Haftung Rechenzentrumslösung bei noch fehlender Zertifizierung
Zitat von Chr. Müller am 18. Mai 2024, 21:46 UhrLiebes Hasomed-Team,
ich habe folgende Fragen zu Ihrer Rechenzentrumslösung/TI-Gateway:
1. Habe ich es richtig verstanden, dass Hasomed erst dann die Verantwortung für den gesicherten Betrieb übernimmt (und damit haftet), wenn gematik und BSI Ihren TI-Gateway zertifizieren und diese Lösung dann erst zugelassen ist? Und dass Sie diese Zertifizierung noch nicht haben?
2. Welche Risiken bestehen, d.h. in welchen Fällen müsste der Praxisinhaber beim derzeitigen Stand der fehlenden Zulassung haften?
3. Welches Maßnahmen müsste eine Praxis ergreifen, um diese Risiken abzusichern, bis Sie die Haftung übernehmen?
4. Wann ist mit einer Zertifizierung zu rechnen?Vielen Dank für Ihre Antwort im Voraus!
Viele Grüße
Christina Müller
Liebes Hasomed-Team,
ich habe folgende Fragen zu Ihrer Rechenzentrumslösung/TI-Gateway:
1. Habe ich es richtig verstanden, dass Hasomed erst dann die Verantwortung für den gesicherten Betrieb übernimmt (und damit haftet), wenn gematik und BSI Ihren TI-Gateway zertifizieren und diese Lösung dann erst zugelassen ist? Und dass Sie diese Zertifizierung noch nicht haben?
2. Welche Risiken bestehen, d.h. in welchen Fällen müsste der Praxisinhaber beim derzeitigen Stand der fehlenden Zulassung haften?
3. Welches Maßnahmen müsste eine Praxis ergreifen, um diese Risiken abzusichern, bis Sie die Haftung übernehmen?
4. Wann ist mit einer Zertifizierung zu rechnen?
Vielen Dank für Ihre Antwort im Voraus!
Viele Grüße
Christina Müller
Zitat von René Chelvier am 22. Mai 2024, 16:30 UhrHallo Frau Müller,
vielen Dank für Ihre Frage.
Wir betreiben mit unserem Partner RISE ausschließlich zugelassene Komponenten wie Konnektoren und VPN-Zugangsdienst im TIaaS-Rechenzentrum. Dieses Betriebsszenario ist von der gematik erlaubt. Die Anforderungen an den sicheren Betrieb wie a) sicherer Aufstellort und b) Zugangsbeschränkung zum Konnektor nur für autorisiertes Personal, übererfüllt RISE im Rechenzentrum im Vergleich zur Arztpraxis. Sie werden als Praxisbetreiber Ihrer aktuellen Verantwortung für den Konnektorbetrieb also gerecht, da Sie den Betrieb des Konnektors an HASOMED (und wir an RISE) delegiert haben.
Zu Ihren Fragen
- Eine durch die gematik und das BSI zugelassene Gesamtlösung ist das TI-Gateway. Damit übernimmt der TI-Gateway Anbieter auch die Betreiberhaftung, die mit TIaaS noch delegiert wird. Die TIaaS-Lösung nutzt bereits jetzt viele Komponenten des TI-Gateways.
- Derzeit fehlen keine Zulassungen, mit dem TI-Gateway kommen neue Zulassungen hinzu. Zum Beispiel der gesamte Rechenzentrumsbetrieb, Redundanz, höhere Verfügbarkeit und die Verbindung von der Praxis ins Rechenzentrum. Außerdem wird der zugelassene Hardware-Konnektor durch einen zugelassenen Highspeed-Konnektor ersetzt. Ich sehe keine expliziten Risiken für Praxisinhaber, die TIaaS nutzen, wenn die Anforderungen an die Praxis auch vom Rechenzentrum (wie bestätigt) erfüllt werden.
- Erfüllen Sie die Anforderungen an die KBV-Sicherheitsrichtlinie, wie hier beschrieben (gilt auch für das TI-Gateway): https://www.kbv.de/html/it-sicherheit.php
- Wir rechnen mit der Zertifizierung im Sommer 2024. Anschließend wechseln alle TIaaS-Kunden durch ein Software-Update des TI-Clients automatisch vom TIaaS zum TI-Gateway. Im Elefant Abo M übrigens inklusive.
Viele Grüße
René Chelvier
Hallo Frau Müller,
vielen Dank für Ihre Frage.
Wir betreiben mit unserem Partner RISE ausschließlich zugelassene Komponenten wie Konnektoren und VPN-Zugangsdienst im TIaaS-Rechenzentrum. Dieses Betriebsszenario ist von der gematik erlaubt. Die Anforderungen an den sicheren Betrieb wie a) sicherer Aufstellort und b) Zugangsbeschränkung zum Konnektor nur für autorisiertes Personal, übererfüllt RISE im Rechenzentrum im Vergleich zur Arztpraxis. Sie werden als Praxisbetreiber Ihrer aktuellen Verantwortung für den Konnektorbetrieb also gerecht, da Sie den Betrieb des Konnektors an HASOMED (und wir an RISE) delegiert haben.
Zu Ihren Fragen
- Eine durch die gematik und das BSI zugelassene Gesamtlösung ist das TI-Gateway. Damit übernimmt der TI-Gateway Anbieter auch die Betreiberhaftung, die mit TIaaS noch delegiert wird. Die TIaaS-Lösung nutzt bereits jetzt viele Komponenten des TI-Gateways.
- Derzeit fehlen keine Zulassungen, mit dem TI-Gateway kommen neue Zulassungen hinzu. Zum Beispiel der gesamte Rechenzentrumsbetrieb, Redundanz, höhere Verfügbarkeit und die Verbindung von der Praxis ins Rechenzentrum. Außerdem wird der zugelassene Hardware-Konnektor durch einen zugelassenen Highspeed-Konnektor ersetzt. Ich sehe keine expliziten Risiken für Praxisinhaber, die TIaaS nutzen, wenn die Anforderungen an die Praxis auch vom Rechenzentrum (wie bestätigt) erfüllt werden.
- Erfüllen Sie die Anforderungen an die KBV-Sicherheitsrichtlinie, wie hier beschrieben (gilt auch für das TI-Gateway): https://www.kbv.de/html/it-sicherheit.php
- Wir rechnen mit der Zertifizierung im Sommer 2024. Anschließend wechseln alle TIaaS-Kunden durch ein Software-Update des TI-Clients automatisch vom TIaaS zum TI-Gateway. Im Elefant Abo M übrigens inklusive.
Viele Grüße
René Chelvier
Zitat von Chr. Müller am 9. Juni 2024, 12:03 UhrVielen Dank für Ihre Antwort Herr Chelvier!
Viele Grüße
Christina Müller
Vielen Dank für Ihre Antwort Herr Chelvier!
Viele Grüße
Christina Müller
