Norbert Pohlmann (Institut für Internet-Sicherheit):,
“Beweissicherheit in der medizinischen Dokumentation (II)”,
IT-Sicherheit & Datenschutz, Supplement in DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation,
Vieweg Verlag,
10/2007
In der ersten Folge dieses Beitrags (vgl. IT-Sicherheit & Datenschutz 9/2007) hatten wir die wesentlichen Gründe für den Übergang zur elektronischen Datenhaltung im Gesundheitswesen erörtert und die wesentlichen Anforderungen an ein solches Archiv beschrieben. Im abschließenden zweiten Teil wollen wir zeigen, wie sich diese umsetzen lassen. Im Detail niedergelegt sind diese Anforderungen und Regeln zu ihrer Umsetzung den bereits erwähnten Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Deren Kern hat der Verband Organisations- und Informationssysteme e.V. (VOI) in folgenden zehn Merksätzen zusammengefasst:
– Jedes Dokument muss unveränderbar archiviert werden.
– Kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
– Jedes Dokument muss mit geeigneten Retrievaltechniken (Suchfunktionen der Applikation oder des Archivierungsprogramms) wieder auffindbar sein. – Es muss genau das Dokument wieder gefunden werden, das gesucht wurde.
– Die Zerstörung eines Dokuments während seiner vorgesehenen Lebensdauer muss ausgeschlossen sein.
– Jedes Dokument muss in genau der gleichen Form wieder angezeigt und gedruckt werden können, in der es erfasst wurde.
– Jedes Dokument muss zeitnah wiederauffindbar sein.
– Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes jederzeit möglich ist.
– Elektronische Archive sind so anzulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
– Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen
Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs (Frage Böcker: Über dessen Lebensdauer hinweg oder über diese hinaus? Bitte klarstellen!) sicherzustellen. Die Beweissicherheit des für die Dokumentation eingesetzten Verfahrens steht und fällt mit der Revisionssicherheit des Archivs. Das gilt auch im Gesundheitswesen, denn kann ein Systemadministrator oder eine andere Person Daten im Archiv ersetzen, so kann er dies auch im Auftrag oder aus Gefälligkeit für einen Arzt tun. Solche Manipulationen durch Dritte lassen sich jedoch in komplett „digitalisierten“ Archiven dank der eingesetzten elektronischen Signatur zuverlässig erkennen. Ärzte und Kliniken sollten ferner darauf achten, hierbei nur solche Techniken einzusetzen, die den speziellen Ansprüchen an die Langzeitarchivierung (für medizinische Dokumente wie etwa Krankenakten gelten derzeit i. d. R. Aufbewahrungsfristen von 30 Jahren) gerecht werden.
Archiv mit Zeitstempelfunktionen für signierte Dokumente
Verbessern lässt sich die Beweissicherheit zudem durch die Einbeziehung eines eindeutigen Zeitstempels: Will ein Benutzer ein Dokument in das Archiv einfügen, fordert die Anwendung einen Nachweis von einem Zeitstempel-Server an. Dieser Zeitstempel selbst verfügt ebenfalls über eine Signatur und ist damit seinerseits gegen absichtliche Veränderungen gesichert. Allerdings handelt es sich dabei nicht um eine qualifizierte elektronische Signatur, da diese laut Gesetz nur natürlichen Personen zusteht. Somit lässt sich die höchste denkbare Sicherheitsstufe nicht erreichen. Dieser „Mangel“ ist allerdings rein theoretischer Natur, in der Praxis gilt das beschriebene Verfahren als hinreichend manipulationsresistent. Das zeigt sich u. a. daran, dass es beispielsweise die Lottogesellschaften der Bundesländer nutzen, um den Eingang der Wettscheine – genauer: den Übermittlungszeitpunkt der angekreuzten Glückszahlen – festzuhalten.
…
kostenlos downloaden | 
