Von Ralf Keuper

Die Sicherheitsanforderungen an eine elektronische Patientenakte sind verständlicher- und sinnvollerweise besonders hoch. Die Frage, wer, wann und zu welchem Zweck die Patientendaten einsehen kann, muss geregelt sein. In dem Beitrag Access granted: So lassen sich Zugriffs-Berechtigungen in Elektronischen Patientenakten flexibel und individuell regeln stellen Johannes Bittner und Peter Haas ein Modell vor, das die Rollen und Berechtigungen der Beteiligten beschreibt. Es werden vier Bausteine definiert:

  • Die zugriffsrelevanten Attributwelt (Attribute-Based Access Control ABAC)
  • Die Zugriffspolicy
  • Der Policy-Editor
  • Die Autorisierungs-Engine

An dieser Stelle möchte ich mich den Bausteinen 1 und 4 zuwenden.

Die BertelsmannStiftung legt ihrem Modell die Attribute-Klassen Sicherheitssubjekt, Transaktion, Ressource und Kontext fest. Die Entscheidung darüber, ob eine Person oder Institution die Berechtigung zum Zugriff auf bestimme Informationsobjekte erhält und diese evtl. auch bearbeiten kann, fällt ein Regelwerk. Inhaltliche und rechtliche Basis dieses Regelwerks, das nach Wenn-Dann-Regeln funktioniert, sind Taxonomien, die auf einem nationalen Konsens beruhen, um damit die Datenschutzbestimmungen einzuhalten.

Die Autorisierungsengine ist damit das Herzstück der Lösung:

Die Engine, ein Programmcode, verarbeitet die Attribute in Kombination mit den Regeln der Policy zu den Entscheidungen, ob eine Person im konkreten Fall eine Anfrage an die eEPA geneh…

Schreibe einen Kommentar