1、Juni 2007DEUTSCHE NORM Normenausschuss Medizin (NAMed) im DINPreisgruppe 19DIN Deutsches Institut fr Normung e.V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e.V., Berlin, gestattet.ICS 35.240.80!,pmI“9777438www.din.deDDIN EN 13606-4Medi
2、zinische Informatik Kommunikation von Patientendaten in elektronischer Form Teil 4: Sicherheit;Englische Fassung EN 13606-4:2007Health informatics Electronic health record communication Part 4: Security;English version EN 13606-4:2007Informatique de sant Dossiers de sant informatiss communications P
3、artie 4: Exigences de scurit et rgles de distribution;Version anglaise EN 13606-4:2007Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 BerlinErsatz frDIN V ENV 13606-3:2000-09www.beuth.deGesamtumfang 52 SeitenDIN EN 13606-4:2007-06 2 Nationales Vorwort Diese Norm enthlt unter Bercksichtigung
4、des Prsidialbeschlusses 13/1983 den englischen Originaltext der Europischen Norm EN 13606-4:2007. Diese Europische Norm wurde in der WG I Information Models“ in Kooperation mit der WG III Sicherheit“ des CEN/TC 251 Medizinische Informatik“ (Sekretariat: NEN, Niederlande) erarbeitet. Die Arbeitsaussc
5、hsse NA 063-07-02 AA Interoperabilitt“ und NA 063-07-04 AA Sicherheit“ des Fachbereiches 7 Medizinische Informatik“ des Normenausschusses Medizin (NAMed) im DIN haben an der Erarbeitung mitgewirkt. nderungen Gegenber DIN V ENV 13606-3:2000-09 wurden folgende nderungen vorgenommen: a) Die gesamte Nor
6、m wurde vollstndig neu strukturiert (5 Teile statt 4 Teile) und technisch berarbeitet; b) vorliegender Teil 4 basiert auf der ehemaligen ENV 13606-3 Distribution Rules“; c) der Vornormcharakter wurde aufgehoben; d) Reduktion der Beschreibung auf den Kontext des Zugriffs auf eine EGA-Komponente. Frhe
7、re Ausgaben DIN V ENV 13606-3: 2000-09 DIN EN 13606-4:2007-06 3 Nationaler Anhang NA (informativ) Zusammenfassung Die Kommunikation einer Elektronischen Gesundheitsakte (EGA), ganz gleich ob komplett oder nur in Teilen, ganz gleich ob innerhalb einer Organisation oder zwischen Organisationen, ist im
8、 Hinblick auf die Sicherheitsanforderungen eine Herausforderung. Die entsprechenden Daten mssen in einer sicheren und vertrauenswrdigen Umgebung erhoben, gespeichert, bertragen und genutzt werden. Teil 4 der EN 13606 legt daher fest, in welcher Art und Weise der Zugriff auf Komponenten einer EGA ges
9、teuert und kontrolliert werden kann. Dabei verweist er, wann immer mglich, auf bereits bestehende Normen aus dem Gebiet von Datenschutz und Datensicherheit und beschrnkt sich auf die Spezifikation der Aspekte, die im Bezug auf den Zugriff auf eine EGA speziell betrachtet werden mssen. So basiert der
10、 Entwurf auf der Annahme, dass alle beteiligten Systeme auf Basis der allgemeinen Sicherheitsnorm ISO/IEC 17799:2005 Information technology Security techniques Code of practice for information security management“ arbeiten. Auch werden die Ergebnisse anderer relevanter Arbeitsgruppen wie der WG 4 Se
11、curity“ des ISO/TC 215 teilweise bercksichtigt. Hier sind die momentan in Arbeit befindlichen Technischen Spezifikationen ISO/TS 22600 Privilege Management and Access Control (PMAC)“ sowie ISO/TS 21298 Functional and Structural Roles“ zu nennen, die EN 13606-4 mageblich beeinflusst haben. Die neuen
12、Erkenntnisse der genannten ISO-Arbeiten spiegeln sich aber nicht komplett im vorliegenden Teil 4 wider. Auch die bisher noch unvollstndige Ausarbeitung der Referenzmodelle in prEN 13606-1:2006-05 trgt nicht zur bersichtlichkeit bei. Das generische, logische Modell fr die formale Beschreibung von Zug
13、riffsrechten fut auf einem rollen-basierten Ansatz, der auch den genannten neuen Spezifikationen von ISO/TC 215 eigen ist. Jedem Teilnehmer an der EGA-Kommunikation werden strukturelle und funktionale Rollen zugewiesen. Erstere spiegeln im Wesentlichen die Zugehrigkeit zu Organisationen der Gesundhe
14、itsversorgung mit entsprechenden Kompetenzen wider (z. B. eine examinierte Krankenschwester auf Station X), Letztere sind eher auf individuelle Behandlungsprozesse bezogen (z. B. die Bezugspflegekraft fr Patient Y). Im Anhang A des Entwurfs wird versucht, anhand eines Beispiels aus dem medizinischen
15、 Umfeld (EHR eines 15-jhrigen Mdchens) die funktionellen Rollen darzustellen und ihre Bedeutung im Sinne des Zugriffs (Zuordnung) zu erlutern. Die vorgestellten Beispiele mischen allerdings strukturelle und funktionale Aspekte und sind somit eher irrefhrend als hilfreich. Im Beispiel wird John als P
16、fleger (strukturelle Rolle) die funktionale Rolle des Clinical Care“ zugewiesen. Dies ist jedoch nur dann und genau so lange eine funktionale Rolle, wenn sie sich explizit auf die Patientin bezieht. Dieser Zusammenhang fehlt jedoch. In 6.2 der Norm wird eine Mindestmenge von funktionalen Rollen fest
17、gelegt. Sie umfassen Subject of Care (i. d. R. der Patient), Subject of Care Agent (z. B. Angehriger), Personal Healthcare Professional (z. B. der Hausarzt), Privileged Heathcare Professional (fr bestimmte Behandlungsaspekte des Patienten von hervorgehobener Bedeutung, z. B. ein Psychiater), Halthca
18、re Professional (in direkter Behandlungsbeziehung zum Patienten stehend), Heath-related Professional (indirekt in Beziehung zum Patienten stehend) und Administrator (Verwaltungspersonal). Neben Rollen knnen den Komponenten einer EGA Sensitivittsebenen zugeordnet werden. In 6.1 der Norm ist eine Mind
19、estmenge von Sensitivittsstufen festgelegt: Care Management, Clinical Management, Clinical Care, Privileged Care und Personal Care (mit zunehmender Sensitivitt der derart klassifizierten Daten). In 6.3 werden die vorab definierten funktionalen Rollen und die Sensitivittsebenen im Sinne einer allgeme
20、inen Zugriffsmatrix verbunden, wobei lediglich drei verschiedenen Zugriffslevel differenziert werden. Neben der Zugriffsregelung ist die nachtrgliche Zugriffskontrolle Gegenstand der Norm. Eine Kontrolle im Sinne der Nachverfolgung, wer auf welche Daten wann zugegriffen hat, soll insbesondere dem Pa
21、tienten ermglicht werden. In Gestalt von Zugriffsaufzeichnungen (Audit_Logs) soll eine zugelassene Prfinstanz jederzeit die entsprechenden Informationen abrufen knnen. Auch hierbei beruft sich der Entwurf auf bestehende Normungsbemhungen (IETF RFC 3881:2004). DIN EN 13606-4:2007-06 4 Fr EGA-Systeme
22、sind in Bezug auf die Umsetzung der beschriebenen Manahmen und Mechanismen der Zugriffskontrolle Konformittsprfungen mit drei aufeinander aufbauenden Konformittsstufen vorgesehen: Minimum Conformance (rollen- und sensitivittsstufenbasierte Zugriffskontrolle), Conformance (Umsetzung individueller Zug
23、riffsregelungen, z. B. mit einem Access-Policy-Archetype) und Extended Conformance (inklusive Audit_Log). Die teilweise recht deutlichen Vernderungen in der Rollenvergabe der EN 13606-4 zum Vorgnger ENV 13606-3:2000 sind in Anhang B dargestellt. Im Wesentlichen ist eine Reduktion der Beschreibung de
24、s Kontextes eines Zugriffs auf eine EGA-Komponente vorgenommen worden. Dieser Teil 4 der EN 13606 adressiert im Zusammenhang mit dem Austausch patientenbezogener, medizinischer Information besonders wichtige Aspekte des Datenschutzes und der Datensicherheit. Durch Vorgabe sowohl einfach umzusetzende
25、r Sicherheitsfestlegungen und darauf basierender allgemeiner, teils sehr ausfhrlicher Beispiele als auch einiger fein granularer individueller Regelungen ist sowohl fr das Verstndnis der Norm als auch fr die sptere erstmalige Implementierungsmglichkeit der Sicherheits-funktionen eines entsprechenden
26、 EGA-Systems der Boden bereitet. Der Bezug auf den EGA-Extrakt anstelle der kompletten EGA erleichtert die Handhabung der Rollen und der zugehrigen Zugriffe. Allerdings fehlt dem vorliegenden Entwurf die Klarheit, die entsprechende ISO-Spezifikationen wie ISO 22600 und ISO 21298 zeigen. Dies macht d
27、ie Umsetzbarkeit der EN 13606-4 im Vergleich zu den ISO-Normen schwieriger. EUROPEAN STANDARD NORME EUROPENNE EUROPISCHE NORM EN 13606-4 March 2007 ICS 35.240.80 Supersedes ENV 13606-3:2000English Version Health informatics - Electronic health record communication - Part 4: Security Informatique de
28、sant - Dossiers de sant informatiss de distribution Medizinische Informatik - Kommunikation von Patientendaten in elektronischer Form - Teil 4: Sicherheit This European Standard was approved by CEN on 10 February 2007. CEN members are bound to comply with the CEN/CENELEC Internal Regulations which s
29、tipulate the conditions for giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN Management Centre or to any CEN member. This European Stand
30、ard exists in three official versions (English, French, German). A version in any other language made by translation under the responsibility of a CEN member into its own language and notified to the CEN Management Centre has the same status as the official versions. CEN members are the national sta
31、ndards bodies of Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Denmark, Estonia, Finland, France,Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland and United Ki
32、ngdom. Management Centre: rue de Stassart, 36 B-1050 Brussels 2007 CEN All rights of exploitation in any form and by any means reserved worldwide for CEN national Members. Ref. No. EN 13606-4:2007: EEUROPEAN COMMITTEE FOR STANDARDIZATIONCOMIT EUROPEN DE NORMALISATIONEUROPISCHES KOMITEE FR NORMUNGcom
33、munications - Partie 4: Exigences de scurit et rgles EN 13606-4:2007 (E) 2 Contents Page Foreword3 Introduction .4 1 Scope 19 2 Normative references 19 3 Terms and definitions .19 4 Symbols and abbreviations 21 5 Conformance22 6 Record Component Sensitivity and Functional Roles (Normative)23 6.1 REC
34、ORD_COMPONENT sensitivity .23 6.2 Functional Roles23 6.3 Mapping of Functional Role to RECORD_COMPONENT Sensitivity24 7 Representing access policy information within an EHR_EXTRACT25 7.1 General25 7.2 Archetype of the Access policy COMPOSITION.26 7.3 ADL representation of the archetype of the access
35、 policy COMPOSITION 28 7.4 UML representation of the archetype of the access policy COMPOSITION33 8 Representation of audit log information .35 8.1 EHR_AUDIT_LOG_EXTRACT model35 Annex A (informative) Illustrative access control example 38 Annex B (informative) Relationship of this part standard to t
36、he Distribution Rules: ENV 13606-3:200042 Bibliography 47 EN 13606-4:2007 (E) 3 Foreword This document (EN 13606-4:2007) has been prepared by Technical Committee CEN/TC 251 “Health informatics”, the secretariat of which is held by NEN. This European Standard shall be given the status of a national s
37、tandard, either by publication of an identical text or by endorsement, at the latest by September 2007, and conflicting national standards shall be withdrawn at the latest by September 2007. According to the CEN/CENELEC Internal Regulations, the national standards organizations of the following coun
38、tries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spa
39、in, Sweden, Switzerland and United Kingdom. This document supersedes ENV 13606-3:2000. EN 13606-4:2007 (E) 4 Introduction Challenge addressed by this Part Standard The communication of electronic health records (EHRs) in whole or in part, within and across organisational boundaries, and sometimes ac
40、ross national borders, is challenging from a security perspective. Health records should be created, processed and managed in ways that guarantee the confidentiality of their contents and legitimate control by patients in how they are used. Around the globe these principles are progressively becomin
41、g enshrined in national data protection legislation. The EU Data Protection Directive 95/46/EC and the Council of Europe Recommendation on the Protection of Medical Data R(97)5 provide an important legal basis for the requirements for security services as described in this standard. These instrument
42、s declare that the subject of care has the right to play a pivotal role in decisions on the content and distribution of his or her electronic health record, as well as rights to be informed of its contents. The communication of health record information to third parties should take place only with p
43、atient consent (which may be “any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed“). For international health record transfers EN 14484 (Health informatics - International transfer of perso
44、nal health data covered by the EU data protection directive - High level security policy) and EN 14485 (Health informatics - Guidance for handling personal health data in international applications in the context of the EU data protection directive) provide policy guidance on how this may lawfully a
45、nd safely be carried out. Ideally, each fine grained entry in a patients record should be capable of being associated with an access control list of persons who have rights to view that information, which has been generated or at least approved by the patient and that reflects the dynamic nature of
46、the set of persons with legitimate duty of care towards the patient through his or her lifetime. The access control list will ideally also include those persons who have rights to access the data for reasons other than a duty of care (such as health service management, epidemiology and public health
47、, consented research) but exclude any information that they do not need to see or which the patient feels is too personal for them to access. On the opposite side, the labelling by patients or their representatives of information as personal or private should ideally not hamper those who legitimatel
48、y need to see the information in an emergency, nor accidentally result in genuine health care providers having such a filtered perspective that they are misled into managing the patient inappropriately. Patients views on the inherent sensitivity of entries in their health record may evolve over time
49、, as their personal health anxieties alter or as societal attitudes to health problems change. Patients might wish to offer some heterogeneous levels of access to family, friends, carers and members of their community. Families may wish to provide a means by which they are able to access parts of each others records (but not necessarily to equal extents) in order to monitor the progress of inherited conditions within a family tree. Such a set of requirements is arguably more e
