Norwegen und Lettland: Zentrale Speicherung von Gesundheits- und Patientendaten (un)sicher?

Zwei Nachrichten aus den letzten Tagen sollten Verfechter einer zentralisierten Datenhaltung im Gesundheitswesen zum Nachdenken bringen.

Norwegen:

Heise online berichtet am 18.01.2017: “Bei der norwegischen Gesundheitsbehörde Helse sørøst gab es einen Sicherheitsvorfall. Dabei hatten Hacker offenbar Zugriff auf Akten von 3 Millionen Patienten… Zum jetzigen Zeitpunkt ist unbekannt, wie die Hacker in das System eingedrungen sind. Unklar bleibt auch, ob die Angreifer noch Zugang zu dem attackierten Netzwerk haben… Einem Sprecher zufolge handelt es sich bei den Angreifern um erfahrene und professionelle Hacker. Die Chefin der Gesundheitsbehörde spricht von einer ‘sehr ernsten’ Situation…”

Lettland: Norwegen und Lettland: Zentrale Speicherung von Gesundheits- und Patientendaten (un)sicher? weiterlesen

Datenpanne? Versendet die BKK VBU elektronische Gesundheitskarten mit falschen Namen und/oder falschen Fotos?

Fundsache! Ein Mitglied der BKK VBU teilt am 18.01.2017 auf Twitter mit: Hallo @BKK_VBU, meine Frau hat drei eGKs von euch geschickt bekommen. Davon zwei ohne Foto mit falschem Namen und eine mit ihrem Namen und falschem Foto? Datenschutzleck oder was ist da passiert?

Quelle: Twitter-Account von @scribty Datenpanne? Versendet die BKK VBU elektronische Gesundheitskarten mit falschen Namen und/oder falschen Fotos? weiterlesen

Spectre und Meltdown – was beweist das für die Unsicherheit unserer Gesundheitsdaten

Anfang Januar 2018 wurde öffentlich, dass die meisten derzeit benutzten Prozessoren in Rechnern eine schwerwiegende Sicherheitslücke haben. Sie ermöglicht es, für jemanden, der Zugang zu einem Rechner hat, dort auch Daten abzugreifen, die er eigentlich nicht sehen darf. Besondere Rechte, wie Administrator-Rechte, sind dazu nicht erforderlich.

Es ist nämlich möglich, die Isolation, die die Speicherbereiche verschiedener Anwendungen auf einem Rechner voneinander trennt, zu umgehen. Dadurch könnte zum Beispiel ein Praxis-Mitarbeiter auf dem Rechner einer Ärztin eine Software starten, die regelmäßig Patientendaten aus ihrer Arzt-Software kopiert, auf die er keinen Zugriff hat, und sie unbemerkt irgendwo anders hin schreibt oder hin schickt. Oder: auf einem Server, über den zehntausende von Arzt-Abrechnungen laufen, kann ein Mitarbeiter des Rechenzentrums eine Anwendung starten, die diese Abrechnungen speichert, und sie an Pharma-Firmen verkaufen.

Diese Umgehung der Isolation von Speicherbereichen funktioniert durch planmässige Nutzung der “Ausführung ausser der Reihe” (“out of order execution”), die in allen modernen Prozessoren implementiert ist, um sie zu beschleunigen. Dabei werden Kommandos im Prozessor schon ausgeführt, bevor feststeht, ob und wozu das nötig ist. Dadurch konnte man auf Speicherbereiche zugreifen, bevor die Prüfung, ob man das darf, dagegen einschreiten konnte. Es ist nicht bekannt, ob das schon jemand genutzt hat, bevor es veröffentlicht wurde. Durch Software-Systemänderung kann das zukünftig unterbunden werden.

Es ist leicht zu verstehen, dass die Hälfte der Mitglieder von “Patientenrechte und Datenschutz e.V.” Programmierer sind. Wir wissen, Computer sind unsicher. Deshalb ist es uns zu gefährlich, mehr als ein paar tausend Patientenakten auf demselben Rechner zu haben. Weil ansonsten der finanzielle Anreiz, sich diese Daten mit irgendwelchen Manipulationen zu holen, in die hunderttausende EUR steigt. Dass solche Manipulationen verhindert werden können, kann man keinem von uns erzählen.

Meltdown und Spectre sind ein weiterer Beweis dafür.

Spectre und Meltdown – was beweist das für die Unsicherheit unserer Gesundheitsdaten weiterlesen

Neue Sicherheitslücken bei elektronischer Gesundheitskarte? – Freie Ärzteschaft fordert Stopp der Onlineanbindung der Arztpraxen

Die Freie Ärzteschaft (FÄ) fordert den Stopp des Onlineanschlusses der Arztpraxen und Kliniken an das zentrale IT-System im Gesundheitswesen. „Möglicherweise ist die Sicherheit der Patientendaten gefährdet“, sagte FÄ-Vizevorsitzende Dr. Silke Lüder am 10.01.2018 in Hamburg. Derzeit ist unklar, ob die für den Onlineanschluss benötigten sogenannten Konnektoren jene Prozessoren enthalten, die von den soeben bekanntgewordenen Sicherheitslücken Meltdown und Spectre betroffen sind.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Einführungsorganisation Gematik und das Bundesgesundheitsministerium müssten dies umgehend aufklären. Neue Sicherheitslücken bei elektronischer Gesundheitskarte? – Freie Ärzteschaft fordert Stopp der Onlineanbindung der Arztpraxen weiterlesen

Auf Leben und Tod? – oder: Hoch lebe der Algorithmus

Aus dem Beitrag Die Wege des Algorithmus sind unergründlich” in der Zeit online vom 03.01.2018:

“… Auch das von der Google-Mutter Alphabet mitfinanzierte Unternehmen Aspire Health hat einen Algorithmus entwickelt. Er soll darüber mitentscheiden, ob Schwerkranke noch eine Behandlung bekommen. Vor allem berechnet das Programm die Lebenserwartung des Patienten. Wenn er sowieso bald tot sein dürfte, so das Kalkül, braucht man auch kein Geld mehr für eine Therapie zu verschwenden. Wie genau der Algorithmus über Leben und Tod richten soll, ist aber nicht bekannt. Aspire Health hält den Code geheim…”

Schöne neue Google-Welt?

Nein! Ausdruck totaler Inhumanität!

Altersbestimmung bei Flüchtlingen: Präsident der Bundesärztekammer lehnt einen obligatorischen Alterstest grundsätzlich ab – “Röntgen ohne medizinische Indikation ist ein Eingriff in die körperliche Unversehrtheit”

In der vergangenen Woche stach ein junger Mann aus Afghanistan in Kandel (Rheinland-Pfalz) auf ein 15 Jahre altes Mädchen ein, das danach an seinen Verletzungen gestorben ist. Diese Tat hat eine Debatte über die Altersfeststellung bei minderjährigen AsylbewerberInnen ausgelöst. So fordert z. B. der bayrische Innenminister Joachim Herrmann (CSU) eine “strikte Regelung für eine medizinische Altersüberprüfung von allen ankommenden Flüchtlingen, die nicht klar als Kinder zu erkennen sind”.

Der Präsident der Bundesärztekammer, Frank Ulrich Montgomery, hat dazu einen entgegengesetzte Position entwickelt: “Die Untersuchungen sind aufwendig, teuer und mit großen Unsicherheiten belastet”, sagte er der Süddeutschen Zeitung. Dabei könnten weder medizinische noch psychologische Verfahren den Geburtstag juristisch sicher bestimmen. Montgomery lehnt einen obligatorischen Alterstest grundsätzlich ab. Altersbestimmung bei Flüchtlingen: Präsident der Bundesärztekammer lehnt einen obligatorischen Alterstest grundsätzlich ab – “Röntgen ohne medizinische Indikation ist ein Eingriff in die körperliche Unversehrtheit” weiterlesen

OrganspenderIn werden per Gesetz und ohne eigene Willensentscheidung? – Ärztekammer Westfalen-Lippe und Landesärztekammer Bayern fordern Änderung des Transplantationsgesetzes

Am 01.12.1997 verabschiedete der Deutsche Bundestag das Transplantationsgesetz (TPG), um Rechtssicherheit für SpenderInnen, EmpfängerInnen und allen an einer Organspende Beteiligten zu schaffen. § 3 Abs 1 TPG bestimmt: Die Entnahme von Organen oder Geweben ist… nur zulässig, wenn 1. der Organ- oder Gewebespender in die Entnahme eingewilligt hatte, 2. …” Damit soll (bei Beachtung der Ausnahmeregelung in § 4 TPG) sicher gestellt werden, dass jeder Mensch auch für den Zeitpunkt nach seinem Tod selbst bestimmen kann, ob seine Organe entnommen und für die Behandlung anderer Menschen  genutzt werden dürfen. Eine Organentnahme ohne Zustimmung ist damit – rechtsstaatliches Handeln vorausgesetzt – ausgeschlossen.

Diese Regelung scheint interessierten VertreterInnen der Ärzteschaft ein Dorn im Auge zu sein. Anders lässt es sich nicht erklären, dass sich in kurzem zeitlichen Abstand sowohl die Ärztekammer Westfalen-Lippe als auch die Landesärztekammer Bayern für eine Änderung der einschlägigen Bestimmungen einsetzen. OrganspenderIn werden per Gesetz und ohne eigene Willensentscheidung? – Ärztekammer Westfalen-Lippe und Landesärztekammer Bayern fordern Änderung des Transplantationsgesetzes weiterlesen

Wie kommen Gesundheitsdaten und Krankenakten in die Hände eines Inkassounternehmens?

Diese Frage stellt sich nach einem Bericht in der Süddeutschen Zeitung (SZ) vom 27.12.2017. Die Zeitung informiert: “Durch ein schwerwiegendes Datenleck beim Inkassounternehmen Eos sind Zehntausende sensible Schuldnerdaten in die Hände Dritter gelangt… Die Dokumente enthalten Namen der Gläubiger und Schuldner, ihre Meldeadressen und die Höhe der ausstehenden Forderungen. Betroffen sind Zehntausende Menschen, die größtenteils in der Schweiz leben. Die Dokumente reichen teilweise bis ins Jahr 2002 zurück… Ärzte schickten Eos ganze Krankenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen. Das Inkassounternehmen speicherte eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern. Aus diesen Daten lassen sich detaillierte Rückschlüsse auf das Leben der Schuldner ziehen…” Wie kommen Gesundheitsdaten und Krankenakten in die Hände eines Inkassounternehmens? weiterlesen

Auch 2018 ohne eGK zum Arzt – es ist weiterhin möglich

Wie Versicherte berichteten behaupten einzelne Arztpraxen, dass PatientInnen ab 2018 nur noch mit eGK behandelt werden können, weil dann das digitale Versicherten-Stammdatenmanagement Plicht sei.

Hier ist zu unterscheiden zwischen technischer und rechtlicher Situation:
Korrekt ist, dass das digitale Versichertenstammdatenmanagement nur mit funktionstüchtiger eGK möglich ist. Allerdings muss dazu auch die Arztpraxis nötige Technik besitzen. Die meisten Komponenten dafür müssen allerdings erst noch zertifiziert werden.
Falsch ist, dass Patienten ohne eGK nicht mehr behandelt werden dürfen oder dass deren Behandlung nicht mehr mit der Krankenkasse abgerechnet werden kann. In der Software auf den Praxiscomputern wird diese Möglichkeit auch künftig vorhanden sein – auch weil § 15 SGB V, Absatz 6 Ausnahmefälle regelt, in denen weiterhin das Ersatzverfahren angewendet wird.

Die rechtliche Situation ist im Vergleich zum Vorjahr unverändert: Ärzte können andere Versicherungsnachweise als die eGK (z.B. papiergebundene Ersatzbescheinigung) akzeptieren und so auch Patienten ohne eGK behandeln. Wenn sie das tun, wird die Krankenkasse die Behandlung auch bezahlen. Auch 2018 ohne eGK zum Arzt – es ist weiterhin möglich weiterlesen

Ravensburg: Patientenakten landen im Altpapiercontainer

Die Schwäbische Zeitung meldet am 21.12.2017: “103 Leitz-Ordner mit Krankenakten von Patienten der Oberschwabenklinik (OSK) sind offenbar ungeschreddert im Altpapiercontainer auf dem Ravensburger Wertstoffhof gelandet… Der Inhalt der Akten ist äußerst brisant. Sie enthalten nicht nur die kompletten Namen und Anschriften der Patienten, ihre Medikation und Behandlung, sondern auch sensible Details wie die Verweisung ins Zentrum für Psychiatrie nach einem Suizidversuch oder Angaben über Drogen- und Medikamentenmissbrauch…”

Und wie (fast) immer: Keiner will’s gewesen sein.

Patientenrechte und Datenschutz e.V.