DIN EN ISO 27789
Medizinische Informatik - Audit-Trails für elektronische Gesundheitsakten (ISO 27789:2013); Deutsche Fassung EN ISO 27789:2013
Health informatics - Audit trails for electronic health records (ISO 27789:2013); German version EN ISO 27789:2013
Einführungsbeitrag
Die Einträge der elektronischen Gesundheitsakten behandelter Personen können in vielen unterschiedlichen Informationssystemen innerhalb einer Organisation oder auch organisations- oder zuständigkeitsbereichsübergreifend liegen. Um die Übersicht über alle Aktionen zu behalten, die Einträge zu einer bestimmten behandelten Person betreffen, ist ein gemeinsamer Rahmen erforderlich. Audit Trails für elektronische Gesundheitsakten, die auf unterschiedliche Systeme verteilt sind, benötigen einen gemeinsamen Rahmen, um die Auditierbarkeit des vollständigen Satzes der persönlichen Gesundheitsinformationen aufrechtzuerhalten. Dieses Dokument legt diesen gemeinsamen Rahmen für die auslösenden Ereignisse eines Audits und für Auditdaten fest. Nach ISO 27799 müssen Informationssysteme, die persönliche Gesundheitsinformationen enthalten, jedes Mal, wenn ein Benutzer über das System auf diese Informationen zugreift, sie erzeugt, aktualisiert oder archiviert, einen sicheren Auditeintrag erstellen. Bei diesem Auditeintrag handelt es sich mindestens um eine eindeutige Identifizierung des Benutzers und des Behandelten, eine Angabe der vom Benutzer ausgeführten Funktion (Erzeugung, Zugriff auf, Aktualisierung eines Eintrags und so weiter) und die Aufzeichnung des Datums und der Uhrzeit, zu dem beziehungsweise der die Funktion ausgeführt wurde. Der Anwendungsbereich dieser Norm beschränkt sich auf an elektronischen Gesundheitsakten ausgeführte Aktionen. Diese Aktionen werden durch die Zugriffsrichtlinien für die Domäne bestimmt, in der die elektronische Gesundheitsakte liegt. Audit Trails für elektronische Gesundheitsakten können bei der Feststellung der Einhaltung der Zugriffsrichtlinien helfen. Die durch diese Norm festgelegten Audit Trails enthalten abgesehen von Bezeichnern keinerlei persönliche Gesundheitsinformationen aus der elektronischen Gesundheitsakte. Der Auditeintrag enthält lediglich entsprechend den jeweiligen Zugriffsrichtlinien definierte Verknüpfungen zu eGA-Segmenten. Die Spezifikation und Anwendung von Auditprotokollen für die Systemverwaltung und Systemsicherheit, zum Beispiel zur Erkennung von Leistungsproblemen und Anwendungsfehlern oder zur Unterstützung einer Datenrekonstruktion, liegen außerhalb des Anwendungsbereichs dieses Dokuments. Diese Aspekte sind bereits in allgemeinen Normen zur IT-Sicherheit, zum Beispiel in ISO/IEC 15408, behandelt. Die vorliegende Norm enthält Beispiele für Dienste für eine sichere Auditprotokollverwaltung. Für diese Norm ist das Gremium NA 063-07-04 AA "Sicherheit" im DIN zuständig.