Schlagwort-Archive: Digitalisierung

Offener Brief zum Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (DVG)

Von Patientenrechte und Datenschutz e.V.

Sehr geehrte Abgeordnete des Deutschen Bundestags,

Sie werden am 7. November 2019 im Bundestag über das Digitale-Versorgung-Gesetz abstimmen. Wir möchten Sie eindringlich davor warnen, mit diesem Gesetz der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg zu bereiten.
Bereits seit 2014 werden Routinedaten der Krankenkassen über das Informationssystem Versorgungsdaten (Datentransparenzverfahren auf Basis der §§ 303a bis 303e SozialgesetzbuchV) aufbereitet. Nun sollen in einem Forschungsdatenzentrum nach § 303d die Gesundheitsdaten aller Versicherten gespeichert, ausgewertet und einer langen Liste von Nutzungsberechtigten zur Verfügung gestellt werden. Die Daten werden im Forschungszentrum lediglich pseudonymisiert gespeichert.
Die Sicherheit einer solchen zentralisierten Speicherung von Gesundheitsdaten aller Versicherten ist weder technisch noch organisatorisch zu gewährleisten, wie Nachrichten über Datenlecks und Forschungen zur Re-Identifizierung von Betroffenen in Datensätzen zeigen.
Eine Zentralisierung von Gesundheitsdaten widerspricht dem Grundrecht auf Datenschutz und informationelle Selbstbestimmung und damit den Prinzipien der Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9 Absatz 1 DSGVO grundsätzlich untersagt und darf nur in engen Grenzen erfolgen. Eine solche Zentralisierung der Gesundheitsdaten ist weder geeignet, erforderlich noch
verhältnismäßig. Nicht zuletzt ist fraglich, ob die komplexen Regelungen zur Zusammenführung, Auswertung und Weitergabe von Gesundheitsdaten für die Betroffenen nachvollziehbar sein können.
Eine zentrale Datei von Gesundheitsdaten öffnet der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor. Der politische und wirtschaftliche Missbrauch solcher Daten muss immer befürchtet und mitbedacht werden.
Die meisten von uns haben weitere Kritik an dem Gesetz. Angesichts der bestehenden Probleme mit der Telematik-Infrastruktur, die bisher allenfalls in der Theorie die Sicherung der Gesundheitsdaten gewährleisten kann, und der Tragweite der vom DVG vorgesehenen Veränderungen fordern wir Sie auf, dem DVG nicht zuzustimmen und stattdessen ein Moratorium in der Digitalisierung des Gesundheitswesens zu beschließen.
Probleme in der Digitalisierung des Gesundheitsbereichs sind weder mithilfe immer neuer Gesetze noch mit Druck auf die in den Heilberufen Tätigen zu lösen. Dringend geboten ist es, das Konzept der Digitalisierung im Gesundheitswesen insgesamt zu überarbeiten.
(1) Zentrale Datensammlungen von Gesundheitsdaten der Bürger und Bürgerinnen sind extrem anfällig für Missbrauch und Sicherheitslücken. Gesundheitsdaten müssen grundsätzlich dezentral und nach Zwecken getrennt verarbeitet werden.
(2) Nicht zuletzt deshalb muss jede solche Speicherung für alle Versicherten freiwillig bleiben. Es darf keine Gesundheitsdatenspeicherung durch die Hintertür geben, indem die Krankenkassen, denen viele Daten (insbesondere für Abrechnungszwecke) vorliegen, diese für andere Zwecke als die vorgesehenen verwenden.
(3) Grundvoraussetzung für Datenweitergabe und Datenspeicherung muss eine funktionierende Telematik-Infrastruktur sein, die nicht aus Bequemlichkeitsgründen Sicherheits- und Datenschutzlücken akzeptiert.


Mit freundlichen Grüßen
gez. Dr. Elke Steven gez. Jan Kuhlmann
(Digitale Gesellschaft e.V.) (Patientenrechte und Datenschutz e.V.)

Die Digitale Gesellschaft e.V . ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt. Zum Erhalt und zur Fortentwicklung einer offenen digitalen Gesellschaft engagiert sich der Verein gegen den Rückbau von Freiheitsrechten im Netz und für die Realisierung digitaler Potentiale bei Wissenszugang, Transparenz, Partizipation und kreativer Entfaltung. (info@digitalegesellschaft.de)
Der Verein Patientenrechte und Datenschutz e.V. ist ein Zusammenschluss von Versicherten der gesetzlichen Krankenkassen, der sich für die Wahrung der Patientenrechte im Zeitalter der Digitalisierung einsetzt. Dazu analysieren wir die Risiken, die sich aus der elektronischen
Gesundheitskarte in Verbindung mit der geplanten digitalen Vernetzung im Gesundheitswesen (sog. „Telematikinfrastruktur“) sowie anderen Formen der Verarbeitung und Verwendung sensibler Patientendaten ergeben. Hieraus entwickeln wir Ansätze zur Minimierung dieser Risiken

Chancen und Risiken der elektronischen Patientenakte in Orthopädie und Unfallchirurgie

DKOU-Kongresspräsident: „Die Datensicherheit muss gewährleistet sein“

Berlin – Ab dem 1. Januar 2021 müssen die Krankenkassen ihren Versicherten eine elektronische Patientenakte (ePA) zur Verfügung stellen. Bis dahin muss sichergestellt sein, dass die Daten nicht von Unberechtigten abgegriffen oder missbraucht werden können. So kursierten zuletzt im September frei zugängliche Patientendaten im Netz, darunter 13.000 Datensätze aus Deutschland. Am 10. Oktober 2019 in Berlin diskutieren Experten über mögliche Sicherheitslücken und benennen Anforderungen an die ePA. Sie zeigen aber auch die Chancen der Digitalisierung von Patientendaten auf – etwa um im Notfall Leben zu retten. Um auf die Brisanz des Datenschutzes hinzuweisen, findet auf dem Kongress ein „Demo-Live-Hack“ auf Sicherheitsdaten statt, zu dem die Veranstalter Interessierte einladen.

Terminhinweis:

Live Hacking! Angriffe erleben – Sensibilität steigern

Donnerstag, 24.10.2019, 14:30 Uhr-16:00 Uhr, Raum: Paris 1

Kann die Behandlung chronischer Rückenschmerzen durch eine Depression oder eine andere Begleiterkrankung erschwert werden? „Die elektronische Patientenakte (ePA) ist ein wichtiges Arbeitsinstrument, um zielgerichteter und besser diagnostizieren und behandeln zu können“, sagt Dr. med. Thomas Möller, Kongresspräsident DKOU 2019 des Berufsverbandes für Orthopädie und Unfallchirurgie (BVOU): „Wir können aus der elektronischen Patientenakte entnehmen, unter welchen Begleiterkrankungen Patienten leiden und Befunde wie Röntgenbilder oder Laborberichte direkt einsehen. Dadurch ist es möglich, diese Befunde bei der Diagnose und Behandlung zu berücksichtigen. Auch belastende Doppel- und Mehrfachuntersuchungen lassen sich so vermeiden und Therapien besser organisieren. Als Ärztinnen und Ärzte für O und U haben wir ein hohes Interesse an der elektronischen Patientenakte“, fasst der niedergelassene Orthopäde und Unfallchirurg Möller zusammen. „Sie wäre ein großer Schritt sowohl für die interdisziplinäre als auch für die stationäre und ambulante Vernetzung.“ 

„Eine entsprechende Akte sollte allerdings vollständig, nicht manipulierbar und sicher sein,“ sagt er. Internationale Fälle von Datenraub hätten gezeigt, wie vulnerabel die Datensicherheit sei. Derzeit gäbe es in Deutschland keine Notfallstrategie gegen Datenraub, Datenlecks und Datenmissbrauch, so Möller weiter. 

Auch die Frage nach den Zugriffsrechten ist noch offen. Sie soll in einem eigenen Datenschutzgesetz geregelt werden. Statt den Zugriff auf die elektronische Patientenakte zu reglementieren, könnte der Zugriff nach Ansicht von Möller möglicherweise auch kontrolliert werden. Das würde bedeuten, dass jeder Aufruf von Befunden und Daten mit Datum, Name des Zugreifers und Anlass registriert und in der elektronischen Patientenakte vermerkt wird. Fehlverhalten würde so auffallen.

Um die Versorgungsforschung voran zu treiben, begrüßt der BVOU auch die Datenspende – das anonyme und unentgeltliche zur Verfügung stellen von Gesundheitsdaten für die medizinische Forschung. Jedoch müssten die Bedingungen für eine Datenspende noch einmal unter die Lupe genommen werden. So hat eine aktuelle Nature-Untersuchung1 nachgewiesen, dass sich jeder Amerikaner über fünfzehn Datenpunkte mit einer Wahrscheinlichkeit von 99,98 Prozent identifizieren lässt. Obwohl Personendaten anonymisiert werden, besteht offensichtlich die Gefahr, dass Studienteilnehmer mit technisch einfachen Mitteln re-identifiziert werden, so Möller. In einer kleinen Stichprobe genügten oft schon das Geschlecht, die Postleitzahl und das Geburtsdatum einer Person, um sie mit hoher Sicherheit zu identifizieren. „Wir sehen hier eine Aufgabe, die im Konsens gelöst werden muss, die uns aber keinesfalls den Blick auf Zukunftschancen versperren sollte “, so der niedergelassene Orthopäde und Unfallchirurg aus Speyer.

Um zu zeigen, dass die Digitalisierung auch ein Einfallstor für Cyberkriminalität ist, veranstaltet der BVOU auf dem Kongress am 24. Oktober 2019 einen „Live Hack“. Ein Experte aus Tübingen demonstriert, wie einfach es ist, veraltete Systeme zu attackieren, Daten über Phishing-Mails abzugreifen, ein WLAN-Netz lahmzulegen oder Schadsoftware über USB-Sticks oder Wechseldatenträger zu installieren. Interessierte erhalten hier einen Einblick in die Tricks der Angreifer und die Sicherheitslücken der Systeme. 

Live Hacking Vorführung der Firma Rhode & Schwarz auf der CeBit 2017
Live Hacking Vorführung der Firma Rhode & Schwarz auf der CeBit 2017

Weitere Aspekte des Datenschutzes in Orthopädie und Unfallchirurgie, etwa bei Patientenregistern wie dem Endoprothesenregister (EPRD) und dem staatlichen Implantateregister sowie dem TraumaRegister DGU® sind ebenfalls Thema auf d DKOU in Berlin.

Die Anmeldung zum DKOU, dem größten Kongress dieser Fachrichtung in Europa, ist im Internet unter https://dkou.org/registrierung/ möglich. Unter http://dkou.org/webcasts können Interessenten alle Vorträge aus dem Festsaal außerdem live verfolgen. Nähere Informationen sind bei Intercongress GmbH, Friedrichstraße 6, 65185 Wiesbaden, Tel. 0611 977-160, dkou@intercongress.de erhältlich. Journalisten akkreditieren sich über liebendoerfer@medizinkommunikation.org.

Literatur:

1)       Rocher L. et al., Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 2019; 10: 3069, https://www.nature.com/articles/s41467-019-10933-3.pdf

Gesundheitswesen im Fadenkreuz von Cyberkriminellen

Nach dem Global Application and Network Security Report 2018-2019 von Radware war das Gesundheitswesen nach der Öffentlichen Hand 2018 die am zweithäufigsten von Cyberattacken betroffene Branche. 

Tatsächlich wurden etwa 39 Prozent der Organisationen in diesem Sektor täglich oder wöchentlich von Hackern angegriffen, und nur 6 Prozent gaben an, noch nie einen Cyberangriff erlebt zu haben.

Die zunehmende Digitalisierung im Gesundheitswesen trägt zur Vergrößerung der Angriffsfläche der Branche bei. Und sie wird durch eine Reihe von Faktoren beschleunigt: die breite Einführung von Electronic Health Records Systems (EHRS), die Integration der IoT-Technologie in Medizinprodukte (softwarebasierte medizinische Geräte wie MRTs, EKGs, Infusionspumpen) und die Migration zu Cloud-Diensten. Tatsächlich macht der zunehmende Einsatz von medizinischen IoT-Geräten Gesundheitsorganisationen anfälliger für DDoS-Angriffe: Hacker nutzen infizierte IoT-Geräte in Botnetzen, um koordinierte Angriffe zu starten.

Cybercrime

Accenture schätzt, dass der Verlust von Daten und die damit verbundenen Ausfälle die Gesundheitsunternehmen im Jahr 2020 fast 6 Billionen Dollar bzw. Euro kosten werden, verglichen mit 3 Billionen im Jahr 2017. Cyberkriminalität kann in den nächsten vier bis fünf Jahren verheerende finanzielle Auswirkungen auf den Gesundheitssektor haben.

Laut dem bereits erwähnten Radware-Bericht verzeichneten Gesundheitsorganisationen einen deutlichen Anstieg von Malware- oder Bot-Angriffen, wobei auch Social Engineering und DDoS-Attacken stetig wuchsen. Auch wenn die Zahl der Ransomware-Angriffe insgesamt zurückgegangen ist, treffen Hacker die Gesundheitsbranche mit diesen Angriffen weiterhin am stärksten. Und es steht zu erwarten, dass sie Ransomware-Angriffe weiter verfeinern und wahrscheinlich IoT-Geräte hijacken werden, um Lösegelder zu erpressen. Darüber hinaus nimmt das Kryptomining zu, wobei 44 Prozent der Unternehmen einen Kryptomining oder Ransomware-Angriff erleben. Weitere 14 Prozent erlebten beides. Dabei sind nur wenige Gesundheitsdienstleister auf derartige Angriffe vorbereitet.

Warum das Gesundheitswesen?
Die Gesundheitsbranche wird aus verschiedenen Gründen angesprochen. Ein ganz wesentlicher ist das Geld. Die Gesundheitsausgaben machen weltweit einen Anteil von 20 Prozent oder mehr des BIP aus, was die Branche zu einem finanziell attraktiven Ziel für Cyberkriminelle macht. Und laut dem Bericht von Radware werden medizinische Daten im Darknet höher gehandelt als Passwörter und Kreditkartendaten.

„Unabhängig von der Motivation stellen Ransomware- und DDoS-Angriffe eine gefährliche Bedrohung für Patienten und Dienstleister dar“, so Michael Tullius, Regional Director DACH bei Radware. „Viele Krankheiten werden zunehmend mit Hilfe von Cloud-basierten Überwachungsdiensten, Embedded-IoT-Geräten und der Selbst- oder automatisierten Verabreichung von verschreibungspflichtigen Medikamenten behandelt. Cyberangriffe könnten dabei das Leben und Wohlergehen der Menschen ernsthaft gefährden.“

Empfehlungen
Die Sicherung digitaler Assets kann nicht mehr ausschließlich an die IT-Abteilung delegiert werden, sondern wird zunehmend zur Angelegenheit der Führungsspitze von Gesundheitsdienstleistern. Die Experten von Radware empfehlen eine Reihe von Maßnahmen, um Cyberangriffen im Gesundheitswesen proaktiv zu begegnen:
– Kontinuierliche Überwachung und Überprüfung auf gefährdete und kompromittierte IoT-Geräte und im Falle des Falles Durchführung geeigneter Abhilfemaßnahmen
– Erstellung und Implementierung von Richtlinien und Verfahren für die Passwortverwaltung für Geräte und deren Benutzer; Sicherstellung, dass alle Standardpasswörter in sichere Passwörter geändert werden.
– Installation und Wartung von Antivirensoftware und Sicherheitspatches sowie die Aktualisierung von IoT-Geräten mit Sicherheitspatches, sobald Patches verfügbar sind
– Installation und Konfiguration einer Firewall zur Einschränkung des ein- und ausgehenden Datenverkehrs
– Gegebenenfalls Segmentierung von Netzwerken Beschränkung des Zugriffs auf Netzwerksegment
– Deaktivieren des universellen Plug-and-Play auf Routern, es sei denn, es ist unbedingt erforderlich
– Gegebenenfalls Nutzung von Cloud-Diensten spezialisierter Anbieter zur Abwehr von Cyberattacken

Weitere Artikel zum Thema:

ÄrzteZeitung https://www.aerztezeitung.de/praxis_wirtschaft/digitalisierung_it/datenschutz/article/973428/bundesamt-warnt-vernetztes-gesundheitswesen-birgt-gefahren-cyber-attacken.html

Stuttgarter Nachrichten https://www.stuttgarter-nachrichten.de/inhalt.datenschutz-in-krankenhaeusern-cyberattacke-auf-die-klinik.4f2ca0bc-32f8-4511-bf87-9dd176c259c9.html

Der Umgang mit sensiblen Patientendaten

Der Umgang mit sensiblen Patientendaten: Besonderer Datenschutz im Gesundheitswesen

 

fotoloiaVon Prophylaxe bis hin zur Behandlung: Die Profession eines Humanmediziners beruht auf einem Vertrauensverhältnis mit dem Patienten. Fehlt es an diesem, so kann zumeist keine angemessene medizinische Versorgung stattfinden. Von herausragender Bedeutung ist hierbei die strikte Einhaltung datenschutzrechtlicher Vorgaben – gerade mit Hinblick auf das Hantieren mit sensiblen Patienteninformationen. Insbesondere im Lichte der fortschreitenden Technologien ist eine gesteigerte Achtsamkeit geboten. Für den Patienten stellt sich diesbezüglich immer häufiger die Frage: Wer hat Zugriff auf meine Daten? Was ist legitim? Der folgende Text klärt auf.

Bezeichnung „Patientendaten“

Diejenigen Informationen, welche die gesundheitliche Verfassung eines Individuums betreffen, werden als Patientendaten bezeichnet. Sie werden unter die besonderen Formen personenbezogener Daten, welchen eine herausragende datenschutzrechtliche Protektion zukommt, subsumiert. Eine Abspeicherung, Verwendung und Verarbeitung dieser ist ausschließlich in vereinzelten Ausnahmefällen möglich, wobei das Bundesdatenschutzgesetz (BDSG) diesbezüglich die notwendigen Voraussetzungen fixiert. Erforderlich ist die Einwilligung des Patienten in das Geschehen und bzw. oder der Umstand, dass die jeweilige Datenerhebung die Gesundheit begünstigende Zielsetzungen verfolgt. Letztgenanntes ist zu bejahen, sofern damit ein überlebenswichtiges Interesse des Patienten einhergeht – dann ist auch eine gesetzliche Grundlage existent. Von höchster Relevanz ist dabei der mit der Datenerhebung angestrebte Zweck. Steht dieser im Zusammenhang mit Erkenntnissen der Forschung, so verlangt die Legitimität des Vorgangs eine Anonymisierung bzw. Pseudonymisierung der Daten. Das alleinige Aushändigen einer Gesundheitskarte genügt den an eine Genehmigung zu stellenden Anforderungen keinesfalls.

Ausschluss Unbefugter

Die besondere Schutzposition, welche den im Gesundheitswesen angesiedelten Daten zukommt, macht einen Ausschluss unbefugter Dritter von entsprechenden Zugriffen unerlässlich. Gerade die fortschreitende Digitalisierung verpflichtet diesbezüglich zu einer erhöhten Achtsamkeit: Die digitale Patientenakte sowie innovative Cloud-Technologien rücken die datenschutzrechtliche Diskussion nunmehr immer weiter in den Fokus der Aufmerksamkeit. Empfehlenswert ist daher stets das Hinzuziehen eines qualifizierten Datenschutzbeauftragten in Praxen und Krankenhäusern.

Übertragung von gesundheitsbezogenen Daten

Die Weitergabe von medizinischen Informationen an Dritte ist prinzipiell nicht erlaubt. Grund hierfür stellt mithin die ärztliche Schweigepflicht – das Berufsgeheimnis – dar. Ein Verstoß hiergegen in Form der Übertragung oder Publikation von empfindlichen Patientendaten setzt sich nicht nur über Vorschriften des Datenschutzes, sondern außerdem über geltendes Strafrecht hinweg. Nach § 203 StGB liegt die entsprechende Sanktion in einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe.

Ausnahmefälle

Lediglich in einigen wenigen Ausnahmefällen ist eine Weitergabe gestattet. Doch bedarf es hierfür generell der Einholung des Einverständnisses durch den Betroffenen. Im Rahmen eines gerichtlichen Prozesses kann die Offenlegung bestimmter medizinischer Daten einer Einzelperson zum Zwecke der Gutachtenerstellung erforderlich werden. Der Betroffene muss den Mediziner allerdings auch an dieser Stelle von seiner Schweigepflicht entbinden. Bei jedweder Weiterleitung solcher Informationen muss zudem eine Aufklärung des Patienten über sowohl Empfänger der Daten als auch über die mit der Übertragung angestrebte Absicht erfolgen. Letztlich dürfen medizinische Daten einzelfallbedingt nur an die nachfolgenden Institutionen übergeben werden:

  • versichernde Krankenkasse
  • Sozialleistungsträger
  • Berufsgenossenschaft (bei Berufserkrankungen)
  • medizinischer Dienst der Krankenversicherung
  • Datenschutzbehörde (auch ohne Genehmigung des Betroffenen)

Liegt eine übertragbare Erkrankung vor, so ist eine Meldung nach dem Bundesinfektionsschutzgesetzes zwingend erforderlich, wobei sich die Obliegenheit zur Erfragung einer Genehmigung durch den Betroffenen erübrigt. Dennoch kann eine Anonymisierung bzw. Pseudonymisierung notwendig werden.

Schweigepflicht auch gegenüber Angehörigen?

Dass der Humanmediziner die Angehörigen eines Patienten über dessen gesundheitliche Verfassung aufklären muss, ist ein Irrglaube, denn auch dafür muss eine Freistellung des Doktors von seiner Schweigepflicht stattfinden. Ausnahmsweise ist dies nicht angezeigt, wenn die Verfassung des Patienten eigenverantwortliche Entschlusse sowie die Äußerung von Willenserklärungen entgegensteht. In solchen Fällen ist ein Einzelgespräch des Arztes mit dem Ehepartner oder mit engen Verwandten angebracht. So kann der vermutliche Wille des Kranken leichter bestimmt werden.

Eine Checkliste zum Thema „Datenschutz im Krankenhaus“ finden Sie hier.

Autorin: Jenna Eatough

Kurzvita: Jenna Eatough studierte an der Universität Regensburg zunächst Rechtswissenschaften mit Abschluss der juristischen Zwischenprüfung und dann Medienwissenschaften (BA). Heute lebt sie in Berlin und ist unter anderem als freie Journalistin für verschiedene Verbände tätig.