Schlagwort-Archive: Datenschutz

Schweizer IT-Sicherheitsunternehmen stellt schwerwiegende Sicherheitsmängel in elektronischer Gesundheitsakte “Vivy” fest

Modzero, ein Schweizer Unternehmen “bietet Ihnen… detaillierte Sicherheitsanalysen als Dienstleistung an. Wir möchten Ihnen helfen, die späteren Risiken und akuten Gefahren bei der Konzeption & Entwicklung, dem Betrieb oder der Benutzung von Hard- und Software durch individuelle Analysen Ihres Produktes zu minimieren.”

In einem Beitrag vom 30.10.2018 auf der Homepage des Unternehmens werden zu Vivy u. a. folgende Feststellungen getroffen: “Modzero stellte mehrere Sicherheitslücken verschiedener Kritikalität fest… Die kritischsten Punkte waren: Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Lecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden…”

Dies ist nicht die erste und einzige Kritik an der Gesundheits-App ViVy, die den Mitgliedern der Krankenkasse DAK-Gesundheit, mehrerer Innungskranken- und Betriebskrankenkassen sowie der Allianz Private Krankenversicherung und der Barmenia – insgesamt 13,5 Millionen Versicherte – zur kostenlosen Nutzung zur Verfügung gestellt wird.

Verstoß gegen die EU-Datenschutz-Grundverordnung beim Umgang mit Patient*innen-Daten: Krankenhaus in Portugal soll 400.000 € zahlen

Heise.de berichtet am 23.10.2018: “In Portugal ist die europaweit erste substanzielle Geldstrafe wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) verhängt worden. Die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat am Montag bekanntgegeben, dass das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen soll, berichtet Público. Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten.”

Weitere Einzelheiten dazu sein hier nachlesbar.

Tim Lobinger: Nachteile durch öffentliche Preisgabe von Gesundheitsdaten

Tim Lobinger war in den 1990er Jahren als Stabhochspringer Welt- und Europameister. Anfang 2017 wurde bei ihm eine Krebserkrankung festgestellt, wie er selbst gegenüber der Medien bekannt gab. Die Frankfurter Allgemeine Zeitung berichtete am 18.05.2017: “Lobinger ist an Leukämie erkrankt. Da er vermeiden möchte, dass über seine Erkrankung spekuliert wird, machte er sie öffentlich.”

Kürzlich wurde Lobinger ein Opfer seiner öffentlichen Preisgabe sensibler Gesundheitsdaten. In der Zeitschrift Bunte wird Lobinger am 03.10.2018 mit der Aussage zitiert: “Die Tatsache, dass er sterbenskrank ist, bekam Tim Lobinger (46) kürzlich schonungslos vorgehalten, als er bei einem Mobilfunkanbieter einen neuen Handyvertrag abschließen wollte. ‘14,85 Euro Grundbetrag im Monat bei einer Mindestlaufzeit von 24 Monaten. Das fand ich super… Meine Anfrage wurde allerdings abgelehnt, mit der Begründung, ich könne die Mindestlaufzeit aufgrund meiner Erkrankung ja wohl nicht erfüllen… Ich habe kein Problem damit, offen über meinen Krebs zu reden. Er gehört zu meinem Leben und ich versuche an jedem einzelnen Tag, positiv damit zu leben. Aber die Sache mit dem Handyvertrag fand ich schon krass.'”

Tim Lobinger ist zu wünschen, dass er seine Erkrankung überwindet. Mit den persönlichen und wirtschaftlichen Folgen einer nicht oder zu wenig überlegten Handlung wird er aber weiter leben müssen. Denn das Internet vergisst nichts…

Hausärzteverband: Eigene App entwickelt, um auch am Kuchen mit Patienten-, Behandlungs- und Medikationsdaten naschen zu können

Es sind nicht nur die “großen Player” wie die TK, die AOK, die Allianz Private Krankenversicherung oder Firmen wie Vivy oder Vitabook, die mit Gesundheits-,  Behandlungs- und Medikationsdaten Geld verdienen wollen. Auch der Deutsche Hausärzteverband (nach eigenen Angaben hat er 30.000 Mitgliedern) hat sich der Digitalisierung des Gesundheitswesens verschrieben. Unter dem Stichwort Digitalisierung erklärt der Verband: “Moderne Informations- und Kommunikationstechnologien bergen ein großes Potenzial, um die der medizinischen Versorgung zu verbessern – wenn sie denn richtig eingesetzt werden! In Deutschland wird dieses Potenzial bisher jedoch kaum genutzt… Wir setzen uns für eine bessere Integration moderner Kommunikationsmittel im Praxisalltag ein…” Deshalb hat der Verband folgerichtig mit der GWQ ServicePlus AG und der Egopulse Deutschland GmbH eine eigene App entwickelt, um auch ein Stück vom Daten-Kuchen zu naschen. Hausärzteverband: Eigene App entwickelt, um auch am Kuchen mit Patienten-, Behandlungs- und Medikationsdaten naschen zu können weiterlesen

Die ärztliche Sprechstunde, das E-Health-Gesetz und die DSGVO

Dr. med. Stefan Streit, Facharzt für Allgemeinmedizin aus Köln, hat sich wiederholt mit kritischen Veröffentlichungen und Vorträgen zur Digitalisierung des Gesundheitswesens zu Wort gemeldet. Am 01.10.2018 hat er auf dieser Homepage einen umfangreichen Kommentar zum Spannungsfeld von ärztlicher Sprechstunde, E-Health-Gesetz und DSGVO veröffentlicht.

Mit freundlicher Genehmigung des Verfassers möchte die Redaktion dieser Homepage auf den Beitrag von Dr. Streit hinweisen.

Gesundheits-App Vivy: Wie sieht es aus mit dem Datenschutz?

Mitte September wurde die Gesundheits-App ViVy gestartet. Mitglieder der DAK-Gesundheit, mehrerer Innungskranken- und Betriebskrankenkassen sowie der Allianz Private Krankenversicherung und der Barmenia sollen sie kostenlos nutzen können; insgesamt 13,5 Millionen Versicherte. Weitere Krankenkassen sollen dazukommen, im Februar etwa die Gothaer. Bei der DAK-Gesundheit soll Vivy auch eingesetzt werden, um Bescheinigungen anzufordern oder Punkte für Bonusprogramme zu sammeln.

Damit geht auch die erste elektronischen Gesundheitsakte nach den rechtlichen Vorgaben des § 68 SGB V in den Echtbetrieb. Zu diesen Gesundheitsakten hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am 19.07.2018 in einem Schreiben festgestellt: “Das Zurverfügungstellen einer elektronischen Gesundheitsakte (eGA) ist keine gesetzliche Aufgabe der Sozialleistungsträger im Sinne des Sozialgesetzbuches. Die Krankenkassen haben gemäß § 68 SGB V lediglich die Möglichkeit finanzielle Unterstützung zu einer persönlichen eGA ihrer Versicherten zu leisten. Es handelt sich bei den eGA-Lösungen um ein privates Angebot von Dritten, die weder Sozialdaten im Sinne des § 67 Abs. 1 SGB X verarbeiten noch das Sozialgeheimnis gemäß § 35 SGB I beachten müssen.”

Nicht nur deshalb ist die Frage berechtigt: Wie sieht es aus mit dem Datenschutz bei Vivy?

Gesundheits-App Vivy: Wie sieht es aus mit dem Datenschutz? weiterlesen

Skandalöses Urteil des Oberlandesgerichts Frankfurt: Begrenzung des Löschungsanspruch gegen Google auch bei sensiblen Gesundheitsdaten

Die Pressestelle des OLG Frankfurt teilt am 13.09.2018 mit: Das Oberlandesgericht Frankfurt am Main (OLG) hat entschieden, dass es Google nicht generell untersagt werden darf, ältere negative Presseberichte über eine Person in der Trefferliste anzuzeigen, selbst wenn diese Gesundheitsdaten enthalten… Das durch die DS-GVO anerkannte ‘Recht auf Vergessen’ überwiegt entgegen einer Entscheidung des EuGH zum früheren Recht nicht grundsätzlich das öffentliche Informationsinteresse.” Skandalöses Urteil des Oberlandesgerichts Frankfurt: Begrenzung des Löschungsanspruch gegen Google auch bei sensiblen Gesundheitsdaten weiterlesen

Big Data im Gesundheitswesen: Kann Israel ein Vorbild sein? Bertelsmann sagt Ja!

Der von der Bertelsmann-Stiftung ins Leben gerufene Blog Der digitale Patient meint JA! Der Blog hat das erklärte Ziel, seinen Leser*innen die segensreichen Wirkungen von Big Data im Gesundheitswesen zu vermitteln. Dazu gehören auch Berichte über die Digitalisierung des Gesundheitswesens in anderen Staaten. Nach Beiträgen über Dänemark, Niederlande und die Schweiz wurde am 13.09.2018 in einem Beitrag über Israel mitgeteilt: “Unser Blick… zeigt, wie eine kleine Nation schon seit zwei Jahrzehnten bei der Gesundheitsversorgung auf Big Data setzt – und jetzt mit einer riesigen Patientendatenbank zum Schlaraffenland für die internationale Forschung werden möchte.” Big Data im Gesundheitswesen: Kann Israel ein Vorbild sein? Bertelsmann sagt Ja! weiterlesen

Vom Datenschutz zu Dateneigentum und Datensouveränität – ein Paradigmenwechsel, auch im Bezug auf Gesundheits- und Behandlungsdaten

In einer Veranstaltung der Bürgerrechtsgruppe dieDatenschützer Rhein Main am 10.09.2018 in Frankfurt hat sich Walter Schmidt, Mitglied des Vereins Patientenrechte und Datenschutz e. V. und seit mehreren Jahren engagiert in der Auseinandersetzung um die elektronische Gesundheitskarte und den Schutz von Gesundheits- und Behandlungsdaten kritisch mit den Begriffen Dateneigentum und Datensouveränität auseinander gesetzt. Nachstehend veröffentlichen wir Auszüge seines Statements. Vom Datenschutz zu Dateneigentum und Datensouveränität – ein Paradigmenwechsel, auch im Bezug auf Gesundheits- und Behandlungsdaten weiterlesen

Behandlungsverweigerung durch Ärzt*innen bei Weigerung der Patient*innen, die Kenntnisnahme der Informationen nach Art. 13 DSGVO durch Unterschrift zu bestätigen, ist nicht zulässig

Bei vielen Ärzt*innen herrscht seit Inkrafttreten der DSGVO Unsicherheit, wie sich die neue Rechtslage auf das Verhältnis zu ihren Patient*innen auswirkt. Ein krasses Beispiel, wie eine Arztpraxis ihr (mangelhaftes) Verständnis der Datenschutz-Grundverordnung an einer Patientin exekutiert haben wir in einem Erfahrungsbericht dokumentiert.

Mit einem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 05.09.2018 müssten Unsicherheit, Verwirrung und rechtswidriges handeln jetzt ihr Ende finden: “Die Datenschutzaufsichtsbehörden des Bundes und der Länder sprechen sich dagegen aus, dass Ärztinnen und Ärzte oder andere Angehörige von Gesundheitsberufen die Behandlung ablehnen oder die Verweigerung der Behandlung androhen, wenn die Patientin oder der Patient die Informationen nach Art. 13 DSGVO nicht mit ihrer oder seiner Unterschrift versieht. Eine solche Praxis ist nicht mit der DSGVO vereinbar. Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte…”