Wenn die elektronische Patientenakte nicht DSGVO-konform ist – können Ärzte Probleme bekommen?

Nach Ansicht des Bundesdatenschutzbeauftragten verstößt die ePA gegen europäischen Datenschutz. Was heißt das für Ärzte, die ab Januar damit arbeiten sollen?

In einem Schreiben von Anfang November warnte der Bundesdatenschutzbeauftragte (BfDI) die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich: Bei Ausgestaltung der elektronischen Patientenakte (ePA) nach den Vorgaben des Patientendatenschutzgesetz (PDSG) würden sie gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.

Der Grund: Nach den gesetzlichen Bestimmungen können Versicherte im ersten Jahr der Akte keine auf einzelne Dateien beschränkte Zugriffsberechtigungen erteilen. Und auch danach gibt es Hürden für die feingranulare Zustimmung: Wer über kein eigenes Endgerät verfügt und keinen Vertreter einsetzen möchte, wird nur ganze Kategorien von Dokumenten freigeben können. Damit verstoßen die Kassen aber gegen die Vorgaben des europäischen Datenschutzrechts.

Für Arztpraxen und Krankenhäuser sind dagegen Landesdatenschutzbehörden zuständig. Diese gehen mit der Bundesbehörde konform, dass die Regelungen zur ePA nicht der DSGVO entsprechen. Klar ist auch, dass dem Gesetz nach die Krankenkassen datenschutzrechtlich für die ePA verantwortlich sind.

> weiterlesen auf medical-tribune.de

Hackerangriff auf Uniklinik Düsseldorf: War der Ausfall der IT-Systeme vermeidbar?

Anfang September wurden 30 Server der Uniklinik Düsseldorf von Hackern lahmgelegt. Die Funktion der Klinik ist heute noch nicht vollständig wiederhergestellt. Ich habe mit Rüdiger Trost von F-Secure gesprochen. Er berät Krankenhäuser zu Sicherheitskonzepten.

Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?

Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.

Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist.

> weiterlesen auf medical-tribune.de

Keine Atempause, es geht voran …

Das Tempo der Spahn’schen Gesetzgebung ist legendär. Doch über das zunächst vielleicht erfrischende „Es geht voran“ hinaus, gibt es auch ein: „Geschichte wird gemacht“. Für die Diskussion, von wem und für wen, bleibt da wenig Zeit. Ein Kommentar.

Eine elektronische Patientenakte nach den Vorgaben des Patientendaten-Schutz-Gesetzes (PDSG) verstößt gegen die europäische Datenschutz-Grundverordnung. Das sagt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber. Na ja, dann wird das ja jetzt angepasst, denke ich.

Nichts wurde angepasst. Entgegen der Stellungnahme des obersten Datenschützers in Deutschland wurde das PDSG von den politischen Gremien durchgewunken. Wie kann das sein?

Quasi monatlich bringen Jens Spahn und sein ­Ministerium ein neues Gesetz auf den Weg. Ohne Atempause, immer weiter. Diese Gesetze behandeln hochkomplexe Sachverhalte und haben folgenreiche Auswirkungen auf das Gesundheitswesen. Schon vor Monaten wurden Befürchtungen laut, der Minister treibe damit Ärzte, Kliniken und Kassen vor sich her. Heute möchte man hinzufügen: Er treibt offensichtlich auch demokratische Entscheidungsstrukturen und die Gesellschaft vor sich her.

> weiterlesen auf medical-tribune.de

TI-Störung: Ärzteschaft verärgert über gematik

Seit Ende Mai sorgt ein Konfigurationsfehler in der TI für Störungen in der Anbindung. Die gematik reagierte langsam, die KBV verärgert, die Ärzte je nach Betroffenheit. Ein besorgniserregender Lackmustest für Kommendes.

Mehrere Wochen nach dem Eintreten der Störung durch einen Konfigurationsfehler in der zentralen Telematik-Infrastruktur (TI) können sich weiterhin nicht alle Praxen mit der TI verbinden. Der Fehler wirkt sich in erster Linie auf das Versichertenstammdatenmanagement (VSDM) aus, kann aber auch Funktionen wie den eArztbrief oder die Übertragung der Quartalsrechnung betreffen. Der Betreibergesellschaft gematik zufolge löste ein fehlerhafter Wechsel des Vertrauensankers, der für die Auflösung von Namen in IP-Adressen notwendig ist, die Störung aus.

> Den ganzen Beitrag auf medical-tribune.de lesen

Zwanghaft ist nicht klug

Lassen sich gute Lösungen erzwingen? Eine verpflichtende Corona-App ist auf jeden Fall so kontraproduktiv wie die Zwangsrekrutierung von medizinischem Personal. Ein Kommentar.

Wer einem Infizierten nahe war, bevor dieser selbst von seiner Infektion wusste, kann nachträglich darüber informiert werden. So lassen sich Infektionsketten unterbrechen. Eine Technik, die das leistet, nennt sich PEPP-PT und wurde gerade auf europäischer Ebene entwickelt. Sie soll in verschiedene Apps einzubauen sein. Damit die Idee funktioniert, müssen allerdings geschätzt 50 Millionen Bundesbürger eine solche App installieren. Das ist viel.

Jetzt tobt die Diskussion, wie sich das erreichen lässt. Die Positionen reichen von „Vertrauen und Solidarität als Motivationsbegründer“ und „Zwangsverpflichtung-sonst-keine-Lockerungen“. Irgendwo dazwischen liegt noch die „gezwungene Freiwilligkeit“, nämlich die Zwangseinspielung der App mit Opt-out-Möglichkeit.

> Den ganzen Beitrag auf medical-tribune.de lesen

Hacker verschaffen sich Zugangsberechtigungen zur Telematik-Infrastruktur

Praxisausweis, Arztausweis, eGesundheitskarte, Konnektor: Vier Einfallstore zur Telematikinfrastruktur, derer sich jeder mit ein bisschen Fantasie bemächtigen konnte. Entdeckt wurde das von Mitgliedern des Chaos Computer Clubs. Die Verantwortlichen, in erster Linie Gematik, KBV, BÄK und Kassen, müssen ans Eingemachte.

Die Sicherheitslücken im Zugang zur Telematik-Infrastruktur, die Sicherheitsexperte Martin Tschirsich und sein Team in den letzten Tagen des vergangenen Jahres auf dem 36C3 präsentierten, haben Gematik und die kartenausstellenden Organisationen Bundesärztekammer und Kassenärztliche Bundesvereinigung aufgeschreckt. Jetzt betonen alle, wie wichtig eine schnelle Klärung sei.

> Den ganzen Beitrag auf medical-tribune.de lesen

#Kommentar: Das Celler Datenloch

Ein riesiges Datenleck in einer Arztpraxis. Schuld ist eine Schwachstelle im Router. Wie weit reicht die Verantwortung des Arztes? In Zeiten des TI-Anschlusses eine brennende Frage. Ein Kommentar.

Ein Albtraum: Stammdaten und Befunde aller Patienten im Netz. Gesprächsnotizen, Arbeitsverträge, betriebswirtschaftliche Daten, alles zugänglich über eine IP-Adresse. Und die lässt sich leicht finden. Das Leck: eine Gemeinschaftspraxis in Celle. Die Recherchen des c‘t-Magazins beschreiben nicht nur einen weiteren ernsten Datenunfall. Sie führen vor allem zu Fragen, die nach Klärungsbedarf schreien.

> Den ganzen Beitrag auf medical-tribune.de lesen

#Kommentar: Verrat an Arzt und Patient

Die Gesetze aus dem Gesundheitsministerium sorgen für breite Kritik von Datenschützern und Patientenverbänden. Der Arzt wird dabei zum Erfüllungsgehilfen. Ein Kommentar.

Eine Mega-Gesundheitsdatenbank soll im Huckepack des Digitale-Versorgung-Gesetzes von Bundesgesundheitsminister Jens Spahn entstehen. Alter, Geschlecht, sozioökonomische Faktoren, Wohnort, Behandlungen und digitale Gesundheitsanwendungen der 73 Millionen gesetzlich Versicherten sollen einem „staatlichen Forschungsdatenzentrum“ zugeführt und ohne Zustimmung der Patienten für die Forschung verwendet werden. Am 7. November steht das Gesetz im Bundestag zum Beschluss. Empörung wurde erst kurz vorher laut.

Dabei ist das Kind an anderer Stelle – auch fast unbemerkt – schon erschreckend tief in den Brunnen gefallen: Das jüngst vom Bundestag beschlossene Implantateregister-Errichtungsgesetz EIRD verpflichtet Gesundheitseinrichtungen, Daten von Implantat-Empfängern zentralisiert speichern zu lassen und zur Nutzung freizugeben. Ab Januar 2020 reicht also ein neues Knie, um jede Kontrolle über die Weitergabe von Befund und Anamnese, Gewicht und Größe, Pilleneinnahme und Rauchverhalten zu verlieren.

>> Den ganzen Beitrag auf medical-tribune.de lesen