Datenschutz & Datensicherheit

Telematikinfrastruktur: Gemeinsam gegen den Honorarabzug

Ende November hätte ein Termin stattfinden sollen, auf den viele TI-Kritiker lange gewartet haben – doch pandiemiebedingt wurde ein für den 25. November angesetzte Verhandlungstermin vor dem Sozialgericht München in einem der Verfahren gegen die Telematikinfrastruktur (TI) abgesagt. Es wäre die bundesweit erste Verhandlung gewesen, in der es um die Rechtmäßigkeit des Honorarabzugs bei Verweigerung des TI-Anschlusses geht.

Der Bayerische Facharztverband (BFAV) und MEDI, die in dieser Sache mittlerweile kooperieren, ärgern sich, dass es in dieser Angelegenheit nicht vorangeht, obwohl es sich um eine quälende Frage für die Praxen handele.

> weiterlesen auf medical-tribune.de

e-Rezept: Schwachstellen beim Barcode

Die 2D-Barcodes auf den E-Rezepten sind „nicht auf der Höhe der Zeit“. Das schreibt der Online-Dienst „Apotheke Adhoc“ und beruft sich hierbei auf einen IT-Experten. Andere bestätigen.

Mehr durch Zufall habe der Heidelberger IT-Experte Dr. Wolfram Stein, der eigentlich mit der Software für Schnellteststationen in Apotheken beschäftigt war, einen Blick auf die Datamatrix-Codes des E-Rezeptes geworfen, schreibt das Apotheken-News-Portal. Dieser Blick habe ihn misstrauisch gemacht.

> weiterlesen auf medical-tribune.de

Cyber-Versicherungen: Wie kann sich die Praxis rechtlich gegen Hackerangriffe absichern?

Ob es um Patientendaten geht oder um „normale“ Erpressung – vor Hackerangriffen sind die Praxen nicht gefeit. Was kann eine Cyber-Police?

Auf einmal lassen sich die Patientenakten nicht mehr öffnen und der Terminkalender reagiert nicht mehr. Selbst E-Mail-Programm und Telefonanlage sind tot. Escape, Task Manager, Neustarts – nichts hilft. Eine Schadsoftware hat die Praxis-IT mit allen Programmen und Dateien verschlüsselt.

Die MFA wollte Praxismaterial bestellen und hat die E-Mail eines vermeintlich neuen Anbieters geöffnet. Weder die Firewall noch das Virenschutzprogramm haben den Virus erkannt.

> weiterlesen auf medical-tribune.de

Bis Faxen der Vergangenheit angehört, haften Praxischefs für die Nutzung

Die Bremer Datenschutzbeauftragte hat aus Datenschutzgründen die Fax-Nutzung in Behörden verboten. Und was für Bürgerdaten recht ist, ist für sensible Patientendaten erst recht Gesetz – oder?

Die leichte Spannung, die sich aufbaut, wenn sich das Papier provozierend langsam aus dem Gerät herausschiebt, die kurze Pause im Arbeitsprozess, wenn der kleine Kasten, oft neben dem Drucker platziert, mit Schreiben und Faxnummer gefüttert werden muss, und nicht zuletzt das Wort „Fax“, das irgendwie nicht in die deutsche Sprache passen mag und bei Menschen mit entsprechendem Sinn dafür unbewusst Erheiterung auslöst – faxen, Faxen machen, gefaxt: Das mögen Gründe sein, warum das Faxgerät gerade bei früheren Jahrgängen immer noch beliebt ist. Dass das Faxen weiterhin zu den preferierten Kommunikationsarten gehört, und zwar auch in Arztpraxen, belegen Umfragen immer wieder.

> weiterlesen auf medical-tribune.de

Vernetzte Medizingeräte: 150 Schwachstellen bei IT-Sicherheitscheck identifiziert

Zehn vernetzte medizinische Geräte aus fünf Kategorien hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf IT-Sicherheit getestet. Darunter z.B. Insulinpumpen und Herzschrittmacher. Hersteller und Ärzte können aus dem Projekt über die Testergebnisse hinaus Praxisrelevantes mitnehmen.

Die Norwegerin Marie Moe hatte gerade eben noch ihren Orangensaft getrunken, als sie sich auf einmal auf dem Fußboden umgeben von zerbrochenem Glas und verschüttetem Saft wiederfand. Sie hatte keine Ahnung, was ihr passiert war und warum. Im Krankenhaus erfuhr sie, dass sie ein Problem mit dem Herz hat und ihr ein Schrittmacher eingesetzt werden musste.

Das Spezielle an Marie Moe: Sie hat einen Doktortitel in Informationssicherheit und kümmerte sich z.B. einige Jahre um Cyberangriffe gegen Norwegens kritische Infrastruktur. Seit diesem Vorfall beobachtet sie auch ihre eigene kritische Infrastruktur: den implantierten Schrittmacher.

> weiterlesen auf medical-tribune.de

Datenpanne bei Online-Terminbuchungssystem

IT-Sicherheitsexperten hatten offenbar über ein Online-Buchungssystem für Arzttermine Zugang zu Millionen Namen, Telefonnummern und geplanten Arztkontakten. Verantwortlich für die behördliche Meldung der Datenschutzverletzung ist der Auftraggeber.

Per Klick zum Arzttermin – Patienten und Praxen freuen sich über die gesparten Telefonate. Wer denkt daran, dass schon der Arztbesuch als solcher eine zu schützende Information ist: Der Gang zur Psychologin, zum Schönheitschirurgen oder ins Kinderwunschzentrum ist nichts für die Öffentlichkeit, und Arbeitgeber oder Versicherungen sollten über die verschiedenen Arztbesuche keinen Einblick in die Krankheitsgeschichte bekommen. Sie hatten ihn aber, zumindest theoretisch: Sicherheitsexperten berichteten Ende 2020 auf dem Kongress des Chaos Computer Clubs (CCC), wie sie Zugang zu Millionen Terminvereinbarungen inklusive Arzt- und Patientendaten bekamen. Wie das?

> weiterlesen auf medical-tribune.de

Videoaufzeichnung vom Kongress „Remote Chaos Experience“ des Chaos Computer Clubs, 2020
> Tut mal kurz weh – Neues aus der Gesundheits-IT

Wenn die elektronische Patientenakte nicht DSGVO-konform ist – können Ärzte Probleme bekommen?

Nach Ansicht des Bundesdatenschutzbeauftragten verstößt die ePA gegen europäischen Datenschutz. Was heißt das für Ärzte, die ab Januar damit arbeiten sollen?

In einem Schreiben von Anfang November warnte der Bundesdatenschutzbeauftragte (BfDI) die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich: Bei Ausgestaltung der elektronischen Patientenakte (ePA) nach den Vorgaben des Patientendatenschutzgesetz (PDSG) würden sie gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.

Der Grund: Nach den gesetzlichen Bestimmungen können Versicherte im ersten Jahr der Akte keine auf einzelne Dateien beschränkte Zugriffsberechtigungen erteilen. Und auch danach gibt es Hürden für die feingranulare Zustimmung: Wer über kein eigenes Endgerät verfügt und keinen Vertreter einsetzen möchte, wird nur ganze Kategorien von Dokumenten freigeben können. Damit verstoßen die Kassen aber gegen die Vorgaben des europäischen Datenschutzrechts.

Für Arztpraxen und Krankenhäuser sind dagegen Landesdatenschutzbehörden zuständig. Diese gehen mit der Bundesbehörde konform, dass die Regelungen zur ePA nicht der DSGVO entsprechen. Klar ist auch, dass dem Gesetz nach die Krankenkassen datenschutzrechtlich für die ePA verantwortlich sind.

> weiterlesen auf medical-tribune.de

Hackerangriff auf Uniklinik Düsseldorf: War der Ausfall der IT-Systeme vermeidbar?

Anfang September wurden 30 Server der Uniklinik Düsseldorf von Hackern lahmgelegt. Die Funktion der Klinik ist heute noch nicht vollständig wiederhergestellt. Ich habe mit Rüdiger Trost von F-Secure gesprochen. Er berät Krankenhäuser zu Sicherheitskonzepten.

Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?

Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.

Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist.

> weiterlesen auf medical-tribune.de