Schlagwort-Archive: Gesundheitsdaten

Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein: Codes des E-Rezept-Verfahrens sind zu schützen!

Am 22.08.2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das „E-Rezept“ in Schleswig-Holstein untersagt.

Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

In einer Pressemitteilung vom 23.08.2022 hat das ULD dazu und zu den Gerüchten bzw. Falschmeldungen aus dem Kreis der Lobbyisten der IT-Gesundheiutsindustrie wie folgt Stellung genommen: Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein: Codes des E-Rezept-Verfahrens sind zu schützen! weiterlesen

Auch dezentral lassen sich gut Patient*innen-Daten verlieren

Unter diesem Titel informiert „Zerforschung“, eine Gruppe von IT-Sicherheitsforscher*innen, über ihre Erfahrungen bei der Untersuchung der in Arztpraxen eingesetzten Software “InSuite” von DocCirrus.

Die Software “inSuite” soll Ärztinnen und Ärzten ihren Praxisalltag erleichtern: Durch ein Terminbuchungstool, digitalisierte Patientenakten oder die Möglichkeit, Dokumente wie etwa Laborbefunde direkt mit Patienten oder anderen behandelnden Ärzten zu teilen. Wer auf die Homepage der Berliner Firma Doc Cirrus geht, wird mit Werbeversprechen überhäuft: Die Software sei wartungs- und sorgenfrei, eine maßgeschneiderte und zukunftsorientierte Lösung für jede Arztpraxis. Und natürlich – so schreibt der Hersteller – seien die Patientendaten absolut sicher: Er verspricht ein 360°-IT-Sicherheitskonzept und den Schutz vor unbefugten Zugriffen.

Schon im ersten Absatz des Erfahrungsberichts der Gruppe „Zerforschung“ wird deutlich, was von diesem Heilsversprechen zu halten ist: Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.“ Auch dezentral lassen sich gut Patient*innen-Daten verlieren weiterlesen

Stiftung Datenschutz: Nützliche Hinweise zum Thema besonders schützenswerte Daten i. S.d. Art. 9 DSGVO – dazu zählen auch Gesundheitsdaten

Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) normiert in Abs. 1, welche Kategorien von Daten grundsätzlich untersagt ist:

  • Rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Dieses grundsätzliche Verbot der Verarbeitung der genannten Datenkategorien wird in Art. 9 Abs. 2 ergänzt um Fallkonstellationen, in denen die Verarbeitung der genannten Daten zulässig sein kann und welche Voraussetzungen dafür vorliegen müssen.Die Stiftung Datenschutz hat dieser Thematik zwei gut verständliche Beiträge gewidmet:

Großbritannien: Ehemaliger Gesundheitsberater wegen illegalen Zugriffs auf Patientendaten schuldig gesprochen

Das teilte das Information Commissioner’s Office (ICO), die unabhängige britische Aufsichtsbehörde für das Datenschutz- und Informationsrecht, am 05.08.2022 mit.

Ein ehemaliger Gesundheitsberater wurde für schuldig befunden, ohne triftigen Grund auf die Krankenakten von Patienten zugegriffen zu haben. Er arbeitete beim National Health Service (NHS),dem nationalen staatlichen Gesundheitsdienst in Großbritannien. Zwischen Juni und Dezember 2019 griff er unrechtmäßig auf die Akten von 14 Patient*innen zu, die ihm persönlich bekannt waren. Er wurde zur Zahlung einer Entschädigung in Höhe von 250 £ an 12 Patienten verurteilt, insgesamt also 3.000 £ (= ca. 3.550 €). Großbritannien: Ehemaliger Gesundheitsberater wegen illegalen Zugriffs auf Patientendaten schuldig gesprochen weiterlesen

Opt-out statt – wie bisher – opt in? Bertelsmann-Stiftung legt Rechtsgutachten zur elektronischen Patientenakte vor und fordert opt-out

Seit 01.01.2021 gibt es sie: Die elektronische Patientenakte (ePA). Ihre zentrale Rechtsgrundlage ist § 341 SGB V. in Absatz 1 wird als Maxime festgestellt: Die elektronische Patientenakte ist eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig. Mit ihr sollen den Versicherten auf Verlangen Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung, insbesondere zur gezielten Unterstützung von Anamnese und Befunderhebung, barrierefrei elektronisch bereitgestellt werden.“

Nach eineinhalb Jahren ist festzustellen: Gerade einmal rund 517.476 Menschen in Deutschland (= 0,7 % aller gesetzlich Krankenversicherten) am 27.07.2022 eine ePA beantragt, wie die gematik in einer Veröffentlichung auf ihrer Homepage mitteilt:

Unzufriedenheit mit diesem Zustand prägt seit längerem die Riege derjenigen, die gerne Zugriff auf Gesundheits- und Behandlungsdaten erlangen möchten. Ein Beispiel: Opt-out statt – wie bisher – opt in? Bertelsmann-Stiftung legt Rechtsgutachten zur elektronischen Patientenakte vor und fordert opt-out weiterlesen

AOK Nordost fordert schnelle Verabschiedung eines Gesundheitsdatennutzungsgesetzes und eine umfassende Nutzung von Gesundheitsdaten – auch gegen den Widerstand der betroffenen Patient*innen

In Ihrem Koalitionsvertrag vom Dezember 2021 haben SPD, Grüne und FDP im Abschnitt „Digitalisierung des Gesundheitswesens“ (Koalitionsvertrag S. 65) u. a. folgendes als Ziele formuliert:

  • Wir beschleunigen die Einführung der elektronischen Patientenakte (ePA) und des E-Rezeptes sowie deren nutzenbringende Anwendung und binden beschleunigt sämtliche Akteure an die Telematikinfrastruktur an.
  • Alle Versicherten bekommen DSGVO-konform eine ePA zur Verfügung gestellt; ihre Nutzung ist freiwillig (opt-out).
  • Die gematik bauen wir zu einer digitalen Gesundheitsagentur aus.
  • Zudem bringen wir ein Registergesetz und ein Gesundheitsdatennutzungsgesetz zur besseren wissenschaftlichen Nutzung in Einklang mit der DSGVO auf den Weg und bauen eine dezentrale Forschungsdateninfrastruktur auf.“

Alleine die Begrifflichkeit Gesundheitsdatennutzungsgesetz hat bei Unternehmen, Interessenverbänden und Forschungseinrichtungen die Begehrlichkeiten, auf Gesundheits- und Behandlungsdaten aller Menschen in Deutschland zugreifen zu können, ins Unermessliche gesteigert. Da wollte auch die AOK Nordost nicht hinan stehen. AOK Nordost fordert schnelle Verabschiedung eines Gesundheitsdatennutzungsgesetzes und eine umfassende Nutzung von Gesundheitsdaten – auch gegen den Widerstand der betroffenen Patient*innen weiterlesen

Datenschutz in der Arztpraxis – oder: Welche Rechte haben Patient*innen?

Mit dieser Fragestellung beschäftigt sich der Landesdatenschutzbeauftragte in Baden-Württemberg in einem Beitrag auf seiner Homepage. der sich zwar in erster Linie an Ärzt*innen richtet, aber auch für Patient*innen von Interesse ist. Informationen gibt es u. a. zu folgenden Fragestellungen:

  • Müssen zum Zwecke der ärztlichen Behandlung von Patienten Einwilligungserklärungen eingeholt werden?
  • Darf die ärztliche Behandlung verweigert werden, wenn der Patient nicht in die Verarbeitung personenbezogener Daten einwilligt?
  • Wie wirkt sich der Grundsatz der Datenminimierung im Verhältnis von Arzt zu Patient bei der Erstellung einer Anamnese aus? Dürfen hierbei nur noch wenige Daten erhoben werden?
  • Dürfen Ärzte sich unter Wahrung des Berufsgeheimnisses über medizinisch problematische Fälle austauschen und im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen?
  • Dürfen Gesundheitsdaten von Patienten per Fax oder per E-Mail verschickt werden?

Datenschutz in der Arztpraxis – oder: Welche Rechte haben Patient*innen? weiterlesen

Betroffen von Datenschutzverstößen – Was kann ich tun?

Identitätsklau, Werbe-Cookies ohne Einwilligung, Abgreifen von Fotos im Internet, Diffamierung in sog. sozialen Netzwerken, Gesundheitsdaten in der Personalverwaltung, fremde Videoüberwachung im eigenen Garten … Werden derartige, oft im Verborgenen praktizierte Verstöße gegen den Datenschutz den Betroffenen bekannt, stellt sich für diese die Frage: ‚Was kann ich dagegen tun?‘ Diese einfache Frage stößt auf eine komplexe Realität: Unklar ist oft, welche Technik genutzt wird, wer den Angriff veranlasst hat und wer dafür verantwortlich ist, wer hiergegen wirksam vorgehen könnte und tatsächlich kann, welche Möglichkeiten rechtlich und welche realistischerweise bestehen.“

Diese Beschreibung steht am Beginn einer 12-seitigen Broschüre, die das Netzwerk Datenschutzexpertise im Juni 2022 veröffentlicht hat. Lesenswert für Betroffene von Datenschutzverstößen!

Oberlandesgericht Düsseldorf: Gesundheitsdaten unverschlüsselt an falsche E-Mail-Adresse versandt – 2.000 € Schadenersatz

Was war passiert? Eine Frau (gesetzlich versichert) will zu einer privaten Krankenversicherung wechseln. Dazu benötigt sie Unterlagen, die ihre bisherige Krankenkasse über sie hat. Sie bittet diese, ihr alle vorhandenen Daten an ihre private E-Mailadresse zu senden. Dies tut die bisherige Krankenkasse – aber erstens unverschlüsselt und zweitens an eine falsche Mailadresse. Als die Krankenkasse nach diversen Anrufen und anderen Kontakten ihren Fehler feststellte, sandte sie die gesammelten Daten per Post an ihr (Noch)-Mitglied. Als Ausgleich für die „seelische Belastung angesichts des unsicheren Verbleibs seiner Daten“ forderte die Versicherte 15.000 Schadensersatz  Die Kasse wies diese Forderung zurück. Sie bot – ohne Anerkennung einer Rechtspflicht – als Ausgleich 500 € an. Der Versicherte reichte auf der Grundlage des Art. 82 DSGVO Klage ein.

In zweiter Instanz, vor dem Oberlandesgericht Düsseldorf (Aktenzeichen: 16 U 275/20) erzielte die Klägerin einen Teilerfolg:

  • Das Gericht bestätigte zunächst, dass die Kasse durch den Versand der Akte an die falsche Adresse einen Datenschutzverstoß begangen habe und daher Schadensersatz zahlen müsse.
  • Unbeanstandet ließ das Gericht aber den unverschlüsselten Versand der Daten. Denn durch ihre Anfrage habe sie der Kasse signalisiert, dass sie die Übersendung ihrer Daten in E-Mail-Form wünsche. Da sie keine besonderen Sicherheitsvorkehrungen angemahnt habe, habe sie damit rechnen müssen, dass die Kasse ihrem Wunsch entsprechend agiere. Damit habe sie faktisch eine Einwilligung in die unverschlüsselte Übersendung der Krankenakte erteilt.
  • Für ihre seelischen Belastungen infolge der Ungewissheit gestand ihr das Gericht einen Schadenersatzanspruch von 2.000 € zu.

Krankenkassen haben mehr kritische Daten über ihre Versicherten als jede andere Institution: Krankheiten, Behandlungen, Einkommen, Arbeitsplätze, Anschriften.

Sie können Ihre Krankenkasse fragen, welche Daten sie über Sie gespeichert hat. Die Krankenkasse ist verpflichtet, Ihre Anfrage innerhalb von vier Wochen kostenlos zu beantworten. Der Anfrage-Generator des Vereins Patientenrechte und Datenschutz e. V. hilft Ihnen dabei, eine entsprechende Anfrage zu erstellen. Nahezu 1.400 Menschen haben bisher davon Gebrauch gemacht.

 

Die EU-Kommission möchte ab 2025 den Handel mit Gesundheitsdaten für mehr Wirtschaftswachstum nutzen

Das stellt der Kölner Arzt Dr. Stefan Streit in einer Stellungnahme zu der Mitteilung der EU-Kommission an das Europaparlament und den Rat der EU fest, die unter dem Titel Ein europäischer Raum für Gesundheitsdaten: Das Potenzial von Gesundheitsdaten für die Allgemeinheit, für Patientinnen und Patienten und für Innovation erschließen am 03.05.2022 veröffentlicht wurde (Langfassung = 141 Seiten / Kurzfassung = 24 Seiten).

Dr. Streit macht in seiner Stellungnahme auf zwei wesentliche Ziele dieser Initiative der EU-Kommission aufmerksam:

„Der Gesundheitsdatenraum soll aus zwei getrennten Infrastruktruren bestehen.

  • Primardatennutzung = Krankenbehandlung Die derzeitige Telematikinfrastruktur entspricht in etwa dem, was sich die EU-Kommission, unter MyHealth@eu, für die Primärdatennutzung von Gesundheitsdaten ausgedacht hat. Das betrifft die Datennutzung von Gesundheitsdaten zur Krankenbehandlung in Krankenhaus und Arztpraxis, die natürlich nicht anonym vorliegen. Personenbezogene Daten in der primären Arztakte sind von der DSGVO geschützt. Es wird davon ausgegangen, dass eine Vielzahl von (kommerziellen und institutionellen) Anbietern von Elektronic Health Records (EHR), also elektronische Patientenakten, die der Patient selbst verwaltet, entstehen werden. Bemerkenswerterweise reicht für kommerziellen EHR-Betreiber eine Selbstzertifizierung und das aus dem Konsumerbereich bekannte CE-Zeichen als Qualitätsmerkmal. Wollte man EHR-Daten für die Patientenversorgung nutzbar machen, dann bedarf es Instrumente zum Umgang mit der Unvollständigkeit der EHR einerseits und Strategien um die gesuchten Daten in den vielen verschiedenen EHR zu finden und nutzbar zu machen.
  • Sekundardatennutzung = Datenhandel Die Pläne für die zweite Infrastrukur HealthData@eu betreffen die Sekundärdatennutzung im Gesundheitsdatenraum zum Handel mit Gesundheitsdaten.

Die Datenökonomie im Gesundheitsdatenraum beruht auf folgenden Annahmen:

Nach der Entfernung des Namens unterliegt die – nun als anonymisiert geltende Patientenakte – nicht mehr dem Schutz der DSGVO. Den politischen Akteuren dürfte seit der Plagiatsaffären bekannt geworden sein, mit wie wenig Textmaterial man nicht gekennzeichnete Textstellen automatisiert reidentifizieren kann. Krankenakten enthalten viele hundert bis tausend Datenpunkte, die mit der aktuellen Rechnerkraft problemlos einer Person zugeordnet werden können.

Obwohl der Kryptograph Prof. Dominique Schröder das Problem der Anonymisierung laienverständlich und fundiert dargestellt hat, basiert die Legitimation von HealthData@eu allein auf der Anonymisierung…“

Dr. Streit macht auf den vier Seiten seiner Stellungname auf die großen Probleme aufmerksam, die für die sensiblen Gesundheits- und Behandlungsdaten aller Menschen in den 27 EU-Staaten drohen, wenn die Pläne der EU-Kommission wie von ihr geplant nahtlos und ohne Widerstand umgesetzt würden. Lesenswert!

Am Ende seiner Stellungnahme schließt Dr. Streit mit: „Ich lade Sie ein darüber nachzudenken, wie wir als Deutsche und als Europäer die anstehenden sozialen Entwicklungsaufgaben bewältigen können und freue mich über jede Rückmeldung.“