Montag, 11. Dezember 2017

Gütesiegel für e-pacs Speicherdienst, Version 3.0

3-5/2003

Rezertifiziert am 11.12.2017
Befristet bis 11.12.2019

Erstzertifizierung 27.05.2003

Elektronische externe Archivierung von Röntgenbildern und anderen patientenbezogenen medizinischen Daten

Kurzgutachten:

 


Kurzgutachten
e-pacs
datenschutz nord GmbH, Mai 2003

  1. Zeitpunkt der Prüfung

    Die Begutachtung der Applikation e-pacs erstreckte sich auf den Zeitraum von 3. März bis 15. April 2003

  2. Adresse des Antragstellers

    Antragstellerin dieses Gutachtens ist die Firma Telepaxx Software GmbH, Wasserrunzel 5, 91186 Büchenbach als Betreiber der e-pacs Speicherdienstes. Ansprechpartner ist Herr Andreas Dobler.

  3. Adressen des/der Sachverständigen

    Sachverständige dieses Gutachtens ist die datenschutz nord GmbH, Schifferstr. 
    10-14, 27568 Bremerhaven. Ansprechpartner ist Herr Dr. Uwe Schläger; daneben hat Herr Jörg Fick an der Erstellung des Gutachtens mitgewirkt.

  4. Kurzbezeichnung des IT-Produktes

    E-pacs Version 3.0

  5. Detaillierte Bezeichnung des IT-Produktes

    E-pacs dient der Archivierung von Röntgenbildern. Es besteht im Wesentlichen aus zwei Komponenten, dem lokalen e-pacs Department-Server beim Kunden einerseits und einem dedizierten externen Deep Storage Server beim Archivar andererseits. Zwischen diesen Produktkomponenten werden die Daten über eine bestehende Netzinfrastruktur verschlüsselt übertragen - entweder per Internet oder per ISDN- oder ATM-Verbindung. Als Übertragungsprotokoll dient in allen Fällen TCP/IP.

    Beim Radiologen oder Krankenhaus wird ein Department-Server installiert, der für den Kunden den Zugang zu e-pacs darstellt. Der Department-Server stellt dem behandelnden Arzt die lokal zu bearbeitenden radiologischen Bilddaten zur Verfügung. Die Schnittstelle zwischen Department-Server und Praxis-EDV bildet der DICOM-Standard, so dass die aktuelle radiologische Medizintechnik angebunden werden kann. Zugleich übernimmt der Department-Server für die Kommunikation mit dem Storage-Server im externen Rechenzentrum die Datenverschlüsselung, das Prioritätenmanagement, die Transportüberwachung und die Transaktionssicherung.

    Gegenstück zum Department-Server ist der Deep Storage Server, der die kundenbezogene Archivierung sowie das eigentliche Backup bzw. Recovery übernimmt. In diesem externen Archiv wird für jeden Kunden eine dedizierte Datenhaltung geführt, bestehend aus eigener Datenbank und eigenem Datenträgerpool.

    Die Datenlogistik besteht im Wesentlichen aus den Teilen Speicherung und Retrieval.

    Bei der Speicherung werden die medizinischen Daten und Bilder zunächst lokal auf dem Department-Server gespeichert. Parallel hierzu werden sie zunächst lokal komprimiert, lokal verschlüsselt und anschließend an den externen Storage-Server geschickt und dort weiterhin verschlüsselt auf Datenbändern gespeichert. Jede einzelne verschlüsselte Datei erhält hierzu eine eindeutige Archiv-ID, die keinen Patientenbezug aufweist. Zeitnah wird eine weitere Sicherungskopie auf Band erzeugt; dieses wird an einem sicheren dritten Ort gelagert.

    Beim Retrieval werden die medizinischen Daten in umgekehrter Reihenfolge vom externen Archiv zum Department-Server übertragen. Dort werden die Bilddaten wieder entschlüsselt, dekomprimiert und dem jeweiligen Patienten zugeordnet.

    Die zu archivierende Datei wird vollständig komprimiert und mit einem kundenspezifischen Key verschlüsselt. Dieser Schlüssel ist auf einem Hardware-Zertifikatsspeicher (e-Token) gespeichert, der nicht Gegenstand des zu auditierenden Produkts ist. Zur Verschlüsselung kommt das Blowfish-Verfahren zum Einsatz. 

    Die Sicherheit von e-pacs ist nicht nur von Sicherheitsmechanismen geprägt, die Bestandteil des eigentlichen Produkts sind, sondern ist auch von der Sicherheit der bestehenden Einsatzumgebung abhängig. Hierzu gehören eine IPSec-Verschlüsselung, clientseitig realisiert durch einen Router, serverseitig durch ein IPSec-Gateway, eine serverseitige Firewall, einen clientseitigen Paketfilter, ein Hardware-Token bzw. Zertifikat für jeden Kunden (Radiologiepraxis, Krankenhaus), einen CA-Server zur Generierung von IPSec-Zertifikaten sowie diebstahlgesicherte Serverräume des Archivars.

    Die Einsatzumgebung wird ausschließlich von Telepaxx konfiguriert, d.h. es werden von der Firma Telepaxx Releasewechsel validiert und erst dann beim Kunden in Betrieb genommen. Hierfür hält die Firma Telepaxx eine komplette Kundenkonfiguration der Einsatzumgebung zu Testzwecken vor. Ein weiterer Vorteil besteht darin, dass der serverseitige Firewall, das IPSec-Gateway und der CA-Server auf Open Source Software basieren. 

  6. Tools, die zur Herstellung des IT-Produktes verwendet wurden

    Borland Delphi 4.0

    Mircosoft C++ Visual Studio 6.0

  7. Zweck und Einsatzbereich

    E-pacs wird von niedergelassenen Ärzten bzw. Krankenhäusern zur Archivierung von Röntgenbildern eingesetzt.

    Der rechtliche Rahmen zur Auditierung des Produkts besteht aus der Datenschutzauditverordnung Schleswig-Holstein (DSAVO), dem Bundesdatenschutzgesetz (BDSG) und dem Landesdatenschutzgesetz Schleswig-Holstein (LDSG-SH) sowie bereichsspezifischen Regelungen wie beispielsweise der Röntgenverordnung sowie der Musterberufsordnung (MBO) und der Berufsordnung für Ärzte des Landes Schleswig-Holstein.

     

  8. Modellierung des Datenflusses

    Die archivierten Daten sind Bilddaten einschließlich Befunde nach DICOM-Standard. Folgende Datenarten wurden identifiziert:

    Datenart A: Medizinische Daten, z.B. Röntgendaten mit oder ohne Befund und SOP Instance UID, die jedem Röntgenbild eindeutig zugeordnet wird (Primärdaten).

    Datenart B: Die Headerinformationen auf Anwendungsebene bestehen lediglich aus zwei Daten. Mittels einer fortlaufenden Registriernummer (Archiv-ID) sowie einer Kundennummer werden die medizinischen Datensätze auf dem Datenbanksystem archiviert. Weitere Protokolldaten (u.a. Angaben über Speicherzeitpunkte) existieren auf dem Storage-Server zur Verwaltung und Revisionsfähigkeit des Archivs.

    Die Struktur der verwendeten Daten wird in dem folgenden Container-Modell genauer deutlich.

  9. Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

    Version 1.0

  10. Zusammenfassung der Prüfungsergebnisse

    Die Archivierung von medizinischen Daten bei einem externen Dienstleister ist im Rahmen von Auftrags-Datenverarbeitung datenschutzrechtlich zulässig. Die Offenbarung von Daten, die der ärztlichen Schweigepflicht unterliegen, gegenüber dem Archivar wird durch die durchgängige Verschlüsselung der medizinischen Daten verhindert. Durch die Verschlüsselung auf Anwendungsebene wird zudem der gesetzlich normierte Beschlagnahmeschutz von medizinischen Daten sichergestellt.

    Die in e-pacs implementierten Sicherheitsmechanismen gewährleisten zusammen mit einer sicheren Einsatzumgebung die Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit sowohl der medizinischen Daten (Primärdaten) als auch der Headerinformationen bzw. Protokolldaten (Sekundärdaten). Mechanismen auf verschiedenen Ebenen (Betriebssystem, IPSec, CHAP, Application Entity Title) sorgen für die Authentizität der Benutzer. Zwei Verschlüsselungsmechanismen (Blowfish-Verfahren auf Anwendungsebene, IPSec auf Netzwerkebene) garantieren die Integrität und Vertraulichkeit der medizinischen Daten.

    Das Produkt e-pacs entspricht insgesamt den Anforderungen in besonderer Weise, da die verwendeten technischen Lösungen innovativ die Umsetzung der gesetzlichen Vorgaben ermöglichen. Dies gilt insbesondere für den hardwarebasierten Verschlüsselungsmechanismus auf Anwendungsebene sowie die Verwendung von Pseudonymen.

    Nr. Anforderungsprofil Bewertung / Kommentar
    Datenart A: Medizinische Daten (Primärdaten)
    A1  Produktbeschreibung   verständlich und aussagekräftig, 
    in adäquater Weise umgesetzt  
    A2  Auftrags-DV bei medizinischen Daten   zulässig  
    A3  Beschlagnahmeschutz   in vorbildlicher Weise sichergestellt  
    A4  Authentizität der Nutzer   in vollem Umfang sichergestellt  
    A5  Integrität der Primärdaten   in vollem Umfang sichergestellt  
    A6  Authentizität der Primärdaten   in vollem Umfang sichergestellt  
    A7  Vertraulichkeit der übertragenen Daten   in vorbildlicher Weise sichergestellt  
    A8  Vertraulichkeit der auf dem Department-Server gespeicherten Primärdaten   in adäquater Weise sichergestellt  
    A9  Vertraulichkeit der auf dem Storage-Server gespeicherten Primärdaten   in vorbildlicher Weise sichergestellt  
    A10  Verfügbarkeit der Primärdaten   in vollem Umfang sichergestellt  
    A11  Revisionsfähigkeit   in vollem Umfang sichergestellt  
    Datenart B: Headerinformationen, Protokolldaten (Sekundärdaten)
    B1  Produktbeschreibung   verständlich und aussagefähig,
    in adäquater Weise umgesetzt  
    B2  Datenvermeidung, Pseudonymisierung   in vorbildlicher Weise sichergestellt  
    B3  Zulässigkeit der Verarbeitung   Zulässig 
    B4  Integrität der Sekundärdaten   in adäquater Weise sichergestellt  
    B5  Authentizität der Sekundärdaten   in adäquater Weise sichergestellt  
    B6  Vertraulichkeit der übertragenen Sekundärdaten   im vollem Umfang sichergestellt  
    B7  Vertraulichkeit der auf dem Department-Server gespeicherten Sekundärdaten   in adäquater Weise sichergestellt  
    B8  Vertraulichkeit der auf dem Storage-Server gespeicherten Sekundärdaten   in adäquater Weise sichergestellt  
    B9  Verfügbarkeit der Sekundärdaten   im vollem Umfang sichergestellt  

     

  11. Beschreibung, wie das IT-Produkt den Datenschutz fördert

    Das Produkt e-pacs zeichnet sich datenschutzrechtlich zum einen dadurch aus, dass die medizinischen Daten während des gesamten Archivierungsprozesses - angefangen mit der Übertragung vom Department-Server zum Storage-Server bis hin zur Rückübertragung vollständig und für den Archivar in nicht nachvollziehbarer Weise verschlüsselt werden. Diese Art der anwendungsbezogenen Verschlüsselung ist diejenige datenschutzfördernde Maßnahme, die die meisten Sicherheitsanforderungen abdeckt. Die medizinischen Daten werden nicht nur vertraulich versendet und archiviert, es wird durch die Verschlüsselung auch die Integrität und Authentizität der Daten gewährleistet sowie ein Beschlagnahmeschutz sichergestellt.

    Zum anderen wird durch die Verwendung von pseudonymen Headerinformationen weder ein Rückschluss auf einzelne Patienten noch ein Rückschluss auf einzelne Kunden möglich. Pseudonyme Headerinformationen gewährleisten somit die Vertraulichkeit sämtlicher Sekundärdaten.