Anbindungspolicy AOK Netzwerk - ITSG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Anbindungspolicy AOK Netzwerk
Stand: 12.05.2021
Version: 1.0
Herausgeber: ITSG GmbH
Redaktion: Informationstechnische Servicestelle der
Gesetzlichen Krankenversicherung GmbH
63150 Heusenstamm, Seligenstädter Grund 11
Telefon 06104 600 50-0, Telefax 06104 600 50-300
E-Mail: support-aml@itsg.deINHALTSVERZEICHNIS
PRÄAMBEL ...................................................................................................................................................... 4
TEIL I - ÜBERBLICK ÜBER DIE ÄUßEREN SCHNITTSTELLEN DES AML-SYSTEMS ............................... 5
TEIL II - ANFORDERUNGEN FÜR DRITTSYSTEME BEI ANBINDUNG AN DAS AML-SYSTEM ................ 6
Projekt: 2021-04-30-Anbindungspolicy-AOK- Projekt-Nr.: AP400
Netzwerk-v.1.0.docx
Bearbeiter: ITSG Dokument: V 1.0
Stand: 30.04.2021 Seite: 2 von 6Projekt: 2021-04-30-Anbindungspolicy-AOK- Projekt-Nr.: AP400
Netzwerk-v.1.0.docx
Bearbeiter: ITSG Dokument: V 1.0
Stand: 30.04.2021 Seite: 3 von 6Präambel
Durch das in das „AOK Mein Leben“ System (kurz: AML-System) integrierte „AOK-Netzwerk“ soll
im Einklang mit § 67 SGB V die Qualität und Wirtschaftlichkeit der Versorgung durch die Verbesse-
rung der Kommunikation und des Daten- und Informationsflusses unter den Leistungserbringern
sowie zwischen den Leistungserbringern und den AOKs gefördert werden.
Auf der anderen Seite sind mit der Vernetzung der entsprechenden Kommunikationsinfrastrukturen
potenzielle Risiken für die beteiligten natürlichen und juristischen Personen verbunden, die durch
geeignete technische und organisatorische Maßnahmen auf ein beherrschbares Maß reduziert
werden müssen. Die vorliegende „Anbindungspolicy“ definiert die Vorgaben hinsichtlich Daten-
schutz und Datensicherheit, die vor und während der operativen Vernetzung der Kommunikations-
systeme nachweislich erfüllt sein müssen.
Die vorliegende Anbindungspolicy wird im Rahmen der im Bereich Datenschutz und Datensicherheit
üblichen Revisionsprozesse regelmäßig überprüft und bei Bedarf fortgeschrieben.
Projekt: 2021-04-30-Anbindungspolicy-AOK- Projekt-Nr.: AP400
Netzwerk-v.1.0.docx
Bearbeiter: ITSG Dokument: V 1.0
Stand: 30.04.2021 Seite: 4 von 6Teil I - Überblick über die äußeren Schnittstellen des AML-Sys-
tems
Ein grober Überblick über das „AOK Mein Leben“ (AML) System und die derzeit1 für die Anbindung
von Drittsystemen relevanten Schnittstellen findet sich in der nachfolgenden Abbildung 1.
Abbildung 1: Überblick über die äußeren Schnittstellen des „AOK Mein Leben“ Systems
1Das vorliegende Dokument wird bedarfsorientiert fortentwickelt und möglicherweise zukünftig um weitere
Schnittstellentypen ergänzt.
Projekt: 2021-04-30-Anbindungspolicy-AOK- Projekt-Nr.: AP400
Netzwerk-v.1.0.docx
Bearbeiter: ITSG Dokument: V 1.0
Stand: 30.04.2021 Seite: 5 von 6Teil II - Anforderungen für Drittsysteme bei Anbindung an das
AML-System
In diesem Abschnitt sind die Anforderungen aufgeführt, die Drittsysteme vor und jederzeit während
der Anbindung an das produktive2 AML-System erfüllen müssen.
Im Zuge der Anbindung von Drittsystemen muss letztlich sichergestellt werden, dass das notwen-
dige Sicherheitsniveau des AML-Systems eingehalten wird und die Anbindung der Drittsysteme
keine negativen Konsequenzen für das AML-System haben kann.
Hieraus ergeben sich folgende Anforderungen:
A1. Für das Drittsystem muss eine geeignete Systemdokumentation3 vorhanden sein, die eine ef-
fiziente und auditierbare Überprüfung der Erfüllung der hier definierten Anforderungen erlaubt.
A2. Die Systemdokumentation muss ein geeignetes Datenschutzkonzept, ein Sicherheitskonzept,
ein Konzept zur Behandlung von Vorfällen und Notfällen und ein Testkonzept samt Prüfbericht
umfassen.
A3. Die Datenschutzdokumentation muss für den Nachweis der Einhaltung der datenschutzrecht-
lichen Vorgaben geeignet sein, soll unter Berücksichtigung des „Standard Datenschutzmodell“
erstellt werden und muss, soweit erforderlich,
a. entsprechende Verträge zur Auftragsverarbeitung (Art. 28 DSGVO),
b. ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO),
c. eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
d. eine geeignete Datenschutzinformation (Art. 12-23 DSGVO)
umfassen.
A4. Das Sicherheitskonzept soll unter Berücksichtigung von ISO/IEC 27001 und gemäß des BSI-
Standard 200-2 erstellt werden und muss die folgende Aspekte umfassen:
a. Werte,
b. Bedrohungen,
c. Risiken,
d. technischer und organisatorischer Sicherheitsmaßnahmen (TOMs) unter besonderer Be-
rücksichtigung des Schutzbedarfs4 und
e. verbleibende Restrisiken.
A5. Das Konzept für die Behandlung von Vorfällen und Notfällen muss mit den in AML existie-
renden Prozessen integriert werden.
A6. Das Testkonzept soll unter Berücksichtigung von ISO/IEC/IEEE 29119 erstellt werden und die
erfolgreiche Durchführung der Tests muss anhand eines geeigneten Prüfberichts belegt wer-
den.
2 Die Anbindung an entsprechende Testsysteme kann potenziell früher erfolgen, wobei die ITSG GmbH in
Abstimmung mit der AML-Programmleitung hierüber im Einzelfall entscheidet.
3 Unter dem Begriff „Systemdokumentation“ werden alle Dokumente subsumiert, die eine effiziente Überprü-
fung der Erfüllung der Anforderungen ermöglichen. Dies umfasst insbesondere Architektur- und Prozessbe-
schreibungen, Dokumente im Umfeld von Datenschutz (Datenschutzdokumentation) und Datensicherheit (Si-
cherheitskonzept) sowie einen Nachweis der ordnungsgemäß durchgeführten Vernetzung in Form eines ent-
sprechenden Prüfberichtes für ein geeignetes Testkonzept.
4 Soweit besonders schützenswerte Daten gemäß Art. 9 (1) DSGVO verarbeitet werden, ist von einem hohen
Schutzbedarf auszugehen und es sind geeignete technische und organisatorische Maßnahmen vorzusehen,
um einen Datenmissbrauch zu verhindern. Darüber hinaus sind die einschlägigen Vorgaben der GKV-Richtli-
nie gemäß § 217f (4b) SGB V zu berücksichtigen.
Projekt: 2021-04-30-Anbindungspolicy-AOK- Projekt-Nr.: AP400
Netzwerk-v.1.0.docx
Bearbeiter: ITSG Dokument: V 1.0
Stand: 30.04.2021 Seite: 6 von 6Sie können auch lesen
