Archiv der Kategorie: Blog

Blog

Hackerangriff auf auf Wertachkliniken in Schwabmünchen und Bobingen (Bayern): Betrieb massiv eingeschränkt; Operationen abgesagt

2. September 2024 gesunde_daten Schreibe einen Kommentar

In der Nacht zum 01.09.2024 haben Hacker die IT-Systeme der Wertachkliniken in Bobingen und Schwabmünchen lahmgelegt. Laut ersten Analysen wurden Zugriffe auf das EDV-Hauptsystem blockiert, was den regulären Klinikbetrieb massiv beeinträchtigt. Um den Schaden zu minimieren, wurde der Betrieb auf eine analoge Notfallstruktur umgestellt. Die für den 02.09.2024 in Bobingen geplanten Operationen wurden vorsorglich abgesagt, weitere Absagen könnten folgen.

Ob die Täter ein Lösegeld fordern oder sensible Daten gestohlen wurden, ist derzeit unklar. Erste Maßnahmen zur Sicherung und Analyse der Daten seien umgehend eingeleitet worden.

Die Wiederaufnahme des regulären Betriebs sei derzeit nicht absehbar. Die Klinikleitung arbeitet nach eigenen Angaben mit Hochdruck daran, zumindest die wichtigsten Abläufe zeitnah wiederherzustellen. Nach dem Vorfall sollen umfassende Maßnahmen zur Erhöhung der IT-Sicherheit entwickelt werden. Diese sollen erst nach einer gründlichen Analyse des Angriffs beschlossen werden, um zukünftige Vorfälle zu verhindern. Hackerangriff auf auf Wertachkliniken in Schwabmünchen und Bobingen (Bayern): Betrieb massiv eingeschränkt; Operationen abgesagt weiterlesen →

Blog, Telematik-Infrastruktur

Nudging beim Widerspruch gegen die ePA bei der AOK

31. August 2024 bernhard 4 Kommentare

Uns erreicht ein Erfahrungsbericht eines AOK-Mitgieds, das von seiner Krankenkasse ein Informationsschreiben zum ePA-Optout erhalten hatte. Nudging beim Widerspruch gegen die ePA bei der AOK weiterlesen →

Blog

2.500 € Schadensersatz wegen unerlaubter Veröffentlichung von Gesundheitsdaten in einer Stellenausschreibung

21. August 2024 WS Schreibe einen Kommentar

Das hat das Verwaltungsgericht Stuttgart mit Urteil vom 20.06.2024 (Aktenzeichen: 14 K 870/22) entschieden.

Was ging dem voraus?

Eine Stadtverwaltung in Baden-Württemberg machte eine Stellenausschreibung, in der u. a. folgende Passagen enthalten waren: „Aufgrund eines amtsärztlichen Gutachtens zur Untersuchung der Dienstfähigkeit des bisherigen Amtsinhabers hat der Gemeinderat der Stadt P. der Einleitung eines Verfahrens zur Versetzung in den Ruhestand wegen festgestellter Dienstunfähigkeit sowie der Wiederbesetzung der Amtsleiterstelle zugestimmt. Deshalb suchen wir eine/n neue/n Leiter/in des
Hauptamts… Die Stelle ist in Besoldungsgruppe A 13 ausgewiesen. Eine Einweisung in die Planstelle bzw. Beförderung kann erst nach Abschluss des Verfahrens zur Versetzung des bisherigen Amtsinhabers in den Ruhestand erfolgen…“ 2.500 € Schadensersatz wegen unerlaubter Veröffentlichung von Gesundheitsdaten in einer Stellenausschreibung weiterlesen →

Blog, Newsletter-Archiv

Newsletter 2024-08

4. August 2024 gesunde_daten Ein Kommentar

Sehr geehrte Damen und Herren, liebe Vereinsmitglieder,

hier ist unser Newsletter für August 2024 mit folgenden Themen:

1.
Das Bündnis von Ärzt*innen und Versicherten und Vertreter*innen einschlägiger Organisationen, das in Sachen opt-out-ePA gegründet wurde, betreibt inzwischen eine informative Homepage.
Auf der Website https://widerspruch-epa.de können Sie erkennen,

welche Gruppen und Personen bereits Teil dieses Bündnisses sind,
welche Informationen und
welche Hilfestellungen

angeboten werden.
Für den 12.08.2024 19.00 Uhr wurde das nächste Online-Treffen des Bündnisses vereinbart. Wer daran teilnehmen möchte, kann dann gerne ohne Anmeldung unter https://public.senfcall.de/epa teilnehmen.

2.
Die Techniker Krankenkasse (TK) hat begonnen, ihre Versicherten schriftlich über die Einführung der ePA zu informieren. Ungenügend, manipulativ, rechtswidrig, nicht barrierefrei – wie in einem Beitrag auf unserer Homepage festgestellt wird – https://patientenrechte-datenschutz.de/informationsschreiben-der-techniker-krankenkasse-zur-elektronischen-patientenakte-ungenuegend-manipulativ-rechtswidrig-nicht-barrierefrei/

3.
Hinweisen möchten wir auch auf folgende Veröffentlichungen auf unserer Homepage:

3.1.

Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen Patientenakte (ePA) mit mehr als 400 Registern mit Gesundheitsdaten – https://patientenrechte-datenschutz.de/bundesgesundheitsministerium-plant-verknuepfung-der-daten-aus-der-elektronischen-patientenakte-epa-mit-mehr-als-400-registern-mit-gesundheitsdaten/

4.
Wenn Sie aktiver mitdiskutieren und mitarbeiten möchten:

Mindestens monatlich gibt es Aktiventreffs per Videokonferenz, wo unsere Veranstaltungen, Veröffentlichungen und sonstigen Aktivitäten besprochen werden. Die Termine werden auf Anfrage bekanntgegeben.
Wenn Sie Interesse an einer Teilnahme haben melden Sie sich bitte per E-Mail an. Unsere E-Mail-Adresse ist kontakt@patientenrechte-datenschutz.de.
Mails an uns können Sie mit OpenPGP verschlüsseln, Sie müssen das aber nicht. Unser öffentlicher Schlüssel ist hier zu finden: https://patientenrechte-datenschutz.de/patientenrechte-und-datenschutz/kontakt/

Wir würden uns freuen, wenn Sie uns mitteilen, ob dieser Newsletter für Sie informativ oder hilfreich war.

Mit freundlichen Grüßen
Vorstand des Vereins Patientenrechte und Datenschutz e. V.

Blog, Telematik-Infrastruktur

Informationsschreiben der Techniker Krankenkasse zur elektronischen Patientenakte: Ungenügend, manipulativ, rechtswidrig, nicht barrierefrei

16. Juli 2024 gesunde_daten 10 Kommentare

Dieser Tage hat die Techniker Krankenkasse (TK) begonnen, ihre 11,6 Mio. Versicherten über die Einführung der elektronischen Patientenakte (ePA) „für alle“ zu informieren.

Dazu ist festzustellen:

Das Schreiben ist hochgradig manipulativ: Im ersten Absatz wird mitgeteilt, dass die ePA kommt; die Versicherten nichts zu tun brauchen und sich die TK um alles kümmert. Eine halbe Wahrheit, die auf Grund unzureichender Kenntnisse vieler Versicherter zu einer ganzen Lüge mutieren kann. Erst weiter unten im Text wird mitgeteilt, dass der Bereitstellung der ePA individuell widersprochen werden kann. Dass die Versicherten für ihren Widerspruch ein Zeitfenster von 6 Wochen Dauer haben, fehlt im Schreiben der TK.
Der Inhalt des Schreibens ist unzureichend und damit rechtswidrig: Die gesetzlichen Neuregelungen zur ePA (§ 343 Abs. 1a SGB V) verlangen von den Krankenkassen, dass diese ausnahmslos alle ihre Versicherten über die gesetzliche Neuregelung informieren müssen und ihnen „bevor sie ihnen eine elektronische Patientenakte… zur Verfügung stellen, umfassendes und geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen (haben)…“. § 343 SGB V benennt insgesamt 24 vd. Themen, zu denen die Krankenkassen informieren müssen. Diese Anforderungen erfüllt das Schreiben der TK in keiner Weise.
Das Schreiben ist nicht barrierefrei im Sinne des § 4 Behindertengleichstellungsgesetz (BGG). Was unter dieser gesetzlichen Definition von Barrierefreiheit im Einzelnen zu verstehen ist, erläutert die Bundesfachstelle Barrierefreiheit auf ihrer Homepage.
Das Schreiben schließt Menschen von wesentlichen Informationen aus, die nur analoge Informationsquellen nutzen können oder wollen: Der lapidare Hinweis „Mehr zur ePA finden Sie auf tk.de/epa2025“ schließt alle Versicherten, die – aus welchen Gründen auch immer – ohne digitale Kommunikationsmittel leben (müssen), von weiteren Informationen zur ePA aus. Und was die TK auf ihrer Homepage in einer 43-seitigen pdf-Datei mitteilt, ist zwar umfangreich, aber nicht geeignet, Informationen in „leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei“ zur Verfügung zu stellen.

Setzen! Sechs!

Oder ein Fall für eine Beschwerde beim Bundesamt für Soziale Sicherung (BAS), das Aufsichtsbehörde für die bundesweit tätigen Krankenkassen ist.

Blog, Telematik-Infrastruktur

Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen Patientenakte (ePA) mit mehr als 400 Registern mit Gesundheitsdaten

8. Juli 2024 gesunde_daten Schreibe einen Kommentar

In Deutschland gibt es derzeit mehr als 400 Register mit Gesundheits- und Behandlungsdaten. Geführt werden sie von Forschungseinrichtungen, Krankenhäusern, öffentlichen Einrichtungen und privatwirtschaftlich organisierten Gesellschaften und Vereinen. Die Strukturen und Formen sind unterschiedlich. Nur wenige davon sind spezialgesetzlich geregelt oder basieren auf allgemeinen gesetzlichen Grundlagen. Die meisten stützen sich bei der Datenverarbeitung auf Einwilligungen. Manche stammen aus abgeschlossenen Forschungsvorhaben, andere werden auf Patienteninitiative oder von Fachgesellschaften zu bestimmten Erkrankungen betrieben; nicht alle werden noch aktiv genutzt. Ihre Rechtsgrundlagen basieren neben der DSGVO auf einer Vielzahl unterschiedlicher Bundes- und Landesgesetze (z. b. den unterschiedlichen Krankenhausgesetzen der 16 Bundesländer). Die Register werden tw. bundesweit, tw. nur regional mit Daten befüllt und dienen unterschiedlichen Zwecken, z. B. Bundesgesundheitsministerium plant Verknüpfung der Daten aus der elektronischen Patientenakte (ePA) mit mehr als 400 Registern mit Gesundheitsdaten weiterlesen →

Blog

Netzwerk Datenschutzexpertise: IT-Dienstleistungsunternehmen BinDoc betreibt illegale Krankenhausfalldatenbank

1. Juli 2024 gesunde_daten Schreibe einen Kommentar

In einem Gutachten kommt das Netzwerk Datenschutzexpertise zu dem Ergebnis, dass der IT-Dienstleister BinDoc aus Tübingen unter Verletzung des Datenschutzes und des Patientengeheimnisses von Krankenhäusern pseudonymisierte Falldaten einsammelt und diese kommerziell weitervermarktet.

BinDoc-Eigenwerbung

Krankenhäuser sind nach § 21 Krankenhausentgeltgesetz verpflichtet, diese Fall-Beschreibungen zu erstellen und für gesetzlich eng definierte Zwecke bereitzustellen. BinDoc bietet Krankenhäusern einerseits an, diese personenbeziehbaren hochsensitiven Gesundheitsdaten für eigene Wirtschaftlichkeits- und Marktanalysen auszuwerten und mit den Daten anderer Krankenhäuser zu vergleichen. Das Unternehmen speichert die Daten der Auftraggeber daher – in vorgeblich anonymisierter Form – um sie für eigene Analysen sowie für andere Auftraggeber zu nutzen.

Diese Dienstleistungen werden von einer Reihe prominenter Krankenhäuser in Anspruch genommen. Unter den Auftraggebern befinden sich sogar staatliche Stellen bis hin zum Bundesgesundheitsministerium. Es ist erstaunlich, wie sehr sich diese Auftraggeber offensichtlich auf die Behauptung des Unternehmens verlassen, es verarbeite nur anonymisierte Daten, obwohl diese Behauptung schon bei genauer Betrachtung der publizierten Dokumente offensichtlich falsch ist.

Tatsächlich verarbeitet BinDoc institutionsübergreifend bundesweit die Patientendaten in pseudonymisierter Form und speichert diese in einer Datenbank, in der nach eigenen Angaben ca. 17 Millionen Behandlungsfälle gespeichert sind. Wenig Zusatzwissen genügt, um die Falldaten zu reidentifizieren.

Karin Schuler vom Netzwerk Datenschutzexpertise: „Die Verantwortlichen der Krankenhäuser machen sich der Verletzung der ärztlichen Schweigepflicht strafbar. Die Speicherung in der zentralen Datenbank stellt eine massive Gefährdung der in den Krankenhäusern behandelten Patienten dar.“ Der Koautor des Netzwerks Thilo Weichert fordert: „Das illegale Vorgehen BinDocs muss grundlegend geändert werden. Krankenhäuser müssen ihre Praxis der Weitergabe der Patientendaten stoppen. Die eingeschaltete Datenschutzaufsicht – der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg – muss umgehend tätig werden.“

Quelle: Pressemitteilung des Netzwerk Datenschutzexpertise vom 26.06.2024

Das Gutachten des Netzwerks Datenschutzexpertise, auf das sich die Pressemitteilung stützt, finden Sie hier.

Eine Übersicht über illegale Zugriffe auf Gesundheits- und Behandlungsdaten und andere (kleinere und größere) Datenpannen im Umgang mit Gesundheits- und Behandlungsdaten finden Sie hier.

Blog

Gesundheitsdaten von 148.000 Menschen in Schottland gehackt und im Darknet veröffentlicht

20. Juni 2024 Petra Schreibe einen Kommentar

Es muss schlimm stehen um die Gesundheits- und Behandlungsdaten der 148.000 Menschen in der schottischen Region Dumfries and Galloway. Der National Health Service (NHS – Nationaler Gesundheitsdienst) Dumfries and Galloway lässt zwischen dem 18. und 22.06.2024 Flyer (Seite 1, Seite 2) an alle Einwohner verteilen, um über die entstandenen Probleme zu informieren.

Zuvor wurden über drei Monate hinweg scheibchenweise Informationen zu dem Hackerangriff und seinen Folgen bekannt gegeben.

Gesundheitsdaten von 148.000 Menschen in Schottland gehackt und im Darknet veröffentlicht weiterlesen →

Blog

Ransoware-Angriff auf Krankenhäuser in London mit großen Auswirkungen für die Patient*innen-Versorgung

18. Juni 2024 Petra Schreibe einen Kommentar

Eine Sprecherin des National Health Service (NHS) in der Region London eilte am 04.06.2024 lapidar mit: „Am Montag, den 3. Juni, wurde Synnovis, ein Anbieter von Labordienstleistungen, Opfer eines Ransomware-Cyberangriffs. „Dies hat erhebliche Auswirkungen auf die Erbringung von Dienstleistungen im Guy’s and St Thomas‘, im King’s College Hospital NHS Foundation Trusts und in der Primärversorgung im Südosten Londons… Wir arbeiten mit Hochdruck daran, die Auswirkungen des Vorfalls mit Unterstützung des Nationalen Cyber-Sicherheitszentrums der Regierung und unseres Cyber-Operations-Teams vollständig zu verstehen… Einige Aktivitäten wurden bereits abgesagt oder an andere Anbieter weitergeleitet, da dringende Arbeiten Vorrang haben.“

Zum Hintergrund informiert die britische Zeitung The Guardian am 06.06.2024: „Eine russischsprachige Ransomware-Kriminellengruppe namens Qilin soll hinter dem Cyberangriff auf den NHS-Anbieter für medizinische Dienstleistungen Synnovis stecken, der Tests und Operationen in Krankenhäusern zum Stillstand brachte und Hausärzte in ganz London betraf.“

Wie weit- und tiefgehend sich der Cyberangriff auf die Patient*innen-Versorgung in London auswirkt, macht eine Pressemitteilung des NHS London vom 14.06.2024 deutlich: Ransoware-Angriff auf Krankenhäuser in London mit großen Auswirkungen für die Patient*innen-Versorgung weiterlesen →

Blog

Erneut erfolgreicher Hackerangriff auf Krankenhaus: Diesmal in Agatharied in Bayern

18. Juni 2024 Klaus-Peter Powidatschl Schreibe einen Kommentar

Das Krankenhaus Agatharied im Landkreis Miesbach (Bayern) wurde Opfer eines Hackerangriffs. Das meldet die Münchener Zeitung Merkur am 18.06.2024. Auf der Homepage des Krankenhauses ist zum Zeitpunkt der Veröffentlichung dieses Betrags noch keine Information zu finden.

Der Merkur zitiert in seinem Bericht den CSU-Landrat Olaf von Löwis mit den in solchen Fällen üblichen Sätzen: „‚Das ist ein dickes Brett, wirft uns gehörig um… Wir werden alles tun, um die Folgen schnellstmöglich in den Griff zu bekommen‘, versicherte Löwis. Und betonte auch mit Nachdruck, dass das Krankenhaus immer alles für die Datensicherheit getan habe, was möglich war. ‚Es wurde alles, was notwendig war, umgesetzt‘, sagte Löwis. Dass es dennoch einigen ‚Idioten‘ gelungen sei, in die Systeme einzudringen, verdeutliche die große Gefahr, die in der heutigen Zeit von Cyberkriminellen ausgehe.“ Erneut erfolgreicher Hackerangriff auf Krankenhaus: Diesmal in Agatharied in Bayern weiterlesen →

Patientenrechte und Datenschutz e.V.