Anforderungen an Online

Online-Portale / eKommunikation
– Anforderungen an die Umsetzung –
„Fortführung“ der Tagung 12/2014
BKK-Akademie
Vorstände im Dialog 2015
Rotenburg a.d.F., 5.- 6. Mai 2015, Peter Strothmann
05.05.2015
Bundesversicherungsamt · Friedrich-Ebert-Allee 38 · 53113 Bonn
1
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an Online-Kommunikation Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
2
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an OnlineKommunikation - Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
3
Module Prüftätigkeit
• Elektronische Poststelle
– Kommunikationsmittel
• De-Mail, E-Mail, Online-Kommunikation
– Infrastruktur / Funktionalität
• Weiterbearbeitung der Daten in IT-Systemen
• Scanprozess
• Projektbegleitung
– Bedarfsanalyse
– Dokumentation
• Langzeitspeicherung / Löschung
4
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an OnlineKommunikation - Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
5
Keine Neuerungen
•
•
•
•
E-Government-Gesetz
De-Mail-Gesetz
Signaturgesetz und Signaturverordnung
§ 36a SGB I
• § 78a SGB X (mit Anlage)
• Einführung der GoBD
6
Neuerungen
• 5. SGB-IV-Änderungsgesetz
(BGBl. I Nr. 15 vom 21.04.2015, S. 583)
– Inhalt
• u.a. Aufhebung § 110d SGB IV
• „Abschwächung“ § 110a SGB IV
– Einschätzung
• Änderungen wie erwartet
• „Problematik“:
– Geltungsbereich § 7 EGovG / Landesgesetze
– Anforderungen des § 7 EGovG
7
Neuerungen (2)
• 9. VV zur Änderung SRVwV
(Begr.: BR-Drs. 539/14; 5. November 2014)
– „ein in der Sicherheit gleichwertiges Verfahren“
neben qeS möglich
• 6. VO zur Änderung SVRV
(Begr.: BR-Drs. 533/14; 5. November 2014)
– „gleichwertige sichere elektronische Verfahren“
neben qeS möglich
– aber: Gleichwertigkeit hier vom BSI festzustellen!
vermutlich über Technische Richtlinie
betrifft nur kasseninterne Kommunikation
trotzdem Ansätze für Online-Kommunikation
heranziehbar
8
Perspektivisch ?
eHealth-Gesetz (1)
• Gesetz für sichere digitale
Kommunikation und Anwendungen im
Gesundheitswesen
• Stand: Referentenentwurf (Januar 2015)
• Ziel
– Sichere / schnellere Kommunikation
– Verbesserung Interoperabilität
– Ersatz papiergebundener Verfahren
(„Prüfauftrag Formularwesen“)
9
eHealth-Gesetz (2)
• Anforderungen
– § 87 Abs. 2a SGB V
• Bundesmantelvertrag, EBM,
Orientierungswerte
• „… Einsatz sicherer elektronischer
Informations- und
Kommunikationstechnologien…“
• Prüfung durch Bewertungsausschuss
• Vorgaben nach amtl. Begründung:
keine näheren Ausführungen
10
eHealth-Gesetz (3)
– § 291b Abs. 1 Nr. 5a
• gematik
• „…Einzelheiten zu den
Sicherheitsmaßnahmen..“
• Festlegung durch gematik
• Vorgaben nach amtl. Begründung:
–Authentisierungsverfahren
–dabei: „…Festlegung technischer
Verfahren und Komponenten
einschließlich der Ausgabeverfahren
für notwendige Schlüssel und
Zertifikate“
11
eHealth-Gesetz (4)
– § 291b Abs. 1a Satz 2 SGB V
• gematik
• „…funktionsfähig, interoperabel und
sicher…“
• Beurteilung durch gematik
• Vorgaben nach amtl. Begründung:
keine konkretisierenden Ausführungen
12
eHealth-Gesetz (5)
– § 291h Abs. 2 SGB V
• Übermittlung elektronischer Briefe
• „…Einzelheiten zu den
Sicherheitsmaßnahmen…“
• Regelung durch KBV
Benehmen: GKV-SV und gematik
• Vorgaben nach amtl. Begründung:
keine konkretisierenden Ausführungen
13
eHealth-Gesetz (6)
– § 291g SGB V
• Elektronischer Entlassbrief
• „… Einzelheiten zu den
Sicherheitsmaßnahmen…“
• Vereinbarung DKHG mit KBV
Benehmen: GKV-SV, gematik
• Vorgaben nach amtl. Begründung:
keine für Sicherheitsmaßnahmen
Patientendaten!!
Vorschrift müsste Maßstab bilden für
14
Sicherheitsniveau!
eHealth-Gesetz (7)
• Ergebnis
– keine gesetzgeberischen Vorgaben
– Betonung der „Selbstregulierung“
– auch für Selbstregulierung keine Parameter
trotz Ziel Datenschutz:
Keine Vorgabe der Klassifizierung nach
Bedeutung etc.
15
Perspektivisch ?
IT-Sicherheitsgesetz
• Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme
• Stand: Gesetzentwurf der
Bundesregierung (BT-Drs. 18/4096, 25.
Februar 2015)
• Ziel
– Stärkung IT-Sicherheit von Unternehmen
und kritischen Infrastrukturen
– Schutz Bürgerinnen / Bürger
16
IT-Sicherheitsgesetz (2)
• Anforderungen allgemein
– Aufbau organisatorischer und technischer
Vorkehrungen
– zur Vermeidung von Störungen der
Systeme / Komponenten / Prozesse
bezogen auf
•
•
•
•
Verfügbarkeit
Integrität
Authentizität
Vertraulichkeit
– hinsichtlich der kritischen Infrastrukturen
Mindestniveau an IT-Sicherheit
17
IT-Sicherheitsgesetz (3)
• Betreiber Kritischer Infrastrukturen
– Definition
• Einrichtungen / Anlagen / Teile davon
• die u.a. dem Sektor „Gesundheit“
angehören
• und von hoher Bedeutung für das
Funktionieren des Gemeinwesens sind
weitere Konkretisierung durch RVO nach
Anhörung der „Wirtschaftsverbände“
18
IT-Sicherheitsgesetz (4)
– Merkmale für konkrete Dienstleistungen
• Erbringung kritischer Dienstleistungen
(Qualität)
• Folgen bei Beeinträchtigung (Quantität)
– im Gesundheitssektor mögl. betroffen:
• Medizinische Versorgung
• Versorgung mit Arzneimitteln und
Medizinprodukten
Online-Kommunikation wohl nicht
19
IT-Sicherheitsgesetz (5)
• Anforderungen
– Definition Absicherungsmaßnahmen
• organisatorische und technische
Maßnahmen
• dabei auch
–infrastrukturelle Maßnahmen
–personelle Maßnahmen
• Angemessenheit der Maßnahmen
• Stand der Technik zu berücksichtigen
sehen die allgemeine Anforderungen der
Prüfdienste bereits vor
20
IT-Sicherheitsgesetz (6)
– Definition Stand der Technik
• Entwicklungsstand fortschrittlicher Verfahren,
Einrichtungen, Betriebsweisen
• dabei soll praktische Eignung gesichert
erscheinen zum:
• Schutz Funktionsfähigkeit von IT-Systemen,
Komponenten, Prozessen
• im Hinblick auf
–
–
–
–
Verfügbarkeit
Integrität
Authentizität
Vertraulichkeit
unabhängig von konkreten Anforderungen ist
„Grundprinzip“ / Definition heranziehbar
21
IT-Sicherheitsgesetz (7)
Am Rande:
– Festlegung Sicherheitsstandards
• Erarbeitung branchenspezifischer
Standards möglich
• Weiterentwicklung vorzunehmen
• Verfahren gegenüber BSI
• Beteiligung der Aufsichtsbehörden
– Auswirkungen der geplanten EU-Richtlinie
zur Netzwerk- und Informationssicherheit ?
22
Perspektivisch?
eIDAS-VO
• Verordnung (EU) Nr. 910/2014 über
elektronische Identifizierung und
Vertrauensdienste für elektronische
Transaktionen
• Geltung
– Ab 01.07.2016 (Zustelldienste)
• Ziel
– Grenz- und sektorenübergreifender
Rahmen für sichere, vertrauenswürdige
elektronische Transaktionen
23
eIDAS-VO (2)
• Anwendungsbereich
– Anerkennung elektronischer
Identifizierungsmittel
– Anforderungen an Vertrauensdienste
– Rechtsrahmen für
• Signaturen, Siegel, Zeitstempel,
Dokumente
• Dienste für Zustellung elektronischer
Einschreiben
• Zertifizierungsdienste für WebsiteAuthentifizierung
24
eIDAS-VO (3)
• Auswirkungen
– De-Mail soll Anforderungen der VO
entsprechen (Interoperabilität mit
elektronischen Zustelldiensten)
– Änderung des De-Mail-Gesetzes ?
– Aufwertung des De-Mail-Verfahrens?
Bericht der Bundesregierung,
BT-Drs. 18/4042 v. 16.02.2015
25
Perspektivisch ?
FördElR G
• Gesetz zur Förderung des
elektronischen Rechtsverkehrs mit den
Gerichten
BGBl. 2013 I S. 3786; BT-Drs. 17/12634
• Geltung: überwiegend 01.01.2016
• Ziel:
– Festlegung geeigneter
Rahmenbedingungen für elektronische
Übermittlung und Bearbeitung
26
FördElR G (2)
• Anwendungsbereich
– Kommunikation Anwälte / Gerichte
• Anforderungen
– Übermittlung
• qeS
• Postfach- / Versanddienst De-Mail-Konto (bei
sicherer Anmeldung und deren Bestätigung)
• Besonderes elektronisches Anwaltspostfach
(beA)
• Elektronisches Gerichts- und
Verwaltungspostfach (EGVP)
• Nach zu erlassender RVO
27
FördElR G (3)
– Anwaltspostfach
• nach besonderem Identifizierungsverfahren
einzelnem Anwalt zugeordnet („trusted
domain“)
– EGVP
• Kommunikation zwischen entsprechendem
elektronischen Postfach des Anwalts und
elektronischer Poststelle des Gerichts
Anforderungen / Umsetzung zu betrachten
28
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an OnlineKommunikation - Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
29
Elektronische Poststelle
Anforderungen an OnlineKommunikation
•
•
•
•
•
•
Grundsatz bei Anwendung Kriterien
Nachweis Authentizität
Sichere Übermittlung
Identität / Integrität
Prüfbarkeit / Beweisfunktion
Form / Vollständigkeit der Information
(Inhalt!)
• Infrastruktur / Funktionalität
30
Allgemeine Kriterien
• Anforderungen ergeben sich aus
– feststehenden Rechtsvorschriften
– Heranziehung Kriterien Rechtsgedanken anderer
Rechtsgebiete / Normen
• Grundsatz
immer Einzelfall der elektronischen
Kommunikation zu betrachten („Information“)
Anforderungen ggf. unterschiedlich
• „allgemeine“ Aussage:
– aufgeführte Anforderungen im Grundsatz immer
zu beachten
– ggf. in Kriterien / konkreten Anforderungen
31
abgestuft
Authentizität
• Begriff „Authentizität“
– Echtheit und Glaubwürdigkeit
• eines Objektes (Datei)
• eines Subjekts (Nutzerin / Nutzer)
– Überprüfung durch
• eindeutige Identifikation
• charakteristische Eigenschaften
32
Authentizität (2)
• Nachweismittel bislang
– v.a. Nutzung qeS
– Grund: § 110d SGB IV
• Ersatz Schriftform / qeS (§ 36a Abs. 2 S. 4
SGB I)
sichere Verfahren / alle Anforderungen erfüllt
aus Sicht der Prüfdienste zu bevorzugen
(Beratungsansatz)
• Ausführungen des BSI
– Beurteilungskriterien bei Verfahren nach
SVRV für Ersatz der qeS
– Anforderungen liegen noch nicht vor
– Ggf. Technische Richtlinie
33
Authentizität (3)
Anforderung der Prüfdienste bleiben:
• softwaretechnische Abbildung (bei OnlineProzessen)
– z.B. Anmeldung am System mit Kartentechnik
– z.B. Authentifizierungsverfahren sog. Mehr-/
2-Wege-Lösung /-Faktoren-Lösung
• Anmeldung Online-System (Passwort)
Zugangscode postalisch
• Übermittlung Transaktionscode / Zugangscode
Anforderungen für Belege mit „RSAWirksamkeit“
34
Authentizität (4)
• Empfohlenes Vorgehen:
– Risikocluster bilden
abgestuft nach Dateninhalt
(Datenschutzqualität; Bedeutung Datenverlust)
– Anforderungen an Authentizität festlegen
wiederum abgestuft nach Risiko
– Ergebnis: ggf. modularer Aufbau
je höher Risiko
desto höher Sicherheitsmaßnahmen:
z.B. tan-Verfahren für einzelne Transaktionen
z.B. Übermittlung nur bei
Authentifizierungsverfahren § 36a SGB I
35
Authentizität (5)
• Empfohlen: Passwort-Vorgaben
– Anforderungen an Passwort der Versicherten
– Empfehlung des BSI (M 2.11 GS-Katalog)
• systemseitig u.a.:
– Keine Trivialpasswörter
– Initiierung regelmäßiger Passwortwechsel
– Keine Wiederholung alter Passwörter
– Keine Anzeige auf Bildschirm bei Eingabe
– Sperrung bei mehrfacher fehlerhafter Eingabe..
• Passwort
– Mindestlänge
– Variation der Zeichen (Buchstaben, Ziffern) …
Hinweise an den Versicherten übermitteln
36
Sichere Übermittlungswege
• Beratungsansatz
Nutzung
– sichere Übertragungswege (VPN)
– verschlüsselter Übertragungswege
• Beispiel
– Nutzung https / SSL / TSL (obligatorisch)
– Ende-zu-Ende-Verschlüsselung
bei höherem Sicherheitsbedarf verpflichtend!
siehe Patientenquittung:
keine Übersendung per De-Mail (BfDI)
37
Identität / Integrität
• Begriff „Identität / Integrität“
– Unveränderbarkeit
– Unverfälschtheit
Verhinderung unauthorisierter / unbemerkter
Manipulation von Daten
Erkennen von Manipulationen /
Änderungen im Nachhinein
38
Identität / Integrität (2)
• Position Prüfdienste bleibt
– technisch neutral
• qeS
• andere geeignete technische Maßnahme und
Speicher- / Archivsysteme
– ggf. im Zusammenhang mit organisatorischen
Maßnahmen
• Zugangs- / Zugriffskontrollen
• Rollen- / Berechtigungskonzepte
– Anforderung bezogen auf gesamten Datenlauf
• Erhebung
• Übermittlung
• Speicherung / Archivierung
39
Identität / Integrität (3)
• Prüfkriterien
Nachweis, dass Änderungen nicht möglich sind
Nachweis, dass Änderungen – wenn
vorgenommen – erkennbar sind
Verlust Eigenschaft „Original“ / Belegwirkung
besser: Original unveränderbar belassen;
Änderungen „zuspeichern“
40
Identität / Integrität (4)
• Plausibilisierungen im Onlineverfahren
– während lfd. Online-Verfahren möglich
– nach Abschluss Eingabe: nein!
keine Originalität mehr
• Dunkelverarbeitung
– maschinell ablaufende Prüfroutinen
– wichtig:
Speicherung Informationen des Versicherten vor
Durchlaufen der Prüfroutinen
ansonsten: Verlust der Originalität!
– Ausn.: M-RSA (VPS1–3) Datenübermittlung
41
Identität / Integrität (5)
• Uploads
– Änderung von Formaten bei durch
Versicherte hochgeladenen Dateien
– zulässig:
• wenn „datensicherheitstechnisch“ absolut
erforderlich
• nur Änderung des Formats
• sichergestellt: keine Änderungen am Inhalt !
42
Prüfbarkeit / Beweisfunktion
• Prüfbarkeit des DV-Verfahrens
– Inhalt / Aufbau
– Ablauf
– Ereignisse
• Einzelprüfung
– Sichtbarmachung von einzelnen Sachverhalten
– Speicherung von Metadaten
• Lesbarmachung elektronischer
Unterlagen
– Daten müssen zu Prüfzwecken auslesbar sein
– Daten in maschinenlesbarer Form
– Scans über DV-System zumindest anzeigbar
43
Prüfbarkeit / Beweisfunktion (2)
• Grundlage
– § 110 d SGB IV
– Inhalt
• Einsatz qeS sichert dauerhafte Überprüfbarkeit
• Authentizität und Identität / Integrität
• 5. SGB-IV-Änderungsgesetz
– Aufhebung § 110d SGB IV (Art. 1 Nr. 16)
– Gleichwertige Verfahren nach § 7 eGovG?
44
Prüfbarkeit / Beweisfunktion (3)
• Folgerungen
– gleichwertige softwaretechnische Abbildung
auch bei Beweisfunktion möglich ?
• dauerhafte Überprüfbarkeit der Authentizität /
Identität
– andere technische Lösungen müssen
Beweisfunktion nachweisen
– Gibt es solche Verfahren???
• Geltung des § 7 eGovG?
– „Stand der Technik“
– bislang keine Kriterien ersichtlich
45
Prüfbarkeit / Beweisfunktion (4)
• Wirtschaftlichkeit
− Kostenaufstellung / Dokumentation bei
Einführung neues Verfahren erforderlich
− Wirtschaftlichkeit neues Verfahren gegenüber
Nutzung der qeS ist nachzuweisen
insbesondere bei etabliertem Verfahren
(Archivierung / Speicherverfahren)
− Bsp.: Zeitstempel vs. qeS
was ist wirtschaftlicher Krankenkasse?
46
Vollständigkeit / Form
• Grundsatz
– alle Informationen des „Papiers“ müssen in
elektronischer Fassung enthalten sein
– Umfang ergibt sich aus Fachrecht
• Relevanz
– z.B. Informationen des Fami-Bogens
– Abbildung aller Informationen
• bei Online-Abfrage
• bei elektronischen Formularen
• bei Übermittlung De-Mail etc.
47
Vollständigkeit / Form (2)
• Ausgangsbasis
– gesetzlich vorgeschriebene Form der Äußerung
• Unterschrift
• Schriftform
– entscheidend für Anforderungen an OnlineKommunikation
• Anforderungen anhand Grund und
„Wirkung“ der Information
– „allgemeine“ Informationen
– „Belegwirkung“ / Nachweiswirkung RSARelevanz
– Gesundheitsdaten
abgestufte Anforderungen möglich
48
Vollständigkeit / Form (3)
• Bislang hauptsächlich: sog. „FamiBögen“
– Sicherstellung, dass alle Inhalte in allen
Kommunikationsformen abgefragt werden
– Keine Schriftform!
– Anderes Thema: Dunkelverarbeitung
• Gesundheits-Apps:
– Form der Datenübermittlung
z.B. Patientenquittung
– datenschutzrechtliche Fragen
keine De-Mail bei Patientenquittung!
49
Infrastruktur / Funktionalität
System
Kommunikationsmittel
Einbezug
Dateien
Speicherung
/
Archivierung
Operativsystem
Online
Einbeziehung
Scans
qeS / Zeitstempel
Zugang
Fachverfahren
E-Mail
Upload
von
Dateien
Sicheres
Speicherverfahren
Dunkelverarbeitung
De-Mail
Karten
(nPA eGK)
möglichst ein stringentes System
Vorhalten Option für alle „Kanäle“
Vermeidung von Insellösungen!
50
Infrastruktur / Funktionalität (2)
Interne Sicherungsmaßnahmen
• Empfohlen: Parametereinstellungen im
System vornehmen
– Passwörter
– „Prüfroutinen“ bei Änderung Stammdaten
• „Änderungsfristen“
z.B. Weitergabe von sensiblen Daten /
Informationen über geänderten Kanal erst nach
Frist
• Sog. push-Mitteilung an Versicherten über
Änderung über anderen, unveränderten „Kanal“
51
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an OnlineKommunikation - Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
52
Projektbegleitung /
Dokumentation
• wichtig: Verfahrensprüfungen Prüfdienste
– Beratungsprüfungen § 274 SGB V
– „verpflichtende“ Prüfungen
• z.B. Datenbestimmung des BVA nach § 42 RSAV
• z.B. Daten für maschinelle Prüfungen im Rahmen
§ 42 RSAV
• empfohlen: Bedarfs- und Risikoanalysen
– Voraberwägungen durch Krankenkasse
– Grundlage: BSI-Grundsätze
53
Projektbegleitung Dokumentation (2)
• Wirtschaftlichkeit
– Grundlegende Ausführungen immer erforderlich
– insbesondere bei
• Ablösung Altverfahren
• Grundlegende Einführung neuer Verfahren mit
Investitionskosten
• Dokumentation der Kasse
– Grundlage einer Verfahrensprüfung
– Inhalt
• Beschreibung Verfahrensablauf
• Technische Fragen (Einsatz Hard- und Software)
54
• Berechtigungskonzept etc.
Agenda
„Module“ der Prüftätigkeit
Gesetzliche Grundlagen
Elektronische Poststelle
Anforderungen an OnlineKommunikation - Weiterentwicklung
Projektbegleitung / Dokumentation
Speicherung / Archivierung /
Löschpflichten
55
Speicherung / Archivierung
• „Revisionssicherheit“
– Anforderungen an Authentizität / Identität
– Dauerhafte Sicherstellung der Anforderungen
siehe Leitfaden der Prüfdienste
• Archivsysteme / Löschpflichten
– Bedeutung weiterhin hoch!
– Thema wird weiter verfolgt:
• Prüfung der Systeme
• Prüfung Umsetzung Löschpflichtbei
Krankenkassen
56
Materialien
Auswahl
• Technische Richtlinien des BSI u.a.
– TR-03107 Elektronische Identitäten und
Vertrauensdienste im E-Government
• Leitfaden Elektronische Kommunikation
(Prüfdienste)
– Fassung 10/2014 (Überarbeitung in 2015)
www.bundesversicherungsamt.de/weitere-themen/pruefdienstkranken-und-pflegeversicherung.html
• Organisationskonzept elektronische
Verwaltungsarbeit (BMI)
www.verwaltung-innovativ.de
57
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Prüfdienst Kranken- und Pflegeversicherung
Peter.Fischer@
Peter.Strothmann@
bundesversicherungsamt.bund.de bundesversicherungsamt.bund.de
Tel.: 0228 / 619 - 1438
Tel.: 04471 / 1807 - 16
58