Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

[haarbrandt <haarbrandt AT googlemail.com>]

Am 27. Oktober 2011 18:04 schrieb mb <michaela_bach AT web.de>:

Verstehe ich das richtig? Ein Arzt erhält heute pro Quartal im Monat für einen Patienten etwa  30-50,- Euro Honorar (je nach Region und Fachrichtung), unabhängig davon wie oft der Patient kommt und welche Maßnahmen erforderlich sind. Soll der Arzt jetzt für dieses Minigehalt noch stundenlang mit dem Patienten diskutieren, welche Daten zur Speicherung freigegeben werden, welchen Nutzen das hat, oder auch nicht? Was ist mit Labordaten etc..  Das muss   dann im Prinzip ja auch schriftlich dokumentiert werden– welch Aufwand. Ihr  könnt mal davon ausgehen, dass die meisten Ärzte ihre Patienten davon überzeugen werden, keine Datenfreigabe zu erteilen – das macht die wenigste Arbeit.

 

Das wird sich dann zeigen müssen, ob sich das System bewährt. Wir hatten ja eine Umfrage (ich glaube es war von Bertelsmann), in der viele Ärzte die eGK durchaus befürworten. Konzerne wie Rhön setzen sehr stark auf Telemedizin, das ist dann schon ein Indiz dafür, dass es reales Potential gibt. Übrigens ist auch Bosch gerade in den Bereich eingestiegen. Und natürlich: wenn durch die Beratung ein Mehraufwand entsteht muss dieser entsprechend auch vergütet werden.  

 

Noch mal eine Frage zur Datensicherheit: Ihr erklärt ständig, die Serverseite sei sicher – das kann ein durchschnittlicher Mensch   glauben oder nicht.

Wie ist das aber auf der anderen Seite. Wenn sich z.B. auf einem Arzt-Praxiscomputer ein Trojaner befindet, könnte der dann nicht Pin und Kartennummer von Hunderten Patienten der Praxis  im laufenden Betrieb auslesen und weiterleiten?

Wenn Du einen Trojaner auf dem Arztrechner hast, dann wäre es vermutlich einfacher gleich die Datenbank des dortigen Rechners auszunehmen. Mit der PIN alleine kannst du in dem System nichts anfangen, du brauchst auch die entsprechende Gesundheitskarte. In Arztpraxen gibt es nach meiner Erfahrung häufig eine Firewall mit sehr restriktiven Regeln. Das würde es einem Trojaner erschweren. Es gibt wohl auch einen Schutz durch die Hardware, das müsste ich aber nochmal in Ruhe recherchieren. Arztpraxen unterliegen nach wie vor einem besonderen Schutz, aber da kann Dietmar sicher mehr zu berichten als ich. Indes wundert es mich, warum gerade die KV sich zum Komplizen machen sollte. 

 

Den Trojaner auf die Arztcomputer zu bringen wäre auch ganz einfache: Die KV verlangt von allen Ärzten   ein quartalsweises Update der Abrechnungssoftware (Kryptomodul). Mit diesem Update könnte man bequem einen Trojaner auf das System spielen. Beispielsweise auch mit Einverständnis des Softwareherstellers (es gibt nur sehr wenige große Hersteller von Arztprogrammen)

Eventuell habe ich den Satz falsch verstanden, aber es gibt gerade bei Arztsoftware schon sehr viele verschiedene Anbieter. Die mögen dann Teil von Konzernen sein, jedoch haben diese unabhängig davon die Kontrolle über ihre Software (ich berichte live von der Front, da ich seit 4 Jahren als Werkstudent in dem Bereich tätig bin). Ich persönlich halte das für ein konstruiertes Szenario, da in dem System wirklich alle Stellen mitmachen müssten. Das Risiko damit aufzufallen ist doch enorm. 

 

– das ließe sich notfalls sogar gesetzlich regeln (bzw. wir haben momentan einen Innenminister, den Urteile des Verfassungsgerichts nicht interessieren, der braucht für derartiges vielleicht gar kein Gesetz).

 

Ich möchte das Gericht sehen, das dieses durchgehen lassen würde. So weit sind wir dann noch nicht. Beziehungsweise: sollte es soweit kommen, dann holt einen die Gestapo wahrscheinlich direkt ab. Das ist im Vergleich zum Staatstrojaner eine GANZ andere Qualität. 

vg,

Birger

 

 

 

Michaela

 

 

 

 

 

 

Ich zitiere hier den CCC:

 

"Dieses Verfahren (Speicherung der Daten auf dem Server - Anmerkung von mir) wäre aus unserer Sicht auch datenschutzfreundlich, wenn der Patient die alleinige Hoheit über den kryptographischen Schlüssel hätte. Doch für den Fall, daß die eGK mit dem geheimen Schlüssel abhandenkommt, gibt es für die gematik die Möglichkeit, den geheimen Schlüssel für die Patientendaten wiederherzustellen." (http://www.ccc.de/de/elektronische-gesundheitskarte)

 

Dieses Thema haben wir ja bereits diskutiert. Ich machte dazu die Aussage, dass ein Treuhänder nötig sein muss. Ich favorisiere die "teilautomatische Lösung" (http://www.bitkom.org/60376.aspx?url="Untersuchung_Dezentrale_Speichermedien_4879.pdf&mode=0&b=Themen)

 

Ansonsten verweise ich nochmals auf die Veröffentlichungen von:

 

Thilo Weichert: https://www.datenschutzzentrum.de/vortraege/20080530-weichert-elektronische%20gesundheitskarte.html

 

Dazu noch ein wenig Lektüre von Lukas Gundermann, Unabhängiges Landeszentrum für Datenschutz, Schleswig-Holstein (ULD): http://www.aerzteblatt.de/v4/archiv/artikel.asp?src="suche&id=58842

 

Das Fraunhofer-Institut: http://www.fokus.fraunhofer.de/de/fokus/_pdfs/fokusbasic-ehealth.pdf dazu:

 

"Das Sicherheitskonzept ist in der Lage den Datenschutz

im Rahmen der aktuell spezifizierten Verwendung von

administrativen (VSD, VOD) und medizinischen Daten

(NFD) zu gewährleisten. Die Implementierung von wirksamen, verteilten Zugriffsschutzmechanismen ist auf dieser

Basis möglich. Für neue Fachdienste zur Umsetzung der

vorgestellten Ziele müssen jedoch Ergänzungen erfolgen.

Die reale Sicherheit der Zugriffschutzmechanismen kann

erst an den endgültigen Produkten beurteilt werden.

Darüber hinaus ist abzuwarten ob das auf der Basis von

ISO/IEC-10181-3 neu entwickelte Ticketverfahren eine

aus reichende Flexibilität aufweist, um in komplexen Verarbeitungsszenarien den Datenschutz von Elektronischen

Patientenakten zu gewährleisten – wie dies ggf. mit be -

reits länger existierenden generischen Lösungskonzepten

möglich wäre"

 

 

 

• Wo steht, dass der Arzt oder der Patient die Auswahl bzgl. Daten-Uploads bzw. Downloads im Umfang des erforderlichen Interesses in selektivem oder umfassendem Umfang treffen kann?

 

 

Für die Ausbaustufe der elektronischen Patientenakte ist noch keine Spezifikation verfügbar. Allerdings gibt es ein laufendes Projekt des Fraunhofer ISST, die eine prototypische Implementierung vornehmen. (http://www.isst.fraunhofer.de/Images/Fraunhofer_ISST-ePatientenakte-DIE%20PATIENTENAKTE%20IN%20DER%20VERSORGUNG_tcm81-86619.pdf)

 

Dort wird beispielsweise folgendes Modell vorgeschlagen:

 

"Ein Leistungserbringer kann aus seinem Primärsystem heraus Daten an eine Patientenakte eines Bürgers senden. Dieses kann auf Anforderung eines Bürgers 

(z. B. initiiert durch Muster 2) oder eigeninitiativ erfolgen. Der Bürger entscheidet, ob er die bereitgestellten Daten in seine Patientenakte übernimmt." (Seite 10)

 

Für das Szenario einer Anforderung durch den Arzt gilt zudem, dass diese eingeht, und dann durch den Patienten bestätigt werden muss. 

 

 

• Wie soll Vorstehendes vonstatten gehen ?

(Im Gesetz steht nur: Der Patient bestimmt, wer Zugriff auf die Daten nehmen darf). Der Arzt bestimmt nämlich nicht mehr, dass und welche Daten zum Zentralserver übertragen werden. Der Patient ebenso wenig. Dann nämlich wäre das gesamte angedachte System für die Tonne, weil nämlich kein Arzt mehr irgendetwas in ein mit der TI verbundendes Praxis-Software-System eingeben würde und letztlich auf dem Zentralserver völlig un-valide Daten wären, weil z.B. die Hälfte fehlt.

 

In dem oben beschriebenen Konzept ist es der Fall, dass der Patient autorisiert, was in die Akte gelangt. 

 

Würde der Arzt Daten aktiv übertragen, hätte er nach der derzeitigen Gesetzeslage ein Strafverfahren nach dem anderen an der Backe wegen Verletzung der ärztlichen Schweigepflicht.

Außerdem hätte der Arzt eine Fülle von Haftpflichtverfahren zu bewältigen, so dass Berufs-Haftpflicht-Versicherungen nicht mehr tragbar bzw. finanzierbar wären.

 

In dem Moment, wo der Patient der Teilnahme zustimmt, natürlich nach Aufklärung über die Risiken, wird der Arzt davon entbunden. Hier nochmal eine schöne Zusammenfassung zu dem Thema:

 

https://www.thieme-connect.com/ejournals/pdf/dmw/doi/10.1055/s-2004-831366.pdf

 

 

• Wie stellt der Arzt oder der Patient sicher, dass nichts abgezogen und auf dem Zentralspeicher abgespeichert wird, was er oder der Patient an Daten nicht freigegeben hat? (Eine Vorauswahl der Datenspeicherung ist nicht durchführbar)

 

Das ist durch Mechanismen in der Software sichergestellt. Es wird auch nicht machbar sein Daten aus den Primärsystemen des Arztes abzuziehen (auf den zentralen Speicher), da eine solche Funktion durch den Hersteller der Software implementiert werden müsste. Zudem muss zum Zugriff auf den Server HBA, eGK der Patienten uns so weiter...wissen schon. 

 

 

• Wie stellen gematik, BMfG und Gesetz sicher, dass z.B. ein Facharzt nach Überweisung durch den Hausarzt ausschließlich diejenigen Teile der EPA einsehen kann, die für ihn relevant sind.

 

Indem der Patient aktiv bestimmen muss, ob ein Arzt Zugriff drauf bekommt. Anforderung und Beantwortung erfolgen asynchron. Das bezieht sich übrigens noch immer auf die Veröffentlichung des Fraunhofer Instituts.  

 

• Wie stellen gematik, BMfG und Gesetz sicher, dass der Facharzt oder sontige Zugriffsberechtigte nicht auf sämtliche Vorbefunde auch anderer Ärzte Zugriff nehmen kann oder zwangsläufig in die Situation kommt, diese einzusehen?

 

Auch hier: der Patient muss aktiv den entsprechenden Arzt autorisieren. Das geht auch über Parameter wie "Fall" oder "Zeit" 

 

 

Entscheidend ist, dass weder der Arzt, noch der Patient Kontrollmöglichkeiten hat, welche Daten tatsächlich und welche nicht auf den Zentralserver gezogen wurden. Selbst die Einsichtsmöglichkeit des Patienten stellt dies nicht sicher. Auch das Recht auf Löschung ist nicht sichergestellt, weil der Patient nicht valide weiß, welche Daten tatsächlich (noch) auf dem Server sind.

 

• Wie ist gewährleistet, dass Datensätze auf dem Server – selektiert oder nicht – verschwinden?

 

Das ist in dem Fall sogar ein Vorteil von zentralen Servern. Wenn die Daten nicht verteilt werden, kann man sie innerhalb der TI auch wieder löschen. Dafür bedarf es keiner Quelle, nehme ich an. 

 

• Wie ist sichergestellt, dass der Patient durch die Protokolle der letzten 50 Zugriffe erfährt, welche Daten die Zugreifenden eingesehen haben?

 

 

Irgendwie beantwortest Du die Frage ja selbst. Indem es protokolliert wird. Zeitstempel und Prüfsummen sind Schlagworte an dieser Stelle. Interessanter ist eher der Punkt, auf welchem Level die Protokolle geschützt werden. Hier ist vorgesehen, dass sie den Patientendaten gleichgesetzt werden. 

 

• Falls ja, wie ist das inhatlich überprüfbar ? Will heißen: Muss man das der gematik glauben, oder gibt es dafür einen technischen Beweis? (Was einmal auf dem Server ist + Sicherheitskopien etc., Zugriff durch Dritte, Externe Kopien von Datensätzen in Zusammenhang mit erlaubten Zugriffen auf den Server etc. ist von niemandem auf Patientenseite oder Arztseite nachvollziehbar - vgl. Facebook -)

 

Ein Angriff von einem internen Mitarbeiter ist natürlich immer ein Problem. Grundsätzlich löst es die eGK durch die Verschlüsselung der Daten. Man kann entgegenhalten, dass man mit viel viel viel Aufwand auch diesen Schutz knacken kann. Wir haben ja über dezentrale Datenhaltung gesprochen, das wäre eine Maßnahme, um Bedenken an dieser Stelle auszuräumen. 

 

 

• Wie können Arzt und Patient kontrollieren, welche Daten vom Praxisrechner abgezogen werden und welche etwa nicht? Worin besteht hier die Möglichkeit der Selektion?

 

Indem der Patient seine Einwilligung erteilt oder nicht, oder der Arzt die Daten nicht hochlädt.

 

• Wie ist die ärztliche Schweigepflicht bzgl. sämtlicher Voruntersuchungen gewährleistet, wenn  Informatiker die Datenselektion von medizinischer Relevanz vornehmen wollen oder dürfen?

 

Das ist ein Missverständnis. Ich bin da in der Replik auf Michaelas Post auch eingegangen. Es ist keine Person an der Datenselektion beteiligt. 

 

• Wer hat in diesem Zusammenhang Zugriff auf den Server und gehört nicht zum Kreis der HBA-Inhaber?  Informatiker? Die der gematik? Diejenigen von Sub-Unternehmen der Gematik? Solche von Sub-Sub-Unternehmen von Sub-Unternehmen der Gematik?

 

Zugriff auf den Server bedeutet nicht Zugriff auf die Daten. Diese sind nämlich verschlüsselt. Man kann sich natürlich vorstellen, dass jemand eine Kopie der Datenbank erstellt und dann mit ganz ganz ganz viel Rechenpower versucht diese zu knacken. Daher an dieser Stelle: (teilweise) dezentrale Lösung wäre eine Alternative. 

 

• Sitzen die Informatiker der gematik oder von Sub-Unternehmen etc.  als Daten-Kontroll-oder Daten-Selektions-Dienstleister in den Arztpraxen oder nehmen sie Zugriff auf die Praxisrechner?

 

 

Wie gesagt, es gibt keine Datenselektion oder Kontrolle. Das obliegt Ärzten und Patienten.

 

• Muss dies - falls ja - nach Ankündigung oder mit Erlaubnis des Arztes oder Patienten geschehen?

 

entfällt somit

 

 

• Wie ist der technische und praktische Ablauf ohne Störung der Privatsphäre der Patienen oder der Praxisbetriebe in diesen Fällen gewährleistet?

 

entfällt

 

 

• Haben Informatiker via Team Viewer oder ähnlicher Applikationen keinen Zugriff auf den zentralen Datenserver oder Praxisrechner, um in den Anamnesen, Befunden, Diagnosen und Therapieempfehlungen rumzustöbern und dort „für Ordnung“ zu sorgen?

 

Die Daten liegen verschlüsselt vor, der Zugriff kann nur mittels HBA und EGK + PIN und Konnektor erfolgen. In der Tat ist das Missbrauchspotential viel höher, wenn ein technischer Mitarbeiter eines Softwarehauses mit der Datenbank vor Ort arbeitet. Vielleicht sollten wir einen Antrag stellen, der solche Machenschaften verbietet. 

 

 

• Wo ist das belegt?

 

 

 

Spezifikation der Gematik und mit dem Wissen, dass die Daten verschlüsselt sind und sich der Schlüssel in der Hand des Patienten befinden. 

 

• Besteht bei diesen Gelegenheiten keine Möglichkeit, Abrechnungsziffern zu manipulieren?

 

Auf dem lokalen Rechner und im Krankenhaus an sich: natürlich. Innerhalb der TI nicht: die ist verschlüsselt. 

 

 

• Welche Beschränkungen sind den MDK auferlegt? (im Gesetz nicht ersichtlich)

 

Ich zitiere mal direkt aus dem Gesetz, wer Zugangsberechtigt ist:

 

 

Ärzte,

Zahnärzte,

Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,

Personen, die

aa)

bei den unter Buchstabe a bis c Genannten oder

bb)

in einem Krankenhaus

als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,

sonstige Erbringer ärztlich verordneter Leistungen,

 

• Wer sind die „Sonstigen Erbringer ärztlich verordneter Leistungen“ im Sinne von § 291 a Absatz 4, Ziffer 1. e)?

 

Die Illuminaten. Möglicherweise möchte man aber das Gesetz nicht alle Tage ändern, weshalb man es dort offen hält. Wüsste aber nicht, dass der Arzt zu Therapiezwecken einen Besuch des MDK verschreibt. 

--
AG-Gesundheitswesen mailing list
AG-Gesundheitswesen AT lists.piratenpartei.de
https://service.piratenpartei.de/listinfo/ag-gesundheitswesen