A1exR Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 Moin zusammen, ich wollte euch einmal meinen Projektantrag vorstellen. Vielleicht gibts noch Tipps zur Verbesserung. Projekttitel/Projektüberschrift 21.01.2020 15:42 Planung, Implementierung und Evaluierung zum sicheren Transfer von großen Patienten- und Klinikdaten Aufgabestellung in Kurzform 21.01.2020 15:43 Der Datenaustausch von großen Patienten- und Klinikdaten (mehr als 5GB pro Datei) wie z. B. Röntgenbilder im DICOM Format, Patientenakten als PDF, Bilder von Wunden und sonstigen Dateien soll zukünftig besser gesichert und realisiert werden. Das Versenden von externen Datenträgern wie CD/DVD oder USB-Sticks, stellt ein hohes Sicherheitsrisiko dar und ist häufig, aufgrund des zeitlichen Rahmens, die falsche Methode, um Daten zeitnah zu übermitteln. Zur Erhöhung der Datensicherheit und Optimierung der Benutzerfreundlichkeit, soll eine File-Sharing-Lösung erarbeitet werden. Ziel ist es, den Datenaustausch möglichst benutzerfreundlich für die Mitarbeiter zu gestalten und dabei auch Dateien zeitlich begrenzt freigeben zu können. Zudem soll eine verschlüsselte Übertragung der Daten vom Server zum Ziel stattfinden. Ist-Analyse 21.01.2020 15:43 Das xxx ist eines von drei Krankenhäusern unter der Leitung der xxx Stiftung. Server werden in VMware bereitgestellt und mit Veeam gesichert. Dateien werden auf Netzlaufwerken, welche vor Ort betrieben und gesichert werden, gespeichert und bei Bedarf via E-Mail, CD/DVD an Patienten und externe Dienstleister versendet. Einige Mitarbeiter benötigen eine Softwarelösung, um teilweise große PDF oder DICOM-Dateien (öfters mehrere Gigabyte groß) schnell an externe Personen oder Unternehmen zu versenden. Aktuell werden diese Daten auf CD/DVD gebrannt und per Post versendet. Dies stellt allerdings einen hohen Zeitaufwand für die Mitarbeiter dar und die Zustellung erfolgt zeitverzögert an den jeweiligen Empfänger. Sollkonzept/ Strukturplanung 21.01.2020 15:44 Zukünftig sollen alle Mitarbeiter, bei denen ein Bedarf festgestellt wurde, Dateien und Dokumente über eine eigens gehostete Filesharing-Lösung versenden. Die Rechte der Benutzer sollen aus dem bestehenden Active Directory übernommen oder ggf. in Absprache neu vergeben werden. Das Ziel ist es, eine nutzerfreundliche Oberfläche bereitzustellen, damit auch große Dateien und Dokumente von den Mitarbeitern auf einfache Weise externen Dienstleistern und Patienten zur Verfügung gestellt werden können. Bei Bedarf auch zeitlich begrenzt, damit Konflikte mit dem Datenschutzbestimmungen vermieden werden können. Durch eine einfach zu bedienende Oberfläche und übersichtliche Anleitung, soll es den Mitarbeitern ermöglicht werden, sich schnell in dem neuen System zurechtzufinden und vertraut zu machen. Der Dateizugriff soll über ein Nutzerkonto kontrolliert werden und die Dateiübertragung verschlüsselt ablaufen. Somit wird die Gefahr eines unerlaubten Zugriffes verhindert. Ein externer, verschlüsselter Aufruf des File-Servers wird von einem Kollegen aus dem Fachbereich „Netzwerk und Infrastruktur“ betreut. Projektphasen mit Zeitplanung in Stunden 23.01.2020 08:33 Anforderungsanalyse 3 Stunden • Ist-Analyse 1,5 Stunden • Erstellung des Soll-Konzeptes 1,5 Stunden Planungsphase 3 Stunden • Ressourcenplanung 1 Stunde • Ablaufplan 0,5 Stunden • Kostenplan 0,5 Stunden • Gespräch mit dem Datenschutzbeauftragten 1 Stunde Durchführungsphase 18 Stunden • Recherche 2,5 Stunden • Evaluation der genutzten File-Sharing Software 1,5 Stunden • Installation und Konfiguration File-Sharing-Server 2 Stunden • Installation und Konfiguration File-Sharing-Software 4 Stunden • Systemtests 2 Stunden • Konfiguration einer Backup Lösung 2 Stunden • Härtung des Servers 2 Stunden • Übernahme in den Echtbetrieb 2 Stunden Dokumentation 6 Stunden • Erstellung der Projektdokumentation 4 Stunden • Erstellung eines Bedienerhandbuches 2 Stunden Abschluss 4 Stunden • Schulung der Verfahrensbetreuer 1 Stunde • Schulung der Mitarbeiter 2 Stunden • Übergabe des Projektes an den Abteilungsleiter 1 Stunde 34h Zitieren
Griller Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 Zuerst einmal: Wenn ich als Patient Wind davon bekommen würde, dass meine Patientendaten über irgendeine selbst gehostete ownCloud verschickt werden, würde ich da nicht sonderlich verständnisvoll drauf reagieren. Generell: Warum nur 34h? Projektdokumenation schaffst du nicht in 4h Deine Evaluationsphase ist viel zu knapp Gespräch mit dem Datenschutzbeauftragen und Härtung des Server ist zu knapp (siehe mein erster Satz). Das muss wirklich niet- und nagelfest sein Planungsphase ist auch etwas knapp finde ich Ich verstehe vollkommen, dass man als Unternehmen für solch eine Problematik eine Lösung haben möchte (das Problem hast du übrigens gut dargestellt/schafft nicht jeder hier), aber sowas im Rahmen eines Abschlussprojekts für die Ausbildung zu machen, halte ich nicht für wirklich clever. A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 Zitat Warum nur 34h? Gute frage muss ich wohl besser aufteilen. Zitat Projektdokumenation schaffst du nicht in 4h Hatte davor 8h. Lehrer meinte das sei viel zu viel. Zitat Deine Evaluationsphase ist viel zu knapp Ja stimmt. Sollte ich wohl noch erweitern. Zitat Gespräch mit dem Datenschutzbeauftragen und Härtung des Server ist zu knapp (siehe mein erster Satz). Das muss wirklich niet- und nagelfest sein Ja versuche ich mal ein bisschen besser aufzuteilen. Zitat Planungsphase ist auch etwas knapp finde ich Ja teile ich mal besser auf. Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 5 Minuten schrieb Listener: Zuerst einmal: Wenn ich als Patient Wind davon bekommen würde, dass meine Patientendaten über irgendeine selbst gehostete ownCloud verschickt werden, würde ich da nicht sonderlich verständnisvoll drauf reagieren. Ich verstehe die Ansicht, aber ich persönlich finde den Versand per CD oder EMail noch schlimmer... Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 So ggf. besser? Anforderungsanalyse 2 Stunden • Ist-Analyse 0,5 Stunden • Erstellung des Soll-Konzeptes 1,5 Stunden Planungsphase 4 Stunden • Ressourcenplanung 1 Stunde • Ablaufplan 1 Stunde • Kostenplan 1 Stunde • Gespräch mit dem Datenschutzbeauftragten 1 Stunde Durchführungsphase 19,5 Stunden • Recherche 2,5 Stunden • Evaluation der genutzten File-Sharing Software 2,5 Stunden • Installation und Konfiguration File-Sharing-Server 2 Stunden • Installation und Konfiguration File-Sharing-Software 4 Stunden • Systemtests 2 Stunden • Konfiguration einer Backup Lösung 3 Stunden • Härtung des Servers 2,5 Stunden • Übernahme in den Echtbetrieb 1 Stunde Dokumentation 7 Stunden • Erstellung der Projektdokumentation 5,5 Stunden • Erstellung eines Bedienerhandbuches 1,5 Stunden Abschluss 2,5 Stunden • Schulung der Verfahrensbetreuer 1 Stunde • Schulung der Mitarbeiter 1 Stunde • Übergabe des Projektes an den Abteilungsleiter 0,5 Stunde 35h Zitieren
Griller Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 vor 5 Minuten schrieb A1exR: Ich verstehe die Ansicht, aber ich persönlich finde den Versand per CD oder EMail noch schlimmer... Naja, um das mal in einen Kontext zu setzen: Wenn eine CD versandt wird, ist im Zweifel diese eine CD durch Postboten (bzw. weitere Transporteure) kompromittiert. Wenn die CD an den Patienten ausgehändigt wird (so kenne ich das), kann diese CD "eigentlich" nicht kompromittiert werden (außer jemand hat einen gefälschten Ausweis, etc.). Wenn hingegen das komplette FileSharing-System gehackt wird, hat derjenige Zugriff auf unbekannt viele Patientendaten. Wie bereits gesagt: Ich verstehe, dass das sowohl aus betriebswirtschaftlichen Punkten, als auch aus IT-Architektur-Sicht, wesentlich schöner ist, aber in einem Abschlussprojekt ist das echt gefährlich. Vielleicht kann da ein Datenschutzmensch mal einen Blick drauf werfen @charmanta. vor 3 Minuten schrieb A1exR: So ggf. besser? Ich finde immer noch, dass du zuviel installierst. Wieso benötigst du bspw. 2h um einen Server aufzusetzen oder 3h um Veeam anzubinden? Wenn du das erklären kannst, ist ja alles gut, aber das kommt mir unverhältnismäßig hoch vor. A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 5 Minuten schrieb Listener: Ich finde immer noch, dass du zuviel installierst. Wieso benötigst du bspw. 2h um einen Server aufzusetzen oder 3h um Veeam anzubinden? Wenn du das erklären kannst, ist ja alles gut, aber das kommt mir unverhältnismäßig hoch vor. Ja okay wenn man es so sieht ist es echt viel. 😕 Das ändere ich mal ab. Zitieren
charmanta Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 Ihr habt gerufen. Ich sags mal gaaanz vorsichtig: Hier reden wir über Patientendaten mit höchstem Schutzbedarf, das ist ein "angemessenes Datenschutzniveau" zu halten. Das geht auch mit CD oder Cloud ... aber eben nur mit Zusatz .. A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 5) Projektphasen Anforderungsanalyse 2 Stunden • Ist-Analyse 0,5 Stunden • Erstellung des Soll-Konzeptes 1,5 Stunden Planungsphase 6 Stunden • Ressourcenplanung 1 Stunde • Ablaufplan 2 Stunden • Kostenplan 1 Stunde • Gespräch mit dem Datenschutzbeauftragten 2 Stunden Durchführungsphase 16,5 Stunden • Recherche 2,5 Stunden • Evaluation der genutzten File-Sharing Software 2,5 Stunden • Installation und Konfiguration File-Sharing-Server 0,5 Stunden • Installation und Konfiguration File-Sharing-Software 4 Stunden • Systemtests 2 Stunden • Konfiguration einer Backup Lösung 1 Stunde • Härtung des Servers 3 Stunden • Übernahme in den Echtbetrieb 1 Stunde Dokumentation 8 Stunden • Erstellung der Projektdokumentation 6,5 Stunden • Erstellung eines Bedienerhandbuches 1,5 Stunden Abschluss 2,5 Stunden • Schulung der Verfahrensbetreuer 1 Stunde • Schulung der Mitarbeiter 1 Stunde • Übergabe des Projektes an den Abteilungsleiter 0,5 Stunden Zitieren
charmanta Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 Da steht vorbestimmt drin dass Du eine Sharing Software einsetzen wirst ? A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 4 Minuten schrieb charmanta: Ihr habt gerufen. Ich sags mal gaaanz vorsichtig: Hier reden wir über Patientendaten mit höchstem Schutzbedarf, das ist ein "angemessenes Datenschutzniveau" zu halten. Das geht auch mit CD oder Cloud ... aber eben nur mit Zusatz .. Schonmal vielen Dank für deine Antwort. "Zusatz"... hatte vor: 1. Root Benutzer ändern 2. fail2ban 3. SSH Port abändern 4. Kein Root Passwort sondern Public-Private-Schlüsselpaar 5. Default Path von Nextcloud ändern 6. "Verschlüsselung" von Nextcloud aktivieren Sollte meiner ansicht reichen. Oder nicht? Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 2 Minuten schrieb charmanta: Da steht vorbestimmt drin dass Du eine Sharing Software einsetzen wirst ? Gute Idee, dass nehme ich mal raus. Ist mir vor Aufregung nicht aufgefallen. Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 (bearbeitet) 5) Projektphasen Anforderungsanalyse 2 Stunden • Ist-Analyse 0,5 Stunden • Erstellung des Soll-Konzeptes 1,5 Stunden Planungsphase 6 Stunden • Ressourcenplanung 1 Stunde • Ablaufplan 2 Stunde • Kostenplan 1 Stunde • Gespräch mit dem Datenschutzbeauftragten 2 Stunden Durchführungsphase 16,5 Stunden • Recherche 2,5 Stunden • Evaluation 2,5 Stunden • Installation und Konfiguration 4,5 Stunden • Systemtests 2 Stunden • Konfiguration einer Backup Lösung 1 Stunde • Härtung des Systems 3 Stunden • Übernahme in den Echtbetrieb 1 Stunde Dokumentation 8 Stunden • Erstellung der Projektdokumentation 6,5 Stunden • Erstellung eines Bedienerhandbuches 1,5 Stunden Abschluss 2,5 Stunden • Schulung der Verfahrensbetreuer 1 Stunde • Schulung der Mitarbeiter 1 Stunde • Übergabe des Projektes an den Abteilungsleiter 0,5 Stunde Bearbeitet 23. Januar 2020 von A1exR Zitieren
Maniska Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 vor 3 Minuten schrieb A1exR: Sollte meiner ansicht reichen. Oder nicht? Kommt darauf an... Würdest du auf einem so gesicherten Server Nacktfotos oder einschlägige Filmchen von und/oder mit dir, deiner Freundin, deiner Mutter... abgelegt wissen wollen? Würden die das wollen? Wenn du beide Fragen nicht spontan und vorbehaltlos mit "ja" beantworten kannst, würde ich sagen es reicht nicht. A1exR und tronic reagierten darauf 1 1 Zitieren
charmanta Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 ich sags mal ganz vorsichtig: Du muss in der DSGVO wirklich gut schwimmen können um das Thema hinreichend zu erschlagen. A1exR reagierte darauf 1 Zitieren
Griller Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 Was mir gerade adhoc an der Zeitplanung auffällt: Die Systemtests machen keinen Sinn vor Härtung und Konfiguration des Backups. A1exR und charmanta reagierten darauf 2 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 1 Minute schrieb Listener: Was mir gerade adhoc an der Zeitplanung auffällt: Die Systemtests machen keinen Sinn vor Härtung und Konfiguration des Backups. Ohja stimmt. 🙄 Zitieren
_n4p_ Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 vor 35 Minuten schrieb Maniska: Wenn du beide Fragen nicht spontan und vorbehaltlos mit "ja" beantworten kannst, würde ich sagen es reicht nicht. Zu diesen Fragen kommt noch: Was machst du bei einem Auskunftsersuchen nach Artikel 15? Wie werden Zugriffe auf die Daten und das Löschen der Daten protokolliert? Zugriffe auf das Backup müssen auch gesichert und protokolliert werden. A1exR reagierte darauf 1 Zitieren
charmanta Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 vor 45 Minuten schrieb Maniska: Würdest du auf einem so gesicherten Server Nacktfotos oder einschlägige Filmchen von und/oder mit dir, deiner Freundin, deiner Mutter. Nackfotos von der Mutter ???? Wie bist Du denn drauf ?? 👹 A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 12 Minuten schrieb charmanta: Nackfotos von der Mutter ???? Wie bist Du denn drauf ?? 👹 Ich finde das ist ein Krasser vergleich zur Verdeutlichung des Problems. Ich fand den Vergleich super Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 19 Minuten schrieb _n4p_: Zu diesen Fragen kommt noch: Was machst du bei einem Auskunftsersuchen nach Artikel 15? Wie werden Zugriffe auf die Daten und das Löschen der Daten protokolliert? Zugriffe auf das Backup müssen auch gesichert und protokolliert werden. 1. "Erstmals muss ein Antrag gestellt werden. Dieser wird vom Datenschutzbeauftragten geprüft und dem Krankenhausleiter vorgelegt. Danach hat er ein gespräch mit dem Abteilungsleiter und dieser hat wiederum ein gespräch mit dem Datenschutzbeauftragten mit dem Abteilungsleiter und mit der Person. Dann klären die das was er sehen möchte etc. In 25 Jahren hier hat noch kein einziger einen Antrag zur einsicht der Daten gestellt." <- (Laut abt. Leiter) 2. Nextcloud Log 3. Veeam Backup Log Zitieren
MamaSchlumpf Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 vor 4 Minuten schrieb A1exR: In 25 Jahren hier hat noch kein einziger einen Antrag zur einsicht der Daten gestellt. Das ist wie: "Hier kann ich rasen. Ich fahr hier seit 25 Jahren, da kommt nie einer aus der Ausfahrt" Das ist kein gutes Argument. MartinSt und A1exR reagierten darauf 1 1 Zitieren
_n4p_ Geschrieben 23. Januar 2020 Geschrieben 23. Januar 2020 1) Falsche Antwort. Das System gibt es noch gar nicht, daher sind Aussagen über die Vergangenheit irrelevant. Es ging auch eher darum was genau DU auf dem System machen musst um die Daten zum Antragsteller zu finden und herausfinden was damit passiert ist. 2) kannst du das Log nach den Daten von Max Müller durchsuchen? ist das revisionssicher? du brauchst backups von dem log. keine ahnung wie lange das log zurückreicht, aber vermutlich ist es zu kurz. 3) wie protokolliert veeam bitte wer das backup-tape letzten Monat von A nach B getragen hat? A1exR reagierte darauf 1 Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 4 Minuten schrieb MamaSchlumpf: Das ist wie: "Hier kann ich rasen. Ich fahr hier seit 25 Jahren, da kommt nie einer aus der Ausfahrt" Das ist kein gutes Argument. War ja auch die Antwort von meinem Ausbilder... Habe selbst die Fragestellung nicht richtig verstanden. Zitieren
A1exR Geschrieben 23. Januar 2020 Autor Geschrieben 23. Januar 2020 vor 4 Minuten schrieb _n4p_: 1) Falsche Antwort. Das System gibt es noch gar nicht, daher sind Aussagen über die Vergangenheit irrelevant. Es ging auch eher darum was genau DU auf dem System machen musst um die Daten zum Antragsteller zu finden und herausfinden was damit passiert ist. 2) kannst du das Log nach den Daten von Max Müller durchsuchen? ist das revisionssicher? du brauchst backups von dem log. keine ahnung wie lange das log zurückreicht, aber vermutlich ist es zu kurz. 3) wie protokolliert veeam bitte wer das backup-tape letzten Monat von A nach B getragen hat? 1. Ah okay so kommt Licht ins Dunkle. 2. Guter einwand... Wie sollte man das denn sonst lösen? 3. ein Backup-Tape benutzen wir nicht. Es liegt alles nur auf dem Backup Server. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.