ONR CEN ISO/TS 14441

Diese Technische Spezifikation untersucht Systeme zur elektronischen Patientenerfassung an klinischen Versorgungsstellen, die auch mit EGAs (Elektronische Gesundheitsakte) interoperabel sind. Hardware- und Prozesskontrollen liegen außerhalb des Anwendungsbereichs. Diese Technische Spezifikation stellt deren Sicherheit und den Datenschutz durch die Festlegung von Sicherheits- und Datenschutzanforderungen sicher und gibt Richtlinien und bewährte Methoden für die Konformitätsbewertung an. ISO/IEC 15408 (alle Teile) legt "Evaluationsgegenstände" für die Bewertung der Sicherheit von IT-Produkten fest. Diese Technische Spezifikation enthält eine Gegenüberstellung der 82 Kernanforderungen in Bezug auf die Sicherheit und den Datenschutz und der Common-Critera-Kategorien aus ISO/IEC 15408 (alle Teile). Die klinische Software der Point-Of-Service-Systeme (POS) ist normalerweise Teil eines größeren Systems und wird z. B. auf einem Betriebssystem ausgeführt. Deshalb muss sie zusammen mit anderen Komponenten funktionieren, damit die Sicherheit und der Datenschutz sichergestellt werden können. Während ein Schutzprofil (PP) Anforderungen für Sicherheitsfunktionen von Komponenten für die Unterstützung von Systemsicherheitsdiensten umfasst, werden keine Protokolle oder Standards für die Konformitätsbewertung sowie keine Datenschutzanforderungen festgelegt. Diese Technische Spezifikation konzentriert sich auf zwei Hauptthemen: a) Sicherheits- und Datenschutzanforderungen (Abschnitt 5). Abschnitt 5 ist technisch orientiert und stellt eine umfangreiche Zusammenstellung von 82 Anforderungen bereit, die erforderlich sind, um Informationen (Patienten) vor den Hauptkategorien von Risiken zu schützen; dabei werden der breite Anwendungsbereich von Sicherheits- und Datenschutzaspekten für Versorgungsstellen und interoperable klinische Systeme (zur elektronischen Patientenerfassung) berücksichtigt. Diese Kernanforderungen werden anschließend in Form von Anforderungsgruppen/Profilen, die für Konformitätsbewertungszwecke geeignet sind, näher ausgeführt. b) Bewährte Methoden und Anleitung zur Einrichtung und Wartung von Programmen zur Konformitäts-bewertung (Abschnitt 6). Abschnitt 6 gibt einen Überblick über Konzepte und Prozesse der Konformitätsbewertung, die von Regierungen, Lokalbehörden, Berufsverbänden, Softwareentwicklern, Gesellschaften für medizinische Informatik, Vertretern von Patienten und anderen Personen eingesetzt werden können, um eine höhere Konformität mit Sicherheits- und Datenschutzanforderungen für Software im Gesundheitswesen zu erreichen. Anhang A enthält ergänzende Informationen, die für Länder nützlich sind, die Programme zur Konformitätsbewertung entwickeln, z. B. weiterführendes Material zu Geschäftsmodellen zur Konformitätsbewertung, Prozessen der Konformitätsbewertung und anderen Betrachtungen sowie anschauliche Beispiele für Konformitätsbewertungsaktivitäten in vier Ländern. Richtlinien, die lokale, regionale oder nationale Anwendung in der Umwelt finden sowie verfahrenstechnische, administrative und physikalische Aspekte (einschließlich Hardware) der Sicherheits- und Datenschutzverwaltung, liegen außerhalb des Anwendungsbereiches dieser Technischen Spezifikation. Sicherheitsmanagement ist in ISO 27799 beinhaltet.