Zum Inhalt springen

Projektantrag: Planung, Implementierung und Evaluierung zum sicheren Transfer von großen Patienten- und Klinikdaten


A1exR

Empfohlene Beiträge

Moin zusammen,
 
ich wollte euch einmal meinen Projektantrag vorstellen. Vielleicht gibts noch Tipps zur Verbesserung.
 
Projekttitel/Projektüberschrift
21.01.2020 15:42
Planung, Implementierung und Evaluierung zum sicheren Transfer von großen Patienten- und Klinikdaten
 
Aufgabestellung in Kurzform
21.01.2020 15:43
Der Datenaustausch von großen Patienten- und Klinikdaten (mehr als 5GB pro Datei) wie z. B. Röntgenbilder im DICOM Format, Patientenakten als PDF, Bilder von Wunden und sonstigen Dateien soll zukünftig besser gesichert und realisiert werden. Das Versenden von externen Datenträgern wie CD/DVD oder USB-Sticks, stellt ein hohes Sicherheitsrisiko dar und ist häufig, aufgrund des zeitlichen Rahmens, die falsche Methode, um Daten zeitnah zu übermitteln.
Zur Erhöhung der Datensicherheit und Optimierung der Benutzerfreundlichkeit, soll eine File-Sharing-Lösung erarbeitet werden. Ziel ist es, den Datenaustausch möglichst benutzerfreundlich für die Mitarbeiter zu gestalten und dabei auch Dateien zeitlich begrenzt freigeben zu können. Zudem soll eine verschlüsselte Übertragung der Daten vom Server zum Ziel stattfinden.
 
Ist-Analyse
21.01.2020 15:43
Das xxx ist eines von drei Krankenhäusern unter der Leitung der xxx Stiftung. Server werden in VMware bereitgestellt und mit Veeam gesichert. Dateien werden auf Netzlaufwerken, welche vor Ort betrieben und gesichert werden, gespeichert und bei Bedarf via E-Mail, CD/DVD an Patienten und externe Dienstleister versendet.
Einige Mitarbeiter benötigen eine Softwarelösung, um teilweise große PDF oder DICOM-Dateien (öfters mehrere Gigabyte groß) schnell an externe Personen oder Unternehmen zu versenden. Aktuell werden diese Daten auf CD/DVD gebrannt und per Post versendet. Dies stellt allerdings einen hohen Zeitaufwand für die Mitarbeiter dar und die Zustellung erfolgt zeitverzögert an den jeweiligen Empfänger.
 
Sollkonzept/ Strukturplanung
21.01.2020 15:44
Zukünftig sollen alle Mitarbeiter, bei denen ein Bedarf festgestellt wurde, Dateien und Dokumente über eine eigens gehostete Filesharing-Lösung versenden. Die Rechte der Benutzer sollen aus dem bestehenden Active Directory übernommen oder ggf. in Absprache neu vergeben werden.
Das Ziel ist es, eine nutzerfreundliche Oberfläche bereitzustellen, damit auch große Dateien und Dokumente von den Mitarbeitern auf einfache Weise externen Dienstleistern und Patienten zur Verfügung gestellt werden können. Bei Bedarf auch zeitlich begrenzt, damit Konflikte mit dem Datenschutzbestimmungen vermieden werden können. Durch eine einfach zu bedienende Oberfläche und übersichtliche Anleitung, soll es den Mitarbeitern ermöglicht werden, sich schnell in dem neuen System zurechtzufinden und vertraut zu machen.
Der Dateizugriff soll über ein Nutzerkonto kontrolliert werden und die Dateiübertragung verschlüsselt ablaufen. Somit wird die Gefahr eines unerlaubten Zugriffes verhindert.
Ein externer, verschlüsselter Aufruf des File-Servers wird von einem Kollegen aus dem Fachbereich „Netzwerk und Infrastruktur“ betreut.
 
Projektphasen mit Zeitplanung in Stunden
23.01.2020 08:33
Anforderungsanalyse 3 Stunden
• Ist-Analyse 1,5 Stunden
• Erstellung des Soll-Konzeptes 1,5 Stunden

Planungsphase 3 Stunden

• Ressourcenplanung 1 Stunde
• Ablaufplan 0,5 Stunden
• Kostenplan 0,5 Stunden
• Gespräch mit dem Datenschutzbeauftragten 1 Stunde


Durchführungsphase 18 Stunden

• Recherche 2,5 Stunden
• Evaluation der genutzten File-Sharing Software 1,5 Stunden
• Installation und Konfiguration File-Sharing-Server 2 Stunden
• Installation und Konfiguration File-Sharing-Software 4 Stunden
• Systemtests 2 Stunden
• Konfiguration einer Backup Lösung 2 Stunden
• Härtung des Servers 2 Stunden
• Übernahme in den Echtbetrieb 2 Stunden

Dokumentation 6 Stunden

• Erstellung der Projektdokumentation 4 Stunden
• Erstellung eines Bedienerhandbuches 2 Stunden

Abschluss 4 Stunden
• Schulung der Verfahrensbetreuer 1 Stunde
• Schulung der Mitarbeiter 2 Stunden
• Übergabe des Projektes an den Abteilungsleiter 1 Stunde

34h
Link zu diesem Kommentar
Auf anderen Seiten teilen

Zuerst einmal: Wenn ich als Patient Wind davon bekommen würde, dass meine Patientendaten über irgendeine selbst gehostete ownCloud verschickt werden, würde ich da nicht sonderlich verständnisvoll drauf reagieren.

 

Generell:

  • Warum nur 34h?
  • Projektdokumenation schaffst du nicht in 4h
  • Deine Evaluationsphase ist viel zu knapp
  • Gespräch mit dem Datenschutzbeauftragen und Härtung des Server ist zu knapp (siehe mein erster Satz). Das muss wirklich niet- und nagelfest sein
  • Planungsphase ist auch etwas knapp finde ich

 

Ich verstehe vollkommen, dass man als Unternehmen für solch eine Problematik eine Lösung haben möchte (das Problem hast du übrigens gut dargestellt/schafft nicht jeder hier), aber sowas im Rahmen eines Abschlussprojekts für die Ausbildung zu machen, halte ich nicht für wirklich clever.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Zitat

Warum nur 34h?

Gute frage muss ich wohl besser aufteilen.

Zitat

Projektdokumenation schaffst du nicht in 4h

Hatte davor 8h. Lehrer meinte das sei viel zu viel.

Zitat

Deine Evaluationsphase ist viel zu knapp

Ja stimmt. Sollte ich wohl noch erweitern.

Zitat

Gespräch mit dem Datenschutzbeauftragen und Härtung des Server ist zu knapp (siehe mein erster Satz). Das muss wirklich niet- und nagelfest sein

Ja versuche ich mal ein bisschen besser aufzuteilen.

Zitat

Planungsphase ist auch etwas knapp finde ich

Ja teile ich mal besser auf.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Minuten schrieb Listener:

Zuerst einmal: Wenn ich als Patient Wind davon bekommen würde, dass meine Patientendaten über irgendeine selbst gehostete ownCloud verschickt werden, würde ich da nicht sonderlich verständnisvoll drauf reagieren.

Ich verstehe die Ansicht, aber ich persönlich finde den Versand per CD oder EMail noch schlimmer... 

Link zu diesem Kommentar
Auf anderen Seiten teilen

So ggf. besser?

Anforderungsanalyse 2 Stunden
• Ist-Analyse 0,5 Stunden
• Erstellung des Soll-Konzeptes 1,5 Stunden

Planungsphase 4 Stunden

• Ressourcenplanung 1 Stunde
• Ablaufplan 1 Stunde
• Kostenplan 1 Stunde
• Gespräch mit dem Datenschutzbeauftragten 1 Stunde


Durchführungsphase 19,5 Stunden

• Recherche 2,5 Stunden
• Evaluation der genutzten File-Sharing Software 2,5 Stunden
• Installation und Konfiguration File-Sharing-Server 2 Stunden
• Installation und Konfiguration File-Sharing-Software 4 Stunden
• Systemtests 2 Stunden
• Konfiguration einer Backup Lösung 3 Stunden
• Härtung des Servers 2,5 Stunden
• Übernahme in den Echtbetrieb 1 Stunde

Dokumentation 7 Stunden

• Erstellung der Projektdokumentation 5,5 Stunden
• Erstellung eines Bedienerhandbuches 1,5 Stunden

Abschluss 2,5 Stunden
• Schulung der Verfahrensbetreuer 1 Stunde
• Schulung der Mitarbeiter 1 Stunde
• Übergabe des Projektes an den Abteilungsleiter 0,5 Stunde

35h

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Minuten schrieb A1exR:

Ich verstehe die Ansicht, aber ich persönlich finde den Versand per CD oder EMail noch schlimmer... 

Naja, um das mal in einen Kontext zu setzen:

Wenn eine CD versandt wird, ist im Zweifel diese eine CD durch Postboten (bzw. weitere Transporteure) kompromittiert. Wenn die CD an den Patienten ausgehändigt wird (so kenne ich das), kann diese CD "eigentlich" nicht kompromittiert werden (außer jemand hat einen gefälschten Ausweis, etc.). 

Wenn hingegen das komplette FileSharing-System gehackt wird, hat derjenige Zugriff auf unbekannt viele Patientendaten. 

 

Wie bereits gesagt: Ich verstehe, dass das sowohl aus betriebswirtschaftlichen Punkten, als auch aus IT-Architektur-Sicht, wesentlich schöner ist, aber in einem Abschlussprojekt ist das echt gefährlich. Vielleicht kann da ein Datenschutzmensch mal einen Blick drauf werfen @charmanta.

 

vor 3 Minuten schrieb A1exR:

So ggf. besser?

Ich finde immer noch, dass du zuviel installierst. Wieso benötigst du bspw. 2h um einen Server aufzusetzen oder 3h um Veeam anzubinden? Wenn du das erklären kannst, ist ja alles gut, aber das kommt mir unverhältnismäßig hoch vor.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Minuten schrieb Listener:

Ich finde immer noch, dass du zuviel installierst. Wieso benötigst du bspw. 2h um einen Server aufzusetzen oder 3h um Veeam anzubinden? Wenn du das erklären kannst, ist ja alles gut, aber das kommt mir unverhältnismäßig hoch vor.

Ja okay wenn man es so sieht ist es echt viel. 😕 Das ändere ich mal ab.

Link zu diesem Kommentar
Auf anderen Seiten teilen

5) Projektphasen
 
 
Anforderungsanalyse                                                          2 Stunden
•    Ist-Analyse                                                                                                        0,5 Stunden
•    Erstellung des Soll-Konzeptes                                                                 1,5 Stunden
 
Planungsphase                                                                     6 Stunden
 
•    Ressourcenplanung                                                                                      1 Stunde
•    Ablaufplan                                                                                                       2 Stunden
•    Kostenplan                                                                                                       1 Stunde
•    Gespräch mit dem Datenschutzbeauftragten                                   2 Stunden

 
Durchführungsphase                                                         16,5 Stunden
 
•    Recherche                                                                                              2,5 Stunden
•    Evaluation der genutzten File-Sharing Software                             2,5 Stunden
•    Installation und Konfiguration File-Sharing-Server                         0,5 Stunden
•    Installation und Konfiguration File-Sharing-Software                         4 Stunden
•    Systemtests                                                                                                 2 Stunden
•    Konfiguration einer Backup Lösung                                                         1 Stunde
•    Härtung des Servers                                                                                   3 Stunden
•    Übernahme in den Echtbetrieb                                                                1 Stunde
 
Dokumentation                                                                   8 Stunden
 
•    Erstellung der Projektdokumentation                                                   6,5 Stunden
•    Erstellung eines Bedienerhandbuches                                                  1,5 Stunden
 
Abschluss                                                                               2,5 Stunden
•    Schulung der Verfahrensbetreuer                                                           1 Stunde      
•    Schulung der Mitarbeiter                                                                          1 Stunde
•    Übergabe des Projektes an den Abteilungsleiter                              0,5 Stunden

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb charmanta:

Ihr habt gerufen.

Ich sags mal gaaanz vorsichtig: Hier reden wir über Patientendaten mit höchstem Schutzbedarf, das ist ein "angemessenes Datenschutzniveau" zu halten.

Das geht auch mit CD oder Cloud ... aber eben nur mit Zusatz ..

Schonmal vielen Dank für deine Antwort.

"Zusatz"... hatte vor:

1. Root Benutzer ändern

2. fail2ban

3. SSH Port abändern

4. Kein Root Passwort sondern Public-Private-Schlüsselpaar

5. Default Path von Nextcloud ändern

6. "Verschlüsselung" von Nextcloud aktivieren

Sollte meiner ansicht reichen. Oder nicht?

Link zu diesem Kommentar
Auf anderen Seiten teilen

5) Projektphasen


Anforderungsanalyse 2 Stunden
• Ist-Analyse 0,5 Stunden
• Erstellung des Soll-Konzeptes 1,5 Stunden

Planungsphase 6 Stunden

• Ressourcenplanung 1 Stunde
• Ablaufplan 2 Stunde
• Kostenplan 1 Stunde
• Gespräch mit dem Datenschutzbeauftragten 2 Stunden


Durchführungsphase 16,5 Stunden

• Recherche 2,5 Stunden
• Evaluation 2,5 Stunden
• Installation und Konfiguration 4,5 Stunden
• Systemtests 2 Stunden
• Konfiguration einer Backup Lösung 1 Stunde
• Härtung des Systems 3 Stunden
• Übernahme in den Echtbetrieb 1 Stunde

Dokumentation 8 Stunden

• Erstellung der Projektdokumentation 6,5 Stunden
• Erstellung eines Bedienerhandbuches 1,5 Stunden

Abschluss 2,5 Stunden
• Schulung der Verfahrensbetreuer 1 Stunde
• Schulung der Mitarbeiter 1 Stunde
• Übergabe des Projektes an den Abteilungsleiter 0,5 Stunde

Bearbeitet von A1exR
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Minuten schrieb A1exR:

Sollte meiner ansicht reichen. Oder nicht?

Kommt darauf an...

Würdest du auf einem so gesicherten Server Nacktfotos oder einschlägige Filmchen von und/oder mit dir, deiner Freundin, deiner Mutter... abgelegt wissen wollen? Würden die das wollen? Wenn du beide Fragen nicht spontan und vorbehaltlos mit "ja" beantworten kannst, würde ich sagen es reicht nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 35 Minuten schrieb Maniska:

Wenn du beide Fragen nicht spontan und vorbehaltlos mit "ja" beantworten kannst, würde ich sagen es reicht nicht.

Zu diesen Fragen kommt noch:

Was machst du bei einem Auskunftsersuchen nach Artikel 15?
Wie werden Zugriffe auf die Daten und das Löschen der Daten protokolliert?
Zugriffe auf das Backup müssen auch gesichert und protokolliert werden. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 19 Minuten schrieb _n4p_:

Zu diesen Fragen kommt noch:

Was machst du bei einem Auskunftsersuchen nach Artikel 15?
Wie werden Zugriffe auf die Daten und das Löschen der Daten protokolliert?
Zugriffe auf das Backup müssen auch gesichert und protokolliert werden. 

1. "Erstmals muss ein Antrag gestellt werden. Dieser wird vom Datenschutzbeauftragten geprüft und dem Krankenhausleiter vorgelegt. Danach hat er ein gespräch mit dem Abteilungsleiter und dieser hat wiederum ein gespräch mit dem Datenschutzbeauftragten mit dem Abteilungsleiter und mit der Person. Dann klären die das was er sehen möchte etc. In 25 Jahren hier hat noch kein einziger einen Antrag zur einsicht der Daten gestellt." <- (Laut abt. Leiter)

2. Nextcloud Log

3. Veeam Backup Log

Link zu diesem Kommentar
Auf anderen Seiten teilen

1) Falsche Antwort. Das System gibt es noch gar nicht, daher sind Aussagen über die Vergangenheit irrelevant. Es ging auch eher darum was genau DU auf dem System machen musst um die Daten zum Antragsteller zu finden und herausfinden was damit passiert ist.

2) kannst du das Log nach den Daten von Max Müller durchsuchen? ist das revisionssicher? du brauchst backups von dem log. keine ahnung wie lange das log zurückreicht, aber vermutlich ist es zu kurz.

3) wie protokolliert veeam bitte wer das backup-tape letzten Monat von A nach B getragen hat?

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb MamaSchlumpf:

Das ist wie: "Hier kann ich rasen. Ich fahr hier seit 25 Jahren, da kommt nie einer aus der Ausfahrt" Das ist kein gutes Argument.

War ja auch die Antwort von meinem Ausbilder... Habe selbst die Fragestellung nicht richtig verstanden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb _n4p_:

1) Falsche Antwort. Das System gibt es noch gar nicht, daher sind Aussagen über die Vergangenheit irrelevant. Es ging auch eher darum was genau DU auf dem System machen musst um die Daten zum Antragsteller zu finden und herausfinden was damit passiert ist.

2) kannst du das Log nach den Daten von Max Müller durchsuchen? ist das revisionssicher? du brauchst backups von dem log. keine ahnung wie lange das log zurückreicht, aber vermutlich ist es zu kurz.

3) wie protokolliert veeam bitte wer das backup-tape letzten Monat von A nach B getragen hat?

1. Ah okay so kommt Licht ins Dunkle.

2. Guter einwand... Wie sollte man das denn sonst lösen?

3. ein Backup-Tape benutzen wir nicht. Es liegt alles nur auf dem Backup Server.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...