DICOM E-Mail –Kommunikation und Datenschutz

Dr. Bernd Schütze, LL.B.5. Anwendertreffen Teleradiologieverband Ruhr, 27. September 2012

DICOM E-Mail – Was ist das?

• Offener Standard zum Datenaustausch in der Radiologie unter Nutzung des Mail-Protokolls

• Gründung 2003 beim DICOM-Treffen in Mainz• Seit 2003 kontinuierliche Weiterentwicklung• Grundlage des Datenaustausches:

DICOM-Standard (Was sonst?)

• Homepage:http://www.tele-x-standard.de/

Worum geht es eigentlich?(Fragestellung)

- Ist das Patienten-Geheimnis bei Nutzung von DICOM E-Mail sicher?

- Kurze Antwort: Nein.

Frage: Warum nicht?

Wieso soll ich die Frage beantworten?Ausbildung

Studium InformatikFH-Dortmund

Studium HumanmedizinUni Düsseldorf / Uni Witten/Herdecke

Studium JuraFern-Uni Hagen

Datenschutz Seit 1995 Beschäftigung mit dem

Datenschutz im Gesundheitswesen

Seit 2002 Datenschutzbeauftragter

Ausbildung bei UDIS Mitarbeit im BvD,

AK Medizin Mitarbeit in der GDD,

AG Gesundheitswesen Mitarbeit bei der GMDS

AG Datenschutz

Datenschutz: Rechtliche GrundlagenBundesrecht- Bundesdatenschutzgesetz (BDSG)- Telekommunikationsgesetz (TKG)- Telemediengesetz (TMG)- Signaturgesetz (SigG)- Verordnung zur elektronischen Signatur (SigV)- Mediendienstestaatsvertrag (MDStV)

Kirchenrecht- Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD)- Verordnung über die in das Gemeindeverzeichnis aufzunehmenden Daten der

Kirchenmitglieder mit ihren Familienangehörigen- Verordnung über den automatisierten zwischenkirchlichen Datenaustausch- Verordnung mit Gesetzeskraft zur Einführung des Datenschutzes in der

Vereinigten Evangelisch-Lutherischen Kirche Deutschlands- Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche - Anordnung über das kirchliche Meldewesen (KMAO) für Bistum …- Anordnung über den kirchlichen Datenschutz (KDO) für Bistum …- Durchführungsverordnung zur KDO (KDO-DVO)

Landesrecht (z.B. NRW)- Archivgesetz (ArchivG)- Gesetz über die Ausführung des Gesetzes zu Artikel 10 Grundgesetz (AG G 10 NW)- Berufsordnung der Ärztekammer Westfalen-Lippe- Berufsordnung für die nordrheinischen Ärztinnen und Ärzte- Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein- Berufsordnung für Apothekerinnen und Apotheker derApothekerkammer Westfalen-

Lippe- Datenschutzgesetz (DSG NRW)- Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG)- Gesetz über den Feuerschutz und die Hilfeleistung- Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG)- Gesetz über Tageseinrichtungen für Kinder (GTK)- Gesundheitsdatenschutzgesetz (GDSG NW)- Gutachterausschussverordnung (GAVO NRW)- Heilberufsgesetz (HeilBerG)- Hochschulgesetz (HG)- Krankenhausgesetz (KHG NRW) - Meldedatenübermittlungsverordnung (MeldDÜV NRW)- Meldegesetz (MG NRW)- Sicherheitsüberprüfungsgesetz (SÜG NRW)- Verordnung zur Durchführung des Meldegesetzes (DVO MG NRW)

Medizinisches Umfeld- Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO)

• §9 Abs. 1 Schweigepflicht des Arztes- Strafprozessordnung (StPO)

• §53 Ab2. 1 Zeugnisverweigerungsrecht• §97 Abs.1 Beschlagnahmeverbot• §103 Abs.1 eingeschränktes Durchsuchungsrecht für Arztpraxen

- Strafgesetzbuches (StGB) • §203 Abs.1 4.2.1.2.c Ärztliche Schweigepflicht

- Zivilprozessordnung (ZPO)• § 383 Zeugnisverweigerung aus persönlichen Gründen

- Sozialgesetzbuch V (SGB V)• § 73 Kassenärztliche Vereinigung• § 140a Integrierte Versorgung

EU- Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung

personenbezogener Daten und zum freien Datenverkehr- Richtlinie 2002/22/EG Universaldienst und Nutzerrechte bei elektronischen

Kommunikationsnetzen und -diensten (Universaldienstrichtlinie)- Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)- Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten- Richtlinie 2009/136/EG („Cookie“-Richtlinie)

National- DIN 6789-6 Dokumentationssystematik - Teil 6: Verfälschungssicherheit digitaler technischer Dokumentation- DIN EN 12251 Sichere Nutzeridentifikation im Gesundheitswesen - Management und Sicherheit für die Authentifizierung durch Passwörter- DIN EN 13606-4 Kommunikation von Patientendaten in elektronischer Form - Teil 4- DIN EN 14169-1 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 1: Überblick- DIN EN 14169-2 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 2: Geräte mit Schlüsselerzeugung- DIN EN 14169-3 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 3: Einheiten mit Schlüsselimport- DIN EN 14169-4 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 4: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem Kanal zur

Zertifizierung von Generierungsanwendungen- DIN EN 14169-5 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 5: Erweiterung für Einheiten mit Schlüsselgenerierung und vertrauenswürdigem Kanal zur Signatur

von Generierungsanwendungen- DIN EN 14169-6 Schutzprofile für Sichere Signaturerstellungseinheiten - Teil 6: Erweiterung für Einheiten mit Schlüsselimport und vertrauenswürdigem Kanal zur Signatur von

Generierungsanwendungen- DIN EN 14484 Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements- DIN EN 14485 Anleitung zur Verwendung von persönlichen Gesundheitsdaten in internationalen Anwendungen vor dem Hintergrund der EU-Datenschutzrichtlinie- DIN CEN/TS 15260 Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten- DIN CEN/TS 15260 Medizinische Informatik - Klassifikation von Sicherheitsrisiken bei der Benutzung von Medizininformatikprodukten- DIN EN 15713 Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln- DIN ISO/IEC 27000 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie - DIN ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen - DIN ISO/IEC 27002 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management - DIN EN ISO 27789 Audit-Trails für elektronische Gesundheitsakten- DIN EN ISO 27799 Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002- DIN 31644 Information und Dokumentation - Kriterien für vertrauenswürdige digitale Langzeitarchive- DIN 31645 Information und Dokumentation - Leitfaden zur Informationsübernahme in digitale Langzeitarchive- DIN 66399-1 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1: Grundlagen und Begriffe- DIN 66399-2 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern- DIN EN 80001-1 Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten - Teil 1: Aufgaben, Verantwortlichkeiten und AktivitätenInternational- ISO/IEC 2382-8 Informationstechnik - Begriffe - Teil 8: Sicherheit- ISO/IEC FDIS 9797-3 ormation technology - Security techniques - Message Authentication Codes (MACs) - Part 3: Mechanisms using a universal hash-function- ISO/IEC 9798-1 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 1: Allgemeines Modell- ISO/IEC 9798-2 Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen - Teil 2: Mechanismen auf Basis von Verschlüsselungsalgorithmen- ISO/IEC 9798-3 Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques- ISO/IEC 9798-4 Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function- ISO/IEC 9798-5 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 5: Mechanismen auf Basis von zero-knowledge Techniken- ISO/IEC 9798-6 Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 6: Mechanismen auf Basis von manuellem Datentranfer- ISO/IEC 11586-1 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-Schichten: Konzepte,

Modelle und Notation- ISO/IEC 11586-3 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-Schichten:

Protokollspezifikationen für das Dienstelement für den Austausch von Sicherheitsinformationen (SESE)- ISO/IEC 11586-4 Informationstechnik - Kommunikation Offener Systeme - Allgemeine Sicherheitsmechanismen für die anwendungsorientierten OSI-Schichten: Spezifikationen

der schützenden Übertragungssyntax- ISO/TR 11633-1 Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen - Teil 1: Anforderungen und

Risikoanalyse- ISO/TR 11633-2 Informationssicherheitsmanagement für die Fernwartung für Medizinprodukte und Informationssysteme im Gesundheitswesen - Teil 2: Implementierung eines

ISMS- ISO/TR 11636 Dynamisch abrufbares virtuelles privates Netzwerk für die Informationsinfrastruktur im Gesundheitswesen- ISO/IEC 15408-1 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model- ISO/IEC 15408-2 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components- ISO/IEC 15408-3 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components- ISO/IEC TR 15443-1 Information technology - Security techniques - A framework for IT security assurance - Part 1: Overview and framework- ISO/TS 13606-4 Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit- ISO/IEC TR 15443-2 Information technology - Security techniques - A framework for IT security assurance - Part 2: Assurance methods- ISO/IEC TR 15443-3 Information technology - Security techniques - A framework for IT security assurance - Part 3: Analysis of assurance methods- ISO/IEC TR 15446 Information technology - Security techniques - Guide for the production of Protection Profiles and Security Targets- ISO/IEC 15816 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsobjekte für Zugriffskontrolle- ISO 17090-1 Public-Key-Infrastruktur - Teil 1: Überblick über digitale Zertifizierungsdienste- ISO 17090-2 Public-Key-Infrastruktur - Teil 2: Zertifikatsprofile- ISO 17090-3 Public-Key-Infrastruktur - Teil 3: Policymanagement von Zertifizierungsinstanzen- ISO/IEC 18031 Information technology - Security techniques - Random bit generation- ISO/IEC 18033-1 IT-Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 1: Allgemeines Modell; Änderung 1- ISO/IEC 18033-2 Information technology - Security techniques - Encryption algorithms - Part 2: Asymmetric ciphers- ISO/IEC 18033-3 Informationstechnik - IT Sicherheitsverfahren - Verschlüsselungsalgorithmen - Teil 3: Blockziffern- ISO/IEC 18033-4 Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers- ISO/IEC 18043 Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems- ISO/IEC 18045 Information technology - Security techniques - Methodology for IT security evaluation- ISO/IEC 19772 Information technology - Security techniques - Authenticated encryption- ISO/IEC TR 19791 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsbeurteilung operativer Systeme- ISO/IEC 19792 Informationstechnik - IT-Sicherheitsverfahren - Sicherheitsevaluation der Biometrie- ISO/TS 21091 Verzeichnisdienste für Sicherheit, Kommunikation und Identifikation von Heilberuflern und Patienten- ISO/TS 22220 Identifikation von Objekten des Gesundheitswesen- ISO/TS 22600-1 Privilegienmanagement und Zugriffssteuerung - Teil 1: Übersicht und Policy-Management- ISO/TS 22600-2 Privilegienmanagement und Zugriffssteuerung - Teil 2: Formale Modelle- ISO/TS 22600-3 Privilegmanagement und Zugriffssteuerung - Teil 3: Implementierungen- ISO/IEC 24745 Information technology - Security techniques - Biometric information protection- ISO/IEC 24761 Information technology - Security techniques - Authentication context for biometrics- ISO/IEC 24762 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services- ISO/IEC 24767-1 Informationstechnik - Sicherheit von Heim-Netzwerken - Teil 1: Sicherheitsanforderungen- ISO/IEC 24767-2 Informationstechnik - Sicherheit von Heim-Netzwerken - Teil 2: Interne Sicherheitsdienste: Sicheres Kommunikationsprotokoll für Middleware- ISO/TS 25237 Pseudonymisierung- ISO/TS 25238 Klassifikation der Sicherheitsrisiken von Software aus dem Bereich Gesundheitswesen- ISO/DIS 22857 Leitlinien für den Datenschutz zur Ermöglichung grenzüberschreitender Kommunikation von persönlichen Gesundheitsinformationen- ISO/IEC 27003 Information technology - Security techniques - Information security management system implementation guidance- ISO/IEC 27004 Information technology - Security techniques - Information security management - Measurement- ISO/IEC 27005 Information technology - Security techniques - Information security risk management- ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems- ISO/IEC 27007 Information technology - Security techniques - Guidelines for information security management systems auditing- ISO/IEC 27011 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002- ISO/IEC 27031 Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity- ISO/IEC 27035 Information technology - Security techniques - Information security incident management- ISO/TR 27809 Sicherstellung von Patientensicherheit bei Software im Gesundheitswesen- ISO/IEC 27033-1 Information technology - Security techniques - Network security - Part 1: Overview and concepts- ISO/IEC 27033-3 Information technology - Security techniques - Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues- ISO/IEC FDIS 27034-1 Information technology - Security techniques - Application security - Part 1: Overview and concepts

Datenschutz: Normatives…

Datenschutz ist aber ganz schön

kompliziert…

Datenschutz:Randbedingungen Teleradiologie

1. Für Krankenhäuser in NRW: §7 GDSG* Abs.2:

„Die Verarbeitung von Patientendaten im Auftrag ist nur zulässig, wenn sonst Störungen im Betriebsablauf nicht vermieden oderTeilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können“

Könnte man auch mal wieder überarbeiten

* Seit 1994 im Prinzip unverändert

Datenschutz:Randbedingungen Teleradiologie

2. (Informierte) Einwilligung des Patienten

3. Vertrag zwischen den Partnern, beinhaltend Umfang der Datenspeicherung, Datenweitergabe, Datenkorrektur,

Sperrung / Löschvorgaben Pflichten der Vertragspartner die zu treffenden technischen und organisatorischen Maßnahmen zum

Schutz der Daten(§78a SGB X bzw. Anlage dazu, entsprechend §9 BDSG bzw. dessen Anlage)

Weisungsbefugnisse des Auftraggebers gegenüber Auftragnehmer Kontrolle durch Auftraggeber bzgl. Einhaltung der vertraglichen

Pflichten

4. Mitarbeiter/-innen bei allen beteiligten Partnern auf Datenschutz verpflichtet

DICOM E-Mail:Was wollen wir erreichen?

• Patientendaten übermitteln• unter Wahrung von

– Vertraulichkeit– Integrität– Authentizität

Vertraulichkeit

Anforderung / Randbedingungen:• Nachricht ist nur für einen beschränkten

Empfängerkreis vorgesehen• Sonstige Weitergabe / Veröffentlichung ist nicht

erwünscht

Technische Umsetzung• Einsatz von Verschlüsselung

Integrität

Anforderung / Randbedingungen (BSI):• Korrekter Inhalt• Unmodifizierter Zustand• Erkennung von Modifikationen• Temporale Korrrektheit

Technische Umsetzung• Prüfsumme / Message Authentication Code• Quittierungsmeldungen / Sequenznummern

Authentizität

Anforderung / Randbedingungen:• Daten können einem angegebenen Sender

zugeordnet werden

Technische Umsetzung• Digitale Signatur

Anforderungen an DICOM E-Mail

• Einsatz von Verschlüsselung• Verwendung einer digitalen Signatur• Nutzung von

– Prüfsumme / Message Authentication Code– Quittierungsmeldungen / Sequenznummern

Umsetzung der Anforderungen (1)

• Verschlüsselung– OpenPGP kompatibel (RFC 4880)– Daten liegen entschlüsselt nur bei Sender und Empfänger vor

• Digitale Signatur– Gleichzeitige E-Mail-Verschlüsselung mit Signierung. (RFC

3156, Kapitel 6.2 - Combined method) – Daten mit einer abgetrennten Signatur, welche gemäß RFC

1847 OpenPGP kompatibel verschlüsselt werden. (RFC 3156, Kapitel 6.1 - Encapsulation)

– Sender ist eindeutig bestimmbar– Manipulationen sind sofort erkennbar

Umsetzung der Anforderungen (2)

• Quittierungsmeldungen / Sequenznummern– Einsatz der MIME-Bestätigung (Senden/Empfangen)– Nutzung von privaten X-Tags zu Sende- und

Empfangsbestätigung– Senden und empfangen wird protokolliert

• Prüfsumme: X-Tags übermitteln– eindeutige ID zur Kennzeichnung einer zusammengehörigen

Serie von E-Mails– Nummer der E-Mail innerhalb des zusammengehörigen Serie– Gesamtanzahl der E-Mails des zusammengehörigen Serie– Fehlende Bilddaten werden erkannt und können ggf.

nachgefordert werden

Zusatzanforderungen (1)

• Zuodnung der Daten zu einem Patienten– DICOM: Header mit Patienteninformationen– Non-DICOM: MIME-konform neues X-Tag eingeführt

• Zu übermittelnde Dateien oftmals groß– Große Dateien werden in mehreren eMails versendet– Zwei X-Tag-Erweiterungen des eMail-Headers:

X-TELEMEDICINE-PARTX-TELEMEDICINE-TOTAL

• Status-Codes dienen zur Verbindungsanalyse– Signatur fehlerhaft– x von n eMails fehlen– …

Zusatzanforderungen (2)

DICOM E-Mail bietet Service Part E-Mails• Abbildung der von der DIN 6868-159

geforderten Übertragungszeitkonstanz- und Funktionsprüfung

• Austausch und das Management von PGP/ GnuPG-Schlüsseldaten

• Austausch und das Management von Adressdaten

Geheimnis gewahrt: ?

Warum ist das Geheimnis nicht gewahrt?• Daten, die mit anderen geteilt werden,

sind per se nicht sicher• Eine Übertragung im Netzwerk ist ein Teilen der Daten:

– Obige Aussage gilt dann natürlich auch für DICOM E-Mail– Ebenso für jedes VPN, welches in Krankenhäusern eingesetzt

werden– Insbesondere auch für die Kommunikation im Mobile Computing

unter Nutzung von Mobiltelefonen, Pads usw.

Fazit

• Kommunikation mittels E-Mail ist heute so selbstverständlich wie telefonieren

• Sicherheitserweiterungen in DICOM E-Mail erlauben sicheren Datentransfer:– Nur Sender und Empfänger haben Zugriff auf Patientendaten, sonst

liegen Daten nur verschlüsselt vor– Unverschlüsselter Teil der Mail enthält keinerlei Hinweise auf Patienten

(aber natürlich auf Sender und Empfänger)– Eine Manipulation der Daten kann nicht unbemerkt erfolgen– Vollständigkeit der erhaltenen Daten automatisiert prüfbar, ebenso

automatisierte Nachforderung fehlender Daten möglich

• Kombination mit DICOM-Standard ideal für die Teleradiologie bei ad-hoc-Verbindungen

Zurück zur Ausgangsgfrage…

- Ist das Patienten-Geheimnis bei Nutzung von DICOM E-Mail sicher?

- Kurze Antwort: Nein.

- Lange Antwort:

Mit DICOM E-Mail können die datenschutzrechtlichen Anforderungen der Teleradiologie umgesetzt werden.

Kontakt: schuetze@medizin-informatik.org

Vielen Dank für Ihre Aufmerksamkeit!

Wo haben Sie denn dieBilder vom Schäuble her? Die unterliegen doch der

ärztlichen Schweigepflicht…

Ich sach nur:DICOM E-Mail