scope:
Diese Technische Spezifikation untersucht Systeme zur
elektronischen Patientenerfassung an klinischen Versorgungsstellen,
die auch mit EGAs (Elektronische Gesundheitsakte) interoperabel
sind. Hardware- und Prozesskontrollen liegen außerhalb des
Anwendungsbereichs. Diese Technische Spezifikation stellt deren
Sicherheit und den Datenschutz durch die Festlegung von
Sicherheits- und Datenschutzanforderungen sicher und gibt
Richtlinien und bewährte Methoden für die Konformitätsbewertung
an.
ISO/IEC 15408 (alle Teile) legt „Evaluationsgegenstände" für die
Bewertung der Sicherheit von IT-Produkten fest. Diese Technische
Spezifikation enthält eine Gegenüberstellung der 82
Kernanforderungen in Bezug auf die Sicherheit und den Datenschutz
und der Common-Critera-Kategorien aus ISO/IEC 15408 (alle Teile).
Die klinische Software der Point-Of-Service-Systeme (POS) ist
normalerweise Teil eines größeren Systems und wird z. B. auf einem
Betriebssystem ausgeführt. Deshalb muss sie zusammen mit anderen
Komponenten funktionieren, damit die Sicherheit und der Datenschutz
sichergestellt werden können. Während ein Schutzprofil (PP)
Anforderungen für Sicherheitsfunktionen von Komponenten für die
Unterstützung von Systemsicherheitsdiensten umfasst, werden keine
Protokolle oder Standards für die Konformitätsbewertung sowie keine
Datenschutzanforderungen festgelegt.
Diese Technische Spezifikation konzentriert sich auf zwei
Hauptthemen:
a) Sicherheits- und Datenschutzanforderungen (Abschnitt 5).
Abschnitt 5 ist technisch orientiert und stellt eine umfangreiche
Zusammenstellung von 19 Anforderungen bereit, die erforderlich
sind, um Informationen (Patienten) vor den Hauptkategorien von
Risiken zu schützen; dabei werden der breite Anwendungsbereich von
Sicherheits- und Datenschutzaspekten für Versorgungsstellen und
interoperable klinische Systeme (zur elektronischen
Patientenerfassung) berücksichtigt. Diese Kernanforderungen werden
anschließend in Form von Anforderungsgruppen/Profilen, die für
Konformitätsbewertungszwecke geeignet sind, näher ausgeführt.
b) Bewährte Methoden und Anleitung zur Einrichtung und Wartung
von Programmen zur Konformitätsbewertung (Abschnitt 6). Abschnitt 6
gibt einen Überblick über Konzepte und Prozesse der
Konformitätsbewertung, die von Regierungen, Lokalbehörden,
Berufsverbänden, Softwareentwicklern, Gesellschaften für
medizinische Informatik, Vertretern von Patienten und anderen
Personen eingesetzt werden können, um eine höhere Konformität mit
Sicherheits- und Datenschutzanforderungen für Software im
Gesundheitswesen zu erreichen. Anhang A enthält ergänzende
Informationen, die für Länder nützlich sind, die Programme zur
Konformitätsbewertung entwickeln, z. B. weiterführendes Material zu
Geschäftsmodellen zur Konformitätsbewertung, Prozessen der
Konformitätsbewertung und anderen Betrachtungen sowie anschauliche
Beispiele für Konformitätsbewertungsaktivitäten in vier
Ländern.
Richtlinien, die lokale, regionale oder nationale Anwendung in
der Umwelt finden sowie verfahrenstechnische, administrative und
physikalische Aspekte (einschließlich Hardware) der Sicherheits-
und Datenschutzverwaltung, liegen außerhalb des Anwendungsbereiches
dieser Technischen Spezifikation. Sicherheitsmanagement ist in ISO
27799 beinhaltet.