Archiv der Kategorie: Blog

Riesige Datenpanne: Corona-Testergebnisse von 400.000 Menschen in der Slowakischen Republik ungesichert im Internet zugänglich

Wegen eines Datenlecks im staatlichen Gesundheitssystem der sind persönliche Daten von nahezu 400.000 auf das Coronavirus getesteten slowakischen Bürgern ungesichert ins Internet geraten. Es seien überhaupt keine speziellen Hackerkenntnisse notwendig gewesen, um an die Daten zu gelangen, erklärte einer der Sprecher einer Gruppe sogenannter ethischer Hacker. Er und seine Kolleg*innen hätten probeweise die Datensätze von 130.000 Patienten heruntergeladen und dann die Behörde auf das Leck aufmerksam gemacht. Die Daten – unter anderem Namen, Geburtsdaten, Adressen, Testergebnisse, Krankheitsverläufe und andere Labordaten – wollten sie wieder löschen.

Quelle: Meldung des Redaktionsnetzwerk Deutschland (RND) vom 18.09.2020

Das wird so nix: ePA 2.0 droht bei Berechtigungsvergabe zu scheitern

Unter dieser Überschrift kritisiert Mark Langguth, von 2007 – 2019 Leiter der Abteilungen Spezifikation sowie Produktmanagement bei der gematik und fachverantwortlich für die elektronische Patientenakte (ePA), seitdem tätig als freier Berater für nutzerzentrierte Prozessdigitalisierungen und Softwareentwicklung im Gesundheitswesen, im Internet-Magazin E-HEALTH-COM das Konzept für zweite Ausbaustufe der elektronischen Patientenakte (ePA), die am 01.01.2022 beginnen soll. Das wird so nix: ePA 2.0 droht bei Berechtigungsvergabe zu scheitern weiterlesen

Deutschland und das Genomprojekt der EU

Deutschland ist am 16.01.2020 der 1+Million Genomes Initiative der EU beigetreten, meldete am gleichen Tag – von der Öffentlichkeit weitgehend unbeachtet – das Bundesministerium für Bildung und Forschung. Als Ziel des Projekts beschreibt die weitgehend ohne Fortune agierende Ministerin Anja Karliczek (CDU) die einen sichereren und geregelten Zugang zu mindestens einer Million kompletter Genomsequenzen und weiterer Gesundheitsdaten“ in Deutschland und EU-Europa zu ermöglichen.

Warum ist es wichtig, ‚eine Million Genome‘ (auf EU-Ebene) zu kennen?

fragt die Ministerin und beantwortet diese Frage mit dem Hinweis auf einen „Datenschatz“ (nicht Datenschutz) wie folgt: Der umfassende Zugang zu Genomdaten und anderen medizinischen Daten kann die Erforschung und Behandlung von Krankheiten entscheidend voranbringen… Je mehr Daten zur Verfügung stehen, desto spezifischer und belastbarer sind die Erkenntnisse. Durch die ‚1 + Million Genomes Initiative‘ sollen die Daten aus regionalen, nationalen und themenspezifischen internationalen Projekten systematisch zusammengeführt werden – unter der strengen Beachtung von Datenschutz und Datensicherheit. Die enorme Datenmenge wird zu einem tieferen Verständnis  von Krankheitsmechanismen beitragen und neue Wege für die Diagnostik, Prävention und personalisierten Behandlung aufzeigen. Bis zum Jahr 2022 sollen EU-weit eine Million Genomdaten zugänglich sein, in den folgenden Jahren soll dieser Datenschatz aber noch weiter wachsen…“ Wie „Datenschutz und Datensicherheit“ gewärleistet werden sollen, darüber schweigt sich die Bundesbildungsministerin leider aus.

Genauer beschrieben wird das Projekt mit dem Namen genomDE in einer Veröffentlichung des Bundesgesundheitsministeriums von Januar 2020: Beim Aufbau eines nationalen Genommedizin-Programms kann Deutschland von den Erfahrungen anderer Länder profitieren. Wegen seines „Genomics England“-Programms und der Einbindung der genetischen Diagnostik in die Krankenversorgung (National Health Service – Genomic Medicine) muss England unbestritten als international führend auf dem Gebiet der Genommedizin gelten. Die Entwicklungen in England dienten dementsprechend als Vorbild…“ Dass Großbritannien kein Vorbild sein kann im Bereich des Schutzes von Gesundheitsdaten, wird tunlichst nicht erwähnt. Dass das Thema Datenschutz in der Veröffentlichung nicht auftaucht, darf daher nicht verwundern.

In einem Beitrag in der WELT vom 11.09.2020 unter der Überschrift „Man sollte sich von dem Gedanken lösen, dass unser Genom uns allein gehört“ wird die Richtung deutlich, in die der Hase laufen soll. Der Humangenetiker Hans-Hilger Ropers beantwortet die Frage „Bei genomDE sollen die Daten pseudonymisiert gespeichert werden. Warum nicht anonymisiert?“ wie folgt: Grundlagenforschung lässt sich grundsätzlich auch mit anonymisierten Daten betreiben, solange die klinischen Informationen und die Genomdaten miteinander verbunden bleiben… Aus diesem Grund brauchen wir auch unbedingt eine zentrale Datenbank… Die weitreichenden Bedenken vieler Datenschützer werden übrigens nach meiner Erfahrung von den meisten Ratsuchenden nicht geteilt. Nach jahrelanger Odyssee von Krankenhaus zu Krankenhaus geht es ihnen darum, endlich eine richtige Diagnose zu erhalten und zu erfahren, woran sie sind, im Hinblick auf den Krankheitsverlauf, Behandlungsoptionen und die weitere Familienplanung… Überhaupt sollte man sich von dem Gedanken lösen, dass unser Genom uns allein gehört. Wir teilen es zur Hälfte mit unseren Eltern und Kindern und in geringerem Umfang mit allen anderen Verwandten.“

Genau deshalb ist es aber um so wichtiger, darauf hinzuweisen, dass der Zugriff Dritter auf nicht-anonymisierte Genom-Daten eine Gefahr für den betroffenen Menschen und seine Verwandten, insbesondere seine nachfolgenden Generationen darstellt.

Uniklinik Düsseldorf: Massiver Netzwerkausfall – Patientenversorgung eingeschränkt – Möglicher Hackerangriff wird geprüft

In den Morgenstunden des 10.09.2020 sind größere Teile der IT-Systeme des Universitätsklinikums Düsseldorf nach und nach nicht mehr nutzbar gewesen. Für den Krankenhausbetrieb hat dies weitreichende Folgen, denn für viele Prozesse sind Tätigkeiten im Computersystem notwendig. Uniklinik Düsseldorf: Massiver Netzwerkausfall – Patientenversorgung eingeschränkt – Möglicher Hackerangriff wird geprüft weiterlesen

Schluss mit lustig! – Kassenärztliche Vereinigung Hessen lehnt Digitalisierung per „Steinzeitkonnektor“ ab

Diese Botschaft ist Kern einer Stellungnahme, die Frank Dastych und Dr. Eckhard Starke, Vorstandsvorsitzender bzw. stv. Vorstandsvorsitzender der Kassenärztlichen Vereinigung Hessen (KVH) in der neuesten Ausgabe des Servicemagazins für KVH-Mitglieder (dort S. 3) abgegeben haben.

Schluss mit lustig! Es reicht. Das Maß ist voll. Nicht nur bei Ihnen, sondern auch bei uns! Angesichts der jüngsten Entwicklungen in der gematik und der Telematikinfrastruktur (TI) macht sich bei Ihnen wie auch uns großer Unmut breit und wir als KV-Vorstand sind nicht länger bereit, die TI in ihrer jetzigen Ausgestaltung weiter mit zu tragen.“ Schluss mit lustig! – Kassenärztliche Vereinigung Hessen lehnt Digitalisierung per „Steinzeitkonnektor“ ab weiterlesen

Der Bundesdatenschutzbeauftragte nimmt Stellung zu den Folgen der Gesetzgebung des PDSG

Am 19. August nimmt der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber in ungewöhnlich deutlicher Form Stellung zu den Folgen der Gesetzgebung mit dem irreführenden Titel “Patientendatenschutzgesetz” aus dem Hause Spahn. Wir bringen hier seine Pressemitteilung im Wortlaut:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber weist auf die Folgen einer europarechtswidrigen Verarbeitung personenbezogener Gesundheitsdaten als Folge des Patientendaten-Schutz-Gesetzes (PDSG) hin: Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte. Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).Der BfDI hat in seinen Stellungnahmen während des Gesetzgebungsverfahrens mehrfach darauf hingewiesen, dass Patientinnen und Patienten bei Einführung der ePA die volle Hoheit über ihre Daten besitzen müssen. Hier weist das vom Deutschen Bundestag beschlossene PDSG, das derzeit im Bundesrat beraten wird, Defizite auf: Gesundheitsdaten offenbaren intimste Informationen über die Bürgerinnen und Bürger. Deswegen sind sie in der europaweit geltenden DSGVO auch besonders geschützt. Sollte das PDSG unverändert beschlossen werden, muss ich die meiner Aufsicht unterliegenden gesetzlichen Krankenkassen mit rund 44,5 Millionen Versicherten formell davor warnen, die ePA nur nach den Vorgaben des PDSG umzusetzen, da dies ein europarechtswidriges Verhalten darstellen würde. Außerdem bereite ich in diesem Zusammenhang weitere Maßnahmen vor, um einer europarechtswidrigen Umsetzung der ePA abzuhelfen. Nach der DSGVO stehen mir dazu neben Anweisungen auch Untersagungen zur Verfügung.

Das PDSG sieht nur für Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA vor, nämlich eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können. Und selbst diese Möglichkeit soll es erst ein Jahr nach Einführung der ePA geben. Das bedeutet, dass 2021 keine Steuerung auf Dokumentenebene vorgesehen ist. Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen. Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen. Beispielsweise könnte der behandelnde Zahnarzt alle Befunde des konsultierten Psychiaters sehen.

Dass es die für den Start der ePA am 1.1.2021 maßgebenden Spezifikationen den Krankenkassen nicht ermöglichen, ihren Versicherten über die gesetzlichen Vorgaben hinausgehend einen sogenannten feingranularen Zugriff auf die von den Leistungserbringern gespeicherten Inhalte der ePA zu gewähren, sieht der Bundesbeauftragte mit Unverständnis: Digitalisierung kann niemals Selbstzweck sein. Der Schutz der Versicherten und ihrer Gesundheitsdaten muss immer im Vordergrund stehen.

Darüber hinaus ist im PDSG für die Menschen, die das so genannte Frontend auf Handy oder Tablet nicht nutzen können oder wollen, keine eigenständige Einsicht in die ePA und auch keine Prüfung von erfolgten Zugriffen auf die Daten geregelt. Ab 2022 soll alternativ für diese Frontend-Nicht-Nutzenden eine vertretende Person die Steuerung und Einsicht vornehmen können, der die Versicherten dann aber volle Kontrolle über ihre Daten einräumen müssten.

Der BfDI stellt sich entschieden gegen diese Ungleichbehandlung beim Grundrecht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung: Die ePA ist ein wichtiger Schritt zu weiteren Verbesserungen in der Gesundheitsversorgung. Die dabei anfallenden Gesundheitsdaten benötigen ein Datenschutzniveau, wie es die DSGVO vorschreibt und wie es seit Jahren in Deutschland für die ePA fest vereinbart war. Das PDSG in seiner aktuellen Form wird dem nicht ausreichend gerecht. Als zuständige Aufsichtsbehörde für einen Großteil der gesetzlichen Krankenkassen werde ich deshalb mit den mir zur Verfügung stehenden aufsichtsrechtlichen Mitteln dafür Sorge tragen, dass diese Krankenkassen mit der von ihnen angebotenen ePA nicht gegen europäisches Recht verstoßen.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA, mit dem sich Versicherte per Frontend anmelden. Dieses ist bisher aus Datenschutzsicht nicht ausreichend sicher und entspricht nicht den Vorgaben der DSGVO. Der BfDI bereitet entsprechende Warnungen und Weisungen vor, damit die Krankenkassen nur nach Nutzung eines nach Stand der Technik hochsicheren Authentifizierungsverfahrens Zugriffe auf Gesundheitsdaten erlauben. Dies gilt insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte (so genannte alternative Authentifizierungen), für die eine gewährte Übergangsfrist im Mai 2021 abläuft.

Der BfDI ist zuständig für 65 gesetzliche Krankenkassen. Eine Liste der betroffenen Krankenkassen ist auf der Internetseite des BfDI abrufbar.
———————————————————————-

Artikel auf www.bfdi.bund.de: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/20_BfDI-zu-PDSG.html

 

Die Tricksereien des Bankkaufmanns

Oberster Datenschützer und 73 Mio. Bürger ausgetrickst“, so titelt Telepolis am 5. August 2020.

Und es ist nicht weniger als ein Skandel, den Brigitta Engel und Florian Rötzer hier zur Sprache bringen.

Was ist geschehen? “… der Wortlaut des Änderungsantrags, den die Bundesregierung der obersten Bundesbehörde für Datenschutz in Form einer sog. Formulierungshilfe zur Stellungnahme vorgelegt hatte, stimmte nicht überein mit dem Wortlaut des im Gesundheitsausschuss tatsächlich zur Abstimmung vorgelegten Änderungsantrags”.

Im Entwurf, der dem Bundesbeauftragen für Datenschutz und Information vorlag, war noch ein Einwilligungsvorbehalt enthalten, der im tatsächlich zu Abstimmung gelangten Fassung wieder entfernt wurde. So etwas darf nicht passieren! Hierdurch muss ja geradezu der Eindruck entstehen, dass der BfDI und die Öffentlichkeit ausgetrickst wurden, indem dem BfDI eine Fassung vorgelegt wird, die aus Sicht von Bürgerrechten gerade noch so aktzeptabel ist, dann aber eine Fassung verabschiedet wird, die unsere Bürgerrechte im Nachhinein pulverisiert.

Die Autoren kommen zu dem Schluss:

Um Missverständnissen vorzubeugen: Das Gesetz heißt “Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur”. Obwohl es die datenschutzrechtlichen Regelungen zur elektronischen Patientenakte enthält, wurde durch einen Änderungsantrag von CDU/CSU und SPD zu diesem Gesetz auch eine bereits mit dem Digitale-Versorgung-Gesetz beschlossene Regelung zu Lasten des Datenschutzes geändert. Wir verweisen zur Einordnung auf unseren vorangegangenen Artikel. Wir kürzen das Gesetz “EPA-Datengesetz” oder “EPA-Gesetz” ab. Die von der Bundesregierung angebotene Abkürzung: “Patientendaten-Schutz-Gesetz” enthält bereits eine Bewertung, die wir nicht kritiklos weiter verbreiten. (s. ebenso “Das Gute-KiTA-Gesetz” oder das “Starke-Familien-Gesetz”.)

Ein solcher Gesundheitsminister ist nicht tragbar! An diese Position gehört jemand, der die berechtigten Schutzinteressen der Versicherten ernst nimmt und nötigenfalls auch die ihm unterstellte Behörde neu strukturiert, dass solche Unsäglichkeiten nicht mehr passieren können.

Ärzte rebellieren geschlossen gegen Spahns Digitalisierungspläne

Wie das Handelsblatt am 24. 7. 2020 berichtet, stellen sich die Kassenärztliche Bundesvereinigung (KBV) und alle 17 Kassenärztlichen Vereinigungen (KV) gegen die Digitalisierungspläne des Bundesgesundheitsministers. Aufgrund massiver Störungen in der Telematikinfrastruktur seit nunmehr fast zwei Monaten stellen die Ärzteorganisation die Forderungen auf, dass ein Ersatzverfahren für die TI  geschaffen werden müsse. Zudem sei es vor allem für kleinere Praxen nicht umsetzbar, den “Grundschutz des Bundesamt für Sicherheit und Informationstechnik BSI” zu realisieren.

Offenbar ist man von dem Konstrukt Gesundheitsministerium mit der Unterabteilung gematik, das die Umsetzung bei der Industrie beauftragt so wenig überzeugt, dass geforder wird Bei der Entwicklung der digitalen Lösungen will sich die Ärzteschaft von der Industrie unabhängig machen, indem KBV und die KVen die Möglichkeit bekommen sollen, eigene IT-Systeme zu entwickeln.

Der bisher schwelende Konflikt, an dem sich bisher “nur” ein großer Teil der KVen beteiligt hat, hat sich damit zu einem Flächenbrand ausgeweitet. Es stellt sich die Frage, ob ein Gesundheitsminister, der dieses Fiasko zu verantworten hat, noch tragbar ist.

„Der Kampf gegen falsche Diagnosen“ – ein Bericht über fehlerhafte Datenspeicherungen bei Krankenkassen

Quelle: Kieler Nachrichten

In diesem Beitrag der Kieler Nachrichten vom 14.07.2020 kommt eine Versicherte zu Wort, die bei ihrer Krankenkasse eine Datenauskunft über sich, ihre ärztlichen Behandlungen und Diagnosen angefordert und erhalten hat. Sie musste zu ihrem Entsetzen feststellen, dass in mehreren Fällen schwerwiegende fehlerhafte Angaben zu ihrer Krankengeschichte gespeichert wurden. „Der Kampf gegen falsche Diagnosen“ – ein Bericht über fehlerhafte Datenspeicherungen bei Krankenkassen weiterlesen

Elektronische Patientenakte: „Entweder alles ist zu sehen oder nichts“ – ein Interview der jungen Welt mit Dr. Bernhard Scheffold

Dr. Bernhard Scheffold, Physiker und Informatiker, ist einer der Vorsitzenden des Vereins Patientenrechte und Datenschutz e. V.. Mit der Fragestellung Was kommt auf Patienten zu, wenn die Anfang Juli vom Bundestag gesetzlich beschlossene elektronische Gesundheitsakte ab 2021 für alle zur Verfügung stehen soll? beginnt ein Interview, in dem verschiedene Aspekte der gesetzlichen Neuregelungen besprochen werden. Elektronische Patientenakte: „Entweder alles ist zu sehen oder nichts“ – ein Interview der jungen Welt mit Dr. Bernhard Scheffold weiterlesen