Digitalisierung des Gesundheitswesens: Datenschutz, ist was Doc?

1. Daten im GesundheitswesenDatenschutz Gesundheitswesen

Nachdem unser Bankgeheimnis nach und nach verwässert wird, geht es nun unseren Gesundheitsdaten an den Kragen. Viele Unternehmen reißen sich förmlich um den Markt, der einen erheblichen Teil unserer Privatsphäre bestimmt. Die Pläne sind vielseitig: Konnektoren und Telematik, zentrale Speicherung oder Software, die Daten an Werbeunternehmen verschickt.

Der vorliegende Beitrag gibt einen kurzen Überblick über die aktuelle Lage im Gesundheitswesen.

Gastbeitrag von FrauTux

FrauTux ist der Alptraum aller faulen Datenschutzbeauftragten und für die eine oder andere (bittersüße) Kritik hier verantwortlich. Seit 2011 beschäftigt sie sich beruflich mit dem Datenschutz. Sie ist Informatikerin mit Schwerpunkt IT-Sicherheit und mag keine Einführungstexte oder wenn jemand als Experte bezeichnet wird. Seit 2019 schreibt sie für den Kuketz Blog und hat sich hier intensiv mit den Bereichen Tourismus und Bildung auseinandergesetzt. Ihre Spezialität: Komplexe Themen möglichst verständlich und manchmal auch humorvoll aufzubereiten.

2. Gesetzliche Vorgaben der IT-Infrastruktur beim Arzt

Für den 01.01.2021 ist die elektronische Patientenakte angekündigt. Im Moment ist diese Akte noch als freiwillig und patientengeführt geplant. Mit seiner elektronischen Gesundheitskarte (eGK) kann der Patient seine Daten Dritten freigeben oder widerrufen. Während der Patient sich mit seiner elektronischen Gesundheitskarte verifiziert, verifiziert sich die Arztpraxis mit einer sogenannten SMC-B-Karte. Über 115.000 Arzt- und Zahnarztpraxen und zukünftig auch Krankenhäuser und Apotheken sind inzwischen an dieser Telematik-Infrastruktur, eine Art virtuelles Netzwerk, angeschlossen.

Auf der Website der Telematikinfrastruktur wird man von vielen bunten Kacheln und der Headline „sicher ist sicher“ sowie einem Zitat des Bundesgesundheitsministers Jens Spahn („Natürlich brauchen wir die Telematikinfrastruktur!“) begrüßt.

Sicher ist sicher? Dies wurde noch vor der offiziellen Einführung der Telematikinfrastruktur bereits widerlegt. Der Chaos Computer Club konnte sich aufgrund schwacher Identitätsprüfungen Praxisausweise (SMC-B-Karten) besorgen und mit diesen auf die Anwendungen der Telematikinfrastruktur und die Gesundheitsdaten von Versicherten zugreifen.

Nicht nur Datenschützer und IT-Experten machen sich Sorgen. In einem Video schildert der Arzt Dr. Stefan Streit seine Bedenken rund um den Einsatz der Telematik-Infrastruktur, anhand dieser Dritte auf die elektronische Patientenakte (kurz ePA) zugreifen können sollen. Er führt aus, dass der Einsatz sich nicht kontrollieren lässt und Ärzte wohl nicht die Wahl haben werden, sich der Telemetrie zu widersetzen. Auch wird geschildert, dass diese Telematikschnittstelle in vielen Fällen dem Patienten nicht helfen wird, bspw. wenn sich dieser im Ausland befindet oder bewusstlos ist.

Diejenigen, die eigentlich die Daten schützen sollen, die Ärzte, sind genau die, die es nicht können. – Dr. Stefan Streit

Dr. Streit konnte mit seinem Anliegen in Datenschutz- und Sicherheitsfragen weder bei Datenschutzbehörden noch Krankenkassen zufriedenstellende Antworten finden, weswegen er sich sogar an den Landtag NRW wandte.

Wir stehen im Endeffekt als Versager da, die das Vertrauen, das ihnen entgegengebracht wird, überhaupt nicht mehr verdienen! – Dr. Stefan Streit

Unter dem Motto »Die Schweigepflicht ist in Gefahr!« gab es dieses Jahr ebenfalls eine Online-Petition, die sich gegen eine zentrale Datenspeicherung sämtlicher Patientendaten sowie den Anschluss von Arzt- und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) ausgesprochen hat. Hierbei wurden mehr als 60.000 Online- und Offline-Unterschriften gesammelt und eingereicht.

Die ärztliche Sprechstunde soll Schutzraum für Patienten sein, aber genau diese Schutzwirkung droht verloren zu gehen. – Dr. Stefan Streit

Neben den 60.000 gesammelten Unterschriften und einigen Beiträgen, welche die Sicherheit dieser Infrastruktur bemängeln, gibt es weitere Initiativen, die für eine ärztliche Schweigepflicht kämpfen. Hier steht der Patientenrechte Datenschutz e.V. vorne an und kämpft mit Kampagnen, Hilfestellungen und der Möglichkeit eines Austausches von Ärzten und Patienten gegen die Auflösung der Schweigepflicht. Des Weiteren kann man sich als Patient auf der Website https://www.ti-frei.de/ einen Überblick verschaffen, welche Praxis sich »weigert« sich der Telematikinfrastruktur anzuschließen, und sich dann überlegen, ob man ggf. den Arzt wechseln möchte.

3. AU-Digitalisierung

Doch nicht nur bei der Telematik ist die ärztliche Schweigepflicht bedroht, sondern auch bei der geplanten Digitalisierung der Arbeitsunfähigkeitsbescheinigung (AU) beim Arzt. Diese soll in Zukunft automatisch an Arbeitgeber und Krankenkasse übermittelt werden.

Hier sollten Sie sich folgende Gedanken machen:

  • Warum muss ein Arzt wissen, bei welchem Arbeitgeber, an welchem Standort Sie arbeiten und welchen Beruf Sie ausüben?
  • Je mehr Daten über Sie gespeichert werden, auch von Informationen, die scheinbar unwichtig sind, desto mehr wächst der Datenberg bei Ärzten.
  • Elektronische Übermittlung wird zu Fehlern führen. Wie sollen die Daten übermittelt werden? Wer stellt die Infrastruktur? Was landet in einem Archiv? Viele kleine Unternehmen sind nicht einmal in der Lage, diese Dinge sicher zu speichern oder werden sich überhaupt Gedanken zu essentiellen Absicherungsmaßnamen gemacht haben.
  • Eine Übermittlung per E-Mail hat nach wie vor die Sicherheit einer Postkarte. Keiner weiß, wo die E-Mailserver des Arbeitgebers liegen, wie sicher diese sind und ob die Unterlagen dann in ein E-Mail-Archiv (womöglich bei einem Drittdienstleister) landen.
  • Was, wenn Sie länger krankgeschrieben werden, sich jedoch besser fühlen? Dann können Sie trotzdem nicht arbeiten (das sollten Sie nebenbei bemerkt jetzt aus versicherungstechnischen Gründen auch nicht tun). Eine lange Krankschreibung kann leider auch zu einer ungewollten Kündigung führen.

Auch kritisch zu betrachten ist www.dransay.com, eine Seite, die die Möglichkeit anbietet, sich per WhatsApp krankschreiben zu lassen, was aus Datenschutzperspektive sehr fragwürdig ist. Zum Glück liegt es allein in Ihrer Hand, ob Sie diesen Service nutzen wollen. Über die Software in einer Praxis entscheidet hingegen der jeweilige Arzt und dessen Vertrauen in die IT-Infrastruktur bzw. seinen Dienstleister.

4. Software-Einsatz bei Ärzten

Doch nicht nur der Einsatz der Telematiksoftware oder der Gesundheitskarte ist kritisch zu hinterfragen, sondern auch der Einsatz von spezieller Software für Arztpraxen.

Leider merkt man immer wieder, dass Ärzte hierbei ihren IT-Dienstleistern nahezu blind vertrauen (müssen). Ob diese sauber arbeiten, wird meist nicht geprüft oder es fehlt die Kompetenz des Arztes, dies prüfen zu können – was verständlich ist, da es sich meist um komplexe Technik handelt. Schließlich ist dies auch nicht die Aufgabe des behandelnden Arztes. Dessen Job ist es, Sie wieder gesund und munter zu bekommen.

Wenn man die Webseiten der Anbieter für Praxissoftware etwas genauer unter die Lupe nimmt, bekommt man schnell ein beklemmendes Gefühl: Facebook-Buttons, Werbung mit der Cloud und noch dazu zahlreiche CDNs und Tracker, die oftmals personenbezogene Daten an große Werbeunternehmen übermitteln. Wenn die Anbieter schon selbst so sorglos mit dem Thema Datenschutz umgehen, wie soll man als Arzt dann der Software vertrauen?

5. Datenweitergabe an Abrechnungsunternehmen

Viele Ärzte holen bei ihren Patienten eine Einwilligungserklärung zur Behandlung ein oder legen Ihnen eine Einwilligung zur Abrechnung über einen Dienstleister vor. Diese Einwilligung umfasst oftmals den Hinweis, dass die Daten zur Rechnungsstellung weitergegeben werden. Auf dem Postweg erhält man anschließend die Rechnung inklusive einem Hinweis im Kleingedruckten, dass ebenfalls ein Onlinekonto angelegt wurde, welches »nur« aus Rechnungsnummer als Anmeldenamen und einem meist schwachen Passwort besteht. Eine Rechnungsnummer (8-10 Zahlen als Anmeldename) sowie ein Passwort, welches nur aus Kleinbuchstaben und ein paar Zahlen besteht (bspw. passwort123) ist kein sicheres Passwort und lässt sich mit Brute-Force-Methoden in einem vertretbaren Aufwand berechnen. Dies entspricht auch nicht gem. Art. 32 DSGVO dem aktuellen Stand der Technik (Sicherheit der Verarbeitung). Das BSI gibt für Unternehmen und Bürger hier Hilfestellung.

Vor allem ist es ein unnötiges Übel, da die Rechnung bereits postalisch zugestellt wurde und es in den meisten Fällen keine direkte Einwilligung zu einem Onlinekonto gab und Patientendaten schlecht gesichert im Internet nichts zu suchen haben. Also prüfen Sie am besten, wenn Sie einer externen Abrechnung zustimmen, ganz genau, ob hier für Sie ein Online-Konto angelegt wird und prüfen Sie dies auch auf Ihrer Rechnung, die Sie postalisch erhalten.

Des Weiteren können Sie natürlich der Weitergabe Ihrer Daten an eine externe Abrechnungsstelle widersprechen. Mehr Informationen stellt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg in einem PDF zur Verfügung.

6. Fragebogen beim Arzt

Beim Arztbesuch wird Patienten meist ein sogenannter Anamnese-Bogen zum Ausfüllen ausgehändigt. Dieser beinhaltet oft Fragen, die der Arzt nicht zwingend für eine Routineuntersuchung (je nach Fachbereich) wissen muss.

Ein Anamnese-Bogen (nach Inkrafttreten der DSGVO, von einem Zahnarzt):

  • Angabe des Berufs
  • HIV-Erkrankung (grundsätzlich nicht verkehrt, jedoch ist dies nicht zwingend bei jedem Arzt notwendig)
  • Angabe des vorbehandelnden Arztes
  • Haben oder hatten Sie jemals Hepatitis?
  • Haben Sie Asthma?
  • Sie Sie schwanger? (Hier stellt sich die Frage, warum das der Zahnarzt für eine Routine-Untersuchung wissen muss?) Wenn ja, in welcher Woche?
  • Liegt bei Ihnen eine Schilddrüsenerkrankung vor? Wieder stellt sich die Frage, welche Notwendigkeit hier bei einem Zahnarzt besteht.

Natürlich ist die »Verschwiegenheit« immer gewährleistet, jedoch ob diese aufgrund mangelnder IT-Sicherheit auch umsetzbar ist, ist zu bezweifeln.

Grundsätzlich gilt auch bei einem Anamnese-Bogen der Grundsatz der Datenminimierung gem. Artikel 5 Absatz 1 der DSGVO. Das bedeutet, dass die Daten dem Zweck angemessen, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Im Grunde bedeutet das: Der Anamnese-Bogen fragt im Idealfall nur jene Informationen ab, die für die jeweilige Untersuchung bzw. Behandlung notwendig sind. Weitere Informationen kann der Arzt im Zweifelsfall ja auch mündlich in Erfahrung bringen. In der Praxis wird dies natürlich kaum umgesetzt, da es für Ärzte meist viel bequemer ist, einfach alle Informationen abzufragen, als dies gezielt für die jeweilige Untersuchung / Behandlung zu tun. Datenminimierung funktioniert so leider nicht.

7. Worauf Ärzte in ihrer Praxis achten sollten

Folgende Vorschläge können zu einer Verbesserung des Datenschutzes in Praxen beitragen:

  • Informieren Sie sich bei Ihrem IT-Dienstleister, wo personenbezogene Daten bzw. die Daten der Patienten gespeichert werden: Lokal? Bei einem Dienstleister? In der Cloud (wenn ja, welche)? In welchem Land?
  • Schreiben Sie nicht nur, dass Daten an externe Abrechnungsunternehmen oder Labore weitergegeben werden, schreiben Sie wann dies der Fall ist und welche Unternehmen Ihre Partner sind, sodass sich Patienten angemessen informieren können. Informieren Sie Ihre Patienten auch, ob Abrechnungsunternehmen ggf. einen Online-Account anlegen und legen Sie die Datenschutzbestimmungen bei.
  • Verzichten Sie beim Anamnese-Bogen auf nichtige Informationen. Bei vielen Bögen ist nicht einmal ein Hinweis auf Freiwilligkeit mancher Angaben gegeben. Holen Sie bestimmte Informationen erst ein, wenn diese relevant werden.
  • Meiden Sie Google, Microsoft, Yahoo und Co. als E-Mail-Anbieter bzw. Dienstleister. Manche Ärzte haben zur Kontaktaufnahme per E-Mail eine Gmail-Adresse angegeben. Kommunikation im medizinischen Bereich basiert auf Vertrauen. Ein Arzt, der Daten mit Dritten und Werbetreibenden trotz seiner Schweigepflicht teilt, sollte mit strafrechtliche Konsequenzen rechnen.
  • Vermeiden Sie nach Möglichkeit den Einsatz von Windows 10 und vergleichbarer Software in der Praxis. Diese lässt sich nur mit sehr hohem Aufwand einigermaßen datenschutzfreundlich betreiben. Da die meiste (Praxis-)Software leider ausschließlich für Windows programmiert wird, ist dieser Punkt natürlich mehr ein Wunschgedanke – die Realität in Praxen sind nunmal leider Windows(-10)-Systeme, die freudig (Telemetrie-)Daten an Microsoft versenden. Im Gesundheitsbereich eigentlich ein No-Go.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

8. Fazit

Noch ist die Anlage der elektronischen Patientenakte freiwillig. Die Frage ist: Für wie lange? Erinnern Sie sich daran, auch die Onlinefunktion Ihres Personalausweises war lange freiwillig, bis die Widerspruchsmöglichkeit einfach gestrichen wurde. Zeigen Sie also Engagement und sprechen Sie Ihren Arzt / Ihre Ärztin gezielt darauf an, was sie über die Telematikinfrastruktur denken und was sie für den Datenschutz der Patienten tun.

Schon jetzt ist der Schutz der Gesundheitsdaten mit einem hohen Aufwand verbunden. Eine Situation, die sich mit der flächendeckenden Einführung der Telematikinfrastruktur, Patientenakte und voranschreitenden Digitalisierung des Gesundheitswesens kaum zum Besseren wenden wird.

Bildquellen:

Coronavirus: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Gastbeitrag

Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.

Gastbeitrag ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

19 Ergänzungen zu “Digitalisierung des Gesundheitswesens: Datenschutz, ist was Doc?”

  1. Comment Avatar bacon sagt:

    Ich versuche mich mal an einem Kommentar:

    Beginn rant:

    Folgende Vorschläge können zu einer Verbesserung des Datenschutzes in Praxen beitragen:

    Ich bin Inhaber einer Zahnarztpraxis. Die Vorschläge sind gut gemeint, können aber – sorry – nur von jemandem erstellt worden sein, der keine Ahnung hat, wie es ist, Arzt zu sein.

    Informieren Sie sich bei Ihrem IT-Dienstleister, wo personenbezogene Daten bzw. die Daten der Patienten gespeichert werden: Lokal? Bei einem Dienstleister? In der Cloud (wenn ja, welche)? In welchem Land?

    Er ist mein Dienstleister, damit ich darum nicht kümmern muss. Solange AV Vertrag, SLA und DSGVO laut Dienstleister erfüllt werden, habe ich kein Fachwissen um zu beurteilen, was im Hintergrund passiert. Ich werde es mir auch nicht aneignen, da ich meine Gedanken brauche um ein guter Arzt zu sein.

    Schreiben Sie nicht nur, dass Daten an externe Abrechnungsunternehmen oder Labore weitergegeben werden, schreiben Sie wann dies der Fall ist und welche Unternehmen Ihre Partner sind, sodass sich Patienten angemessen informieren können. Informieren Sie Ihre Patienten auch, ob Abrechnungsunternehmen ggf. einen Online-Account anlegen und legen Sie die Datenschutzbestimmungen bei.

    No way. Ich nehme einen Vordruck von meinem Abrechnungsunternehmen, da steht alles drauf was rechtlich gefordert ist. Des weiteren gilt: Die Patienten wünschen sich einen Online Account, sonst wäre er nicht implementiert. Außerdem habe ich einen Vertrag mit dem Dienstleister, der mir dieses und jenes garantiert. Darüber hinaus kann ich das nicht prüfen und werde das auch nicht tun, da ich meine Energie brauche, um ein guter Arzt zu sein.

    Verzichten Sie beim Anamnese-Bogen auf nichtige Informationen. Bei vielen Bögen ist nicht einmal ein Hinweis auf Freiwilligkeit mancher Angaben gegeben. Holen Sie bestimmte Informationen erst ein, wenn diese relevant werden.

    Wer legt fest, was nichtige Informationen sind? In den meisten Fällen gibt alleine der Beruf oder die Art des Arbeitgeber einen Hinweis auf Risiken und Umstände einer Behandlung. Arzt sein geht darüber hinaus, rein medizinische Daten zu erheben. Meine gesamte Gesprächsführung hängt davon ab, ob jemand Berufsmusiker oder Stahlarbeiter ist.

    Meiden Sie Google, Microsoft, Yahoo und Co. als E-Mail-Anbieter bzw. Dienstleister. Manche Ärzte haben zur Kontaktaufnahme per E-Mail eine Gmail-Adresse angegeben. Kommunikation im medizinischen Bereich basiert auf Vertrauen. Ein Arzt, der Daten mit Dritten und Werbetreibenden trotz seiner Schweigepflicht teilt, sollte mit strafrechtliche Konsequenzen rechnen.

    Ich musste kurz lachen. Das ist der unrealistischste Vorschlag von allen. Meiden Sie Microsoft. Guter Witz. ALLE Softwaresysteme in der Praxis basieren auf Microsoftprogrammen. Eine Software kann Mac…das wars. Mindestens 90% meiner Patienten wünschen darüberhinaus explizit ein Versand medizinischer Daten an ihre Emailadresse, davon locker die Hälfte an Gmail. Der Hinweis auf Datenschutz wird kommentiert mit: Mir egal. Schicken sie mir das alternativ als Whatsapp.

    Vermeiden Sie nach Möglickeit den Einsatz von Windows 10 und vergleichbarer Software in der Praxis. Diese lässt sich nur mit sehr hohem Aufwand einigermaßen datenschutzfreundlich betreiben.

    Niemals auch nur in Ansätzen möglich.

    /rant

    Liebe FrauTux und lieber Mike, sorry dass ich so auf das Thema abgehe. Im Forum habe ich es immer und immer wieder geschrieben: Der Zug ist abgefahren. Das gesamte Gesundheitswesen läuft auf Windows. Ein Windows 10 mit Telemetrie ist mir dabei lieber als ein ungepatchtes Windows 7, denn darauf läuft es hinaus. Es sollte keiner glauben, dass im Gesundheitswesen Geldreserven für die Upgradegebühren nach dem Supportende übrig wären. (und nein, ich fahre keinen Porsche und kann es mir leisten.)

    Ich konnte die TI in meiner Praxis nicht verhindern, da ich mir die Honorarkürzungen nicht leisten kann. Bislang ist es 100% meiner Patienten vor allem eines gewesen: Völlig egal.

    Die Verantwortung hier auf den Praxisinhaber abzulegen lehne ich vollkommen ab. Meine Pflicht ist es, eine gute Behandlung auf aktuellem Stand abzuliefern und mich um den Menschen umfassend und bestmöglich zu kümmern. Ich habe keine Zeit, meine Dienstleister zu prüfen und sowas zu machen.

    Es gibt allerdings eine Lösung für die Probleme:

    Zahlt beim Arzt selbst. Kein Arzt muss eure Identität prüfen. Wenn ihr zu mir in die Praxis kommt und sagt ihr würdet Christian Müller heißen und zahlt danach bar, dann könnt ihr angeben was ihr wollt, ich werde das nicht prüfen.

    Außerdem wird niemand gezwungen, die Vereinbarung für ein Abrechnungsunternehmen zu unterschreiben. Ich mache dann allerdings grundsätzlich Vorkasse oder EC Karten Zahlung. Der Grund ist folgender: Von 100 Leuten, die den Wisch für das Abrechnungsunternehmen nicht unterschreiben wollen, sind 99 säumige Schuldner und 1 Datenschutzbewusster Patient.

    Für euch als Überblick, was ich in meiner Praxis an Datenschutz gemacht habe, und ich denke dass ist viel realistischer als FrauTux Vorschläge:

    1) individuell gehosteter Mailserver (managed Mailcow), gar nicht mal so billig übrigens.
    2) Röntgenbilder etc. werden per Link aus der Nextcloud oder Tresorit geteilt
    3) Ich habe das einzige genossenschaftliche Abrechnungsunternehmen gewählt, denn dies will nur folgende Daten wissen: Geburtsdatum, Rechnungsposten, Säumiger Schuldner ja/nein. Es wird nicht mal die Schufa abgefragt. Außerdem ist es nicht im Besitz von Investoren sondern ich bin als Genossenschaftsanteilseigner Mitinhaber. Es ging nicht mehr anders. Ich konnte Jahrelang auf Factoring verzichten aber ich kann es mir aufgrund der Zahlungsmoral der Patienten und der Rückfragen von Versicherungen finanziell und zeitlich nicht mehr leisten.
    4) Ich nutze natürlich Onedrive und Office. In diese Cloud kommen keine Namen sondern nur „Susanne S.“ oder die Patientennummer
    5) Freier IT Dienstleister mit SLA, der alle Updates macht und die Software aktuell hält
    6) Hardwarefirewall vor dem Praxisnetzwerk
    7) Abgetrenntes Patienten WiFi
    8) Website nutzt nur lokale Ressourcen, Google Analytics erst nach explizitem Opt In. Ist für mich unerlässlich um meinen Außenauftritt auszurichten
    9) Giro/Kreditkartenzahlung direkt an die Bank, es ist kein weiterer Dienstleister drin

    Schreibt also bitte keine Empfehlungen auf, wenn gar nicht ermessen werden kann, wie unglaublich viel Arbeit das ist, die dann für unseren eigentlichen Job fehlt: Arzt sein.

    • Comment Avatar Mike Kuketz sagt:

      Der Teil vom Text bereitete mir auch etwas Bauchschmerzen, aber ich hab ihn mal drin gelassen. Ich kann mir gut vorstellen, dass einiges davon für den Arzt nicht umsetzbar ist. Aber vielleicht ja für den IT-Dienstleister?

    • Comment Avatar FrauTux sagt:

      @Bacon. Also erstmal Danke für so viel Aufwand. Leider glaube ich das einige Teile des Artikels, etwas „überflogen“ wurden und wohl etwas vorschnell getippt.

      Er ist mein Dienstleister, damit ich darum nicht kümmern muss. Solange AV Vertrag, SLA und DSGVO laut Dienstleister erfüllt werden, habe ich kein Fachwissen um zu beurteilen, was im Hintergrund passiert. Ich werde es mir auch nicht aneignen, da ich meine Gedanken brauche um ein guter Arzt zu sein.
      > Genau darum geht es im Artikel. Ärzten und Patienten klar zu machen, dass die IT-Infrastruktur wackelt und das Problem auch oft Diensleister sind. Dienstleister, die mit Ihren Patientendaten „spielen“ – mit ihrem wichtigsten Kapital. Nur weil jemand Ihnen schriftlich bestätigt, dass es „rechtens“ und „datenschutzfreundlich“ ist, muss dies nicht so sein und ist es in den meisten Fällen auch nicht. Wenn das immer so wäre, wärst du doch bestimmt auch nicht im Forum oder würdest dich für Datenschutz interessieren (wovon ich ausgehe wenn du lt. deinen Angaben im Forum bist). Für mich klingt dies stark nach einem abschieben der Verantwortung, jeder möchte Digitalisieren, aber dann nicht die Verantwortung übernehmen, wenn etwas schief läuft oder sich weiter damit befassen. Die Personen die darunter leiden sind die Patienten.

      Im übrigen steht auch folgendes im Text:
      > Ob diese sauber arbeiten, wird meist nicht geprüft oder es fehlt die Kompetenz des Arztes, dies prüfen zu können – was verständlich ist, da es sich meist um komplexe Technik handelt. Schließlich ist dies auch nicht die Aufgabe des behandelnden Arztes. Dessen Job ist es, Sie wieder gesund und munter zu bekommen.

      No way. Ich nehme einen Vordruck von meinem Abrechnungsunternehmen, da steht alles drauf was rechtlich gefordert ist. Des weiteren gilt: Die Patienten wünschen sich einen Online Account, sonst wäre er nicht implementiert. Außerdem habe ich einen Vertrag mit dem Dienstleister, der mir dieses und jenes garantiert. Darüber hinaus kann ich das nicht prüfen und werde das auch nicht tun, da ich meine Energie brauche, um ein guter Arzt zu sein.
      > Die Anmerkung bezieht sich darauf, dass Patienten einen Online Account aufgedrängt bekommen OHNE darüber im Vorfeld informiert zu werden (dies ist aber erforderlich zu wissen) und ohne das sie dessen explizit zustimmen. Dies verstößt gegen die DSGVO – auch die Vergabe von derart banalen Logins ist fahrlässig für die IT-Sicherheit. Ein hohes Gebot im Gesundheitswesen sollte nach wie vor die ärztliche Schweigepflicht sein, die ist damit nicht wirklich gewährleistet und sogar unnötig gefährdet. Auch steht auf den Abrechnungsbögen meist nichts von Freiwilligkeit, da Ärzte ungerne die Abrechnung selbst übernehmen. Aber es ist wichtig für Patienten zu wissen, dass Sie die Wahl haben und auch was mit Ihren Daten passiert. Daher wenn man als Arzt nun weiß, dass das bei Abrechnungsunternehmen vorkommt, wäre es gut dies einmal zu prüfen, was man eigentlich seinen Patienten hiermit vorschlägt. Schließlich steht man, ob man will oder nicht, damit vor seinen Patienten auch in der Verantwortung. Ob sich jemand etwas wünscht oder nicht bekommt man auch nur heraus, wenn man die Menschen vorher fragt.

      Wer legt fest, was nichtige Informationen sind? In den meisten Fällen gibt alleine der Beruf oder die Art des Arbeitgeber einen Hinweis auf Risiken und Umstände einer Behandlung. Arzt sein geht darüber hinaus, rein medizinische Daten zu erheben. Meine gesamte Gesprächsführung hängt davon ab, ob jemand Berufsmusiker oder Stahlarbeiter ist.
      > Der Zahnarzt Bogen war ein Exampel von vielen. In diesen Bögen wird auch sehr oft der Name des Arbeitgebers abgefragt. Wer z. B. bei Siemens arbeitet kann sowohl irgendwo beim Bau tätig sein, als auch als Ingenieur als auch im kaufmännischen Bereich. Der Name des Arbeitgebers gibt keinen Aufschluss, ob jemand Probleme hat und schafft nur einen größeren Datenpool. Man kann auch kaufmännisch tätig sein und sein Hobby ist die Musik und dadurch ruiniert man sich die Zähne. Da wäre die Aussage kaufmännisch tätig nichtig und überflüssig. Als Beispiel.

      Ich musste kurz lachen. Das ist der unrealistischste Vorschlag von allen. Meiden Sie Microsoft. Guter Witz. ALLE Softwaresysteme in der Praxis basieren auf Microsoftprogrammen. Eine Software kann Mac…das wars. Mindestens 90% meiner Patienten wünschen darüberhinaus explizit ein Versand medizinischer Daten an ihre Emailadresse, davon locker die Hälfte an Gmail. Der Hinweis auf Datenschutz wird kommentiert mit: Mir egal. Schicken sie mir das alternativ als Whatsapp.
      > Es steht meiden Sie Microsoft als E-Mail Anbieter. Dies tun Sie doch nach eigenen Angaben selbst…die logische Schlussfolgerung sind dann datenschutzfreundliche E-Mail Anbieter oder die E-Mails selbstzuhosten. Die Hälfte aller Patienten ist wahrscheinlich nicht einmal bewusst, WAS das bedeutet, wenn Gesundheitsdaten an Gmail gehen. Die Frage ist natürlich auch, ob man als Arzt das einfach verschicken, kann nur weil der Patient dies wünscht. Schließlich gehen die Daten dann an Werbeunternehmen und man verletzt dadurch seine berufliche Schweigepflicht. Ich kenne einige wenige Ärzte, die ihre Patienten darauf hinweisen und diese in größten Teilen dann sogar dankbar für den Hinweis sind und sich das dann noch einmal überlegen. Natürlich muss hier das notwendige Einfühlungsvermögen zum Patienten vorhanden sein. Wenn Ärzte mit „Achtung Hasstirade“ einleiten, könnte sich das dezent schwierig gestalten.

      Vermeiden Sie nach Möglickeit den Einsatz von Windows 10 und vergleichbarer Software in der Praxis. Diese lässt sich nur mit sehr hohem Aufwand einigermaßen datenschutzfreundlich betreiben. Niemals auch nur in Ansätzen möglich.
      > Es gibt (und das hatte ich auch recherchiert) Open Source Software, die auf Linux läuft und sogar für Zahnarztpraxen. Österreich und die Schweiz sind hier bereits etwas
      weiter und haben eine Lösung. Das ALLE Praxisprogramme nur auf Windows laufen, ist somit nicht richtig. Wer suchet, der findet.

      Außerdem wird niemand gezwungen, die Vereinbarung für ein Abrechnungsunternehmen zu unterschreiben.
      > Das ist es ja, aber es fehlt „meist“ ein Hinweis auf die Freiwilligkeit und das unterrichten, was man damit unterschreibt. Es geht in erster Linie um die Accounts, die angelegt werden ohne Information. Wer darüber nicht informiert wird, kann nicht reagieren, kann seine Passwörter nicht ändern oder übersieht dies auch als Randnotiz wenn er die Rechnung postalisch erhält, wenn das als Fußnote abgedruckt ist. Oder würden Sie bürgen, dass eine 85-jährige Dame, nach einer Zahnbehandlung und erhalt der Rechnung das wahrnimmt (wenn sie denn überhaupt Internetzugang hat)? Ich würde sagen nein und auch das die Gesundheitsdaten der fiktiven Dame dann auch unnötig in Gefahr wären, obwohl es einfach vermeidbar gewesen wäre.

      >Die Verantwortung hier auf den Praxisinhaber abzulegen lehne ich vollkommen ab.
      Ob das manche Behörden, wenn etwas passiert, auch so sehen?

      Zu den Vorschlägen, ich gehe hier nur ein, was auch im Beitrag genannt wurde:

      2) Röntgenbilder etc. werden per Link aus der Nextcloud oder Tresorit geteilt
      > Wer garantiert, das Nextcloud (auch wenn Open Source) sicher genug für Patientendaten ist? Nur per Link ohne Passwort kann immer noch von zu agressiven Bots erfasst werden. Deswegen sollte man auch zu sensible Daten darüber nicht teilen und dazu zähle ich Gesundheitsdaten.

      4) Ich nutze natürlich Onedrive und….
      > „natürlich“?

      8) Website nutzt nur lokale Ressourcen, Google Analytics erst nach explizitem Opt In. Ist für mich unerlässlich um meinen Außenauftritt auszurichten
      > Warum ist Google Analytics unerlässlich? Ohne expliziten Opt-in ist ein Tracking auch rechtlich schwierig. MATOMO oder OpenWebAnalytics können inzwischen locker mit Analytics mithalten und das ohne die Daten Ihrer Patienten zu teilen und sind sogar wesentlich einfacher aufzusetzen als Mailcow.

    • Comment Avatar Ludger sagt:

      Mindestens 90% meiner Patienten wünschen darüberhinaus explizit ein Versand medizinischer Daten an ihre Emailadresse, davon locker die Hälfte an Gmail.
      Es ist ein Unterschied, ob der Patient Gmail nutzt oder der Arzt sich bewusst dafür entscheidet. Wenn sich der Arzt dafür entscheidet, dann haben die Patienten, denen ihre Gesundheitsdaten wichtig sind das Nachsehen. Den Kommentar mit WhatsApp erachte ich als schwierig. Wir können uns doch nicht an der ist-mir-egal-Gesellschaft orientieren.

  2. Comment Avatar Lennart sagt:

    Oh, oh. Man kann nur hoffen, dass der Artikel aus technischer Sicht fundierter ist als aus medizinischer. Da hätte jemand mit Medwissen eventuell mal Kontrolle lesen sollen.
    – „Warum muss ein Arzt wissen [‌…] welchen Beruf Sie ausüben?“ Weil es tatsächlich relevant ist. Kurzfassung: Stressor, Exposition von kanzerogenen Stoffen / Strahlung, Metallen, etc. Mir fällt keine Fachrichtung ein, wo diese Frage unwichtig ist. Klar, es ist nicht Bestandteil der Aktuellen Anamnese, in jedem Falle aber absolut wichtiger Teil einer jeden vollständigen Anamnese. Wenn man die Frage in der Prüfung vergisst, wird’s eng mit dem Staatsexamen.
    – Das Wissen über eine HIV-Erkrankung ist auch nahezu immer von Bedeutung. Und zwar gar nicht unbedingt, weil es so ein großes Risiko für den Arzt ist, sondern ein wichtiger Risikofaktor für eine ganze Reihe an Erkrankungen. Grundsätzlich einfach vorzustellen: Ein eingeschränktes Immunsystem ist immer dann von Bedeutung, wenn es um Krankheit geht. (gilt in abgeschwächter Weise auch für eine Hepatitis).
    – Angabe des vorbehandelnden Arztes: Für etwaige Arztbriefe und Anforderung von Befunden nötig.
    – Asthma: Auf jeden Fall relevant, spätestens dann, falls irgendwann mal eine Zahnbehandlung durchgeführt wird. Ansonsten gilt auch hier wieder: Asthma bronchiale ist nachgewiesener Risikofaktor für (auch zahnmedizinische) Erkrankungen.
    – „Sie Sie [sic!] schwanger? (Hier stellt sich die Frage, warum das der Zahnarzt für eine Routine-Untersuchung wissen muss?) Wenn ja, in welcher Woche?“ Auch hier gilt: Es ist ein Risikofaktor für diverses (angefangen von Zahnfleischproblemen bis hin zu Risiken durch erhöhte Magensäuresekretion) und sollte deswegen, sobald eine hormonelle Veränderung vorliegt, angegeben werden. Das ist bereits der Fall, bevor der Patient von der Schwangerschaft weiß, deswegen erübrigt sich die Frage nach welchem Zeitpunkt.
    – Schilddrüsenerkrankung: Risikofaktor bei Anästhesie (veränderter Abbau von Lokalanästhetika).

    Bei all diesen Fragen wäre es doch sinnvoll gewesen, den Zahnarzt mit dem Anamnesebogen danach zu fragen?

    Sonst hat mir der Artikel gefallen, vielen Dank

    • Comment Avatar Mike Kuketz sagt:

      Ich kann mir gut vorstellen, dass die vollständige Abfrage solcher Informationen vereinzelt sinnvoll ist. Jedoch sicherlich nicht bei jedem Patienten und bei jeder (Routine-)Untersuchung.

      Hier wird einfach mal großflächig alles abgefragt, ohne das dafür oftmals die Notwendigkeit besteht. Und diese Daten bzw. Informationen lagern dann in den Arztpraxen – vermutlich digitalisiert. Mir persönlich ist nicht ganz wohl dabei, daher hat mein Anamnesebogen meist »großzügige« Lücken. Natürlich muss man abwiegen, ob man zum Zahnarzt zur Kontrolle geht oder im Krankenhaus vor einer OP steht, da mag der Großteil der Fragen durchaus wiederum Sinn ergeben.

      • Comment Avatar Heinrich sagt:

        Ich bin weder Mediziner noch IT-Fachmann, jedoch Experte auf einem anderen Gebiet, auf dem ich beratend tätig bin. Was hierbei immer wieder auffällt: Eine geringe Akzeptanz für eine fremde Expertise, wenn diese gerade nicht genehm ist. Selbst versuche ich, dies zu vermeiden, nicht immer gelingt es. Das bedeutet hier: Wenn mehrere Mediziner angeben, dass eine bestimmte Information benötigt wird, und diese Mediziner sogar die Kriterien erfüllen, in der laufenden Debatte keine geschäftlichen Interessen zu verfolgen und keine Interessenkonflikte zu haben, dann *wird* die Information benötigt. Punkt.

        Gerade bei einem komplexen interdisziplinären Thema ist es enorm hilfreich, einen Informations- und Kenntnisvorsprung bei einem anderen einfach mal zu akzeptieren. Und gerade unter Fachleuten sollte das möglich sein.

        • Comment Avatar Gerdi sagt:

          Eine geringe Akzeptanz für eine fremde Expertise, wenn diese gerade nicht genehm ist.

          Das kann man auch auf die Ärzteschaft auslegen, die Windows/Telematik & Co. verteidigen, weil die sonst finanziell vom Staat benachteiligt werden würden und sich deswegen beugen, obwohl es für die Schweigepflicht und Datensicherheit besser wäre es nicht zu nutzen.
          Punkt.

    • Comment Avatar FrauTux sagt:

      Hallo Lennart,

      danke für deine konstruktive Kritik.

      Klar, es ist nicht Bestandteil der Aktuellen Anamnese.
      > Da stimme ich dir zu. Es ist auch lediglich von Routine die Sprache.

      Angabe des vorbehandelnden Arztes: Für etwaige Arztbriefe und Anforderung von Befunden nötig.
      > Genau, nur wo ist hier die Information an den Patienten das das geschieht? Wo ist die Information wie lange das gespeichert wird? Damit schauffelt man sich bei vielen Dingen einen richtig sensiblen Datenpool. Ich sage nicht, dass man keine Arztbriefe anfordern soll – ich rede von der Aufklärung das das passiert und auch davon das man sich Gedanken macht, wie man diese Dinge selbst in seiner IT verarbeitet und versuche Bewusstsein zu schaffen, dass man erst (auch weil sich das Leben des Patienten auch ändert) die Informationen anfordern sollte, wenn diese auch anfallen.

      …spätestens dann, falls irgendwann mal eine Zahnbehandlung durchgeführt wird
      > Ganz genau „irgendwann“. Sagen wir heute kommt jmd. in die Praxis füllt den Bogen aus und braucht nie eine Zahnbehandlung, zwischenzeitlich wird die Praxis gehackt. Unnötig sind Gesundheitsdaten erfasst und abgeriffen worden. Auch als Arzt wird man zustimmen, dass auch mit der Zeit diese Dinge ändern können und ein alter Bogen nicht mehr aktuell ist. Wenn denn eine Behandlung wirklich ansteht, dann können diese Daten doch erfasst werden – aber im Vorfeld und ohne Grund außer es kann sein, dass man die Info vlt. einmal benötigt? Ein kleiner Hinweis auf das Prinzip der Datensparsamkeit der DSGVO.

      Bei all diesen Fragen wäre es doch sinnvoll gewesen, den Zahnarzt mit dem Anamnesebogen danach zu fragen?
      > Wer sagt das dies nicht geschehen ist? Es ist ein Exemplarbeispiel von vielen. Der Arzt hatte das sogar geändert und fragt z. B. den Namen des Arbeitgebers und Telefonnummer nicht mehr ab und weißt inzwischen auf die Freiwilligkeit hin. Hoffe du verstehst, dass es ein Unding wäre, den Arzt hier namentlich zu nenen, da man ja nicht möchte das ein Shitstorm einbricht.

      > Sonst hat mir der Artikel gefallen, vielen Dank
      Vielen Dank.

  3. Comment Avatar Botte sagt:

    Ist der Autorin bekannt, das bei der angedachten ePA neben den eigentlichen medizinischen Unterlagen auch die Meta-Daten Ende zu Ende verschlüsselt abgelegt sind?
    Die Daten unterliegen der absoluten Kontrolle des Patienten, er kann diese jederzeit löschen, nur er entscheidet welche med. Einrichtung wie lange Zugriff erhält.
    Der Versicherte erhält Einblick in ein Zugriffsprotokoll und kann damit nachvollziehen wer was wann in seiner ePA gemacht hat.
    Dieses Sicherheits- und Datenschutz-Niveau ist weltweit einmalig und hat dementsprechend massive Kritik der großen Softwareanbieter bekommen. Bisher ist es nicht zu einem Einknicken der Politik gekommen.
    Um das aufrecht zu erhalten lohnt es zu streiten! Ansonsten werden Google und Co mit ihren Lösungen den Markt übernommen haben.
    Aus diesem Grund würde ich mir an dieser Stelle mehr Niveau und Sachverstand erwarten.

    • Comment Avatar Hannes sagt:

      Es kann einmalig sein, dennoch wurde die Sicherheit bereits gebrochen.

      Ein Auszug aus dem CCC Artikel:

      Die Diagnose:

      Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.

      oder

      Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind.

      Ob Meta-Daten verschlüsselt sind steht auf einem ganz anderen Blatt Papier und hat mit dem erwähnten Problem nichts zu tun.

      • Comment Avatar botte sagt:

        Wenn man das gesamte Bild betrachtet schon.

        Was ist denn die Alternative?

        Aktueller Stand: Meine Frau bekam vor ein paar Wochen einen med. Befund + Passwort in der selben Mail an Ihr Gmail-Konto zugeschickt (Gmail konnte ich Ihr bisher leider nicht ausreden…).

        Die Alternative zur TI werden Google & Co sein. Wollen wir das? Dieses Beispiel ist z.B. mit der deutschen Lösung grundsätzlich nicht möglich:

        https://www.heise.de/newsticker/meldung/Google-bekommt-Zugang-zu-Millionen-Patientendaten-4584270.html

        Der Vortrag des CC hat organisatorische Angriffsmöglichkeiten gefunden. Diese sind soweit ich weiß bereits behoben worden. Und zwar bevor das ganze Live gegangen ist.

        Als Versicherter hätte ich schon sehr gerne selber die Hoheit über meine Gesundheitsdaten. Mit der ePA bekomme ich diese.

        Und wenn der CCC nächstes Jahr keine Sicherheits-Lücken findet, haben wir, glaube ich, sehr viel mehr Sicherheit wie bisher. Danach werde ich mir vielleicht auch die App herunterladen, bevor mir mein Arzt per Mail meine Untersuchungsergebnisse schickt.

        Insofern würde ich mir an dieser Stelle mehr Konstruktivität wünschen. Wie wollen wir das in der Zukunft organisieren?

  4. Comment Avatar Datensensibler Zahnklempner sagt:

    Ein insgesamt guter Artikel mit vielen richtigen Punkten. Als (Zahn)ärzt*in ist es mit der technischen Infrastruktur enorm schwierig. Open Source ist in der medizinischen Welt leider oft ein Fremdwort.

    Aber ein Punkt ist mir ganz wichtig, der auch dringend medizinisch klargestellt werden muss. Eine gute Anamnese ist von herausragender Bedeutung für eine sicher Behandlung. Viele Fehler passieren auf Grund schlechter Kommunikation und einer unzureichenden Anamnese.

    Und dabei spielt es keine Rolle, ob es sich um eine Routineuntersuchung oder um das Aufklärungsgespräch vor einer OP handelt. Die wichtigsten medizinischen Informationen müssen jeder Ärzt*in bekannt sein. Das sind Zusammenhänge, die vielen Patient*innen und medizinische Laien (und tut mir Leid, damit auch Frau Tux und Mike Kuketz) nicht oder nur sehr schwer verstehen können.

    Warum muss eine Zahnärzt*in wissen, ob ich schwanger bin? Mit Verlaub, das ist so einer der wichtigsten Fragen überhaupt. Selbst bei einer reinen Kontrolluntersuchung gibt es dafür gefühlt hundert Gründe. Eine weitere Frage, die auf den ersten Blick viele Patient*innen unangenehm finden, ich als Zahnartzt aber immer stellen muss ist die Frage nach psychischen Erkrankungen und der eventuell entsprechenden Medikation. Werden hier Medikamente von der Ärzt*in nicht erfragt oder der Ärzt*in verschwiegen, kann es zu lebensbedrohlichen Wechselwirkungen mit den üblichen Medikamenten in der Zahnarztpraxis kommen.

    Ja, die Frage nach dem Beruf stelle ich auch gerne (im Gespräch), weil damit viele arbeitsassoziierte Erkrankungen einfacher abgeklärt werden können und es auch der Gesprächsführung hilft. Das muss nicht im Anamnesebogen erhoben werden und auch nicht in der Software gespeichert werden. Der Anamnesebogen soll sowieso nur eine Hilfe für das Anamnesegespräch sein. Aber es muss jede*r Ärzt*in über die medizinische Situation im Bilde sein, sonst kann es falschen Behandlungen mit schlimmen Folgen kommen.

    Das Problem sollte also nicht sein, dass die Ärzt*in die Informationen bekommt. Wichtiger ist, dass die Ärzt*in technische Infrastruktur hat, die niemals Daten an Dritte weitergibt und diese Daten auch gut schützt. Das ist der eigentliche Punkt und den unterstütze ich voll in diesem Artikel. Das darf aber niemals dazu führen, dass Ärzt*innen nicht mehr alle medizinisch relevanten Informationen bekommen, denn das führt zu schlechteren Behandlungen und im Zweifelsfall zu Toten.

  5. Comment Avatar Jürgen sagt:

    Ich bin medizinischer Laie, aber Technik ist mir nicht fremd. Mir ist bewusst, dass unsere heutige Technik viele Lücken hat und wenn ich Dinge lese, wie die des ersten Kommentators, daß er als Arzt keine Verantwortung über seine Technik übernehmen will und sie auch ihn nicht wirklich interessiert…dann hätte ich auch große Bedenken diese Bögen vollständig auszufüllen, wenn ich wegen Nichtigkeiten dort wäre und mir nur den kleinen Zeh gestoßen hätte.

    Bei diesem Beispiel wäre meines Erachtens auch der Arbeitgeber/Beruf irrelevant – kleiner Zeh ist kleiner Zeh, egal welcher Beruf. Leider ist mir auch schon aufgefallen, daß was ich in einem persönlichen Gespräch gesagt habe, später in die Arztsoftware eingepflegt wurde und hier blieb es nicht nur bei dem medizinisch relevanten, auch was ich beruflich mache und meine Hobbies. Aufgefallen ist es mir, als mich unterschiedliche Ärzte darauf ansprachen (Wie war Ihre Reise nach x?, Arbeiten Sie noch bei x?) bei denen ich vorher nicht war (innerhalb einer Praxis) und sie meinten, daß Sie meine Akte gelesen hätten. Das fand ich einen tiefen Eingriff in meine Privatsphäre und aus technischer Sicht gruselig, da das System tatsächlich noch ein WinXp war, der am Netz hing.

    Medizinischer Ehrgeiz schön und gut, auch gut, dass man sich vorher ansieht, was mir fehlt, aber persönliches vermerken? Den Arzt habe ich unkommentiert nie wieder besucht. Wie kann man denn einen Arzt alles anvertrauen, wenn es ihn nicht interessiert ob diese Informationen gut gesichert sind?

  6. Comment Avatar AusDerPraxis sagt:

    Natürlich vertraut eine Praxis Microsoft und allen SW-Lieferanten, es war ja bei der Spezifikation der Telematik bekannt, dass 99% der Praxisserver /Clients auf Windows laufen und die haben ja die IT-Profis gemacht. Natürlich vertraut eine Praxis darauf, dass über den SIS gar keine Daten entwendet werden können, sonst wäre es ja kein Sicherer Internet Service (SIS), sondern ein unsicherer (UIS).

    Wären zusätzliche Absicherungen auf den Client erforderlich, so hätte die Gematik diese spezifiziert oder der SIS filtert die ungewollten Verbindungen, (von denen z.B. das Whitepaper der Datenschutzkonferenz berichtet) sicherlich heraus.

    Natürlich wurde jede Praxis angeschlossen. Warum sollte die Praxis eine mit Honorarkürzung belegte Ordnungswidrigkeit begehen? Das Praxis-Datenschutz-Konzept sieht keinen Anschluss des sensiblen Rechners vor, der Gesetzgeber hat es so gewollt und über die regionale Standesorganisation unter Anwendung von grober Gewalt (Honorarabzug) erzwungen. Für das Einreichen einer Steuererklärung mache ich auch keine Datenschutzfolgenabschätzung, das ist einfach Pflicht. So ist das hier auch.

    Die IT-Profis könnte aber interessieren, dass die KocoBox von uns nicht dazu gebracht werden konnte, auf konnektor.konlan zu antworten. Damit können die Zertifikate im Intranet nicht geprüft werden.

    Wird das Verfahren aus

    https://administrator.de/forum/eigenzertifikat-ti-konnektors-win-server-installieren-460080.html

    umgesetzt, so antwortet beispielsweise der Webserver der Kocobox, dass er auf dieser Adresse gar nicht antworten dürfe. Somit kann im Intranet MITM gegen die Kocobox gefahren werden, sofern nicht anderweitig abgesichert. Falls es jemand geschafft hat, die Kocobox so einzurichten, dass sie auf konnektor.konlan antwortet, bitte posten, wie es geht, das Administratorhandbuch der Kocobox schweigt sich dazu aus.

    Ebenfalls könnten die IT-Profis einmal erklären, wieso CVE-2020-0601 nicht bei der Verifikation der Telematik auffiel, diese nutzt nämlich cryptapi.dll auf dem Client.

    Sollen wirklich die Ärzte prüfen, ob cryptapi.dll funktioniert? Haben die hierfür die Qualifikation?

  7. Comment Avatar van Grunz sagt:

    Vermeiden Sie nach Möglickeit den Einsatz von Windows 10 und vergleichbarer Software in der Praxis. Diese lässt sich nur mit sehr hohem Aufwand einigermaßen datenschutzfreundlich betreiben.

    YES!

    Danke schön für diesen Volltreffer!

    Seit ewigen Zeiten predige ich, daß Windows 10 nicht zu gebrauchen ist…niemand erhört meine Worte.

    Was kommt als Nächstes beim Personalausweis? Ich habe leider nicht mitgekriegt, daß die Onlinefunktion nun Pflicht ist. Das wird immer doller mit dem Unfug. Ich prophezeihe, daß die Bioemtrie-Datensammelwut als Nächstes ins Pflichtenheft aufgenommen wird.

    Welche Möglichkeiten hat man, um dem Spuk einen Riegel vorzuschieben?
    Beim Unterschreiben eines wie auch immer gearteten Vertrages die (irr)relevanten Sachen rausstreichen und dann erst unterschreiben?
    So teilt es mir meine Rechtsauffassung mit.

    Danke für diesen überaus informativen Beitrag.

  8. Comment Avatar Heutenochkeinennickausgedacht sagt:

    Die Online-Funktion (Online-Ausweisen und das Vor-Ort-Auslesen) laesst sich mit einem einfachen Telefonanruf sperren (116116). Funktioniert reibungslos.
    https://www.personalausweisportal.de/SharedDocs/Downloads/DE/Flyer-und-Broschueren/eID_Broschuere.pdf?__blob=publicationFile&v=3

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.