Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen

Unter dem Titel Je mehr Kontakt mit dem Gesundheitssystem, umso offener für Digitalisierung“ veröffentlichte die Siemens-Betriebskrankenkasse (SBK) am 20.12.2021 in einer Pressemitteilung Ergebnisse einer von ihr in Auftrag gegebenen und bezahlten Umfrage zur Nutzung der elektronischen Patientenakte (ePA). Danach sollen „rund drei Viertel der chronisch beziehungsweise langfristig Erkrankten (74 Prozent) und älteren Menschen ab 55 Jahren (72 Prozent)… der Auffassung“ sein, „dass der Schutz von gesundheitsbezogenen Daten so gestaltet sein muss, dass ein digitaler Austausch von Daten zwischen Ärzt*innen und weiteren Akteur*innen des Gesundheitswesens unkompliziert möglich ist.“

Tatsächlich bewegt sich auch zu Beginn des Jahres 2022 nicht nur bei der SBK die Zahl der Inhaber*innen von ePA‘s im Promillebereich: Umfrage der Siemens-Betriebskrankenkasse zur elektronischen Patientenakte: Ein Musterbeispiel manipulativer Fragen und Bewertungen weiterlesen

Sicherheitslücke in elektronischer Patientenakte der Techniker Krankenkasse

Auf heise online wurde am 30.12.2021 als Vorabdruck ein Beitrag aus der Zeitschrift c‘t veröffentlicht, der auf schwerwiegende Sicherheitsmängel bei der elektronischer Patientenakte (ePA) der Techniker Krankenkasse (TK), die TK-Safe, hinweist.

Im Beitrag wird u. a. festgestellt: Ende November bekamen wir einen anonymen Tipp, dass die Android-Version 3.15.0 (Produktversion 3.1.0.13) der TK-App es über ihre Funktion TK-Safe erlauben würde, eigentlich verbotene Zip-Container in die ePA zu laden. Bei der anschließenden Prüfung gelang es uns tatsächlich, eine Zip-Datei in die ePA hoch- und wieder herunterzuladen. Eigentlich sollte die App einen solchen Upload durch eine Typ-Prüfung der Datei verhindern. Dazu kontrolliert sie aber offenbar nur dessen MIME-Typ in den Metadaten. Um dies zu umgehen, konstruierten wir einen Zip-Container ‚Röntgenbilder.zip‘, fügten die zusätzliche Endung ‚.txt‘ an und luden sie auf Google Drive hoch. Dieses stufte die Datei anhand der Dateinamensendung als MIME-Typ ‚text/plain‘ ein. Anschließend entfernten wir die .txt-Endung wieder aus dem Namen und konnten ‚Röntgenbilder.zip‘ vom Google Drive über TK-Safe als ‚Dokument ohne besondere Form‘ in die ePA hochladen… Aufgrund einer Sicherheitslücke… gelang es uns, eine verbotene Zip-Datei in die ePA hochzuladen.“ Sicherheitslücke in elektronischer Patientenakte der Techniker Krankenkasse weiterlesen

Newsletter 2025-01

Sehr geehrte Damen und Herren,
liebe Vereinsmitglieder,

unser Newsletter für Januar 2025 mit folgenden Themen:

Wir suchen neue Mitstreiter*innen und Aktivist*innen

Du bist Expertin oder Experte für Recht oder Informationsverarbeitung? Du hast Erfahrung mit, oder Interesse an Gesundheitsversorgung oder Medizin? Du sorgst Dich um den Schutz Deiner medizinischen Daten?
Dann lauf zu uns über! Wir brauchen dich dringend.
Oder du willst Hand anlegen bei der Veränderung der Verhältnisse im Gesundheitswesen, insbesondere im Bezug auf die Digitalisierungsprozesse. Für selbstgefällige Gruppen, die im eigenen Saft schmoren und dort glücklich sind, ist deine Zeit zu schade. Mit moralischen Geschichten gefüttert zu werden, findest du langweilig. Schrecklich fändest du es, anderen moralische Geschichten zu erzählen.
Dann komm zu uns! Wir brauchen dich!
Dass du dich mit Mitstreitenden vor allem am Computer triffst, und nicht live, damit kannst du leben.
Dann bist du bei uns richtig! Wir brauchen dich!

Wir sind ein kleiner Verein, der sich nach Jahren integrer Kleinarbeit jetzt im Herzen einer kleinen Massenbewegung befindet, die sich kritisch mit der Einführung der opt-Out-Patientenakte (ePA) auseinandersetzt. Viele Menschen wollen nicht, dass Informationen über ihre Körperlichkeit verschleudert werden. Das droht durch die (unmittelbar bevorstehende) Einführung der elektronischen Patientenakte (ePA) für alle; aber auch durch die in Kürze zu erwartenden Entscheidungen auf EU-Ebene zu EHDS (European Health Data Space – Europäischer Gesundheitsdatenraum). Derzeit erreichen uns viele Anfragen nach Plakaten und Flugblättern, nach Veranstaltungen und Büchern, es hageln Hilfsangebote und neue Anforderungen. Wir schätzen Mitstreitende und ihre Unterschiede, schaffen Strukturen, arbeiten strukturiert, machen Fehler, lernen daraus und brauchen dafür mehr Mitstreitende.

Für einen ersten Eindruck von uns benutze unsere Website als Sprungbrett: https://patientenrechte-datenschutz.de/
Melde dich bei uns, unter kontakt@patientenrechte-datenschutz.de.

Wir freuen uns auf dich
Die bisher schon Aktiven im Verein Patientenrechte und Datenschutz e. V.

ePA (elektronische Patientenakte):

1.
Es wird ernst: In Kürze werden uns und alle mehr als 74 Mio. gesetzlich krankenversicherten Menschen in Deutschland ohne eigenes aktives Zutun per Gesetz mit einer ePA „beglückt“. Der Widerstand entwickelt sich zwar sowohl unter Verbänden von Ärzt*innen und Psychotherapeutinnen, Versicherten, Datenschützer*innen und Verbraucherschützer*innen. Auch kritische Beiträge in den Medien sind zu finden. Aber noch immer dominieren die in Teilen schönfärberischen und in Teilen falschen Information über die ePA durch das Bundesgesundheitsministerium und die gesetzlichen Krankenkassen die Medien und das öffentliche Bewussstsein.

2.
Das Bündnis von Ärzt*innen und Versicherten sowie Vertreter*innen vd. einschlägiger Organisationen, das in Sachen opt-out-ePA gegründet wurde, bietet seit Ende September 2024 mit dem Widerspruchs-Generator die Möglichkeit, mit Hilfe dieses Generators (https://widerspruch-epa.de/widerspruchs-generator/) Widersprüche bei der jeweiligen Krankenkasse einzureichen. Dies wurde bereits von deutlich mehr als 10.000 Menschen genutzt, ist aber noch stark ausbaufähig.

3.
Für den 13.01.2025 19:00 Uhr wurde das nächste Online-Treffen des Bündnis Widerspruch-ePA vereinbart.Wer daran teilnehmen möchte, kann sich zum genannten Zeitpunkt einfach spontan einwählen unter https://public.senfcall.de/epa.

EHDS (European Health-Data-Space – Europäischer Gesundheitsdatenraum)

Der finale Gesetzestxt ist auf der Homepage der EU veröffentlicht: https://www.europarl.europa.eu/plenary/en/infos-details.html?id=1450&type=priorityInfo (Achtung: Der Text hat einen Umfang von mehr als 300 Seiten). Der Entwurf muss nur noch vom Ministerrat der EU abgesegnet und im Amtsblatt der EU veröffentlicht werden, dann ist ergeltendes Recht.

Mit freundlichen Grüßen und den besten Wünschen für das Jahr 2025
Der neu gewählte Vorstand des Vereins Patientenrechte und Datenschutz e. V.
A. Buss, B. Scheffold, U. Schmitt

Erster Erfolg für Kassenärztliche Vereinigung Bayern: Mehr als 50.000 Unterstützer*innen der Petition „Einjährige Testphasen für alle TI-Anwendungen einführen!“

Die Online-Petition der Kassenärztlichen Vereinigung Bayern (KVB) zu ausreichenden Testphasen für Anwendungen in der Telematikinfrastruktur (TI) hat das gesteckte Ziel von 50.000 Unterstützern in vier Wochen klar erreicht. Das teilte der Vorstand der Kassenärztlichen Vereinigung Bayerns (KVB) am 30.12.2021 in München mit.  Erster Erfolg für Kassenärztliche Vereinigung Bayern: Mehr als 50.000 Unterstützer*innen der Petition „Einjährige Testphasen für alle TI-Anwendungen einführen!“ weiterlesen

Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA)

Ein Versicherter, der Mitglied der DAK-Gesundheit ist, hat dem Verein Patientenrechte und Datenschutz e. V. und der Bürgerrechtsgruppe dieDatenschützer Rhein Main zur anonymisierten Veröffentlichung ein Schreiben überlassen, das er zu diesem Thema an das Bundesamt für Soziale Sicherung (BAS) gerichtet hat. Das BAS hat die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung.

In seinem Schreiben erklärt der Versicherte: „… als Mitglied der DAK-Gesundheit habe ich erwogen, ggf. die elektronische Patientenakte (ePA) der DAK zu beantragen. Beim Blick in die Bedingungen, die ich dafür akzeptieren müsste, habe ich aber gestutzt. In den ‚Allgemeinen Nutzungsbedingungen der DAK-Gesundheit zur Nutzung des Identifizierungs- und Access-Management-Tools (IAM)‘“ –  damit kann bei der DAK elektronische Patientenakte (ePA) beantragt werden – habe ich gelesen“: Fragwürdige Nutzungsbedingungen von gesetzlichen Krankenkassen für die elektronische Patientenakte (ePA) weiterlesen

Unbefriedigende Antwort des BSI auf eine Anfrage zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx

Am 09.11.2021 meldete die gematik auf ihrer Homepage: „Wie die medatixx GmbH auf ihrer Webseite erklärt, ist das Unternehmen Opfer eines Cyberangriffs geworden, bei dem wichtige Teile der internen IT-Systeme verschlüsselt wurden. Die medatixx GmbH ist ein Anbieter von Praxissoftware für Ärzte und betreut in diesem Kontext viele Kunden…“ Offensichtlich sind bei Medatixx durch den Hackerangriff größere und schwer zu lösende Probleme entstanden. Unbefriedigende Antwort des BSI auf eine Anfrage zur Sicherheit der Telematik-Infrastruktur nach der Ransomware-Attacke auf das Unternehmen medatixx weiterlesen

Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist…

dann werden unzulässige Zugriffe erleichtert. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) aufmerksam. Unter der Überschrift „Wenn der Expartner die Patientenakte ‚filzt‘“ wird über einen illegalen Zugriff von Krankenhauspersonal auf Patient*innen-Akten informiert. Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist… weiterlesen

Brennt der gematik der Kittel? E-Rezept: Die gematik sucht eine Begleitung bei der bundesweiten Test- und Einführungsphase der E-Rezept-Lösung

Brennt der gematik der Kittel?

  • Am 15.12.2021 hat sie eine Ausschreibung für eine Begleitung der bundesweiten Test- und Einführungsphase der E-Rezept-Lösungauf den Weg gebracht. Das Außergewöhnliche: Die Angebotsfrist ist auf „22.12.2021 15:00 Uhr“ begrenzt.
  • Gesucht wird eine Billiglösung, denn „Wertungsmethode“ ist ausschließlich Niedrigster Preis“.
  • Unternehmen, die sich bewerben wollen, wird dafür ein Schmankerl geboten. Unter Vom Unternehmen einzureichende Unterlagen“ ist zu lesen: Keine Unterlagen einzureichen“.

Brennt der gematik der Kittel? E-Rezept: Die gematik sucht eine Begleitung bei der bundesweiten Test- und Einführungsphase der E-Rezept-Lösung weiterlesen

Nach medatixx jetzt CGM: Größter deutscher Anbieter von Hard- und Software für die Telematikinfrastruktur von Hackern tw. lahmgelegt

Die CMG CompuGroup (CGM) ist der größte Anbieter von Hard- und Software für die Datenverarbeitung im deutschen Gesundheitswesen.

Am 20.12.2021 meldet die CGM-Konzerntochter CGM Turbomed auf ihrer Homepage: Wir haben derzeit einen größeren Netzwerkaufall… Die CGM ist von einem Angriff auf interne IT-Systeme betroffen. Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität, daher haben wir wichtige Teile unserer Dienste in den frühen Morgenstunden isoliert. Schritt für Schritt werden jetzt die einzelnen Dienste intensiv geprüft, um sie wieder in Betrieb nehmen zu können…“ Nach medatixx jetzt CGM: Größter deutscher Anbieter von Hard- und Software für die Telematikinfrastruktur von Hackern tw. lahmgelegt weiterlesen

E-Rezept vor dem (vorläufigen) Aus?

Am 20.12.2021 meldet das Internet-Magazin Apotheke adhoc: Das Bundesgesundheitsministerium (BMG) sagt die für den 1. Januar geplante verpflichtende Einführung des E-Rezepts ab. In einem Schreiben an die Gesellschafter der Gematik… erklärte das Ministerium am Montag, dass es die Voraussetzungen für eine sichere flächendeckende Einführung in zwei Wochen nicht gegeben sieht. Es soll nun vorerst weiter getestet werden…“

Auf der Homepage der gematik ist diese Information noch nicht zu finden. Dort wird das e-Rezept noch immer ohne jeden Ansatz von Kritik gefeiert. E-Rezept vor dem (vorläufigen) Aus? weiterlesen

Patientenrechte und Datenschutz e.V.