Stand der Technik • Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen, Betriebsweisen • dabei soll praktische Eignung gesichert erscheinen zum: • Schutz Funktionsfähigkeit von IT-Systemen, Komponenten, Prozessen • im Hinblick auf – – – – Verfügbarkeit Integrität Authentizität Vertraulichkeit unabhängig von konkreten Anforderungen ist „Grundprinzip“ / Definition heranziehbar 21 IT-Sicherheitsgesetz (7) Am Rande: – Festlegung Sicherheitsstandards • Erarbeitung branchenspezifischer Standards möglich • Weiterentwicklung vorzunehmen • Verfahren gegenüber BSI • Beteiligung der Aufsichtsbehörden – Auswirkungen der geplanten EU-Richtlinie zur Netzwerk- und Informationssicherheit ? 22 Perspektivisch? eIDAS-VO • Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen • Geltung – Ab 01.07.2016 (Zustelldienste) • Ziel – Grenz- und sektorenübergreifender Rahmen für sichere, vertrauenswürdige elektronische Transaktionen 23 eIDAS-VO (2) • Anwendungsbereich – Anerkennung elektronischer Identifizierungsmittel – Anforderungen an Vertrauensdienste – Rechtsrahmen für • Signaturen, Siegel, Zeitstempel, Dokumente • Dienste für Zustellung elektronischer Einschreiben • Zertifizierungsdienste für WebsiteAuthentifizierung 24 eIDAS-VO (3) • Auswirkungen – De-Mail soll Anforderungen der VO entsprechen (Interoperabilität mit elektronischen Zustelldiensten) – Änderung des De-Mail-Gesetzes ? – Aufwertung des De-Mail-Verfahrens? Bericht der Bundesregierung, BT-Drs. 18/4042 v. 16.02.2015 25 Perspektivisch ? FördElR G • Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten BGBl. 2013 I S. 3786; BT-Drs. 17/12634 • Geltung: überwiegend 01.01.2016 • Ziel: – Festlegung geeigneter Rahmenbedingungen für elektronische Übermittlung und Bearbeitung 26 FördElR G (2) • Anwendungsbereich – Kommunikation Anwälte / Gerichte • Anforderungen – Übermittlung • qeS • Postfach- / Versanddienst De-Mail-Konto (bei sicherer Anmeldung und deren Bestätigung) • Besonderes elektronisches Anwaltspostfach (beA) • Elektronisches Gerichts- und Verwaltungspostfach (EGVP) • Nach zu erlassender RVO 27 FördElR G (3) – Anwaltspostfach • nach besonderem Identifizierungsverfahren einzelnem Anwalt zugeordnet („trusted domain“) – EGVP • Kommunikation zwischen entsprechendem elektronischen Postfach des Anwalts und elektronischer Poststelle des Gerichts Anforderungen / Umsetzung zu betrachten 28 Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an OnlineKommunikation - Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 29 Elektronische Poststelle Anforderungen an OnlineKommunikation • • • • • • Grundsatz bei Anwendung Kriterien Nachweis Authentizität Sichere Übermittlung Identität / Integrität Prüfbarkeit / Beweisfunktion Form / Vollständigkeit der Information (Inhalt!) • Infrastruktur / Funktionalität 30 Allgemeine Kriterien • Anforderungen ergeben sich aus – feststehenden Rechtsvorschriften – Heranziehung Kriterien Rechtsgedanken anderer Rechtsgebiete / Normen • Grundsatz immer Einzelfall der elektronischen Kommunikation zu betrachten („Information“) Anforderungen ggf. unterschiedlich • „allgemeine“ Aussage: – aufgeführte Anforderungen im Grundsatz immer zu beachten – ggf. in Kriterien / konkreten Anforderungen 31 abgestuft Authentizität • Begriff „Authentizität“ – Echtheit und Glaubwürdigkeit • eines Objektes (Datei) • eines Subjekts (Nutzerin / Nutzer) – Überprüfung durch • eindeutige Identifikation • charakteristische Eigenschaften 32 Authentizität (2) • Nachweismittel bislang – v.a. Nutzung qeS – Grund: § 110d SGB IV • Ersatz Schriftform / qeS (§ 36a Abs. 2 S. 4 SGB I) sichere Verfahren / alle Anforderungen erfüllt aus Sicht der Prüfdienste zu bevorzugen (Beratungsansatz) • Ausführungen des BSI – Beurteilungskriterien bei Verfahren nach SVRV für Ersatz der qeS – Anforderungen liegen noch nicht vor – Ggf. Technische Richtlinie 33 Authentizität (3) Anforderung der Prüfdienste bleiben: • softwaretechnische Abbildung (bei OnlineProzessen) – z.B. Anmeldung am System mit Kartentechnik – z.B. Authentifizierungsverfahren sog. Mehr-/ 2-Wege-Lösung /-Faktoren-Lösung • Anmeldung Online-System (Passwort) Zugangscode postalisch • Übermittlung Transaktionscode / Zugangscode Anforderungen für Belege mit „RSAWirksamkeit“ 34 Authentizität (4) • Empfohlenes Vorgehen: – Risikocluster bilden abgestuft nach Dateninhalt (Datenschutzqualität; Bedeutung Datenverlust) – Anforderungen an Authentizität festlegen wiederum abgestuft nach Risiko – Ergebnis: ggf. modularer Aufbau je höher Risiko desto höher Sicherheitsmaßnahmen: z.B. tan-Verfahren für einzelne Transaktionen z.B. Übermittlung nur bei Authentifizierungsverfahren § 36a SGB I 35 Authentizität (5) • Empfohlen: Passwort-Vorgaben – Anforderungen an Passwort der Versicherten – Empfehlung des BSI (M 2.11 GS-Katalog) • systemseitig u.a.: – Keine Trivialpasswörter – Initiierung regelmäßiger Passwortwechsel – Keine Wiederholung alter Passwörter – Keine Anzeige auf Bildschirm bei Eingabe – Sperrung bei mehrfacher fehlerhafter Eingabe.. • Passwort – Mindestlänge – Variation der Zeichen (Buchstaben, Ziffern) … Hinweise an den Versicherten übermitteln 36 Sichere Übermittlungswege • Beratungsansatz Nutzung – sichere Übertragungswege (VPN) – verschlüsselter Übertragungswege • Beispiel – Nutzung https / SSL / TSL (obligatorisch) – Ende-zu-Ende-Verschlüsselung bei höherem Sicherheitsbedarf verpflichtend! siehe Patientenquittung: keine Übersendung per De-Mail (BfDI) 37 Identität / Integrität • Begriff „Identität / Integrität“ – Unveränderbarkeit – Unverfälschtheit Verhinderung unauthorisierter / unbemerkter Manipulation von Daten Erkennen von Manipulationen / Änderungen im Nachhinein 38 Identität / Integrität (2) • Position Prüfdienste bleibt – technisch neutral • qeS • andere geeignete technische Maßnahme und Speicher- / Archivsysteme – ggf. im Zusammenhang mit organisatorischen Maßnahmen • Zugangs- / Zugriffskontrollen • Rollen- / Berechtigungskonzepte – Anforderung bezogen auf gesamten Datenlauf • Erhebung • Übermittlung • Speicherung / Archivierung 39 Identität / Integrität (3) • Prüfkriterien Nachweis, dass Änderungen nicht möglich sind Nachweis, dass Änderungen – wenn vorgenommen – erkennbar sind Verlust Eigenschaft „Original“ / Belegwirkung besser: Original unveränderbar belassen; Änderungen „zuspeichern“ 40 Identität / Integrität (4) • Plausibilisierungen im Onlineverfahren – während lfd. Online-Verfahren möglich – nach Abschluss Eingabe: nein! keine Originalität mehr • Dunkelverarbeitung – maschinell ablaufende Prüfroutinen – wichtig: Speicherung Informationen des Versicherten vor Durchlaufen der Prüfroutinen ansonsten: Verlust der Originalität! – Ausn.: M-RSA (VPS1–3) Datenübermittlung 41 Identität / Integrität (5) • Uploads – Änderung von Formaten bei durch Versicherte hochgeladenen Dateien – zulässig: • wenn „datensicherheitstechnisch“ absolut erforderlich • nur Änderung des Formats • sichergestellt: keine Änderungen am Inhalt ! 42 Prüfbarkeit / Beweisfunktion • Prüfbarkeit des DV-Verfahrens – Inhalt / Aufbau – Ablauf – Ereignisse • Einzelprüfung – Sichtbarmachung von einzelnen Sachverhalten – Speicherung von Metadaten • Lesbarmachung elektronischer Unterlagen – Daten müssen zu Prüfzwecken auslesbar sein – Daten in maschinenlesbarer Form – Scans über DV-System zumindest anzeigbar 43 Prüfbarkeit / Beweisfunktion (2) • Grundlage – § 110 d SGB IV – Inhalt • Einsatz qeS sichert dauerhafte Überprüfbarkeit • Authentizität und Identität / Integrität • 5. SGB-IV-Änderungsgesetz – Aufhebung § 110d SGB IV (Art. 1 Nr. 16) – Gleichwertige Verfahren nach § 7 eGovG? 44 Prüfbarkeit / Beweisfunktion (3) • Folgerungen – gleichwertige softwaretechnische Abbildung auch bei Beweisfunktion möglich ? • dauerhafte Überprüfbarkeit der Authentizität / Identität – andere technische Lösungen müssen Beweisfunktion nachweisen – Gibt es solche Verfahren??? • Geltung des § 7 eGovG? – „Stand der Technik“ – bislang keine Kriterien ersichtlich 45 Prüfbarkeit / Beweisfunktion (4) • Wirtschaftlichkeit − Kostenaufstellung / Dokumentation bei Einführung neues Verfahren erforderlich − Wirtschaftlichkeit neues Verfahren gegenüber Nutzung der qeS ist nachzuweisen insbesondere bei etabliertem Verfahren (Archivierung / Speicherverfahren) − Bsp.: Zeitstempel vs. qeS was ist wirtschaftlicher Krankenkasse? 46 Vollständigkeit / Form • Grundsatz – alle Informationen des „Papiers“ müssen in elektronischer Fassung enthalten sein – Umfang ergibt sich aus Fachrecht • Relevanz – z.B. Informationen des Fami-Bogens – Abbildung aller Informationen • bei Online-Abfrage • bei elektronischen Formularen • bei Übermittlung De-Mail etc. 47 Vollständigkeit / Form (2) • Ausgangsbasis – gesetzlich vorgeschriebene Form der Äußerung • Unterschrift • Schriftform – entscheidend für Anforderungen an OnlineKommunikation • Anforderungen anhand Grund und „Wirkung“ der Information – „allgemeine“ Informationen – „Belegwirkung“ / Nachweiswirkung RSARelevanz – Gesundheitsdaten abgestufte Anforderungen möglich 48 Vollständigkeit / Form (3) • Bislang hauptsächlich: sog. „FamiBögen“ – Sicherstellung, dass alle Inhalte in allen Kommunikationsformen abgefragt werden – Keine Schriftform! – Anderes Thema: Dunkelverarbeitung • Gesundheits-Apps: – Form der Datenübermittlung z.B. Patientenquittung – datenschutzrechtliche Fragen keine De-Mail bei Patientenquittung! 49 Infrastruktur / Funktionalität System Kommunikationsmittel Einbezug Dateien Speicherung / Archivierung Operativsystem Online Einbeziehung Scans qeS / Zeitstempel Zugang Fachverfahren E-Mail Upload von Dateien Sicheres Speicherverfahren Dunkelverarbeitung De-Mail Karten (nPA eGK) möglichst ein stringentes System Vorhalten Option für alle „Kanäle“ Vermeidung von Insellösungen! 50 Infrastruktur / Funktionalität (2) Interne Sicherungsmaßnahmen • Empfohlen: Parametereinstellungen im System vornehmen – Passwörter – „Prüfroutinen“ bei Änderung Stammdaten • „Änderungsfristen“ z.B. Weitergabe von sensiblen Daten / Informationen über geänderten Kanal erst nach Frist • Sog. push-Mitteilung an Versicherten über Änderung über anderen, unveränderten „Kanal“ 51 Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an OnlineKommunikation - Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 52 Projektbegleitung / Dokumentation • wichtig: Verfahrensprüfungen Prüfdienste – Beratungsprüfungen § 274 SGB V – „verpflichtende“ Prüfungen • z.B. Datenbestimmung des BVA nach § 42 RSAV • z.B. Daten für maschinelle Prüfungen im Rahmen § 42 RSAV • empfohlen: Bedarfs- und Risikoanalysen – Voraberwägungen durch Krankenkasse – Grundlage: BSI-Grundsätze 53 Projektbegleitung Dokumentation (2) • Wirtschaftlichkeit – Grundlegende Ausführungen immer erforderlich – insbesondere bei • Ablösung Altverfahren • Grundlegende Einführung neuer Verfahren mit Investitionskosten • Dokumentation der Kasse – Grundlage einer Verfahrensprüfung – Inhalt • Beschreibung Verfahrensablauf • Technische Fragen (Einsatz Hard- und Software) 54 • Berechtigungskonzept etc. Agenda „Module“ der Prüftätigkeit Gesetzliche Grundlagen Elektronische Poststelle Anforderungen an OnlineKommunikation - Weiterentwicklung Projektbegleitung / Dokumentation Speicherung / Archivierung / Löschpflichten 55 Speicherung / Archivierung • „Revisionssicherheit“ – Anforderungen an Authentizität / Identität – Dauerhafte Sicherstellung der Anforderungen siehe Leitfaden der Prüfdienste • Archivsysteme / Löschpflichten – Bedeutung weiterhin hoch! – Thema wird weiter verfolgt: • Prüfung der Systeme • Prüfung Umsetzung Löschpflichtbei Krankenkassen 56 Materialien Auswahl • Technische Richtlinien des BSI u.a. – TR-03107 Elektronische Identitäten und Vertrauensdienste im E-Government • Leitfaden Elektronische Kommunikation (Prüfdienste) – Fassung 10/2014 (Überarbeitung in 2015) www.bundesversicherungsamt.de/weitere-themen/pruefdienstkranken-und-pflegeversicherung.html • Organisationskonzept elektronische Verwaltungsarbeit (BMI) www.verwaltung-innovativ.de 57 Vielen Dank für Ihre Aufmerksamkeit! Kontaktdaten Prüfdienst Kranken- und Pflegeversicherung Peter.Fischer@ Peter.Strothmann@ bundesversicherungsamt.bund.de bundesversicherungsamt.bund.de Tel.: 0228 / 619 - 1438 Tel.: 04471 / 1807 - 16 58