Am 22.11.2018 haben 18 Verbände aus Pharmaindustrie, IT- und Medizintechnik in einem gemeinsamen Positionspapier unter dem Titel „Die Nutzbarkeit elektronischer Patientenakten für Forschung und Versorgung sicherstellen“ gefordert, dass Ihnen vom Gesetzgeber mehr Rechte eingeräumt werden, um Einfluss zu nehmen auf die Gestaltung der elektronischen Patientenakten nach § 291a SGB V und auch auf die darin künftig enthaltenen Daten. Lobbyverbände aus Pharmaindustrie, IT- und Medizintechnik fordern stärkeren Zugriff auf Gestaltung und Inhalt (Daten) von elektronischen Patientenakten weiterlesen
Schlagwort-Archive: Datenschutz
Datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen („Apps“) in Bereich der gesetzlichen Krankenversicherungen durch das Bundesversicherungsamt
Das Bundesversicherungsamt (BVA) führt die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung. Es hat bereits am 20.01.2017 alle bundesunmittelbaren Sozialversicherungsträger (dazu zählen auch bundesweit tätige Krankenkassen) per E-Mail seine datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen („Apps“) zukommen lassen. Da diese Bewertung
- dem Großteil der ca. 70 Mio. Menschen in Deutschland, die in einer gesetzlichen Krankenkasse versichert sind, bislang nicht bekannt sein dürfte,
- die Erhebung, Speicherung und Verarbeitung von Gesundheits-, Bewegungs- und anderen Daten durch diese Apps aber eine hohe datenschutzrechtliche Relevanz hat,
hat sich die Redaktion dieser Homepage entschieden, diese Stellungnahme hier kommentarlos zu veröffentlichen, um sie einer Bewertung durch eine kritische Öffentlichkeit zugänglich zu machen.
Uniklinik Frankfurt: Nach einer Beschwerde – schnelle und informative Auskunft zum Patientendatenschutz in Zeiten der DSGVO
Ein Mensch aus der Region Rhein Main informierte die Redaktion dieser Homepage über eine Anfrage zu diesem Thema an den Datenschutzbeauftragten der Uniklinik Frankfurt und die Antwort darauf. Sie unterscheidet sich wohltuend von hier vorliegenden Berichten aus Arztpraxen (Beispiel 1, Beispiel 2).
Die Anfrage:
Sehr geehrte Damen und Herren, bei einem Behandlungstermin in der Allergie-Ambulanz im 2. Stock des Gebäudes 28 (Hautklinik) wurde mir das als Datei beigefügte zweiseitige Blatt zum Ausfüllen und zur Unterschrift vorgelegt. Dazu möchte ich feststellen: 1. Das Informationsblatt “Informationspflicht bei der Erhebung personenbezogener Daten im Universitätsklinikum Frankfurt…” wurde mir weder ausgehändigt noch war es nach meiner Kenntnis im Wartebereich oder im Flur und/oder Treppenhaus im 2. Stock des Gebäudes 28 (Hautklinik) sichtbar ausgehängt. Ich sehe mich daher nicht in der Lage, den Erhalt dieses Blattes durch Unterschrift zu bestätigen. 2. Es gibt zudem eine Empfehlung der Datenschutz-Aufsichtsbehörden des Bundes und der Länder, wonach Patient*innen nicht gezwungen werden dürfen, eine Erklärung zu unterzeichnen, dass sie eine wie auch immer geartete Information zur DSGVO gelesen haben, noch gar mit ihr sich einverstanden erklären. Diese Stellungnahme empfehle ich Ihnen und der Leitung des Universitätsklinikums Frankfurt als Lektüre. Näheres dazu finden Sie hier. Teilen Sie die Position der Datenschutz-Aufsichtsbehörden des Bundes und der Länder? Und werden Sie in diesem Sinne Einfluss nehmen auf die Leitung der Uniklinik Frankfurt? 3. Sollte die Information zu § 12 Hessisches Krankenhausgesetz auf S. 1 oben des Formblatts zutreffend sein, wonach “die Übermittlung von Patientendaten an Personen oder Stellen… ohne die Einwilligung der oder des Betroffenen zulässig ist” erübrigt sich aus meiner Sicht eine durch Unterschrift vollzogene persönliche Einwilligung in dieses Verfahren. Oder sehen Sie dies anders? 4. Ich möchte auch künftig selbst entscheiden, welche Behandlungsdaten / Befunde ich jeweils an andere Ärzt*innen bzw. Krankenhäuser weitergebe. Insoweit habe ich keine Veranlassung, mich zu den Themen Schweigepflichtentbindung, E-Maikkommunikation und/ Faxversand gegenüber dem Universitätsklinikum Frankfurt zu erklären. Oder sehen Sie dies anders? Ihrer Stellungnahme sehe ich mit Interesse entgegen. Mit freundlichen Grüßen Uniklinik Frankfurt: Nach einer Beschwerde – schnelle und informative Auskunft zum Patientendatenschutz in Zeiten der DSGVO weiterlesen
Computervirus legt Krankenhaus in Fürstenfeldbruck (Bayern) lahm
Der Münchner Merkur meldete am 14.11.12018: „Fürstenfeldbruck – Seit einer Woche schon ist die elektronische Datenverarbeitung im Klinikum vollständig lahmgelegt. Noch ist nicht ganz klar, wie es zu dem EDV-Totalausfall kommen konnte. Doch vermutlich nahm das Unheil seinen Lauf, nachdem ein E-Mail-Anhang geöffnet wurde, in dem eine Schadsoftware versteckt war. Die breitete sich rasant im Netzwerk des Klinikum aus. Der erste Rechner fiel am vergangenen Donnerstag (08.11.2018) gegen Mittag aus. Im Laufe des Tages meldeten immer weitere Abteilungen Probleme. Rechner fuhren sich selbstständig hoch und runter. Es half nur noch eins: Den Stromstecker ziehen. Ab dem Zeitpunkt war klar, dass es sich um ein größeres Problem handelt…“
Wegen der Probleme meldete sich das Klinikum von der Integrierten Leitstelle des Landkreises ab, damit Rettungswagen nur noch lebensgefährlich erkrankte oder verletzte Menschen dorthin brachten. Andere Patienten mussten in Krankenhäuser nach München, Dachau, Starnberg und Landsberg am Lech gebracht werden. Computervirus legt Krankenhaus in Fürstenfeldbruck (Bayern) lahm weiterlesen
Die Kassenärztliche Vereinigung Baden-Württemberg und die Telemedizin: docdirekt – Vorreiter mit Bruchlandung?
Sinnigerweise am 1. April des Jahres 2016 veröffentlichte die Kassenärztliche Vereinigung Baden-Württemberg (KVBW) eine Pressemitteilung unter dem Titel „Die Zukunft hat schon begonnen: Telemedizin – was ist sinnvoll, nötig und auch finanzierbar?“ Am 21.12.2017 teilte die KVBW dann mit: „Patienten in den Modellregionen Stuttgart und Tuttlingen können sich ab Frühjahr 2018 bei akuter Erkrankung oder bei dringender Behandlungsbedürftigkeit per Telefon, Video oder im Chat von einem Arzt beraten und behandeln lassen, wenn sie ihren Haus- oder Facharzt nicht erreichen. Die Landesärztekammer Baden-Württemberg hat dem Antrag der Kassenärztlichen Vereinigung Baden-Württemberg (KVBW) für ein entsprechendes Modellprojekt grünes Licht gegeben.“ Und am 17.10.2018 teilt die KVBW voll Stolz mit: „Ab sofort können sich Versicherte der Gesetzlichen Krankenkassen in Baden-Württemberg online von einem Tele-Arzt beraten lassen. Die Kassenärztliche Vereinigung Baden-Württemberg (KVBW) rollt das Modellprojekt docdirekt landesweit aus…“
Quelle: docdirekt
Und wie steht es dabei mit dem Datenschutz?
Kleine Anfrage der FDP-Bundestagsfraktion zur Zulassung und Förderung von Apps, Software und internetbasierten Medizinprodukten im Gesundheitssystem
„Immer im Dienste der IT-Gesundheitsindustrie“ und „Kein Wort zum Schutz von Gesundheitsdaten“ – das waren die ersten Eindrücke beim Lesen der Kleinen Anfrage der FDP-Bundestagsfraktion vom 17.10.2018 (Bundestags-Drucksache 19/5276).
Zu Beginn der Anfrage wird apodiktisch festgestellt: „In Startups entstehen immer mehr innovative digitale Medizinprodukte…“– ohne deren jeweilige Qualität für die Nutzer*innen und ihre Gesundheit und die möglichen Gefahren für den Schutz ihrer Gesundheitsdaten zu hinterfragen. Und der Fragenkatalog liest sich wie eine Bestell-Liste der IT-Gesundheitsindustrie an das Bundesministerium für Gesundheit. Ein Auszug: „… 4. Welche Möglichkeiten gibt es im Gesundheitssystem, eine App oder ein Softwareprodukt als Medizinprodukt zuzulassen und über die gesetzliche Krankenversicherung abrechenbar zu machen? … 6. Fördern die Bundesregierung und die Krankenkassen die Entwicklung von Apps, Softwareprodukten und internetbasierten Medizinprodukten? a) Wenn ja, welche und in welchem finanziellen Umfang? b) Wenn nein, warum nicht und sind hier Änderungen geplant? … 8. Plant die Bundesregierung, die Zulassung von digitalen Medizinprodukten zu erleichtern, wenn ja, wie und wann?“
So geht neoliberale Wirtschaftsförderung – aber leider zu Lasten des Schutzes von Gesundheitsdaten, Herr Lindner!
Schweizer IT-Sicherheitsunternehmen stellt schwerwiegende Sicherheitsmängel in elektronischer Gesundheitsakte „Vivy“ fest
Modzero, ein Schweizer Unternehmen „bietet Ihnen… detaillierte Sicherheitsanalysen als Dienstleistung an. Wir möchten Ihnen helfen, die späteren Risiken und akuten Gefahren bei der Konzeption & Entwicklung, dem Betrieb oder der Benutzung von Hard- und Software durch individuelle Analysen Ihres Produktes zu minimieren.“
In einem Beitrag vom 30.10.2018 auf der Homepage des Unternehmens werden zu Vivy u. a. folgende Feststellungen getroffen: „Modzero stellte mehrere Sicherheitslücken verschiedener Kritikalität fest… Die kritischsten Punkte waren: Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden…“
Dies ist nicht die erste und einzige Kritik an der Gesundheits-App ViVy, die den Mitgliedern der Krankenkasse DAK-Gesundheit, mehrerer Innungskranken- und Betriebskrankenkassen sowie der Allianz Private Krankenversicherung und der Barmenia – insgesamt 13,5 Millionen Versicherte – zur kostenlosen Nutzung zur Verfügung gestellt wird.
Verstoß gegen die EU-Datenschutz-Grundverordnung beim Umgang mit Patient*innen-Daten: Krankenhaus in Portugal soll 400.000 € zahlen
Heise.de berichtet am 23.10.2018: „In Portugal ist die europaweit erste substanzielle Geldstrafe wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) verhängt worden. Die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat am Montag bekanntgegeben, dass das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen soll, berichtet Público. Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten.“
Weitere Einzelheiten dazu sein hier nachlesbar.
Tim Lobinger: Nachteile durch öffentliche Preisgabe von Gesundheitsdaten
Tim Lobinger war in den 1990er Jahren als Stabhochspringer Welt- und Europameister. Anfang 2017 wurde bei ihm eine Krebserkrankung festgestellt, wie er selbst gegenüber der Medien bekannt gab. Die Frankfurter Allgemeine Zeitung berichtete am 18.05.2017: „Lobinger ist an Leukämie erkrankt. Da er vermeiden möchte, dass über seine Erkrankung spekuliert wird, machte er sie öffentlich.“
Kürzlich wurde Lobinger ein Opfer seiner öffentlichen Preisgabe sensibler Gesundheitsdaten. In der Zeitschrift Bunte wird Lobinger am 03.10.2018 mit der Aussage zitiert: „Die Tatsache, dass er sterbenskrank ist, bekam Tim Lobinger (46) kürzlich schonungslos vorgehalten, als er bei einem Mobilfunkanbieter einen neuen Handyvertrag abschließen wollte. ‚14,85 Euro Grundbetrag im Monat bei einer Mindestlaufzeit von 24 Monaten. Das fand ich super… Meine Anfrage wurde allerdings abgelehnt, mit der Begründung, ich könne die Mindestlaufzeit aufgrund meiner Erkrankung ja wohl nicht erfüllen… Ich habe kein Problem damit, offen über meinen Krebs zu reden. Er gehört zu meinem Leben und ich versuche an jedem einzelnen Tag, positiv damit zu leben. Aber die Sache mit dem Handyvertrag fand ich schon krass.'“
Tim Lobinger ist zu wünschen, dass er seine Erkrankung überwindet. Mit den persönlichen und wirtschaftlichen Folgen einer nicht oder zu wenig überlegten Handlung wird er aber weiter leben müssen. Denn das Internet vergisst nichts…
Hausärzteverband: Eigene App entwickelt, um auch am Kuchen mit Patienten-, Behandlungs- und Medikationsdaten naschen zu können
Es sind nicht nur die „großen Player“ wie die TK, die AOK, die Allianz Private Krankenversicherung oder Firmen wie Vivy oder Vitabook, die mit Gesundheits-, Behandlungs- und Medikationsdaten Geld verdienen wollen. Auch der Deutsche Hausärzteverband (nach eigenen Angaben hat er 30.000 Mitgliedern) hat sich der Digitalisierung des Gesundheitswesens verschrieben. Unter dem Stichwort „Digitalisierung„ erklärt der Verband: „Moderne Informations- und Kommunikationstechnologien bergen ein großes Potenzial, um die der medizinischen Versorgung zu verbessern – wenn sie denn richtig eingesetzt werden! In Deutschland wird dieses Potenzial bisher jedoch kaum genutzt… Wir setzen uns für eine bessere Integration moderner Kommunikationsmittel im Praxisalltag ein…“ Deshalb hat der Verband folgerichtig mit der GWQ ServicePlus AG und der Egopulse Deutschland GmbH eine eigene App entwickelt, um auch ein Stück vom Daten-Kuchen zu naschen. Hausärzteverband: Eigene App entwickelt, um auch am Kuchen mit Patienten-, Behandlungs- und Medikationsdaten naschen zu können weiterlesen