Schlagwort: medizinische Daten

e-Patientenakte: Bleibt der Datenschutz auf der Strecke?

10. Januar 2023

Seit dem 1. Januar 2021 können alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) ihrer Krankenkassen erhalten. Darin befinden sich medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg, die umfassend gespeichert werden können. Ähnlich wie bei der elektronischen Arbeitsunfähigkeitsbescheinigung (wir berichteten) stellen sich auch bei der ePA datenschutzrechtliche Fragen.

So steht der Bundesdatenschutzbeauftragter (BfDI) Ulrich Kelber der Umsetzung der ePA kritisch gegenüber: Ein solches Opt-out System sei in der DSGVO „grundsätzlich nicht angelegt“.

Diesen Informationen ist ein besonders hohes Schadens- und Diskriminierungspotenzial immanent mit der Folge, dass die ePA-Daten daher – sowohl bezüglich des „Ob“ als auch des „Wie“ der Verarbeitungsmodalitäten – äußerst strikten Vorgaben unterliegen.

Wer hat Zugriff auf die Daten

Ein bedeutender Aspekt ist die Frage der Zugriffsgestaltung auf die ePA. Dafür ist am 20. Oktober 2020 das Patientendaten-Schutz-Gesetz (PDSG) in Kraft getreten. Es enthält umfängliche Regelungen zur elektronischen Patientenakten. Mit dessen konkreten Ausgestaltungen zum Zugriffsmanagement – insbesondere für Versicherte, die kein geeignetes Endgerät besitzen oder nutzen wollen – verstößt es laut dem BfDI gegen die Datenschutz-Grundverordnung.

Umsetzung der ePA in vier Stufen geplant

Die Umsetzung des Berechtigungsmanagements soll in vier Stufen vorgenommen werden:

  1. Auf der ersten Stufe erhalten Patient*innen automatisch eine ePA.
  2. In der zweiten Stufe wird die digitale Akte sodann durch die Ärzte mit Informationen bestückt.
  3. Die dritte Stufe ermöglicht den behandelnden Mediziner*innen, die Akte einzusehen.
  4. Als letzte und vierte Stufe wird die Möglichkeit eröffnet, persönliche Gesundheitsdaten anonym zu Forschungszwecken zu spenden.

Offen ist allerdings noch, auf welcher Stufe Patienten der ePA widersprechen können.

Fazit

Das im PDSG normierte Zugriffsmanagement der ePA verstößt laut Kelber gegen die DSGVO und die Grundrechte der Versicherten. Der BfDI kommt so zu dem Schluss, dass eine Umsetzung der elektronischen Patientenakte ausschließlich nach den Vorgaben des nationalen Gesetzes europarechtswidrig sei.

Cybersicherheit für medizinische Einrichtungen

8. Juli 2020

Zunahme von Hackerangriffen

Hackerangriffe werden von der breiten Bevölkerung weder groß gefürchtet, noch wird das Thema Cybersicherheit besonders beachtet. Dabei nimmt ihre Zahl von Jahr zu Jahr zu. Im Jahr 2018 vermeldete das Bundeskriminalamt die Zahl von 87.106 Fällen von Cybercrime. Dies entspricht einer Zunahme von 1,3% im Vergleich zum Vorjahr.

Von Hackerangriffen sind nicht nur Unternehmen betroffen, die über Kundendaten wie Kreditkarten verfügen, sondern auch Justizbehörden und sogar Bundesministerien (siehe Blog vom 05.12.2018).

Sogar das Rote Kreuz ist Anfang des Jahres Opfer eines Hackerangriffs geworden. Glücklicherweise diente dieser Angriff jedoch nur dem Aufsuchen von Sicherheitslücken. Böswillige Hacker hätten hingegen sensible Patientendaten abgreifen können. Eine Krankheitshistorie kann man nicht, wie bei gestohlenen Kreditkartendaten, sperren und ersetzen. Für die Betroffenen wäre eine Veröffentlichung ihrer Gesundheitsdaten mit unangenehmen Konsequenzen verbunden.

Zu diesem Thema hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Prüfliste veröffentlicht, die Empfehlungen zur Cybersicherheit für medizinische Einrichtungen ausspricht.

Die Maßnahmen sind jedoch auch für nicht-medizinische Unternehmen von Relevanz.

Empfohlene Maßnahmen

Bei den empfohlenen Maßnahmen sollten unter anderem folgende Punkte besonders beachtet werden:

  • Regelmäßige Aktualisierung der verwendeten Software.
  • Nutzung von Antiviren-Programmen. Zu beachten ist, dass immer nur ein Antiviren-Programm gleichzeitig installiert sein sollte. Mehrere Programme blockieren sich gegenseitig und schaden mehr, als sie nutzen.
  • Schutz vor Ransomware. Wenn möglich, sollte auf Makros in Office-Dokumenten verzichtet werden und wenn, nur signierte Makros verwendet werden.
  • Nutzung starker Passwörter. Es sollten keine banalen Begriffe wie „1234“ oder „passwort“ genutzt werden. Auch sollten Passwörter niemals am Arbeitsplatz liegen gelassen werden.
  • Nutzung von Zwei-Faktor-Authentifizierung. Näheres dazu ist in unserem Blog nachzulesen.
  • E-Mails sollten nur als Text angezeigt werden. So lassen sich leichter manipulierte Links erkennen. Außerdem sollten E-Mails grundsätzlich von einem Antiviren-Programm überprüft werden.
  • Es sollten regelmäßig Backups durchgeführt werden.
  • Bei der Arbeit im Homeoffice sollte der Zugang über eine VPN-Verbindung gesichert sein. Im Falle der Nutzung mobiler Endgeräte sollten diese über starke Verschlüsselungsmechanismen verfügen.
  • Falls Laborergebnisse online abgerufen werden können, muss der Zugang besonders geschützt werden.
  • Es sollte eine leistungsstarke Firewall installiert sein, um unbefugte Zugriffe von außen zu verhindern.
  • Das Thema Social Engineering darf nicht unterschätzt werden. Hacker versuchen vermehrt Kontakte über Portale wie Xing, LinkedIn oder auch Facebook zu knüpfen, um das Vertrauen ihrer Opfer zu gewinnen und zum Beispiel über manipulierte E-Mails zu missbrauchen.

Auskunftsrecht: Versicherte kann bezüglich ihrer eigenen medizinischen Daten gegenüber Krankenkassen Auskunft verlangen

14. November 2012

Medienberichten zufolge hat das Bundessozialgericht (BSG) gestern entschieden, dass Krankenkassen  verpflichtet seien, einer Versicherten Auskunft über die Weitergabe ihrer medizinischen Daten zu geben.

Nachdem die Vorinstanten der Versicherten das Recht auf Auskunft nicht zusprachen, weil der  Verwaltungsaufwand zu groß und das Interesse an den Informationen unverhältnismäßig seien, traten die Kasseler Richter dieser Auffassung am Dienstag nun entgegen. In dem zu entscheidenen Fall begehrte eine Versicherte der AOK Rheinland-Pfalz nicht zuletzt Auskunft darüber, ob und welche Daten die Krankenkasse an die Stadt Kaiserslautern und die Bundesagentur für Arbeit weitergegeben habe. Das BSG vertritt die Ansicht, dass ein Recht auf Auskunft bestehe.

Folgende Beiträge könnten Sie auch interessieren:

https://www.datenschutzticker.de/index.php/2012/01/deutsche-vertrauen-krankenkassen-und-banken-in-bezug-auf-datenschutz-sozialen-netzwerken-schlaegt-misstrauen-entgegen/

https://www.datenschutzticker.de/index.php/2012/08/bmj-mehr-rechte-fuer-versicherte/

https://www.datenschutzticker.de/index.php/2011/11/uld-desorganisation-fuehrte-zur-panne-mit-sensiblen-patientendaten/