Gütesiegel für e-pacs Speicherdienst, Version 3.0
3-5/2003
Rezertifiziert am 11.12.2017
Befristet bis 11.12.2019
Erstzertifizierung 27.05.2003
Elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten
Kurzgutachten:
- Rezertifizierung 2017 (Version 3.0)
- Rezertifizierung 2015 (Version 3.0)
- Rezertifizierung 2013 (Version 3.0)
- Rezertifizierung 2010 (Version 3.0)
- Rezertifizierung 2007 (Version 3.0)
- Rezertifizierung 2005 (Version 3.0)
- Erstzertifizierung 2003 (Version 3.0)
Textversion nachfolgend:
Kurzgutachten
e-pacs
datenschutz nord GmbH, Mai 2003
-
Zeitpunkt der Prüfung
Die Begutachtung der Applikation e-pacs erstreckte sich auf den Zeitraum von 3. März bis 15. April 2003
-
Adresse des Antragstellers
Antragstellerin dieses Gutachtens ist die Firma Telepaxx Software GmbH, Wasserrunzel 5, 91186 Büchenbach als Betreiber der e-pacs Speicherdienstes. Ansprechpartner ist Herr Andreas Dobler.
-
Adressen des/der Sachverständigen
Sachverständige dieses Gutachtens ist die datenschutz nord GmbH, Schifferstr.
10-14, 27568 Bremerhaven. Ansprechpartner ist Herr Dr. Uwe Schläger; daneben hat Herr Jörg Fick an der Erstellung des Gutachtens mitgewirkt. -
Kurzbezeichnung des IT-Produktes
E-pacs Version 3.0
-
Detaillierte Bezeichnung des IT-Produktes
E-pacs dient der Archivierung von Röntgenbildern. Es besteht im Wesentlichen aus zwei Komponenten, dem lokalen e-pacs Department-Server beim Kunden einerseits und einem dedizierten externen Deep Storage Server beim Archivar andererseits. Zwischen diesen Produktkomponenten werden die Daten über eine bestehende Netzinfrastruktur verschlüsselt übertragen - entweder per Internet oder per ISDN- oder ATM-Verbindung. Als Übertragungsprotokoll dient in allen Fällen TCP/IP.
Beim Radiologen oder Krankenhaus wird ein Department-Server installiert, der für den Kunden den Zugang zu e-pacs darstellt. Der Department-Server stellt dem behandelnden Arzt die lokal zu bearbeitenden radiologischen Bilddaten zur Verfügung. Die Schnittstelle zwischen Department-Server und Praxis-EDV bildet der DICOM-Standard, so dass die aktuelle radiologische Medizintechnik angebunden werden kann. Zugleich übernimmt der Department-Server für die Kommunikation mit dem Storage-Server im externen Rechenzentrum die Datenverschlüsselung, das Prioritätenmanagement, die Transportüberwachung und die Transaktionssicherung.
Gegenstück zum Department-Server ist der Deep Storage Server, der die kundenbezogene Archivierung sowie das eigentliche Backup bzw. Recovery übernimmt. In diesem externen Archiv wird für jeden Kunden eine dedizierte Datenhaltung geführt, bestehend aus eigener Datenbank und eigenem Datenträgerpool.
Die Datenlogistik besteht im Wesentlichen aus den Teilen Speicherung und Retrieval.
Bei der Speicherung werden die medizinischen Daten und Bilder zunächst lokal auf dem Department-Server gespeichert. Parallel hierzu werden sie zunächst lokal komprimiert, lokal verschlüsselt und anschließend an den externen Storage-Server geschickt und dort weiterhin verschlüsselt auf Datenbändern gespeichert. Jede einzelne verschlüsselte Datei erhält hierzu eine eindeutige Archiv-ID, die keinen Patientenbezug aufweist. Zeitnah wird eine weitere Sicherungskopie auf Band erzeugt; dieses wird an einem sicheren dritten Ort gelagert.
Beim Retrieval werden die medizinischen Daten in umgekehrter Reihenfolge vom externen Archiv zum Department-Server übertragen. Dort werden die Bilddaten wieder entschlüsselt, dekomprimiert und dem jeweiligen Patienten zugeordnet.
Die zu archivierende Datei wird vollständig komprimiert und mit einem kundenspezifischen Key verschlüsselt. Dieser Schlüssel ist auf einem Hardware-Zertifikatsspeicher (e-Token) gespeichert, der nicht Gegenstand des zu auditierenden Produkts ist. Zur Verschlüsselung kommt das Blowfish-Verfahren zum Einsatz.
Die Sicherheit von e-pacs ist nicht nur von Sicherheitsmechanismen geprägt, die Bestandteil des eigentlichen Produkts sind, sondern ist auch von der Sicherheit der bestehenden Einsatzumgebung abhängig. Hierzu gehören eine IPSec-Verschlüsselung, clientseitig realisiert durch einen Router, serverseitig durch ein IPSec-Gateway, eine serverseitige Firewall, einen clientseitigen Paketfilter, ein Hardware-Token bzw. Zertifikat für jeden Kunden (Radiologiepraxis, Krankenhaus), einen CA-Server zur Generierung von IPSec-Zertifikaten sowie diebstahlgesicherte Serverräume des Archivars.
Die Einsatzumgebung wird ausschließlich von Telepaxx konfiguriert, d.h. es werden von der Firma Telepaxx Releasewechsel validiert und erst dann beim Kunden in Betrieb genommen. Hierfür hält die Firma Telepaxx eine komplette Kundenkonfiguration der Einsatzumgebung zu Testzwecken vor. Ein weiterer Vorteil besteht darin, dass der serverseitige Firewall, das IPSec-Gateway und der CA-Server auf Open Source Software basieren.
-
Tools, die zur Herstellung des IT-Produktes verwendet wurden
Borland Delphi 4.0
Mircosoft C++ Visual Studio 6.0
-
Zweck und Einsatzbereich
E-pacs wird von niedergelassenen Ärzten bzw. Krankenhäusern zur Archivierung von Röntgenbildern eingesetzt.
Der rechtliche Rahmen zur Auditierung des Produkts besteht aus der Datenschutzauditverordnung Schleswig-Holstein (DSAVO), dem Bundesdatenschutzgesetz (BDSG) und dem Landesdatenschutzgesetz Schleswig-Holstein (LDSG-SH) sowie bereichsspezifischen Regelungen wie beispielsweise der Röntgenverordnung sowie der Musterberufsordnung (MBO) und der Berufsordnung für Ärzte des Landes Schleswig-Holstein.
-
Modellierung des Datenflusses
Die archivierten Daten sind Bilddaten einschließlich Befunde nach DICOM-Standard. Folgende Datenarten wurden identifiziert:
Datenart A: Medizinische Daten, z.B. Röntgendaten mit oder ohne Befund und SOP Instance UID, die jedem Röntgenbild eindeutig zugeordnet wird (Primärdaten).
Datenart B: Die Headerinformationen auf Anwendungsebene bestehen lediglich aus zwei Daten. Mittels einer fortlaufenden Registriernummer (Archiv-ID) sowie einer Kundennummer werden die medizinischen Datensätze auf dem Datenbanksystem archiviert. Weitere Protokolldaten (u.a. Angaben über Speicherzeitpunkte) existieren auf dem Storage-Server zur Verwaltung und Revisionsfähigkeit des Archivs.
Die Struktur der verwendeten Daten wird in dem folgenden Container-Modell genauer deutlich.
-
Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde
Version 1.0
-
Zusammenfassung der Prüfungsergebnisse
Die Archivierung von medizinischen Daten bei einem externen Dienstleister ist im Rahmen von Auftrags-Datenverarbeitung datenschutzrechtlich zulässig. Die Offenbarung von Daten, die der ärztlichen Schweigepflicht unterliegen, gegenüber dem Archivar wird durch die durchgängige Verschlüsselung der medizinischen Daten verhindert. Durch die Verschlüsselung auf Anwendungsebene wird zudem der gesetzlich normierte Beschlagnahmeschutz von medizinischen Daten sichergestellt.
Die in e-pacs implementierten Sicherheitsmechanismen gewährleisten zusammen mit einer sicheren Einsatzumgebung die Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit sowohl der medizinischen Daten (Primärdaten) als auch der Headerinformationen bzw. Protokolldaten (Sekundärdaten). Mechanismen auf verschiedenen Ebenen (Betriebssystem, IPSec, CHAP, Application Entity Title) sorgen für die Authentizität der Benutzer. Zwei Verschlüsselungsmechanismen (Blowfish-Verfahren auf Anwendungsebene, IPSec auf Netzwerkebene) garantieren die Integrität und Vertraulichkeit der medizinischen Daten.
Das Produkt e-pacs entspricht insgesamt den Anforderungen in besonderer Weise, da die verwendeten technischen Lösungen innovativ die Umsetzung der gesetzlichen Vorgaben ermöglichen. Dies gilt insbesondere für den hardwarebasierten Verschlüsselungsmechanismus auf Anwendungsebene sowie die Verwendung von Pseudonymen.
Nr. Anforderungsprofil Bewertung / Kommentar Datenart A: Medizinische Daten (Primärdaten) A1 Produktbeschreibung verständlich und aussagekräftig,
in adäquater Weise umgesetztA2 Auftrags-DV bei medizinischen Daten zulässig A3 Beschlagnahmeschutz in vorbildlicher Weise sichergestellt A4 Authentizität der Nutzer in vollem Umfang sichergestellt A5 Integrität der Primärdaten in vollem Umfang sichergestellt A6 Authentizität der Primärdaten in vollem Umfang sichergestellt A7 Vertraulichkeit der übertragenen Daten in vorbildlicher Weise sichergestellt A8 Vertraulichkeit der auf dem Department-Server gespeicherten Primärdaten in adäquater Weise sichergestellt A9 Vertraulichkeit der auf dem Storage-Server gespeicherten Primärdaten in vorbildlicher Weise sichergestellt A10 Verfügbarkeit der Primärdaten in vollem Umfang sichergestellt A11 Revisionsfähigkeit in vollem Umfang sichergestellt Datenart B: Headerinformationen, Protokolldaten (Sekundärdaten) B1 Produktbeschreibung verständlich und aussagefähig,
in adäquater Weise umgesetztB2 Datenvermeidung, Pseudonymisierung in vorbildlicher Weise sichergestellt B3 Zulässigkeit der Verarbeitung Zulässig B4 Integrität der Sekundärdaten in adäquater Weise sichergestellt B5 Authentizität der Sekundärdaten in adäquater Weise sichergestellt B6 Vertraulichkeit der übertragenen Sekundärdaten im vollem Umfang sichergestellt B7 Vertraulichkeit der auf dem Department-Server gespeicherten Sekundärdaten in adäquater Weise sichergestellt B8 Vertraulichkeit der auf dem Storage-Server gespeicherten Sekundärdaten in adäquater Weise sichergestellt B9 Verfügbarkeit der Sekundärdaten im vollem Umfang sichergestellt -
Beschreibung, wie das IT-Produkt den Datenschutz fördert
Das Produkt e-pacs zeichnet sich datenschutzrechtlich zum einen dadurch aus, dass die medizinischen Daten während des gesamten Archivierungsprozesses - angefangen mit der Übertragung vom Department-Server zum Storage-Server bis hin zur Rückübertragung vollständig und für den Archivar in nicht nachvollziehbarer Weise verschlüsselt werden. Diese Art der anwendungsbezogenen Verschlüsselung ist diejenige datenschutzfördernde Maßnahme, die die meisten Sicherheitsanforderungen abdeckt. Die medizinischen Daten werden nicht nur vertraulich versendet und archiviert, es wird durch die Verschlüsselung auch die Integrität und Authentizität der Daten gewährleistet sowie ein Beschlagnahmeschutz sichergestellt.
Zum anderen wird durch die Verwendung von pseudonymen Headerinformationen weder ein Rückschluss auf einzelne Patienten noch ein Rückschluss auf einzelne Kunden möglich. Pseudonyme Headerinformationen gewährleisten somit die Vertraulichkeit sämtlicher Sekundärdaten.