Datenschutz und Datensicherheit Informationssysteme in der Klinischen Forschung Ronald Speer - IMISE Leipzig
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz und Datensicherheit Informationssysteme in der Klinischen Forschung Ronald Speer 10.04.2019 Institut für Medizinische Informatik, Statistik und Epidemiologie
Inhalt
• Datenschutzrechtliche Aspekte bei der Nutzung von Patientendaten
• Datenschutzkonzepte in der klinischen Forschung
• Probleme und Grundlagen der IT-Sicherheit
• Konzepte für Datensicherheitskonzepte
Datenschutz und Datensicherheit – Ronald Speer 2
Grundsätzliche Ziele der EU-DSGVO
• Mehr Kontrolle Betroffener über ihre Daten: ein wirksamer Schutz
• Anpassung der Richtlinien von 1995 an die digitale Welt:
– Konkretisierung bzw. Präzisierung der Rechte der betroffenen Person und
Verschärfung der Auflagen für die Verarbeitung personenbezogener Daten
• Vereinfachung der Standards und Abschaffung von unnötigen
Meldepflichten
• Europaweit einheitliche Standards
• Eine zuständige Aufsichtsbehörde in der EU; sog. „One-Stop-Shop“
• Kooperation der Aufsichtsbehörden und Konsistenz in der Auslegung
der Normen
EU-Datenschutz-Grundverordnung (EU-DSGVO) • Marktortprinzip: Sitz der verantwortlichen Stelle ist gleichgültig / Vertretungsplicht in der EU • Neue Definitionen besonderer Daten: Genetische Daten, Profiling, Daten von Kindern, etc. • Privacy by Design, Privacy by default, „Recht auf Vergessen werden“ / Löschung • Pflicht zur Datenschutz-Folgeabschätzung (Art. 35) • Pflicht zur Konsultation der Aufsichtsbehörden statt nur der Möglichkeit • Meldepflichten für Datenschutzverletzungen: binnen 72 h (Art. 33) • Sicherheits-Standards und –Zertifizierung: auch Bußgeld bei unzureichender Datensicherheit • Erweiterte Dokumentations-und Nachweispflichten: Aufbau eines DS- Management-Systems
Prinzipien der Datenverarbeitung nach Art. 5 EU-
DSGVO
Allgemeine Grundsätze der Datenverarbeitung –analog den Prinzipien des BDSG
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
– Verarbeitung soll auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbare Weise geschehen
• Zweckbindung
– Die Verarbeitung darf nur für im vorhinein festgelegte Zwecke erfolgen und nicht in einer nicht
mit diesem Zweck zu vereinbarenden Weise weiterverarbeitet werden
• Datenminimierung
– Verarbeitung muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein
• Richtigkeit
– Daten müssen richtig und auf aktuellem Stand sein. Unrichtige Daten müssen unverzüglich
berichtigt oder gelöscht werden
• Speicherbegrenzung
– Daten dürfen nur so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich
ist
• Integrität und Vertraulichkeit
– Es muss über ausreichenden Schutz gegen unbefugte oder unrechtmäßige Verarbeitung,
Zerstörung oder Schädigung gesorgt werden
• Rechenschaftspflicht
– Einhaltung der o.g. Prinzipien muss durch Verantwortlichen nachgewiesen werden =>
Erfordernis eines Datenschutz-Management-Systems
Rechtmäßigkeit der Verarbeitung Art. 6 EU-DSGVO
Zentrale Norm der DSGVO
• Fortbestand des Verbotsgrundsatzes und Erweiterung
dessen: "Datenverarbeitung ist nur rechtmäßig“ wenn:
a) betroffene Person Einwilligung gegeben hat
b) zur Erfüllung eines Vertrages, dessen Vertragspartei die betr.
Person ist sowie von dieser veranlasste vorvertragliche Maßnahmen
c) zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der
Verantwortliche unterliegt
d) erforderlich um lebenswichtige Interessen der betroffenen oder
anderer Personen zu schützen
e) für die Wahrnehmung einer Aufgabe erforderlich, die im
öffentlichen Interesse liegt
f) zur Wahrung der berechtigten Interessen des Verantwortlichen
oder eines Dritten erforderlich (mit Interessenabwägung)
Anforderungen an Einwilligungen Art. 7 EU-
DSGVO (1/2)
• Eindeutigkeit
– Eindeutige Bestätigungshandlung (EG 32): schließt Opt-Out-Verfahren
endgültig aus
– Schweigen, Untätig bleiben oder vorausgefüllte Checkboxen führen zu
keiner wirksamen Einwilligung!
• Widerrufbarkeit
– Ohne Unterbrechung des Dienstes (Erwägungsgrund 32)
– Bestimmtheit
– Für verschiedene Zwecke / Verarbeitungsvorgänge müssen separate
Einwilligungen abgegeben werden
• Informiertheit
– Über Zweck und Umfang der Verarbeitung (keine "Pauschaleinwilligung")
– Über den Verantwortlichen (nicht: Unternehmensgruppen, es sei denn diese
sind eindeutig erklärt; keine Übertragbarkeit von Einwilligungen!)
Anforderungen an Einwilligungen Art. 7 EU-
DSGVO (2/2)
• Freiwilligkeit (s. auch EG 42)
– Kein ausgeübter Druck
– Kein Koppelgeschäft (Art. 7 Abs. 4 EU-DSGVO, EG 43)
• Widerrufbarkeit
• Unmissverständlichkeit
– In verständlicher und leicht zugänglicher Form / klaren, einfachen Sprache
– In einer (schriftlichen) Erklärung Form oder einer sonstigen aktiven, eindeutig
bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl
entsprechender Einstellungen (Vorsicht: Privacy by default, Art. 25 (2) EU-
DSGVO!)
– Kann auch mündlich oder elektronisch geschehen ( Nachweisbarkeit?)
• Nachweisbarkeit
– Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was
insbesondere bei schriftlichen Erklärungen schwierig sein dürfte
(Auffindbarkeit? einscannen und mit Namen taggen!)
– Dokumentation auch digital/elektronisch abgegebener Einwilligungen!
Neue besondere Kategorien personenbezogener
Daten
Artikel Bezeichnung Definition
Art. 4 Genetische Personenbezogene Daten zu den ererbten oder erworbenen genetischen
Nr. 13 Daten Eigenschaften einer natürlichen Person, die eindeutige Informationen über die
Physiologie oder die Gesundheit dieser natürlichen Person liefern und
insbesondere aus der Analyse einer biologischen Probe der betreffenden
natürlichen Person gewonnen wurden
Art. 4 Biometrische mit speziellen technischen Verfahren gewonnene personenbezogene Daten
Nr. 14 Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen
einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen
Person ermöglichen oder bestätigen, wie Gesichtsbilder oder
daktyloskopische Daten
Art. 4 Gesundheits- Personenbezogene Daten, die sich auf die körperliche oder geistige
Nr. 15 daten Gesundheit einer natürlichen Person, einschließlich der Erbringung von
Gesundheitsdienstleistungen, beziehen und aus denen Informationen über
deren Gesundheitszustand hervorgehen
Art. 4 Profiling Jede Art der automatisierten Verarbeitung personenbezogener Daten, die
Nr. 4 darin besteht, dass diese personenbezogenen Daten verwendet werden, um
bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen,
zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung,
wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen
Person zu analysieren oder vorherzusagen
Technische und Organisatorische Maßnahmen in der
DSGVO
• „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos […]“
– deutlich konkretisierter, risikobasierter Ansatz!
– Risikobewertung der Verfahren erforderlich!
• Folgende Maßnahmen sind einzurichten:
– Pseudonymisierung (neu) und Verschlüsselung personenbezogener Daten
– Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste sicherzustellen
– Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen
bei Zwischenfällen rasch wiederherzustellen (Datensicherung & Notfall-/Recovery-Konzept
neu!)
– Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung (neu) ISO27001-Anforderungen?
Wird der Datenschutzbeauftragte zum informellen Informationssicherheitsbeauftragten (ISB)?
Unklar, was „Stand der Technik“ ist und was als als „verhältnismäßig“ hinsichtlich des Aufwands gilt!Rechtsgrundlagen • Dokumentation der Behandlung (Berufsordnung, Patientenrechtegesetz ff.) • Sekundärnutzung (Landeskrankenhausgesetze, Behandlungsvertrag, Infektionsschutzgesetz) • Einwilligung (Broad Consent der MII, spez. Consent anderer Projekte) • Verarbeitung nicht-personenbezogener Daten
Nutzung von Patientendaten
• Primärnutzung: Behandlungskontext.
• Sekundärnutzung:
– Versorgungsforschung, Qualitätssicherung, Gesundheitsökonomie,
– krankheitsspezifische klinische oder epidemiologische Studien,
– Aufbau von zentralen Datenpools und Biomaterialbanken.
Typische Aspekte der Sekundärnutzung:
• Außerhalb des Behandlungskontexts und der Schweigepflicht (des
behandelnden Arztes);
• die Identität des Patienten ist ohne Belang.
Datenschutz und Datensicherheit – Ronald Speer 12Behandlungskontext
[Primärnutzung]
Barriere: Ärztliche Schweigepflicht
[Sekundärnutzung/Forschungskontext]
klinische Forschung
Versorgungsforschung
direkte
Erfassung
Export erlaubt, wenn
- anonyme Daten,
- Einwilligung, Register/
- Gesetzesvorschrift epidemiologische Forschung
Datenschutz und Datensicherheit – Ronald Speer 13BDSG §3 (6): Anonymisieren ist das Verändern
personenbezogener Daten derart, dass die
Einzelangaben über persönliche oder sachliche
Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten
und Arbeitskraft einer bestimmten oder bestimmbaren
natürlichen Person zugeordnet werden können.
[„faktische Anonymisierung“]
Datenschutz und Datensicherheit – Ronald Speer 14Für die Sekundärnutzung von Patientendaten
(und Proben):
• Identität der Patienten schützen.
– Keine unnötigen gesetzlichen Abschwächungen!
• Anonymisierung, wann immer möglich.
Nachteile der Anonymisierung:
– Keine Zusammenführung von Daten aus verschiedenen Quellen
– ... oder von verschiedenen Zeitpunkten.
– Kein Weg zurück zum Patienten für Rückmeldungen
– ... oder zur Rekrutierung für neue Studien
– ... oder zum Rückruf von Proben/ Widerruf der Einwilligung.
Datenschutz und Datensicherheit – Ronald Speer 15BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens
und anderer Identifikationsmerkmale durch ein Kennzeichen
zu dem Zweck, die Bestimmung des Betroffenen
auszuschließen oder wesentlich zu erschweren.
Datenschutz und Datensicherheit – Ronald Speer 16Anonymisierung/Pseudonymisierung von Proben
• Anonymisierbarkeit noch anzunehmen.
– und wenn möglich anzuwenden.
– ‚faktische‘ Anonymisierung!
• Mittelfristig: Nur noch Pseudonymisierungslösungen –
– Personenbezug inhärent
– Widerruf muss gewährleistet bleiben (Persönlichkeitsrecht)
Datenschutz und Datensicherheit – Ronald Speer 17Pseudonyme
• Goldener Mittelweg zwischen Anonymität und Exposition der Identitäten
(„indirekter Personenbezug“).
• Je nach Kontext zu nutzen:
– Einweg-Pseudonyme, die nicht aufgelöst werden können,
– reversible Pseudonyme die eine Rückidentifizierung ermöglichen.
• Pseudonymisierung ist rechtlich nicht äquivalent zur Anonymisierung,
– sondern erfordert Zusatzüberlegungen und -maßnahmen;
– z. B. nur mit Einwilligung oder gesetzlicher Regelung erlaubt!
• Problematische Definition (Was ist ein Pseudonym?)
Datenschutz und Datensicherheit – Ronald Speer 18Pseudonymisierung von Daten
• Strukturierte Daten: Pseudonymisierung
• Unstrukturierte Daten
– Nicht pseudonymisierbar („potentiell“ identifizierende Daten)
• Beispiele: Arztbriefe, HT Genomik (SNP, NGS, …) etc.
Keine Herausgabe
Privacy Preserving Computing (d.h. inhouse-Verarbeitung)
– Pseudonymisierbare Daten
• Beispiele: DICOM, …
Pseudonymisierung
– Vereinfachung nötig/möglich
• Problem: Welche unstrukturierten Daten sind pseudonymisierbar?
• Lösungsansatz: Rückführung auf Verfahren wie bei nicht
pseudonymisierbaren DatenPrivacy Preserving Computing
• Selbstidentifizierende Daten: Genomik, Bilddaten, …
• Idee
– Daten verbleiben am Standort der Entstehung / Verwaltung
– Kein direkter Zugriff auf Daten durch Forscher
• Ausgabe von künstlich erzeugten Testdaten
• Programmierung Pipeline durch Antragsteller (sofern nicht vorhanden)
• Programmgesteuerte Verarbeitung der Daten an der Quelle
• Ausgabe der Ergebnisse an Antragsteller
– Aufnahme der Pipeline als Marketplace App (optional)
– Zusammenfassung als Workflow über mehrere Standorte hinweg Analysis
Train, Personal Health TrainDie Rolle der Einwilligungserklärung
• Königsweg zur Sekundärnutzung im Forschungskontext.
– Aber: Zweckbindung, Zeit- und Nutzerbeschränkung.
– Patientenaufklärung muss Zweck der Datensammlung oder Zweck und
Adressaten einer Nutzung oder Weitergabe explizit (und abschließend)
benennen,
– muss Datenverarbeitung und -verwendung transparent machen.
– Auch mit Einwilligung dürfen Identitätsdaten nicht unnötig verarbeitet oder
gespeichert werden.
– Lösung mit Broad Consent
• Als Instrument der Gesundheitsforschung eher schwerfällig, daher
gesetzliche Regelungen vorzuziehen
– mit geringstmöglichem Eingriff in die Persönlichkeitsrechte!
Datenschutz und Datensicherheit – Ronald Speer 21Broad Consent der MII 1/2
• Abstimmung mit AK Wissenschaft und Gesundheit der
Landesbeauftragten für Datenschutz
• Abstimmung mit Ethikkommissionen
• Einwilligungszeitpunkt und Erfordernis einer „breiten“ Einwilligung
• Multimorbidität und Krankheitsinteraktionen
• Zusammenhänge zwischen unterschiedlichen Erkrankungen
• Krankheitsklassifikation im Umbruch
• Unentdeckte Erkrankungen und Risikomarker
• Kontrollgruppen und Methodische Forschung
• Unklare Diagnose bei frühem Einwilligungszeitpunkt
• Prozesse und Regularien für die Anwendung der
Einwilligungsdokumente
• Unterschiedliche Informationsmaterialien (Flyer, Videos, etc.)
• Forschungsvorhaben mit Bewertung durch Ethikkommission
• Zentrale Treuhandservices
• Use & Access Committees mit Entscheidung über Herausgabe und Überwachung aller Regularien
• Öffentlich zugängige Nutzungsordnungen
• Dokumentation der Forschungsvorhaben auf öffentlichen Webseiten an zentraler Stelle für TransparenzBroad Consent der MII 2/2 • Modulare Einwilligungsdokumente: Struktur und Anpassungsmöglichkeiten • Erfordernis einer nationalen Standardisierung der Einwilligungserklärung der MII • Modularer Aufbau (Routinedaten, Krankenkassendaten, Biomaterial, Kontaktaufnahmen, etc.) • Notwendigkeit und Grenzen einer lokalen Anpassung • Präsentation/Formatierung der Dokumente • Einwilligungsprozess • Datenhaltung und Datennutzung: ethische und datenschutzrechtliche Aspekte • Datenschutzrechtliche Verantwortlichkeit, Datenschutzkonzept • Ethische Beratung • Freigabe der Datennutzung • Datenübermittlung in Länder mit niedrigerem Datenschutzniveau • Geltung für künftig erhobene Daten und erneute Einwilligung • Speicherung der Daten • Retrospektive Datennutzung
Grundtyp 1 von Pseudonymen
Inhaber-erzeugte Pseudonyme (Chaum ca. 1980)
• Erzeugung durch blinde digitale Signatur.
• Kontrolle beim Besitzer.
• Für Sekundärnutzung von Gesundheitsdaten nicht geeignet.
• Geeignet für E-Commerce.
• Lüftbar im Betrugsfall.
Rechtssicherer pseudonymer Handel.
• Problem: Politisch nicht gewollt.
Datenschutz und Datensicherheit – Ronald Speer 24Grundtyp 2 von Pseudonymen
TTP-erzeugte Pseudonyme
• Trusted Third Party = »Vertrauensstelle« oder »Datentreuhänder« (z. B.
ein Notar).
• Beispiel: Krebsregister (Michaelis/Pomm. 1993).
• Für Sekundärnutzung von Patientendaten besser geeignet:
– z. B. Rückmeldung über behandelnden Arzt,
– z. B. Rekrutierung für neue Studien,
Datenschutz und Datensicherheit – Ronald Speer 25Grundtyp 2: Das Basismodell
Nutzdaten
Individuum durchreichen TTP Datenbank
(PSN-
Erzeugung)
Identität Pseudonym
Datenleck
Schlüssel
oder L85FD23S
... ...
Referenzliste Maier, Johannes 6AZCB661
(»Codebuch«) Maier, Josef KY2P96WA
[streng Maier, Jupp L85FD23S
... ... Angreifer
geheim]
Datenschutz und Datensicherheit – Ronald Speer 26Besser: Schlüssel statt Referenzliste
• Pseudonym-Erzeugung durch kryptographische Verschlüsselung;
– garantierte Eindeutigkeit: Pseudonym = verschlüsselter
Personenidentifikator (PID).
• Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel (z.B.
auf SmartCard).
– »Schlanker« TTP-Service.
– Auch irreversible Pseudonyme möglich
(durch Einweg-Verschlüsselung).
• Bei Wechsel des kryptographischen Verfahrens:
– Um- oder Überverschlüsselung.
Datenschutz und Datensicherheit – Ronald Speer 27Privacy Preserving Record Linkage • Abgleich der Identitäten lediglich über generierte Bitvektoren • Partner des Abgleichs können Verschlüsselungsverfahren (Seed value) und Identifikationsmerkmale für Matching wählen • Matchingservice bekommt keine Identifikationsdaten! • Rückmeldung der erfolgreichen Zuordnungen an Treuhandstelle • Keine zentrale Patientenverwaltung!
Datenschutzrechtliche Anforderungen
• Speicherung und Verarbeitung personenbezogener Daten bedarf Aufklärung
und Einwilligung
• Verfahren zur sicheren Identifikation von Patienten:
– Patientenliste und PID-Generator
• Zusammenführung der medizinischen Daten :
– Pseudonymisierung
– Qualitätssicherung von Erhebungsdaten
– Datentreuhänder
• Nutzung biologischer Proben
• Sicherheit in der Datenübermittlung und zur Dokumentensicherung
• physikalisch getrennte Speicherung von Identifikationsdaten und
medizinischen Daten
• Auskunftsrecht des Patienten, Rücknahme der Mitarbeit des Patienten, Fristen
für die Speicherung von Daten Prozesse für Auskunftsrecht, Löschung, etc.
• Fristen für Speicherung (20 Jahre nach letzter Untersuchung), nach Ablauf der
Frist nur noch anonymisiert
• Festlegung von VerantwortlichkeitenForschungsverbünde
• Kompetenznetze in der Medizin
www.kompetenznetze-medizin.de
• Koordinierungszentren für klinische Studien
www.kks-netzwerk.de
• Verbundprojekte (DFG, Krebshilfe)
• Technologie- und Methodenplattform TMF e.V.
www.tmf-ev.de
Datenschutz und Datensicherheit – Ronald Speer 30Generischen Datenschutzkonzepte
• Ergebnis eines TMF-Projektes 2003 in Abstimmung mit dem AK
Wissenschaft der Landesbeauftragten für Datenschutz
• Grundlage für Datenschutzkonzepte für medizinische
Forschungsverbünde
• Zwei Konzepte mit unterschiedlicher Ausrichtung
– Konzept A: Klinisch fokussierte Forschungsnetze
– Konzept B: Wissenschaftliche fokussierte Forschungsnetze
• Entwicklung der technischen Instrumente
(PID-Generator, Pseudonymisierungsdienst, …)
Datenschutz und Datensicherheit – Ronald Speer 31Aktualisierung der Generischen Konzepte
• Aktualisierung Gesetze,
Regularien, Gutachten
• Modularisierung
• Anpassung an neue
Komponenten (Biobank)
• Fallbeispiel
• …
Datenschutz und Datensicherheit – Ronald Speer 32Modularisierung
Datenschutz und Datensicherheit – Ronald Speer 33Datenarten
Analysedaten aus der Verarbeitung der
Probe, die weitgehend ebenfalls medizinische
ProbDAT
Daten zum Probanden darstellen
medizinische Kontextdaten zum Probanden
MDAT
organisatorische Daten zur Verwaltung und
Lagerung der Probe, sowohl bezogen auf das
OrgDATLab Labor bzw. die Probenbank, auf die Probe,
OrgDATOrder aber auch auf den aktuellen Auftrag zur
Analyse oder Weitergabe (auch unterteilbar
nach Ort der Speicherung i, k, p)
OrgDATProb
eindeutige Identifikatoren des Probanden,
incl. LabID
der Probe, der beteiligten Institutionen und
Ärzte / Forscher
OrgDATRKM Alle organisatorischen Daten zum
incl. SIC Einladungsverlauf, Untersuchungen,
Zuordnungen, Kontaktaufnahme 34
IDAT probandenidentifizierende Daten,
weitere soziodemographische Daten zum
incl. SIC Probanden
34Erzeugung Patientenidentifikatoren
Datenschutz und Datensicherheit – Ronald Speer 35Prozess der Pseudonymisierung
Datenschutz und Datensicherheit – Ronald Speer 36Datenverteilung
37Szenario: Einzelne Datenquelle,
Einmal-Sekundärnutzung
• Typischer Anwendungsfall für Anonymisierung.
• Beispiel: Einfache statistische Auswertung exportierter
Datensätze.
Aber
• AMG §40 (2a): ... die erhobenen Daten soweit erforderlich
... pseudonymisiert an den Sponsor oder eine von diesem
beauftragte Stelle zum Zwecke der wissenschaftlichen
Auswertung weitergegeben werden ...
Datenschutz und Datensicherheit – Ronald Speer 38Modell A – Klinisches Modell
Datenschutz und Datensicherheit – Ronald Speer 39Szenario: Zentrale klinische Datenbank,
mehrfache Sekundärnutzung
• Datenpool = zentrale »klinische« Datenbank.
– Zentral für Forschungsverbund.
– Zugriff für behandelnden Arzt (dezentral).
– Keine Identitätsdaten, nur PIDs in DB.
– Zugriffsregelung über temporäre Token (tempID).
• Kein Online-Zugriff für Sekundärnutzer.
– Für Sekundärnutzung wird jeweils ein Auszug der Datenbank exportiert
(anonymisiert oder ad hoc pseudonymisiert).
Datenschutz und Datensicherheit – Ronald Speer 40Besonderheiten Szenario
• Vorteile:
– Bessere Unterstützung für Langzeitbeobachtung von Patienten mit
chronischer Erkrankung.
– Nützlich für den datenproduzierenden Arzt.
– Gut an Patientenakten-Architektur mit zentraler DB anpassbar.
• Nachteile:
– Komplizierte Kommunikationsprozeduren.
– Viele TTP-Dienste und geheime Schlüssel benötigt.
Datenschutz und Datensicherheit – Ronald Speer 41Die zentrale klinische Datenbank
Pseudonymi-
(TTP) sierungsdienst
Zentrale Datenbank (TTP)
Export
verschl.
Lokale Datenbank MDAT
MDAT PID PID PSN
Export
IDAT
IDAT PID MDAT
PID-Dienst
MDAT = Medizinische Daten
(TTP)
PSN
IDAT = Identitätsdaten
Sekundärnutzung
PID = Patientenidentifikator
PSN = Pseudonym
Datenschutz und Datensicherheit – Ronald Speer 42Modell B – Forschungs Modell
Datenschutz und Datensicherheit – Ronald Speer 43Szenario: Mehrere Datenquellen mit
Überschneidungen, Einmal-Sekundärnutzung
• Daten aus verschiedenen Quellen müssen zusammengeführt werden.
• Beispiele:
– multizentrische Studie,
– Follow-up-Daten.
• Typischer Anwendungsfall für Einweg-Pseudonyme.
– Identität wird aufgehoben, Verknüpfbarkeit bleibt.
Datenschutz und Datensicherheit – Ronald Speer 44Pseudonymisierung für Einmal-Sekundärnutzung
Pseudonymi-
sierungsdienst
Nutzdaten
Datenquelle(n) (TTP) Sekundärnutzung
verschlüsselt
durchreichen
MDAT MDAT
IDAT PID PID PSN PSN
MDAT = Medizinische Daten PID = Eindeutiger Patientenidentifikator
IDAT = Identitätsdaten PSN = Pseudonym
Datenschutz und Datensicherheit – Ronald Speer 45Besonderheiten des Szenario
• Medizinische Daten (MDAT) mit öffentlichem Schlüssel
des Sekundärnutzers verschlüsselt –
– Die TTP kann die MDAT nicht lesen.
– Nur der Sekundärnutzer kann sie entschlüsseln.
• Das Pseudonym (PSN) ist der verschlüsselte PID
– mit einem geheimen Schlüssel, den nur die TTP hat,
– durch eine Einweg-Funktion.
• Die TTP speichert nichts (außer dem Schlüssel).
Datenschutz und Datensicherheit – Ronald Speer 46Szenario: Einmalige Sekundär-Nutzung mit
Rückidentifikationsmöglichkeit
• Verwendet wird das Modell von Szenario 2,
– aber PSN-Dienst verschlüsselt umkehrbar,
– Möglichkeit der Rückidentifikation bleibt erhalten.
• Identitätsmanagement nötig:
– Gebraucht wird ein (projekt-spezifischer) PID,
– eine Patientenliste speichert die Zuordnung zwischen IDAT und PID.
• Die Rückidentifikation läuft über PSN-Dienst und
Patientenliste.
Datenschutz und Datensicherheit – Ronald Speer 47Pseudonymisierung mit möglicher
Rückidentifikation
Pseudonymi-
sierungsdienst
Nutzdaten
verschlüsselt (TTP)
Datenquelle(n) Sekundärnutzung
durchreichen
MDAT MDAT
IDAT PID PSN PSN
IDAT PID MDAT = Medizinische Daten
Identitäts- IDAT = Identitätsdaten
management
(TTP) PID = Patientenidentifikator
PSN = Pseudonym
Datenschutz und Datensicherheit – Ronald Speer 48Modell Biobank
Datenschutz und Datensicherheit – Ronald Speer 49Grundwerte der IT-Sicherheit
IT-Sicherheit
Vertraulichkeit Integrität Verfügbarkeit
eine bestimmte
Unversehrtheit zur rechten Zeit
Information dem
und Korrektheit am rechten Ort
zuständigen
der Daten
Anwender
Datenschutz und Datensicherheit – Ronald Speer 50Auswahl der Methode
Anwendungsbereich Anforderungen
Sicherheitskonzept Standardisierung
Sicherheitshandbuch Unabhängigkeit
Revision Zertifizierbarkeit
Umsetzbarkeit
Anpassbarkeit
Aktualisierung
Wirtschaftlichkeit
„CoP, COBIT, Marion, IT-Grundschutzhandbuch – vier Methoden im
Vergleich“, Information Systems Audit and Control Association ISACA
Datenschutz und Datensicherheit – Ronald Speer 51Methoden für Sicherheitskonzepte
• CobiT
– Control Objectives for Information and Related Technology
– ISACA (Information Systems Audit and Control Association)
• ISO/IEC 27002 (bis 2007:17799 bzw. BS 7799)
– ISO/IEC 27002 (Information technology -- Code of practice
for information security management)
• ITSEC / Common Criteria
– Common Criteria for Information Technology Security
Evaluation
• IT-Grundschutz
– Bundesamt für Sicherheit in der Informationstechnologie
Datenschutz und Datensicherheit – Ronald Speer 52CobiT
• aktuell CobiT 5 Core Content (April 2012)
• nicht WIE, sondern WAS
• Gliederung in 34 Prozesse
– Prozessbeschreibung
– Prozessziel (High-Level Control Objective)
– Wesentliche Aktivitäten
– Wesentliche Messgrößen
– Control Objectives (in Summe 215)
– Management Guidelines
• Inputs und Outputs des Prozesses
• Aufgaben- und Zuständigkeitsmatrix (RACI-Chart)
• detaillierten Metriken zur Beurteilung des Prozesses und zur
Beurteilung des Beitrags einzelner Aktivitäten zu den Zielen des
Prozesses und den Beitrag des Prozesses wiederum zu den
Zielen der IT
– Reifegradmodell
Datenschutz und Datensicherheit – Ronald Speer 53ISO / IEC 27002 (bis 2007 17799)
• Entstand ursprünglich aus BS 7799-1
• Grundlage war Sammlung von Erfahrungen, Verfahren
und Methoden aus der Praxis (ähnlich ITIL)
• Umfasst 11 Überwachungsbereiche
• Untergliederung in 39 Hauptkategorien, sogenannte
Kontrollziele
• insgesamt 133 Sicherheitsmaßnahmen
• Anwendung unterstützt die Erreichung der Kontrollziele
Datenschutz und Datensicherheit – Ronald Speer 54ISO / IEC 27002 (bis 2007 17799)
11 Überwachungsbereiche
1. Information Security Policy – Weisungen und Richtlinien zur
Informationssicherheit
2. Organization of information security – Organisatorische Sicherheitsmaßnahmen
und Managementprozess
3. Asset management – Verantwortung und Klassifizierung von Informationswerten
4. Human resources security – Personelle Sicherheit
5. Physical and Environmental Security – Physische Sicherheit und öffentliche
Versorgungsdienste
6. Communications and Operations Management – Netzwerk- und
Betriebssicherheit (Daten und Telefonie)
7. Access Control – Zugriffskontrolle
8. Information systems acquisition, development and maintenance –
Systementwicklung und Wartung
9. Information security incident management - Umgang mit Sicherheitsvorfällen
10. Business Continuity Management – Notfallvorsorgeplanung
11. Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und
Überprüfungen durch Audits
Datenschutz und Datensicherheit – Ronald Speer 55ISO 27799
• ISO 27799: Security Management in Health using
ISO/IEC 17799
• Leitfaden für die Anwendung der ISO 17799 bei der
Absicherung medizinischer Informationssysteme
und den Schutz medizinischer Daten
• minimaler Umfang von Maßnahmen für einen
ausreichendes Sicherheitsniveau
• ist speziell für die Anforderungen medizinischer
Informationssysteme konzipiert
Datenschutz und Datensicherheit – Ronald Speer 56ITSEC / Common Criteria
• internationaler Standard (ISO 15408) über die Kriterien der
Bewertung und Zertifizierung der Sicherheit von Computersystemen
im Hinblick auf Datensicherheit und Datenschutz
• Bewertung ist in die Bewertung der Funktionalität
(Funktionsumfang) des betrachteten Systems und der
Vertrauenswürdigkeit (Qualität) unterteilt
• Vertrauenswürdigkeit wird nach der Wirksamkeit der verwendeten
Methoden und der Korrektheit der Implementierung beurteilt
• CC Version 3.1 (September 2012) sind in drei Teile gegliedert
– Einführung und allgemeines Modell / Introduction and General
Model
– Funktionale Sicherheitsanforderungen / Functional
Requirements
– Anforderungen an die Vertrauenswürdigkeit / Assurance
Requirements
Datenschutz und Datensicherheit – Ronald Speer 57IT-Grundschutz
• Autor ist das Bundesamt für Sicherheit in der
Informationstechnik (BSI)
• Stand 14.Ergänzungslieferung 2014
• Basis eines IT-Grundschutzkonzepts ist der initiale
Verzicht auf eine detaillierte Risikoanalyse
• pauschalen Gefährdungen
• umfangreiche Maßnahmenkataloge
• Unterstützung durch entsprechende Tools
Datenschutz und Datensicherheit – Ronald Speer 58Vergleich der Methoden
System- ISO 9000
bezogen IT-GS ISO 13335
ISO 17799
CobiT
Task Force DS-Produktaudit
Sicheres Internet
Produkt- FIPS 140
bezogen ITSEC/CC
Technisch Nicht
technisch
aus „IT-Sicherheitskriterien im Vergleich“, INITI@TIVE D21, Berlin 2001
Datenschutz und Datensicherheit – Ronald Speer 59Idee IT-Grundschutz
• Gesamtsystem enthält typische Komponenten
– Typische Abläufe und IT-Komponenten
überall ähnlich
– Wichtig:
• Wiederverwendbarkeit
• Anpassbarkeit
• Erweiterbarkeit
– Typische Gefährdungen, Schwachstellen und Risiken
– Typische Geschäftsprozesse und Anwendungen
– Typische IT-Komponenten
– Gerüst für das IT-Sicherheitsmanagement wird gebildet
• Typische Schadensszenarien für die Ermittlung des Schutzbedarfs
werden vorgegeben
• Standard-Sicherheitsmaßnahmen aus der Praxis werden
empfohlen
• Ein Soll-Ist-Vergleich zeigt
Datenschutz den
und aktuellen –Status
Datensicherheit Ronaldder IT-Sicherheit
Speer 60Ergänzende Sicherheitsanalyse
• Schutzbedarfskategorie „hoch“ oder „sehr
hoch“ liegt in mindestens einem der drei
Grundwerte vor,
• es besteht zusätzlicher Analysebedarf (z. B. bei
besonderem Einsatzumfeld)
• für bestimmte Komponenten oder Aspekte
existiert kein geeigneter Baustein
Datenschutz und Datensicherheit – Ronald Speer 61Schutzbedarfsfeststellung
Schutzbedarfsfeststellung
Schutzbedarf Schutzbedarf
niedrig bis mittel hoch bis sehr hoch
IT-Grundschutz Detaillierte
Risikoanalyse
Soll-/Ist-Vergleich Bedrohungsanalyse
mit empfohlenen
Massnahmen Risikobetrachtung
IT-Sicherheitskonzept
Individuelle
IT-Grundschutz
Massnahmen
Datenschutz und Datensicherheit – Ronald Speer 62Vorgehen Sicherheitsanalyse
• Risikoanalyse
– relevante Bedrohungen ermitteln
– Eintrittswahrscheinlichkeiten schätzen
• Penetrationstest
– Verhalten eines Angreifers simulieren
– Blackbox- und Whitebox-Ansatz unterscheiden
• Differenz-Sicherheitsanalyse
– höherwertige Maßnahmen identifizieren
– Schutzklassenmodelle
Datenschutz und Datensicherheit – Ronald Speer 63Zertifizierung
• dreistufiges Verfahren:
– Stufe A Einstiegsstufe (Selbsterklärung)
– Stufe B Aufbaustufe (Selbsterklärung)
– Stufe C Zertifikat (Grundschutzauditor)
• Unterstützung durch Checklisten und Anleitungen
• Transparenz durch Veröffentlichung auf Webseite des
BSI
Datenschutz und Datensicherheit – Ronald Speer 64Vorteile IT-Grundschutz
• arbeitsökonomische Anwendungsweise
durch
Soll-Ist-Vergleich
• kompakte IT-Sicherheitskonzepte durch
Verweis auf Referenzquelle
• praxiserprobte Maßnahmen mit hoher
Wirksamkeit
• Erweiterbarkeit und Aktualisierbarkeit
• Überprüfung und Nachweis des
Umsetzungsgrades der Maßnahmen
Datenschutz und Datensicherheit – Ronald Speer 65Nachteile IT-Grundschutz
• zu hoher Detaillierungsgrad
• fehlende Maßnahmen für hohen und sehr
hohen Schutz bedarf
• hohe Anforderungen an Ressourcen
• Risikoanalyse ausreichend?
Datenschutz und Datensicherheit – Ronald Speer 66Kombination von Methoden
• ISO 27002 + IT-Grundschutzhandbuch
ISO 27002: Management von Informationssicherheit
prozess-orientierter Ansatz
generische Maßnahmen im Sinne von „Best Practise“
Absicherung gegen relevante Bedrohungen durch
konkrete Maßnahmen aus dem IT-Grundschutz
strikte Trennung von Steuerung und Umsetzung
Datenschutz und Datensicherheit – Ronald Speer 67Vielen Dank !
Kontakt
Ronald Speer
ronald.speer@imise.uni-leipzig.de
Datenschutz und Datensicherheit – Ronald Speer 68Sie können auch lesen
