Blog

Sicherheit personenbezogener Daten im Internet – oder: Die Fragwürdigkeit des naiven Technikglaubens

Schreibe einen Kommentar

Nachstehend drei Nachrichten zu diesem Thema aus dem zu Ende gehenden Monat.

1. Neue Datenpanne bei der Vivy-Gesundheitsakte

Heise.de meldet am 16.08.2019: In der Gesundheits-App Vivy ist der Medikationsplan zahlreicher Nutzer durcheinander geraten. Daher sperrte das Unternehmen die betroffenen Accounts. Grund sei eine ‚Aktualisierung des Softwarecodes‘, die dazu führte, ‚dass Dosierungen der Medikamente am Abend für die Dosierung am Mittag übernommen wurden‘. Der Fehler konnte nicht vonseiten des Unternehmens behoben werden.“ Die Accounts der betroffenen Nutzer wurden dann wohl gesperrt, die entsprechenden Medikationspläne auf den Servern gelöscht. Aber: da laut einer Vivy-Sprecherin die Mitarbeiter keinen Zugriff auf die Daten haben, müssten die Benutzer die Daten im eigenen Gerät selbst löschen.

2. Mastercard-Daten im Netz

Sicherheit personenbezogener Daten im Internet – oder: Die Fragwürdigkeit des naiven Technikglaubens weiterlesen

Blog

Vertrauliche Patientendaten im Supermarkt gefunden

Schreibe einen Kommentar

Die Rhein-Zeitung aus dem Kreis Altenkirchen (Rheinland-Pfalz) meldet am 27.08.2019: „Wissen am vergangenen Mittwochmorgen. Ein junger Mann betritt einen Supermarkt und sieht im Eingangsbereich ein Papier liegen. Er bückt sich und traut seinen Augen kaum. In den Händen hält er vertrauliche Patientendaten aus der Psychiatrie in Wissen.“ Und der SWR ergänzt diese Mitteilung am 28.08.2019: Bei dem Fund handelt es sich um interne sogenannte Übergabezettel mit verschiedenen Informationen – etwa mit der Zimmernummer, der Diagnose oder dem Hinweis, ob der Patient zwangseingewiesen wurde. Diese Übergangszettel dürften das Krankenhaus eigentlich nicht verlassen und müssten geschreddert werden, sobald ein Mitarbeiter die Klinik verlässt. Das sagte der leitende Chefarzt der Psychiatrie in Wissen, Nils Hollenborg. Eine Mitarbeiterin habe sie aber versehentlich in ihrer Hosentasche mit nach draußen genommen. Das Krankenhaus prüft deshalb jetzt weitere Möglichkeiten des Datenschutzes. Etwa eine zusätzliche Anonymisierung der Patientendaten.“

Passiert ist dies alles im St. Antonius-Krankenhaus in Wissen.

Was der Landesdatenschutzbeauftragte von Rheinland-Pfalz dazu sagen wird?

Blog, Pressemitteilungen, Telematik-Infrastruktur

Spahns Gesundheitsnetz als verantwortungsfreie Zone

Schreibe einen Kommentar

Welches Unternehmen ist für die Telematik-Infrastruktur verantwortlich? Die gematik mbH? Solange das nicht geklärt ist, gehen Gesundheitsdaten in ein schwarzes Loch – das kann nicht sein.

Zur Zeit gibt es keinen datenschutzrechtlich Verantwortlichen für die Telematik-Infrastruktur der Elektronischen Gesundheitskarte – so wie es die Datenschutzgrundverordnung fordert. Mit der elektronischen Gesundheitskarte sollen hunderttausende Arzt-, Zahnarzt- und Therapeutenpraxen, Krankenhäuser, Apotheken und Krankenkassen im Gesundheitswesen vernetzt werden. Dazu dient die „Telematik-Infrastruktur“ (TI). An diesem Netzwerk, die mehrere Plattformen und Zonen umfasst, sind zahlreiche Unternehmen, Konsortien und Rechenzentren beteiligt. Unvorstellbare Mengen vertraulicher Patientendaten soll die TI nach ihrer Fertigstellung übermitteln, speichern, verarbeiten. Spahns Gesundheitsnetz als verantwortungsfreie Zone weiterlesen

Blog

„Anonyme Daten sind oft gar nicht wirklich anonym“

Schreibe einen Kommentar

Mit diesem Satz beginnt ein Beitrag auf Netzpolitik.org, veröffentlicht am 25.07.2019. Im Beitrag ist zu lesen: Nicht überall, wo anonym drauf steht, ist auch anonym drin. Das verdeutlicht eine Studie in der Wissenschaftlichen Fachzeitschrift „Nature“. Die Forscher können 99,98 Prozent der US-Amerikaner in jedem Datensatz identifizieren, mit nur 15 Merkmalen wie Alter, Wohnort oder Nationalität. Das Beispiel der Wissenschaftler: Ein günstige Krankenkasse verkauft Kundendaten, aber nur ‚anonym‘ und nur von einem Bruchteil der Datenbank. Die Studie stellt klar: Das ist keine echte Anonymität, die Daten sind nicht sicher. Menschen sind einfach zu einzigartig, um sich in Datenbanken zu verstecken. Eine Entfernen von Namen macht Datensätze nur pseudonym, nicht anonym. Mit einem Online-Tool kann jede selbst die De-Anonymisierung nachvollziehen.“

Krankenkassen in Deutschland haben weitreichende Informationen über ihre Mitglieder. Sie wissen über Arztbesuche Bescheid, bekommen täglich tausende Berichte, Diagnosen und andere Informationen über den Gesundheitszustand der Versicherten zugeschickt. Der Umgang mit diesen Daten ist derzeit noch verhältnismäßig streng reguliert. Bundesgesundheitsminister Jens Spahn (CDU) möchte das ändern. Er beabsichtigt, mit seinem Entwurf für ein Digitales-Versorgungs-Gesetz durch zahlreiche Änderungen im SGB V (Krankenversicherungsrecht) den Krankenkassen weitgehende Rechte einzuräumen, damit diese in Zukunft die Daten ihrer Versicherten nach wirtschaftlichen Gesichtspunkten auswerten und die Ergebnisse an Unternehmen weitergeben dürfen. Der Gesetzentwurf von Spahn wurde am 10.07.2019 von der Bundesregierung verabschiedet und wird derzeit im Bundestag beraten. Sollte dieser Entwurf beschlossen werden, würden Pharma-Unternehmen und andere Unternehmen der „Gesundheitswirtschaft“ tiefe Einblick in das Leben der Versicherten erhalten.

Blog, Telematik-Infrastruktur

Kinderarzt gibt Kassenzulassung u. a. wegen Zwangsanschluss an Telematik-Infrastruktur zurück

Schreibe einen Kommentar

Das berichtet das Internetmagazin Medscape am 31.07.2019. Es zitiert den Kinderarzt Dr. Volker Bothe aus Schwetzingen mit der Aussage: „…dann kam in diesem Jahr auch noch die Anbindung an die Telematik-Infrastruktur inklusive der Konnektoren. Wir sollen die Kosten tragen und auch noch dafür haften. Dazu bin ich natürlich nicht bereit. Hinzu kommt die Unsicherheit, ob Hacker es nicht auch auf Patienten-Daten abgesehen haben. Weil Spahn dann die Strafen fürs Nicht-Installieren nicht nur wie angekündigt bei 1% hält, sondern jetzt noch wie Daumenschrauben dreist immer weiter steigert, ist das für mich ein weiterer Grund keine GKV-Patienten mehr zu behandeln.“

Blog

Thüringen: Landesdatenschutzbeauftragter warnt Arztpraxen vor betrügerischen Anrufern

Schreibe einen Kommentar

Angebliche Mitarbeiter des technischen Supports von Microsoft versuchen sich über das Telefon Zugang zu sensiblen Daten auf Rechnern zu verschaffen“, teilt der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Lutz Hasse, mit. Die Betrüger gäben sich als Mitarbeiter des technischen Supports von Microsoft aus und täuschten einen Virenbefall der Praxiscomputer vor. Sie böten an, sich mit einem Spezialprogramm zur Virenbeseitigung zuzuschalten – um so an sensible Praxisdaten zu gelangen.

Quelle: Pressemitteilung des Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit vom 25.07.2019

 

Blog

Mehr als 10 % der hessischen Ärzt*innen und Psychotherapeut*innen werden wg. Verweigerung des Anschlusses an die Telematikinfrastuktur mit Honorarkürzung bestraft

Schreibe einen Kommentar

Das geht aus einem Protokoll der Sitzung der Vorsitzenden der hessischen ärztlichen Berufsverbände am 26.06.2019 in den Räumlichkeiten der Kassenärztlichen Vereinigung Hessen (KVH) in Frankfurt hervor, das der Redaktion dieser Homepage vorliegt. Es ist nachfolgend in den hier wesentlichen Punkten als Faksimile veröffentlicht. Mehr als 10 % der hessischen Ärzt*innen und Psychotherapeut*innen werden wg. Verweigerung des Anschlusses an die Telematikinfrastuktur mit Honorarkürzung bestraft weiterlesen

Blog

Hacker-Angriff auf Kliniken in Rheinland-Pfalz

Schreibe einen Kommentar

Die Wormser Zeitung meldete es am 16.07.2019 als Erste: Krankenhäuser und andere Einrichtungen der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland sind von einem Online-Angriff Krimineller betroffen. Schadsoftware habe das komplette Netzwerk des Krankenhausverbunds mit fünf Akutkrankenhäusern und sechs Fachkliniken befallen. Es ist nicht der letzte Vorfall dieser Art. Zuletzt im November 2018 wurde ein vergleichbarer Vorfall in Fürstenfeldbruck bekannt.

Auf der Homepage der DRK-Trägergesellschaft Süd-West sucht man vergeblich nach Informationen. Ähnlich in Fürstenfeldbruck. Dort wurde über das Problem erst berichtet, als es nach mehr als einer Woche wieder behoben war. Hacker-Angriff auf Kliniken in Rheinland-Pfalz weiterlesen

Blog

Stoppt-die-e-Card Unterstützergruppe Rhein Main: Einladung zum nächstes Treffen am 13. August um 19.00 Uhr in Frankfurt

Schreibe einen Kommentar

Die Stoppt-die-e-Card Unterstützergruppe Rhein Main lädt ein zu ihrem nächsten Treffen am Dienstag den 13.08.2019 um 19.00 Uhr in den Räumen des Entwicklungspolitischen Netzwerk Hessen e. V. (EPN), Vilbeler Str. 36, 60313 Frankfurt (4. Stock – Aufzug vorhanden). Der Veranstaltungsort ist von den S- und U-Bahn-Station Konstablerwache fußläufig erreichbar.

bieten ausreichend Stoff zur Diskussion. Stoppt-die-e-Card Unterstützergruppe Rhein Main: Einladung zum nächstes Treffen am 13. August um 19.00 Uhr in Frankfurt weiterlesen

Blog, Pressemitteilungen, Telematik-Infrastruktur

Sicherheitsrisiko Telematikanschluss: Hunderte Computer in Arztpraxen sind angreifbar – niemand will die Verantwortung übernehmen

3 Kommentare

Seit April 2019 ist bekannt, dass in hunderten von Arztpraxen gravierende Lücken bei der IT-Sicherheit entstanden sind. Die Computer dieser Arztpraxen sind nicht – oder nicht mehr – durch „Firewalls“ gegen Angriffe aus dem Internet geschützt. Grund dafür sind Fehler bei der Installation der „Konnektoren“. Der Konnektor, den jede Arztpraxis kaufen muss, stellt eine verschlüsselte Verbindung zwischen Arztpraxis und den zentralen Servern der Telematikinfrastruktur her.

Bei der Konnektor-Installation wurden durch die beteiligten IT-Dienstleister in einer großen Zahl von Fällen Fehler gemacht. Einerseits wurde eine Installationsform gewählt, die zwingend eine zusätzliche Absicherung der Praxen erfordert. Andererseits wurden bei der Installation Firewalls und sonstige Sicherheitsmaßnahmen der Arztpraxen abgeschaltet. Im Ergebnis waren die Praxis-Computer völlig ungeschützt mit dem Internet verbunden, d. h. offen für Schadsoftware und Diebstahl von Patientendaten. Sicherheitsrisiko Telematikanschluss: Hunderte Computer in Arztpraxen sind angreifbar – niemand will die Verantwortung übernehmen weiterlesen

Patientenrechte und Datenschutz e.V.