Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

["Dieter Schlierf" <praxis AT dschlierf.de>]

Konkretes Beispiel zur Datensicherheit:

 

Ich bekam an einem Wochenende einen Anruf eines Mitarbeiters einer Krankenkasse, der mich als politisch aktiven Menschen beobachtet hatte.

Er hatte Zugriff auf sämtliche in Bayern gespeicherten Vorgänge zum DMP (disease management program, soll die Behandlung chronisch kranker Patienten verbessern, ist mit viel bürokratischem Aufwand befrachtet) und hatte dabei bemerkt, dass ich bei einer Krankheit den vertraglich geforderten Prozentsatz an erfassten Patienten angeblich (stellte sich später als falsch heraus) nicht erreicht hatte. Damit wollte er nun Druck auf mich ausüben, mich besser vertragstreu zu verhalten, da mir sonst Ärger drohen würde. Dieses Wochenende schlief ich nicht besonders gut.

 

Will sagen: wo es Möglichkeiten gibt, Zugriff auf Daten zu bekommen, die einen eigentlich nichts angehen, wird dieser Zugriff auch genutzt werden.

 

Die Daten sind nicht sicher! Insbesondere sind die Daten nicht sicher, wenn sie zentral gespeichert werden. Wenn sie dezentral gespeichert werden, können sie verlorengehen. Dann kann man sie aber durch Kontakt zum Hausarzt wieder herstellen.

 

Hanns-Dieter

 

 

Von: ag-gesundheitswesen-bounces AT lists.piratenpartei.de [mailto:ag-gesundheitswesen-bounces AT lists.piratenpartei.de] Im Auftrag von haarbrandt
Gesendet: Donnerstag, 27. Oktober 2011 16:02
An: AG Gesundheit
Betreff: Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

 

So, ich mache mich mal an die Beantwortung der Fragen. Ich erlaube mir mal keinen wissenschaftlichen Maßstab anzulegen, da beispielsweise die korrekte Zitierweise etwas mehr Zeit kostet und ich nebenbei ja auch noch meine Master-Arbeit schreiben muss. 

 

Mir reicht übrigens auch vom Dietmar, wenn er meine Fragen ungefähr auf dem selben Niveau beantwortet, dann bin ich schon zufrieden. Meine Anmerkungen sind in rot.

 

 

ich erlaube es mir, die Quellen plausibel aufzuführen, für wissenschaftliche Penibilität fehlt mir einfach die Zeit. Vielleicht hilft ja auch der Appell daran, dass das der Bereich ist, in dem ich lange Arbeite, also auch Informationen aus erster Hand einfließen lasse.  

 

• Wo steht in unabhängigen Veröffentlichungen, dass die Datensicherheit gewährleistet ist – wenn nichtmal der CCC das System für sicher hält, sondern seit Jahren auf die erheblichen Sicherheitsdefizite aufmerksam macht?

 

Ich zitiere hier den CCC:

 

"Dieses Verfahren (Speicherung der Daten auf dem Server - Anmerkung von mir) wäre aus unserer Sicht auch datenschutzfreundlich, wenn der Patient die alleinige Hoheit über den kryptographischen Schlüssel hätte. Doch für den Fall, daß die eGK mit dem geheimen Schlüssel abhandenkommt, gibt es für die gematik die Möglichkeit, den geheimen Schlüssel für die Patientendaten wiederherzustellen." (http://www.ccc.de/de/elektronische-gesundheitskarte)

 

Dieses Thema haben wir ja bereits diskutiert. Ich machte dazu die Aussage, dass ein Treuhänder nötig sein muss. Ich favorisiere die "teilautomatische Lösung" (http://www.bitkom.org/60376.aspx?url="Untersuchung_Dezentrale_Speichermedien_4879.pdf&mode=0&b=Themen)

 

Ansonsten verweise ich nochmals auf die Veröffentlichungen von:

 

Thilo Weichert: https://www.datenschutzzentrum.de/vortraege/20080530-weichert-elektronische%20gesundheitskarte.html

 

Dazu noch ein wenig Lektüre von Lukas Gundermann, Unabhängiges Landeszentrum für Datenschutz, Schleswig-Holstein (ULD): http://www.aerzteblatt.de/v4/archiv/artikel.asp?src="suche&id=58842

 

Das Fraunhofer-Institut: http://www.fokus.fraunhofer.de/de/fokus/_pdfs/fokusbasic-ehealth.pdf dazu:

 

"Das Sicherheitskonzept ist in der Lage den Datenschutz

im Rahmen der aktuell spezifizierten Verwendung von

administrativen (VSD, VOD) und medizinischen Daten

(NFD) zu gewährleisten. Die Implementierung von wirksamen, verteilten Zugriffsschutzmechanismen ist auf dieser

Basis möglich. Für neue Fachdienste zur Umsetzung der

vorgestellten Ziele müssen jedoch Ergänzungen erfolgen.

Die reale Sicherheit der Zugriffschutzmechanismen kann

erst an den endgültigen Produkten beurteilt werden.

Darüber hinaus ist abzuwarten ob das auf der Basis von

ISO/IEC-10181-3 neu entwickelte Ticketverfahren eine

aus reichende Flexibilität aufweist, um in komplexen Verarbeitungsszenarien den Datenschutz von Elektronischen

Patientenakten zu gewährleisten – wie dies ggf. mit be -

reits länger existierenden generischen Lösungskonzepten

möglich wäre"

 

 

 

• Wo steht, dass der Arzt oder der Patient die Auswahl bzgl. Daten-Uploads bzw. Downloads im Umfang des erforderlichen Interesses in selektivem oder umfassendem Umfang treffen kann?

 

 

Für die Ausbaustufe der elektronischen Patientenakte ist noch keine Spezifikation verfügbar. Allerdings gibt es ein laufendes Projekt des Fraunhofer ISST, die eine prototypische Implementierung vornehmen. (http://www.isst.fraunhofer.de/Images/Fraunhofer_ISST-ePatientenakte-DIE%20PATIENTENAKTE%20IN%20DER%20VERSORGUNG_tcm81-86619.pdf)

 

Dort wird beispielsweise folgendes Modell vorgeschlagen:

 

"Ein Leistungserbringer kann aus seinem Primärsystem heraus Daten an eine Patientenakte eines Bürgers senden. Dieses kann auf Anforderung eines Bürgers 

(z. B. initiiert durch Muster 2) oder eigeninitiativ erfolgen. Der Bürger entscheidet, ob er die bereitgestellten Daten in seine Patientenakte übernimmt." (Seite 10)

 

Für das Szenario einer Anforderung durch den Arzt gilt zudem, dass diese eingeht, und dann durch den Patienten bestätigt werden muss. 

 

 

• Wie soll Vorstehendes vonstatten gehen ?

(Im Gesetz steht nur: Der Patient bestimmt, wer Zugriff auf die Daten nehmen darf). Der Arzt bestimmt nämlich nicht mehr, dass und welche Daten zum Zentralserver übertragen werden. Der Patient ebenso wenig. Dann nämlich wäre das gesamte angedachte System für die Tonne, weil nämlich kein Arzt mehr irgendetwas in ein mit der TI verbundendes Praxis-Software-System eingeben würde und letztlich auf dem Zentralserver völlig un-valide Daten wären, weil z.B. die Hälfte fehlt.

 

In dem oben beschriebenen Konzept ist es der Fall, dass der Patient autorisiert, was in die Akte gelangt. 

 

Würde der Arzt Daten aktiv übertragen, hätte er nach der derzeitigen Gesetzeslage ein Strafverfahren nach dem anderen an der Backe wegen Verletzung der ärztlichen Schweigepflicht.

Außerdem hätte der Arzt eine Fülle von Haftpflichtverfahren zu bewältigen, so dass Berufs-Haftpflicht-Versicherungen nicht mehr tragbar bzw. finanzierbar wären.

 

In dem Moment, wo der Patient der Teilnahme zustimmt, natürlich nach Aufklärung über die Risiken, wird der Arzt davon entbunden. Hier nochmal eine schöne Zusammenfassung zu dem Thema:

 

https://www.thieme-connect.com/ejournals/pdf/dmw/doi/10.1055/s-2004-831366.pdf

 

 

• Wie stellt der Arzt oder der Patient sicher, dass nichts abgezogen und auf dem Zentralspeicher abgespeichert wird, was er oder der Patient an Daten nicht freigegeben hat? (Eine Vorauswahl der Datenspeicherung ist nicht durchführbar)

 

Das ist durch Mechanismen in der Software sichergestellt. Es wird auch nicht machbar sein Daten aus den Primärsystemen des Arztes abzuziehen (auf den zentralen Speicher), da eine solche Funktion durch den Hersteller der Software implementiert werden müsste. Zudem muss zum Zugriff auf den Server HBA, eGK der Patienten uns so weiter...wissen schon. 

 

 

• Wie stellen gematik, BMfG und Gesetz sicher, dass z.B. ein Facharzt nach Überweisung durch den Hausarzt ausschließlich diejenigen Teile der EPA einsehen kann, die für ihn relevant sind.

 

Indem der Patient aktiv bestimmen muss, ob ein Arzt Zugriff drauf bekommt. Anforderung und Beantwortung erfolgen asynchron. Das bezieht sich übrigens noch immer auf die Veröffentlichung des Fraunhofer Instituts.  

 

• Wie stellen gematik, BMfG und Gesetz sicher, dass der Facharzt oder sontige Zugriffsberechtigte nicht auf sämtliche Vorbefunde auch anderer Ärzte Zugriff nehmen kann oder zwangsläufig in die Situation kommt, diese einzusehen?

 

Auch hier: der Patient muss aktiv den entsprechenden Arzt autorisieren. Das geht auch über Parameter wie "Fall" oder "Zeit" 

 

 

Entscheidend ist, dass weder der Arzt, noch der Patient Kontrollmöglichkeiten hat, welche Daten tatsächlich und welche nicht auf den Zentralserver gezogen wurden. Selbst die Einsichtsmöglichkeit des Patienten stellt dies nicht sicher. Auch das Recht auf Löschung ist nicht sichergestellt, weil der Patient nicht valide weiß, welche Daten tatsächlich (noch) auf dem Server sind.

 

• Wie ist gewährleistet, dass Datensätze auf dem Server – selektiert oder nicht – verschwinden?

 

Das ist in dem Fall sogar ein Vorteil von zentralen Servern. Wenn die Daten nicht verteilt werden, kann man sie innerhalb der TI auch wieder löschen. Dafür bedarf es keiner Quelle, nehme ich an. 

 

• Wie ist sichergestellt, dass der Patient durch die Protokolle der letzten 50 Zugriffe erfährt, welche Daten die Zugreifenden eingesehen haben?

 

 

Irgendwie beantwortest Du die Frage ja selbst. Indem es protokolliert wird. Zeitstempel und Prüfsummen sind Schlagworte an dieser Stelle. Interessanter ist eher der Punkt, auf welchem Level die Protokolle geschützt werden. Hier ist vorgesehen, dass sie den Patientendaten gleichgesetzt werden. 

 

• Falls ja, wie ist das inhatlich überprüfbar ? Will heißen: Muss man das der gematik glauben, oder gibt es dafür einen technischen Beweis? (Was einmal auf dem Server ist + Sicherheitskopien etc., Zugriff durch Dritte, Externe Kopien von Datensätzen in Zusammenhang mit erlaubten Zugriffen auf den Server etc. ist von niemandem auf Patientenseite oder Arztseite nachvollziehbar - vgl. Facebook -)

 

Ein Angriff von einem internen Mitarbeiter ist natürlich immer ein Problem. Grundsätzlich löst es die eGK durch die Verschlüsselung der Daten. Man kann entgegenhalten, dass man mit viel viel viel Aufwand auch diesen Schutz knacken kann. Wir haben ja über dezentrale Datenhaltung gesprochen, das wäre eine Maßnahme, um Bedenken an dieser Stelle auszuräumen. 

 

 

• Wie können Arzt und Patient kontrollieren, welche Daten vom Praxisrechner abgezogen werden und welche etwa nicht? Worin besteht hier die Möglichkeit der Selektion?

 

Indem der Patient seine Einwilligung erteilt oder nicht, oder der Arzt die Daten nicht hochlädt.

 

• Wie ist die ärztliche Schweigepflicht bzgl. sämtlicher Voruntersuchungen gewährleistet, wenn  Informatiker die Datenselektion von medizinischer Relevanz vornehmen wollen oder dürfen?

 

Das ist ein Missverständnis. Ich bin da in der Replik auf Michaelas Post auch eingegangen. Es ist keine Person an der Datenselektion beteiligt. 

 

• Wer hat in diesem Zusammenhang Zugriff auf den Server und gehört nicht zum Kreis der HBA-Inhaber?  Informatiker? Die der gematik? Diejenigen von Sub-Unternehmen der Gematik? Solche von Sub-Sub-Unternehmen von Sub-Unternehmen der Gematik?

 

Zugriff auf den Server bedeutet nicht Zugriff auf die Daten. Diese sind nämlich verschlüsselt. Man kann sich natürlich vorstellen, dass jemand eine Kopie der Datenbank erstellt und dann mit ganz ganz ganz viel Rechenpower versucht diese zu knacken. Daher an dieser Stelle: (teilweise) dezentrale Lösung wäre eine Alternative. 

 

• Sitzen die Informatiker der gematik oder von Sub-Unternehmen etc.  als Daten-Kontroll-oder Daten-Selektions-Dienstleister in den Arztpraxen oder nehmen sie Zugriff auf die Praxisrechner?

 

 

Wie gesagt, es gibt keine Datenselektion oder Kontrolle. Das obliegt Ärzten und Patienten.

 

• Muss dies - falls ja - nach Ankündigung oder mit Erlaubnis des Arztes oder Patienten geschehen?

 

entfällt somit

 

 

• Wie ist der technische und praktische Ablauf ohne Störung der Privatsphäre der Patienen oder der Praxisbetriebe in diesen Fällen gewährleistet?

 

entfällt

 

 

• Haben Informatiker via Team Viewer oder ähnlicher Applikationen keinen Zugriff auf den zentralen Datenserver oder Praxisrechner, um in den Anamnesen, Befunden, Diagnosen und Therapieempfehlungen rumzustöbern und dort „für Ordnung“ zu sorgen?

 

Die Daten liegen verschlüsselt vor, der Zugriff kann nur mittels HBA und EGK + PIN und Konnektor erfolgen. In der Tat ist das Missbrauchspotential viel höher, wenn ein technischer Mitarbeiter eines Softwarehauses mit der Datenbank vor Ort arbeitet. Vielleicht sollten wir einen Antrag stellen, der solche Machenschaften verbietet. 

 

 

• Wo ist das belegt?

 

 

 

Spezifikation der Gematik und mit dem Wissen, dass die Daten verschlüsselt sind und sich der Schlüssel in der Hand des Patienten befinden. 

 

• Besteht bei diesen Gelegenheiten keine Möglichkeit, Abrechnungsziffern zu manipulieren?

 

Auf dem lokalen Rechner und im Krankenhaus an sich: natürlich. Innerhalb der TI nicht: die ist verschlüsselt. 

 

 

• Welche Beschränkungen sind den MDK auferlegt? (im Gesetz nicht ersichtlich)

 

Ich zitiere mal direkt aus dem Gesetz, wer Zugangsberechtigt ist:

 

 

Ärzte,

Zahnärzte,

Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,

Personen, die

aa)

bei den unter Buchstabe a bis c Genannten oder

bb)

in einem Krankenhaus

als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,

sonstige Erbringer ärztlich verordneter Leistungen,

 

• Wer sind die „Sonstigen Erbringer ärztlich verordneter Leistungen“ im Sinne von § 291 a Absatz 4, Ziffer 1. e)?

 

Die Illuminaten. Möglicherweise möchte man aber das Gesetz nicht alle Tage ändern, weshalb man es dort offen hält. Wüsste aber nicht, dass der Arzt zu Therapiezwecken einen Besuch des MDK verschreibt.