MediData schützt Gesundheitsdaten für die Leistungsabrechnung mit Nevis
Ausgangslage
Um für die Zukunft bestens aufgestellt zu sein, hat MediData schon im Jahr 2017 damit begonnen, ein neues Netzwerk aufzubauen: das „MediData-Netz“. Die neue Plattform ist besonders leistungsfähig und in puncto Sicherheit auf dem neuesten Stand. Außerdem bietet sie Anwendern mehr Komfort sowie neben der Leistungsabrechnung zusätzliche Services.
Bereitgestellt wird das MediData-Netz in drei verschiedenen Infrastrukturen. Kleinere Praxen und Organisationen erhalten mit der MediData Box einen Minicomputer als Einzelanschluss und größere Praxen, die oft mit einer virtuellen IT-Infrastruktur arbeiten, eine Virtual Appliance. Zudem wird eine technische Lösung für Softwarehäuser bereitgestellt, die ihre Branchenapplikationen in einer Cloud betreiben. Den Anwendern stehen im Wesentlichen Webprodukte und Produkte, die ausschließlich auf der von MediData zur Verfügung gestellten Appliance laufen, zur Verfügung. Zur Letzteren gehören auch die Leistungsabrechnungen als sogenannte Transportprodukte. MediData stellt dabei lediglich die Infrastruktur für diesen Transport bereit und kann die verschlüsselten Daten selbst nicht mitlesen.
Zentrale Herausforderung im Rahmen des Projekts war es, das neue MediData-Netz so abzusichern, dass nur berechtigte Personen auf die sensiblen Daten zugreifen können.
Lösung
Zusammen mit Adnovum wurde im Jahr 2017 zunächst ein Sicherheitskonzept erstellt. Bei der Umsetzung der neuen Plattform profitierte MediData in den folgenden zwei Jahren insbesondere von der technischen Unterstützung durch Adnovum. Geschützt werden die einzelnen Anwendungen des MediData-Netzes mit der Nevis Identity Suite. Dazu zählen auch das Kundenportal, in dem die Kunden ihre Konfigurationen vornehmen können, und das interne Tool der Support-Abteilung.
Damit sich keine Unbefugten Zugang zu den sensiblen Abrechnungsdaten verschaffen können, werden die Appliance-Produkte mit OAuth gesichert. Die Registrierung erfolgt mit einem Private- und einem Public-Key, der Zugriff selbst via Access Token. Das Know-how dafür lieferte Adnovum. Eine besondere Herausforderung stellte dabei dar, dass die Registrierung nach einem bestimmten Zeitraum abläuft. MediData und Adnovum entwickelten deshalb ein Konzept, damit die Registrierung automatisch erneuert wird. Auch die Sicherstellung der Mandantenfähigkeit war ein wichtiger Punkt. Als Admin kann eine Medizinische Praxisassistentin, die allein in einer Gruppenpraxis arbeitet, gleichzeitig die Administrationsrolle für mehrere Organisationen übernehmen. Eine passende Lösung wurde mit Nevis umgesetzt, sodass ein Benutzer bei mehreren Units mit unterschiedlichen Rollen angehängt werden kann.
