Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

[Dietmar Brinkmann <dietmar.brinkmann AT piraten-hh.de>]

meines bescheidenen Wissens nach (keine 100% Garantie), kommen diese 
Daten eben, wie Du sagst, von der Krankenkasse!

DMP und einige andere Angebote der Kassen (Bonusprogramme), sind nur mit 
Zustimmung der Patienten möglich. Die KK ist dann Herr aller 
Behandlungsdaten ihrer/s Versicherten, und zwar in einigen Fällen dann 
von Millionen Versicherten.

Es handelt sich hier mitnichten um irgendeine zentrale Speicherung und 
Unsicherheit der Behandlungs- und Abrechnungsdaten, sondern vermutlich 
um eine aus Unkenntnis abgebene Einverständniserklärung eines 
Versicherten gegenüber seiner KK, all seine Behandlungsdaten einem 
Optimierungsprojekt zur Verfügung zu stellen.

Diese Daten liegen dann verteilt auf viele 'Leistungserbringer' und als 
Abrechnungsstelle nicht mehr anonymisiert von der Einzelperson, oder nur 
noch teilweise anonymisiert den Krankenkassen vor.

Davon haben wir aktuell knapp 150, von ehemals 220 vor zwei Jahren.

Auch das ist keine zentrale Speicherung.

soweit für meinen ersten Beitrag

Dietmar Brinkmann

Pirat und EDV-Kaufmann aus Hamburg

Am 27.10.2011 16:56, schrieb Dieter Schlierf:
> Konkretes Beispiel zur Datensicherheit:
>
> Ich bekam an einem Wochenende einen Anruf eines Mitarbeiters einer
> Krankenkasse, der mich als politisch aktiven Menschen beobachtet hatte.
>
> Er hatte Zugriff auf sämtliche in Bayern gespeicherten Vorgänge zum DMP
> (disease management program, soll die Behandlung chronisch kranker
> Patienten verbessern, ist mit viel bürokratischem Aufwand befrachtet)
> und hatte dabei bemerkt, dass ich bei einer Krankheit den vertraglich
> geforderten Prozentsatz an erfassten Patienten angeblich (stellte sich
> später als falsch heraus) nicht erreicht hatte. Damit wollte er nun
> Druck auf mich ausüben, mich besser vertragstreu zu verhalten, da mir
> sonst Ärger drohen würde. Dieses Wochenende schlief ich nicht besonders gut.
>
> Will sagen: wo es Möglichkeiten gibt, Zugriff auf Daten zu bekommen, die
> einen eigentlich nichts angehen, wird dieser Zugriff auch genutzt werden.
>
> Die Daten sind *nicht*sicher! Insbesondere sind die Daten nicht sicher,
> wenn sie zentral gespeichert werden. Wenn sie dezentral gespeichert
> werden, können sie verlorengehen. Dann kann man sie aber durch Kontakt
> zum Hausarzt wieder herstellen.
>
> Hanns-Dieter
>
> *Von:*ag-gesundheitswesen-bounces AT lists.piratenpartei.de
> [mailto:ag-gesundheitswesen-bounces AT lists.piratenpartei.de] *Im Auftrag
> von *haarbrandt
> *Gesendet:* Donnerstag, 27. Oktober 2011 16:02
> *An:* AG Gesundheit
> *Betreff:* Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK
> (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner
>
> So, ich mache mich mal an die Beantwortung der Fragen. Ich erlaube mir
> mal keinen wissenschaftlichen Maßstab anzulegen, da beispielsweise die
> korrekte Zitierweise etwas mehr Zeit kostet und ich nebenbei ja auch
> noch meine Master-Arbeit schreiben muss.
>
> Mir reicht übrigens auch vom Dietmar, wenn er meine Fragen ungefähr auf
> dem selben Niveau beantwortet, dann bin ich schon zufrieden. Meine
> Anmerkungen sind in rot.
>
> ich erlaube es mir, die Quellen plausibel aufzuführen, für
> wissenschaftliche Penibilität fehlt mir einfach die Zeit. Vielleicht
> hilft ja auch der Appell daran, dass das der Bereich ist, in dem ich
> lange Arbeite, also auch Informationen aus erster Hand einfließen lasse.
>
>       * Wo steht in unabhängigen Veröffentlichungen, dass die
>         Datensicherheit gewährleistet ist – wenn nichtmal der CCC das
>         System für sicher hält, sondern seit Jahren auf die erheblichen
>         Sicherheitsdefizite aufmerksam macht?
>
> Ich zitiere hier den CCC:
>
> "Dieses Verfahren (Speicherung der Daten auf dem Server - Anmerkung von
> mir) wäre aus unserer Sicht auch datenschutzfreundlich, wenn der Patient
> die alleinige Hoheit über den kryptographischen Schlüssel hätte. Doch
> für den Fall, daß die eGK mit dem geheimen Schlüssel abhandenkommt, gibt
> es für die gematik die Möglichkeit, den geheimen Schlüssel für die
> Patientendaten wiederherzustellen."
> (http://www.ccc.de/de/elektronische-gesundheitskarte)
>
> Dieses Thema haben wir ja bereits diskutiert. Ich machte dazu die
> Aussage, dass ein Treuhänder nötig sein muss. Ich favorisiere die
> "teilautomatische Lösung"
> (http://www.bitkom.org/60376.aspx?url=Untersuchung_Dezentrale_Speichermedien_4879.pdf&mode=0&b=Themen
> <http://www.bitkom.org/60376.aspx?url=Untersuchung_Dezentrale_Speichermedien_4879.pdf&mode=0&b=Themen>)
>
> Ansonsten verweise ich nochmals auf die Veröffentlichungen von:
>
> Thilo Weichert:
> https://www.datenschutzzentrum.de/vortraege/20080530-weichert-elektronische%20gesundheitskarte.html
>
> Dazu noch ein wenig Lektüre von Lukas Gundermann, Unabhängiges
> Landeszentrum für Datenschutz, Schleswig-Holstein (ULD):
> http://www.aerzteblatt.de/v4/archiv/artikel.asp?src=suche&id=58842
> <http://www.aerzteblatt.de/v4/archiv/artikel.asp?src=suche&id=58842>
>
> Das Fraunhofer-Institut:
> http://www.fokus.fraunhofer.de/de/fokus/_pdfs/fokusbasic-ehealth.pdf dazu:
>
> "Das Sicherheitskonzept ist in der Lage den Datenschutz
>
> im Rahmen der aktuell spezifizierten Verwendung von
>
> administrativen (VSD, VOD) und medizinischen Daten
>
> (NFD) zu gewährleisten. Die Implementierung von wirksamen, verteilten
> Zugriffsschutzmechanismen ist auf dieser
>
> Basis möglich. Für neue Fachdienste zur Umsetzung der
>
> vorgestellten Ziele müssen jedoch Ergänzungen erfolgen.
>
> Die reale Sicherheit der Zugriffschutzmechanismen kann
>
> erst an den endgültigen Produkten beurteilt werden.
>
> Darüber hinaus ist abzuwarten ob das auf der Basis von
>
> ISO/IEC-10181-3 neu entwickelte Ticketverfahren eine
>
> aus reichende Flexibilität aufweist, um in komplexen
> Verarbeitungsszenarien den Datenschutz von Elektronischen
>
> Patientenakten zu gewährleisten – wie dies ggf. mit be -
>
> reits länger existierenden generischen Lösungskonzepten
>
> möglich wäre"
>
>       * Wo steht, dass der Arzt oder der Patient die Auswahl bzgl.
>         Daten-Uploads bzw. Downloads im Umfang des erforderlichen
>         Interesses in selektivem oder umfassendem Umfang treffen kann?
>
> Für die Ausbaustufe der elektronischen Patientenakte ist noch keine
> Spezifikation verfügbar. Allerdings gibt es ein laufendes Projekt des
> Fraunhofer ISST, die eine prototypische Implementierung vornehmen.
> (http://www.isst.fraunhofer.de/Images/Fraunhofer_ISST-ePatientenakte-DIE%20PATIENTENAKTE%20IN%20DER%20VERSORGUNG_tcm81-86619.pdf)
>
> Dort wird beispielsweise folgendes Modell vorgeschlagen:
>
> "Ein Leistungserbringer kann aus seinem Primärsystem heraus Daten an
> eine Patientenakte eines Bürgers senden. Dieses kann auf Anforderung
> eines Bürgers
>
> (z. B. initiiert durch Muster 2) oder eigeninitiativ erfolgen. Der
> Bürger entscheidet, ob er die bereitgestellten Daten in seine
> Patientenakte übernimmt." (Seite 10)
>
> Für das Szenario einer Anforderung durch den Arzt gilt zudem, dass diese
> eingeht, und dann durch den Patienten bestätigt werden muss.
>
>       * Wie soll Vorstehendes vonstatten gehen ?
>
>
>     (Im Gesetz steht nur: Der Patient bestimmt, wer Zugriff auf die
>     Daten nehmen darf). Der Arzt bestimmt nämlich nicht mehr, dass und
>     welche Daten zum Zentralserver übertragen werden. Der Patient ebenso
>     wenig. Dann nämlich wäre das gesamte angedachte System für die
>     Tonne, weil nämlich kein Arzt mehr irgendetwas in ein mit der TI
>     verbundendes Praxis-Software-System eingeben würde und letztlich auf
>     dem Zentralserver völlig un-valide Daten wären, weil z.B. die Hälfte
>     fehlt.
>
> In dem oben beschriebenen Konzept ist es der Fall, dass der Patient
> autorisiert, was in die Akte gelangt.
>
>     Würde der Arzt Daten aktiv übertragen, hätte er nach der derzeitigen
>     Gesetzeslage ein Strafverfahren nach dem anderen an der Backe wegen
>     Verletzung der ärztlichen Schweigepflicht.
>
>     Außerdem hätte der Arzt eine Fülle von Haftpflichtverfahren zu
>     bewältigen, so dass Berufs-Haftpflicht-Versicherungen nicht mehr
>     tragbar bzw. finanzierbar wären.
>
> In dem Moment, wo der Patient der Teilnahme zustimmt, natürlich nach
> Aufklärung über die Risiken, wird der Arzt davon entbunden. Hier nochmal
> eine schöne Zusammenfassung zu dem Thema:
>
> https://www.thieme-connect.com/ejournals/pdf/dmw/doi/10.1055/s-2004-831366.pdf
>
>       * Wie stellt der Arzt oder der Patient sicher, dass nichts
>         abgezogen und auf dem Zentralspeicher abgespeichert wird, was er
>         oder der Patient an Daten nicht freigegeben hat? (Eine
>         Vorauswahl der Datenspeicherung ist nicht durchführbar)
>
> Das ist durch Mechanismen in der Software sichergestellt. Es wird auch
> nicht machbar sein Daten aus den Primärsystemen des Arztes abzuziehen
> (auf den zentralen Speicher), da eine solche Funktion durch den
> Hersteller der Software implementiert werden müsste. Zudem muss zum
> Zugriff auf den Server HBA, eGK der Patienten uns so weiter...wissen schon.
>
>       * Wie stellen gematik, BMfG und Gesetz sicher, dass z.B. ein
>         Facharzt nach Überweisung durch den Hausarzt ausschließlich
>         diejenigen Teile der EPA einsehen kann, die für ihn relevant sind.
>
> Indem der Patient aktiv bestimmen muss, ob ein Arzt Zugriff drauf
> bekommt. Anforderung und Beantwortung erfolgen asynchron. Das bezieht
> sich übrigens noch immer auf die Veröffentlichung des Fraunhofer Instituts.
>
>       * Wie stellen gematik, BMfG und Gesetz sicher, dass der Facharzt
>         oder sontige Zugriffsberechtigte nicht auf sämtliche Vorbefunde
>         auch anderer Ärzte Zugriff nehmen kann oder zwangsläufig in die
>         Situation kommt, diese einzusehen?
>
> Auch hier: der Patient muss aktiv den entsprechenden Arzt autorisieren.
> Das geht auch über Parameter wie "Fall" oder "Zeit"
>
>     Entscheidend ist, dass weder der Arzt, noch der Patient
>     Kontrollmöglichkeiten hat, welche Daten tatsächlich und welche nicht
>     auf den Zentralserver gezogen wurden. Selbst die
>     Einsichtsmöglichkeit des Patienten stellt dies nicht sicher. Auch
>     das Recht auf Löschung ist nicht sichergestellt, weil der Patient
>     nicht valide weiß, welche Daten tatsächlich (noch) auf dem Server sind.
>
>       * Wie ist gewährleistet, dass Datensätze auf dem Server –
>         selektiert oder nicht – verschwinden?
>
> Das ist in dem Fall sogar ein Vorteil von zentralen Servern. Wenn die
> Daten nicht verteilt werden, kann man sie innerhalb der TI auch wieder
> löschen. Dafür bedarf es keiner Quelle, nehme ich an.
>
>       * Wie ist sichergestellt, dass der Patient durch die Protokolle
>         der letzten 50 Zugriffe erfährt, welche Daten die Zugreifenden
>         eingesehen haben?
>
> Irgendwie beantwortest Du die Frage ja selbst. Indem es protokolliert
> wird. Zeitstempel und Prüfsummen sind Schlagworte an dieser Stelle.
> Interessanter ist eher der Punkt, auf welchem Level die Protokolle
> geschützt werden. Hier ist vorgesehen, dass sie den Patientendaten
> gleichgesetzt werden.
>
>       * Falls ja, wie ist das inhatlich überprüfbar ? Will heißen: Muss
>         man das der gematik glauben, oder gibt es dafür einen
>         technischen Beweis? (Was einmal auf dem Server ist +
>         Sicherheitskopien etc., Zugriff durch Dritte, Externe Kopien von
>         Datensätzen in Zusammenhang mit erlaubten Zugriffen auf den
>         Server etc. ist von niemandem auf Patientenseite oder Arztseite
>         nachvollziehbar - vgl. Facebook -)
>
> Ein Angriff von einem internen Mitarbeiter ist natürlich immer ein
> Problem. Grundsätzlich löst es die eGK durch die Verschlüsselung der
> Daten. Man kann entgegenhalten, dass man mit viel viel viel Aufwand auch
> diesen Schutz knacken kann. Wir haben ja über dezentrale Datenhaltung
> gesprochen, das wäre eine Maßnahme, um Bedenken an dieser Stelle
> auszuräumen.
>
>       * Wie können Arzt und Patient kontrollieren, welche Daten vom
>         Praxisrechner abgezogen werden und welche etwa nicht? Worin
>         besteht hier die Möglichkeit der Selektion?
>
> Indem der Patient seine Einwilligung erteilt oder nicht, oder der Arzt
> die Daten nicht hochlädt.
>
>       * Wie ist die ärztliche Schweigepflicht bzgl. sämtlicher
>         Voruntersuchungen gewährleistet, wenn Informatiker die
>         Datenselektion von medizinischer Relevanz vornehmen wollen oder
>         dürfen?
>
> Das ist ein Missverständnis. Ich bin da in der Replik auf Michaelas Post
> auch eingegangen. Es ist keine Person an der Datenselektion beteiligt.
>
>       * Wer hat in diesem Zusammenhang Zugriff auf den Server und gehört
>         nicht zum Kreis der HBA-Inhaber? Informatiker? Die der gematik?
>         Diejenigen von Sub-Unternehmen der Gematik? Solche von
>         Sub-Sub-Unternehmen von Sub-Unternehmen der Gematik?
>
> Zugriff auf den Server bedeutet nicht Zugriff auf die Daten. Diese sind
> nämlich verschlüsselt. Man kann sich natürlich vorstellen, dass jemand
> eine Kopie der Datenbank erstellt und dann mit ganz ganz ganz viel
> Rechenpower versucht diese zu knacken. Daher an dieser Stelle:
> (teilweise) dezentrale Lösung wäre eine Alternative.
>
>       * Sitzen die Informatiker der gematik oder von Sub-Unternehmen
>         etc. als Daten-Kontroll-oder Daten-Selektions-Dienstleister in
>         den Arztpraxen oder nehmen sie Zugriff auf die Praxisrechner?
>
> Wie gesagt, es gibt keine Datenselektion oder Kontrolle. Das obliegt
> Ärzten und Patienten.
>
>       * Muss dies - falls ja - nach Ankündigung oder mit Erlaubnis des
>         Arztes oder Patienten geschehen?
>
> entfällt somit
>
>       * Wie ist der technische und praktische Ablauf ohne Störung der
>         Privatsphäre der Patienen oder der Praxisbetriebe in diesen
>         Fällen gewährleistet?
>
> entfällt
>
>       * Haben Informatiker via Team Viewer oder ähnlicher Applikationen
>         keinen Zugriff auf den zentralen Datenserver oder Praxisrechner,
>         um in den Anamnesen, Befunden, Diagnosen und
>         Therapieempfehlungen rumzustöbern und dort „für Ordnung“ zu sorgen?
>
> Die Daten liegen verschlüsselt vor, der Zugriff kann nur mittels HBA und
> EGK + PIN und Konnektor erfolgen. In der Tat ist das
> Missbrauchspotential viel höher, wenn ein technischer Mitarbeiter eines
> Softwarehauses mit der Datenbank vor Ort arbeitet. Vielleicht sollten
> wir einen Antrag stellen, der solche Machenschaften verbietet.
>
>       * Wo ist das belegt?
>
> Spezifikation der Gematik und mit dem Wissen, dass die Daten
> verschlüsselt sind und sich der Schlüssel in der Hand des Patienten
> befinden.
>
>       * Besteht bei diesen Gelegenheiten keine Möglichkeit,
>         Abrechnungsziffern zu manipulieren?
>
> Auf dem lokalen Rechner und im Krankenhaus an sich: natürlich. Innerhalb
> der TI nicht: die ist verschlüsselt.
>
>       * Welche Beschränkungen sind den MDK auferlegt? (im Gesetz nicht
>         ersichtlich)
>
> Ich zitiere mal direkt aus dem Gesetz, wer Zugangsberechtigt ist:
>
> Ärzte,
>
> Zahnärzte,
>
> Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,
>
> Personen, die
>
> aa)
>
> bei den unter Buchstabe a bis c Genannten oder
>
> bb)
>
> in einem Krankenhaus
>
> als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig
> sind, soweit dies im Rahmen der von ihnen zulässigerweise zu
> erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht
> der in Buchstabe a bis c Genannten erfolgt,
>
> sonstige Erbringer ärztlich verordneter Leistungen,
>
>       * Wer sind die „Sonstigen Erbringer ärztlich verordneter
>         Leistungen“ im Sinne von § 291 a Absatz 4, Ziffer 1. e)?
>
> Die Illuminaten. Möglicherweise möchte man aber das Gesetz nicht alle
> Tage ändern, weshalb man es dort offen hält. Wüsste aber nicht, dass der
> Arzt zu Therapiezwecken einen Besuch des MDK verschreibt.