Patienten – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Thu, 28 May 2026 05:57:03 +0000 de hourly 1 Patientendaten als Beute: Der Angriff auf Unikliniken legt Systemversagen in der Lieferkette offen https://www.datensicherheit.de/patientendaten-beute-angriff-unikliniken-systemversagen-lieferkette Thu, 28 May 2026 22:22:00 +0000 https://www.datensicherheit.de/?p=54669 Laut Medienberichten wurden bei einem Abrechnungsdienstleister Zehntausende sensible Patientendaten gestohlen – darunter Namen, Adressen, Gesundheitsdaten und teils sogar Kontoverbindungen

[datensicherheit.de, 29.05.2026] Gerald Eid, „Regional Managing Director DACH“ bei Getronics, widmet sich in seiner aktuellen Stellungnahme der Entwendung Zehntausender Patientendatensätze, welche Universitätskliniken in ganz Deutschland betroffen habe – die eigentliche Schwachstelle habe aber nicht bei den Kliniken selbst gelegen, sondern bei einem externen Abrechnungsdienstleister. Eid kommentiert: „Dieser Vorfall ist kein Einzelfall! Er ist das jüngste Beispiel eines Musters, das sich durch die deutsche Wirtschaft zieht: Der Angriff kommt nicht durch die Vordertür. Er kommt über die Lieferkette.“

Gerald Eid, Regional Managing Director EMEA bei Getronics

Foto: Getronics

Gerald Eid verweist auf ein strukturelles Problem: Warum hat ein externer Dienstleister Zugriff auf Gesundheitsdaten von Zehntausenden Patienten über einen Zeitraum von bis zu zehn Jahren?

Angriffsfläche einer Organisation umfasst jeden Partner, jeden Dienstleister und jede Schnittstelle, über die sensible Daten fließen

„Was diesen Fall besonders heikel macht, ist die Natur der erbeuteten Daten“, berichtet Eid: Stammdaten, Rechnungsinformationen und in Teilen auch Diagnosen, Behandlungsverläufe und Gesundheitsdaten seien betroffen – „Informationen, die sich nicht wie ein Passwort zurücksetzen lassen“. Für die Betroffenen sei der Schaden dauerhaft.

  • Für die Angreifer seien solche Datensätze auf dem Schwarzmarkt um ein Vielfaches wertvoller als gewöhnliche Zugangsdaten. Im Gesundheitswesen stehe mit dem Vertrauen der Patienten das höchste Gut auf dem Spiel – und genau dieses Vertrauen sei hier verletzt worden.

„Die Tatsache, dass die klinischen Systeme durchgehend funktionsfähig blieben, ist kein Grund zur Entwarnung. Im Gegenteil: Sie verdeckt die eigentliche Schwachstelle!“ Die Angriffsfläche einer Organisation ende eben nicht an den eigenen Systemgrenzen. Sie umfasse jeden Partner, jeden Dienstleister, jede Schnittstelle, über die sensible Daten fließen.

Datensparsamkeit hilft, die Angriffsfläche zu verringern

„Ein einzelner Abrechnungsdienstleister, der für zahlreiche Kliniken in Deutschland arbeitet, wird so zum ,Single Point of Failure’ für eine gesamte Branche. Der ,Dominoeffekt’, den wir bei Angriffen auf die Fertigungsindustrie längst kennen, ist jetzt auch im Gesundheitswesen angekommen.“

  • Besonders alarmierend sei, dass Regulierung diesen Angriff nicht verhindert habe. „Universitätskliniken gehören zu den am strengsten regulierten Einrichtungen in Deutschland. DSGVO, NIS-2, BSI-Vorgaben – das Regelwerk ist umfassend.“ Doch „Compliance“ an den eigenen Systemgrenzen reiche nicht aus, „wenn der Dienstleister dahinter zur offenen Flanke wird“. Regulierung schaffe zwar Mindeststandards – Sicherheit entstehe aber erst, „wenn diese Standards auf die gesamte Wertschöpfungskette angewendet werden“.

Dieser Vorfall offenbare darüber hinaus ein strukturelles Problem: „Warum hat ein externer Dienstleister Zugriff auf Gesundheitsdaten von Zehntausenden Patienten über einen Zeitraum von bis zu zehn Jahren?“ Datensparsamkeit sei kein Hindernis für effiziente Prozesse, sondern ein Architekturprinzip, welches den potenziellen Schaden im Ernstfall massiv begrenzen könne. „Je weniger sensible Daten an Dritte fließen, desto kleiner ist die Angriffsfläche!“

Echte Resilienz im Gesundheitswesen erfordert Umdenken auf mehreren Ebenen:

  • Lieferantenrisiko als Chefsache
    Jeder externe Partner mit Zugriff auf Patienten- oder Unternehmensdaten müsse in das eigene Risikomanagement einbezogen werden. Sicherheitsaudits, vertragliche Mindeststandards und regelmäßige Überprüfungen dürften keine Ausnahme sein.
  • „Zero Trust“ über die eigenen Grenzen hinaus
    In einem vernetzten System dürfe keinem Akteur pauschal vertraut werden – auch nicht langjährigen Partnern. Strikte Zugriffskontrollen, Mikrosegmentierung und kontinuierliches Monitoring müssten die gesamte Datenverarbeitungskette abdecken, nicht nur die eigene Infrastruktur.
  • Datensparsamkeit konsequent umsetzen
    Organisationen müssten hinterfragen, welche Daten sie an Dritte weitergeben und ob der Umfang tatsächlich notwendig ist. Minimaler Datentransfer bedeute minimalen Schaden im Ernstfall.
  • Notfallpläne für Drittanbieter-Vorfälle
    Krisenpläne müssten explizit das Szenario abbilden, dass nicht das eigene System, sondern ein externer Dienstleister kompromittiert wird. Der aktuelle Fall zeige, dass zwischen Angriff und belastbarer Information Wochen vergehen könnten. „Wer in dieser Zeit keinen Fahrplan hat, verliert die Kontrolle über die Kommunikation und das Vertrauen der Betroffenen!“

Die Digitalisierung des Gesundheitswesens sei richtig und notwendig. Aber sie dürfe nicht schneller voranschreiten als die Absicherung der Strukturen, die sie tragen. Eid gibt abschließend zu bedenken: „Der Angriff auf die Unikliniken zeigt: Wer seine eigenen Mauern hochzieht, aber die Hintertür beim Dienstleister offenlässt, schützt am Ende niemanden. Cybersicherheit im Gesundheitswesen beginnt nicht beim eigenen Rechenzentrum. Sie beginnt bei der Frage, wem man seine sensibelsten Daten anvertraut und ob man deren Schutz auch tatsächlich überprüft.“

Weitere Informationen zum Thema:

getronics
A proud history / Empowering your business since 1887

getronics
Regionalmanager / Gerald Eid, Managing Director, DACH

mdr AKTUELL, 24.05.2026
Hackerangriff auf Abrechnungsdienstleister / Warum auch Patienten aus Mitteldeutschland betroffen sein könnten

datensicherheit.de, 04.02.2025
Geknackte IoMT-Geräte mit hohem Schadenspotenzial: Datenschutzverletzung, Geräteausfall und Unterbrechung der Patientenversorgung / Krankenhäuser müssen IoMT-Geräte abzusichern, um Patientendaten zu schützen und unterbrechungsfreien medizinischen Betrieb zu gewährleisten

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung / Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor

]]>
ePA: Große Mehrheit gesetzlich Versicherter verwaltet elektronische Patientenakte nicht aktiv https://www.datensicherheit.de/epa-mehrheit-gesetzlich-versicherte-unterlassung-verwaltung-elektronische-patientenakte Sun, 22 Feb 2026 23:18:00 +0000 https://www.datensicherheit.de/?p=52677 Nach aktuellen Erkenntnissen der Verbraucherzentrale funktionieren Verwaltung und Authentifizierung mitunter nicht einwandfrei und sind technisch kompliziert – der Bedarf der Patienten muss bei der ePA-Weiterentwicklung im Mittelpunkt stehen

[datensicherheit.de, 23.02.2026] Laut einer aktuellen Stellungnahme vom Verbraucherzentrale Bundesverband e.V. (vzbv) zur elektronischen Patientenakte (ePA) bietet diese zwar viel Potenzial, bislang aber noch wenig Nutzen. Er hat in diesem Zusammenhang Ergebnisse einer repräsentativen Befragung und einen Bericht zur ePA veröffentlicht. Im Rahmen einer repräsentativen Telefonumfrage vom 3. bis 7. November 2025 hat forsa demnach im vzbv-Auftrag 1.037 gesetzlich krankenversicherte Personen ab 16 Jahren befragt – darunter 1.000 Personen, welche die ePA kennen. Statistische Fehlertoleranz liege bei max. ± 3 Prozentpunkten in der Gesamtstichprobe.

vzbv-ramona-pop

Foto: © Dominik Butzmann / vzbv

Ramona Pop: Bislang bleibt die ePA hinter den Erwartungen zurück…

94% der gesetzlich Versicherten haben Kenntnis von der ePA

Obwohl sehr viele gesetzlich Versicherte die ePA kennen würden (94%), verwalte ein Großteil davon (71%) die eigene Akte nicht aktiv – so ein Ergebnis einer repräsentativen Befragung im vzbv-Auftrag. In einem Verbraucheraufruf hätten Verbraucher fehlende Funktionen, unzureichende Informationen sowie komplizierte Freischaltungsprozesse als Hürden im Umgang mit der ePA benannt.

  • Die Verbraucherzentrale fordert die Politik auf, die ePA zügig weiterzuentwickeln und dabei die Bedürfnisse der Patienten in den Mittelpunkt zu stellen.

„Die elektronische Patientenakte ist noch nicht im Alltag der Menschen angekommen. Das ist wenig überraschend, denn zentrale Funktionen, wie digitale Impf- oder Bonushefte, fehlen weiterhin. Bislang bleibt die ePA hinter den Erwartungen zurück“, moniert vzbv-Vorständin Ramona Pop in ihrem Kommentar. Damit die ePA ihr volles Potenzial entfalten kann, müsse diese zügig im Sinne der Versicherten weiterentwickelt werden.

Deutliche Mehrheit hat sich aber auch mit der ePA noch nicht auseinandergesetzt

Eine aktuelle repräsentative forsa-Befragung im vzbv-Auftrag zeige: „Die große Mehrheit der gesetzlich Versicherten, die schon einmal von der ePA gehört haben, verwaltet ihre ePA nicht aktiv (71%). Ein weiterer Teil (9%) hat Widerspruch dagegen eingelegt oder sie löschen lassen.“

  • Die Gründe, warum Versicherte ihre ePA nicht aktiv nutzen, seien vielfältig: Die Befragten gaben mehrheitlich an, dass sie sich noch nicht mit der ePA auseinandergesetzt hätten (75%).

Jeder Dritte sehe keinen persönlichen Nutzen in der ePA (33%). Auch Datenschutzbedenken und Sorgen hinsichtlich der Datensicherheit hielten Verbraucher mitunter davon ab, ihre ePA aktiv zu nutzen (jeweils 13%).

Komplizierte Einrichtung der ePA und fehlende Unterstützung moniert

Im Verbraucheraufruf sei mitunter der komplizierte und unübersichtliche ePA- Einrichtungsprozess bemängelt worden. Teils kritisierten Verbraucher auch die unzureichende Unterstützung und unklare Informationen durch die Krankenkassen.

  • Außerdem sei bemängelt worden, dass sich nicht immer ausreichend festlegen lasse, wer auf welche Daten zugreifen darf.

Mitunter schilderten Verbraucher, dass die ePA noch nicht im Behandlungsalltag angekommen sei, Arztpraxen die ePA nicht nutzten oder relevante Behandlungsdaten nicht hochladen würden.

Verbraucher-Anforderungen an die ePA

Die Befragung zeige, dass Verbraucher sich bei der ePA insbesondere genaue Steuerungsmöglichkeiten wünschten, wer welche Daten sehen darf (68%).

  • „Versicherte müssen genau einstellen können, welche Praxis Zugriff auf welche Informationen erhält. So möchten Patientinnen und Patienten möglicherweise psychotherapeutische Befunde mit der Hausarztpraxis teilen, jedoch nicht unbedingt mit der Zahnarztpraxis“, erläutert Pop.

Ebenfalls wünschten sich Verbraucher digitale Untersuchungshefte (66%) sowie Hinweise auf Wechselwirkungen von Medikamenten (64%) und auf fehlende Impfungen (64%).

Mehr Aufklärung: Krankenkassen und Gesundheitsministerium sollten Versicherte verständlich und umfassend zur ePA informieren

Obwohl 94 Prozent der Befragten bereits von der ePA gehört hätten, bestehe weiterhin erheblicher Aufklärungsbedarf. Dies gelte insbesondere in Bezug auf die Ausleitung von Forschungsdaten, welche ab Ende des Jahres 2026 in pseudonymisierter Form umgesetzt werden solle.

  • Nur ein Viertel der Befragten (25%) wisse, dass Daten aus ihrer ePA künftig auch für Forschungszwecke verwendet werden könnten.

„Die Krankenkassen und das Gesundheitsministerium müssen die Versicherten verständlich und umfassend zur ePA informieren. Das kam bislang zu kurz“, unterstreicht Pop. Nur etwas mehr als die Hälfte (54%) der Versicherten habe angegeben, dass sie von ihrer Krankenkasse etwas über die ePA gehört hätten – über ein persönliches Schreiben oder über öffentliche Informationen.

Weitere Informationen zum Thema:

Verbraucherzentrale Bundesverband
Über uns: Gemeinsam stark für Verbraucherrechte!

Verbraucherzentrale Bundesverband
Vorständin Ramona Pop

Verbraucherzentrale Bundesverband, 18.02.2026
Elektronische Patientenakte / Ergebnisse einer repräsentativen Verbraucherbefragung

Verbraucherzentrale Bundesverband, 18.02.2026
Elektronische Patientenakte / Erfahrungsberichte von Verbraucher:innen

Verbraucherzentrale Bundesverband, 18.02.2026
Elektronische Patientenakte patientenorientiert weiterentwickeln / Forderungen für eine nutzenstiftende, erfolgreiche elektronische Patientenakte

forsa, 13.11.2025
Elektronische Patientenakte – Tabellenband

datensicherheit.de, 20.12.2025
ePA: 7% der Versicherten widersprachen Einrichtung / Nach BfDI-Erkenntnisssen sind Sicherheitsbedenken Hauptgrund für Widerspruch gegen die ePA-Einrichtung

datensicherheit.de, 25.10.2025
ePA-Kritik: Freie Ärzteschaft moniert drohende internationale Verfügung über Krankheitsdaten / Trotz geringer Korrekturen an den bisher bekannten ePA-Datenschutzlücken zeigen die Aussagen der Bundesregierung laut FÄ, dass weiter eklatante Mängel und Probleme bestehen

datensicherheit.de, 30.09.2025
ePA: Verbraucherschützer fordern für Versicherte mehr Kontrolle über ihre Daten / Auch der Verbraucherzentrale Bundesverband bezieht Position zu der verpflichtenden Einführung der elektronischen Patientenakte (ePA) per 1. Oktober 2025

datensicherheit.de, 30.09.2025
Verpflichtende Einführung ab 1. Oktober 2025: Kritik an der ePA reißt nicht ab / Bündnis Widerspruch gegen die Elektronische Patientenakte (ePA) erinnert daran, dass die offenkundigen Sicherheitslücken eigentlich vollständig beseitigt sein sollten – nur dann würde die verpflichtende Einführung erfolgen

datensicherheit.de, 08.02.2025
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware / Es droht die kommerzielle ePA-Datennutzung durch Konzerne zu Lasten der gesetzlich Versicherten und der Ärzteschaft

datensicherheit.de, 28.01.2025
BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt / BLZK-Präsident Dr. Wohl fordert, die elektronische Patientenakte zurück auf null zu setzen

]]>
Digitalisierung der Medizin: Ärzte und Patienten im Spannungsfeld von Nutzen und Verunsicherung https://www.datensicherheit.de/digitalisierung-medizin-aerzte-patienten-spannungsfeld-nutzen-verunsicherung https://www.datensicherheit.de/digitalisierung-medizin-aerzte-patienten-spannungsfeld-nutzen-verunsicherung#respond Mon, 24 Nov 2025 23:02:58 +0000 https://www.datensicherheit.de/?p=51140 Die Freie Ärzteschaft veranstaltet in Düsseldorf am 6. Dezember 2025 die Diskussionsveranstaltung „Digitalisierung in der Medizin – Keine Erfolgsstory im „Herbst der Reformen“

[datensicherheit.de, 25.11.2025] Der Freie Ärzteschaft e.V. lädt zu der Diskussionsveranstaltung „Digitalisierung in der Medizin – Keine Erfolgsstory im „Herbst der Reformen“ am 6. Dezember 2025 in Düsseldorf ein. Die gesetzlichen Krankenkassen kündigten Defizite an; Sparmaßnahmen und paternalistische Patientensteuerung sollten aber Beitragserhöhungen vermeiden. Ständig neue praxisferne Vorschläge verunsicherten Ärzte und Patienten. Im Kontext der Digitalisierung der Medizin sollen u.a. Fragen der Sicherheit, des Mehrwertes und der Auswirkungen Künstlicher Intelligenz erörtert werden.

fae-vorstand-wieland-dietrich-dr-silke-lueder

Foto: Manfred Wigger

Wieland Dietrich und Dr. Silke Lüder geben am 6. Dezember 2025 – dann zusammen mit Prof. Ulrich Kelber – Impulse für die Podiums-Diskussion

Ärztliche Schweigepflicht und Informationelle Selbstbestimmung bedroht

Die Freie Ärzteschaft moniert, dass im Spannungsfeld o.g. Entwicklung gleichzeitig mit der elektronischen Patientenakte (ePA) ein „sanktionsbewehrtes staatliches Digitalisierungsprojekt“ ausgerollt wurde, welches in der bestehenden Form „teuer, zeitraubend und unsicher“ sei.

  • Sie kritisiert zudem, dass die Ärztliche Schweigepflicht und die Informationelle Selbstbestimmung offenbar nicht mehr en vogue zu sein scheinen.

Nachgegangen werden soll demnach folgenden Fragestellungen:

  • „Wurden alle Sicherheitslücken wie versprochen geschlossen?“
  • „Ist ein vermeintlicher Mehrwert nach über 20 Jahren in der Medizin angekommen – oder sehen wir jetzt, wie an den Bedürfnissen der Nutzer vorbei geplant worden ist?“
  • „Wie reagieren die Praxen auf den KI-Hype?“

„Digitalisierung in der Medizin – Keine Erfolgsstory im ,Herbst der Reformen’“

Samstag, 6. Dezember 2025, von 10.00 bis 12.30 Uhr

Hotel Mutterhaus, Geschwister-Aufricht-Straße 1, 40489 Düsseldorf

Programm (ohne Gewähr):

  • Begrüßung und Einführung
    Wieland Dietrich, Facharzt für Dermatologie, Vorsitzender der Freien Ärzteschaft e.V.
  • „Kritisches Update zum Digitalisierungsprojekt ePA 3.0. Wo stehen wir Ende 2025? Was könnte man besser machen? Wie läuft die Diskussion in Berlin?“
    Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz (BfDI) a.D.
  • „ePA 3.0 Ende 2025: Top oder milliardenschwerer Flop? KI hört zu und schreibt mit – wo bleibt das Vertrauen?“
    Dr. Silke Lüder, Fachärztin für Allgemeinmedizin, stellv. Vorsitzende der Freien Ärzteschaft e.V.
  • Anschließend moderierte Podiums-Diskussion

Anmeldung erforderlich:
Büro Freien Ärzteschaft e.V.
Frau Müller
Tel.: (0201) 68 58 60 90
E-Mail: mail@freie-aerzteschaft.de

Weitere Informationen zum Thema:

Freie Ärzteschaft
Das sind wir: Die Freie Ärzteschaft (FÄ) vertritt den Arztberuf als freien Beruf und steht für eine emphatische, engagierte Ausübung der ärztlichen Heilkunde. Wir setzen uns für eine sichere und zukunftsorientierte Medizin ein und treten der rationierten Staatsmedizin und Bürokratisierung entgegen.

Freie Ärzteschaft
Vorstand

WIKIPEDIA
Ulrich Kelber

HOTEL MUTTERHAUS DÜSSELDORF
Geschichte des HOTEL MUTTERHAUS DÜSSELDORF / Das Mutterhaus der Kaiserswerther Diakonie

datensicherheit.de, 25.10.2025
ePA-Kritik: Freie Ärzteschaft moniert drohende internationale Verfügung über Krankheitsdaten / Trotz geringer Korrekturen an den bisher bekannten ePA-Datenschutzlücken zeigen die Aussagen der Bundesregierung laut FÄ, dass weiter eklatante Mängel und Probleme bestehen

datensicherheit.de, 24.11.2023
106. Tagung der Datenschutzkonferenz: Hohes Datenschutzniveau der medizinischen Forschung im Fokus / Unabhängige Datenschutzaufsichtsbehörden des Bundes und der Länder tagten am 22. und 23. November 2023

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 10.06.2020
Digitaler Wandel: Aufschwung für die Telemedizin in Deutschland / Fernbehandlung zwischen Arzt und Patien in Baden-Württemberg auch außerhalb von Modellprojekten erlaubt

datensicherheit.de, 24.09.2018
Digitalisierung in der Medizin: Dilemmata für Ärzte / Sprechstunde als Schutzraum für Patienten droht verloren zu gehen

]]>
https://www.datensicherheit.de/digitalisierung-medizin-aerzte-patienten-spannungsfeld-nutzen-verunsicherung/feed 0
ePA: Verbraucherschützer fordern für Versicherte mehr Kontrolle über ihre Daten https://www.datensicherheit.de/epa-verbraucherschuetzer-fordern-fuer-versicherte-mehr-kontrolle-ueber-ihre-daten https://www.datensicherheit.de/epa-verbraucherschuetzer-fordern-fuer-versicherte-mehr-kontrolle-ueber-ihre-daten#respond Mon, 29 Sep 2025 22:49:16 +0000 https://www.datensicherheit.de/?p=50344 Auch der Verbraucherzentrale Bundesverband bezieht Position zu der verpflichtenden Einführung der elektronischen Patientenakte (ePA) per 1. Oktober 2025

[datensicherheit.de, 30.09.2025] Auch der Verbraucherzentrale Bundesverband (vzbv) bezieht Position zu der verpflichtenden Einführung der elektronischen Patientenakte (ePA) per 1. Oktober 2025. vzbv-Gesundheitsexperte Lucas Auer betont, dass mit mehr Informationen in der ePA auch der Handlungsdruck für weitere Verbesserungen wachse. Die Patienten müssten selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat – Versicherte hätten bislang nicht im Detail steuern können, wer welche Informationen sieht.

vzbv-lucas-auer

Foto: vzbv

Lucas Auer fordert: Abrechnungsdaten sollten standardmäßig nur für die Versicherten selbst einsehbar sein!

Patienten müssen Kontrolle über ihre Daten behalten

Ab 1. Oktober 2025 beginne eine neue Phase beim Roll-out der ePA: Ärzte, Apotheken und Krankenhäuser seien dann verpflichtet, aktuelle Behandlungsdaten einzutragen.

  • Patienten müssten allerdings die Kontrolle über ihre Daten behalten. Der vzbv fordert daher noch Nachbesserungen der ePA. Auer kommentiert:

„Wenn die ePA nun standardmäßig mit Daten gefüllt wird, kann sie endlich ihren Nutzen zeigen. Das gilt aber nur, sofern Arztpraxen und weitere Leistungserbringer ihrer Pflicht auch wirklich nachkommen!“

Konkret sollten Patienten selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat

Mit mehr Informationen in der ePA wachse auch der Handlungsdruck für weitere Verbesserungen. „Patientinnen und Patienten müssen selbstbestimmt entscheiden können, wer Zugriff auf ihre Gesundheitsdaten hat!“

  • Versicherte hätten indes bislang nicht im Detail steuern können, wer welche Informationen sieht. Auer erläutert: „Mit der Hausarztpraxis möchten Patientinnen und Patienten die Informationen aus der Psychotherapie vielleicht teilen. Es ist aber nicht zwingend nötig, dass die Zahnarztpraxis von der Psychotherapie erfährt.“

Auch die Abrechnungsdaten, die Krankenkassen bis zu zehn Jahre rückwirkend in die ePA einstellten, könnten ungewollt Aufschluss über sensible Diagnosen geben. „Darum sollten die Abrechnungsdaten standardmäßig nur für die Versicherten selbst einsehbar sein!“, fordert Auer abschließend.

Weitere Informationen zum Thema:

Verbraucherzentrale Bundesverband
Über uns / Gemeinsam stark für Verbraucherrechte!

datensicherheit.de, 30.09.2025
Verpflichtende Einführung ab 1. Oktober 2025: Kritik an der ePA reißt nicht ab / Bündnis Widerspruch gegen die Elektronische Patientenakte (ePA) erinnert daran, dass die offenkundigen Sicherheitslücken eigentlich vollständig beseitigt sein sollten – nur dann würde die verpflichtende Einführung erfolgen

datensicherheit.de, 28.09.2025
„ePA für alle – Daten für alle?“ Landesdatenschutzbeauftragter und Verbraucherzentrale Rheinland-Pfalz laden nach Mainz ein / Am 6. November 2025 findet im Plenarsaal des Landtags Rheinland-Pfalz in Mainz eine Veranstaltung zu den Herausforderungen und Chancen der elektronischen Patientenakte (ePA) statt

datensicherheit.de, 09.07.2025
ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen / 45 Prozent der deutschen Gesundheitseinrichtungen waren seit 2023 von einem Ransomware- oder DDoS-Angriff betroffen

datensicherheit.de, 08.02.2025
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware / Es droht die kommerzielle ePA-Datennutzung durch Konzerne zu Lasten der gesetzlich Versicherten und der Ärzteschaft

datensicherheit.de, 28.01.2025
BLZK-Kritik an ePA: Vertrauen in Datenschutz verspielt / BLZK-Präsident Dr. Wohl fordert, die elektronische Patientenakte zurück auf null zu setzen

datensicherheit.de, 14.01.2025
Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch / vzhh empfiehlt Verbrauchern, sich umfassend zu informieren und eine „bewusste Entscheidung zum Einsatz der ePA“ zu treffen

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

]]>
https://www.datensicherheit.de/epa-verbraucherschuetzer-fordern-fuer-versicherte-mehr-kontrolle-ueber-ihre-daten/feed 0
Gesundheitswesen im Visier: Patienten leiden unter Cyber-Attacken https://www.datensicherheit.de/gesundheitswesen-visier-patienten-leiden-cyber-attacken https://www.datensicherheit.de/gesundheitswesen-visier-patienten-leiden-cyber-attacken#respond Thu, 12 Oct 2023 15:32:30 +0000 https://www.datensicherheit.de/?p=43576 Cyber-Attacken haben 2022 in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt

[datensicherheit.de, 12.10.2023] Die USA gelten seit vielen Jahren als Vorreiter relevanter technischer Neuerungen – und somit auch als Indikator für künftige Entwicklungen in Deutschland. Das gilt offensichtlich leider auch für den Bereich der Cyber-Kriminalität: „Insbesondere beeinträchtigen Cyber-Kriminelle inzwischen im großen Maßstab auch das Gesundheitswesen“, so das Ergebnis einer aktuellen Studie des Ponemom-Instituts im Auftrag von Proofpoint.

64% in den letzten zwei Jahren von Cyber-Angriff auf Lieferkette betroffen

Laut dieser Studie haben Cyber-Attacken im letzten Jahr (2022) in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt. „Im zweiten Jahr in Folge haben wir festgestellt, dass Angriffe direkte negative Auswirkungen auf die Sicherheit und das Wohlergehen der Patienten haben. Unsere Ergebnisse zeigen auch, dass im Vergleich zu 2022 mehr IT- und Sicherheitsexperten ihre Organisation als anfällig für jede Art von Angriff betrachten“, berichtet Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Diese Attacken belasteten auch die Ressourcen noch stärker als im letzten Jahr: Die finanziellen Kosten seien im Durchschnitt um 13 Prozent gestiegen und Gesundheitsinstitutionen benötigen 58 Prozent mehr Zeit, um die Auswirkungen auf die Patientenversorgung zu beheben.

Für die Studie wurden demnach 653 IT- und Sicherheitsexperten im Gesundheitswesen befragt. Sie habe ergeben, dass Angriffe auf die Lieferkette die Patientenversorgung am ehesten beeinträchtigen. Fast zwei Drittel (64%) der befragten Organisationen seien in den letzten zwei Jahren von einem Angriff auf die Lieferkette betroffen gewesen. Bei 77 Prozent dieser Unternehmen sei es infolgedessen zu einer signifikanten Störung der Patientenversorgung gekommen (ein Anstieg gegenüber 70% im Jahr 2022). „Business E-Mail Compromise“ (BEC) sei mit Abstand die Angriffsart, die am ehesten den Erfolg einer Behandlung aufgrund von Verzögerungen gefährde (71%), gefolgt von Ransomware (59%). BEC führe auch am ehesten zu vermehrten Komplikationen bei medizinischen Verfahren (56%) und einer längeren Aufenthaltsdauer (55%).

Kosten einer Cyber-Attacke: Anstieg um 13%

Bei den Kosten einer Cyber-Attacke konstatiere die Studie einen Anstieg um 13 Prozent gegenüber dem Vorjahr. Die durchschnittlichen Kosten für die von einer erfolgreichen Cyber-Attacke betroffenen Organisation hätten rund fünf Millionen US-Dollar betragen. Ryan Witt, Vorsitzender des „Healthcare Customer Advisory Board“ bei Proofpoint, kann nach eigenen Angaben den Ergebnissen der Studie zumindest einen positiven Aspekt abgewinnen: „Obwohl das Gesundheitswesen nach wie vor sehr anfällig für Cyber-Attacken ist, finde ich es ermutigend, dass die Führungskräfte der Branche verstehen, wie ein Cyber-Vorfall die Patientenversorgung beeinträchtigen kann.“

Witt zeigt sich optimistisch, dass bedeutende Fortschritte gemacht werden könnten, um Patienten vor den gesundheitlichen Gefahren in Folge solcher Angriffe zu schützen. Die Studie belege, dass sich die Organisationen des Gesundheitswesens der für sie relevanten Cyber-Risiken bereits bewusst seien. Witts abschließender Kommentar: „Jetzt müssen sie mit ihren Branchenkollegen zusammenarbeiten und die Unterstützung der Regierung in Anspruch nehmen, um eine bessere Cyber-Sicherheitslage zu erreichen – und damit die bestmögliche Patientenversorgung zu gewährleisten.“

Weitere Informationen zum Thema:

proofpoint
Threat Report / 2023 Ponemon Healthcare Cybersecurity Report

]]>
https://www.datensicherheit.de/gesundheitswesen-visier-patienten-leiden-cyber-attacken/feed 0
Bitkom begrüßt ePa-Start in Arztpraxen am 1. Juli 2021 https://www.datensicherheit.de/bitkom-begruessung-epa-start-arztpraxen-1-juli-2021 https://www.datensicherheit.de/bitkom-begruessung-epa-start-arztpraxen-1-juli-2021#respond Wed, 30 Jun 2021 17:19:23 +0000 https://www.datensicherheit.de/?p=40253 Bitkom-Präsident Achim Berg stellt Vorteile für Patienten vor

[datensicherheit.de, 30.06.2021] Ab dem 1. Juli 2021 sind Arztpraxen in Deutschland dazu angehalten, die sogenannte elektronische Patientenakte (ePA) zu befüllen. Für den Branchenverband Bitkom hat dessen Präsident, Achim Berg, hierzu positiv Stellung bezogen und betont die Wichtigkeit, dass im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.

Bitkom sieht ePA als Kernstück der Digitalisierung des Gesundheitswesens

Die ePA sei „das Kernstück der Digitalisierung des Gesundheitswesens“, so Berg. Mit ihr erhielten die Versicherten einen schnellen Zugriff auf ihre medizinischen Daten, Diagnosen und bald auch ihren Impfpass.
„Sie werden dadurch informierter und souveräner. Das Interesse an der elektronischen Patientenakte unter den Versicherten ist groß: Drei Viertel können sich vorstellen, sie zu nutzen“, berichtet Berg.

Bitkom fordert Ärzte auf, Patienten jetzt aktiv auf ePA-Vorteile hinzuweisen

Ärzte sollten ihre Patienten jetzt aktiv auf die Vorteile der ePa hinweisen: „Neben der technischen Ausstattung braucht es dafür ein digitales ,Mindset‘: Offenheit gegenüber der Digitalisierung und die Bereitschaft, die neuen technischen Möglichkeiten aktiv zu nutzen.“
Die „Corona-Pandemie“ habe uns drastisch vor Augen geführt, wie wichtig Vernetzung, ein funktionierender, sicherer Datenaustausch und die digitale Dokumentation von Untersuchungsergebnissen seien. „Zugleich sind die Zeiten, in denen die Menschen ein Leben lang denselben Hausarzt haben, vorbei. Sie wechseln nicht nur Wohnorte, sondern auch ihre behandelnden Ärztinnen und Ärzte.“

Bitkom-Forderung: Patienten sollten auch ePa eines privaten Anbieters nutzen können

Bei schwerwiegenderen Entscheidungen werde oft auch eine ärztliche Zweitmeinung eingeholt. „Wenn Akten in Papierform abgeheftet werden, sind Doppeluntersuchungen, Sicherheitsdefizite und der Verlust von Informationen programmiert“, sagt Berg und unterstreicht: „Umso wichtiger ist es, dass auch im Gesundheitswesen durchgängig digitale Prozesse eingeführt werden.“
Für den Einsatz der ePa werde schließlich auch entscheidend sein, dass die Versicherten frei zwischen den Anbietern wählen könnten: „Wer eine andere ePa als die seines Versicherers möchte, muss dafür bislang die Krankenkasse wechseln.“ Die ePa eines privaten Anbieters zu wählen, sei nicht möglich, kritisiert Berg und kommentiert: „Dies ist ein tiefgreifender und aus unserer Sicht inakzeptabler Einschnitt in die Wahlfreiheit der Patienten, der umgehend korrigiert werden muss.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.06.2021
Datapuls 2021: Deutsche fürchten bei der ePA den Datenmissbrauch / Patientenumfrage u.a. zur elektronischen Patientenakte im Vorfeld der ePA-Einführung am 1. Juli 2021

datensicherheit.de, 16.02.2021
Prof. Ulrich Kelber fordert weitere Verbesserung der elektronischen Patientenakte / BfDI würde elektronische Patientenakte in jetziger Form nicht nutzen

datensicherheit.de, 07.12.2020
Elektronische Patientenakte: Souveränität der Versicherten über Gesundheitsdaten bewahren / Professor Dieter Kugelmann appelliert an Krankenkassen und Gesetzgeber, Gesundheitsdaten konsequent zu schützen

datensicherheit.de, 03.06.2009
Datenschutz-Risiken bei der elektronischen Patientenakte / Hamburger Datenschutzbeauftragter Caspar sieht die Softwarehersteller in der Pflicht

]]>
https://www.datensicherheit.de/bitkom-begruessung-epa-start-arztpraxen-1-juli-2021/feed 0
Ungeschützter Online-Zugriff: 45 Millionen medizinische Bilder weltweit https://www.datensicherheit.de/schutzlosigkeit-online-zugriff-45-millionen-medizinische-bilder-welt https://www.datensicherheit.de/schutzlosigkeit-online-zugriff-45-millionen-medizinische-bilder-welt#respond Tue, 12 Jan 2021 20:09:30 +0000 https://www.datensicherheit.de/?p=38635 Bericht „Full Body Exposure“ von CybelAngel zu unsicheren medizinischen Speichermedien veröffentlicht

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

  • Lecks bei Dritten identifizieren und stopfen.
  • – Cloud-Zugriffe sperren, wo immer es angebracht ist.
  • – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

]]>
https://www.datensicherheit.de/schutzlosigkeit-online-zugriff-45-millionen-medizinische-bilder-welt/feed 0
Elektronische Patientenakte: Souveränität der Versicherten über Gesundheitsdaten bewahren https://www.datensicherheit.de/elektronische-patientenakte-souveraenitaet-versicherte-gesundheitsdaten-bewahrung https://www.datensicherheit.de/elektronische-patientenakte-souveraenitaet-versicherte-gesundheitsdaten-bewahrung#respond Mon, 07 Dec 2020 20:44:25 +0000 https://www.datensicherheit.de/?p=38335 Professor Dieter Kugelmann appelliert an Krankenkassen und Gesetzgeber, Gesundheitsdaten konsequent zu schützen

[datensicherheit.de, 07.12.2020] Die Digitalisierung des Gesundheitswesens schreitet offenkundig immer schneller voran. Laut einer aktuellen Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) forciert die Bundesregierung „den zuvor jahrelang nur schleppend vorangekommenen Prozess der Digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben“. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten sei, habe das Bundesgesundheitsministerium Mitte November 2020 bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. „Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird“, so der LfDI RLP. Doch daran hapere es immer wieder…

Patienten-Datenschutzgesetz etabliert elektronische Patientenakte zum Jahresanfang 2021

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte werde den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte „in unzumutbarer Weise erschwert“. Im Jahr 2021 bestehe gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 könne ein Vertreter benannt werden, „über den dies dann möglich sein soll“. Eine unmittelbare Rechteausübung sei zu keinem Zeitpunkt vorgesehen.
„Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, bilanziert der LfDI RLP, Prof. Dieter Kugelmann. Die gesetzlichen Vorgaben missachteten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. „Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Neuester Gesetzentwurf aus dem Bundesgesundheitsministerium hat Verbesserungsbedarf

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht Professor Kugelmann nach eigenen Angaben „Verbesserungsbedarf“. Mit dem Entwurf des DVPMG werde die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gebe deutliche Defizite: „So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen.“
Dem Schutz der Gesundheitsdaten, welche in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, müsse höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, dürfe als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. „Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt“, berichtet Professor Kugelmann und appelliert deshalb an den Gesetzgeber, „ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort“. Datenschutz und IT-Sicherheit dürften nicht auf die lange Bank geschoben werden.

Bei Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen Vorgaben des Datenschutzes beachten

In seiner gegenüber der Landesregierung Rheinland-Pfalz zu diesem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Kugelmann weiter, „bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten.“
Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen sei zu begrüßen, „wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte“. Den Bundesländern sei vom Bund die Möglichkeit eingeräumt worden, bis zum 7. Dezember 2020 zum neuen Gesetzentwurf Stellung zu nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung /Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor

]]>
https://www.datensicherheit.de/elektronische-patientenakte-souveraenitaet-versicherte-gesundheitsdaten-bewahrung/feed 0
Gesundheits-Apps: LfDI Rheinland-Pfalz rät zur Vorsicht https://www.datensicherheit.de/gesundheits-apps-lfdi-rheinland-pfalz-rat-vorsicht https://www.datensicherheit.de/gesundheits-apps-lfdi-rheinland-pfalz-rat-vorsicht#respond Thu, 22 Oct 2020 17:48:18 +0000 https://www.datensicherheit.de/?p=38112 Schutz und Sicherheit von Patientendaten in Digitalen Gesundheitsanwendungen müssten höchste Priorität haben

[datensicherheit.de, 22.10.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass Anfang Oktober 2020 das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen – sogenannte Gesundheits-Apps – zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen habe. Der LfDI RLP rät indes zu „Vorsicht bei Gesundheits-Apps“Schutz und Sicherheit von Patientendaten müssten höchste Priorität haben.

Kosten für verschriebene Gesundheits-Apps könnten von den gesetzlichen Krankenversicherungen übernommen werden

Somit könnten nun die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis sei unter anderem, „dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist“ (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V).
Inzwischen sei bekanntgeworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt werde, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt hätten. Laut LfDI RLP hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Gesundheits-Apps sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen

„Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, welche genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen“, betont der Stellvertretende LfDI RLP, Helmut Eiermann.
Die Nutzer digitaler Gesundheitsanwendungen müssten darauf vertrauen können, dass ihre Daten wirksam geschützt werden. „Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Defizite bei Ausgestaltung des Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt

Der LfDI RLP hatte nach eigenen Angaben in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei habe er insbesondere kritisiert, dass lediglich aufgrund von Hersteller-Angaben Apps in das Verzeichnis aufgenommen würden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.
„Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten“, sagt Eiermann.

Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden:

  • die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten),
  • die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen,
  • die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse).

Hierbei reiche es nicht aus, sich allein auf Hersteller-Angaben zu verlassen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

]]>
https://www.datensicherheit.de/gesundheits-apps-lfdi-rheinland-pfalz-rat-vorsicht/feed 0
Entwicklerfehler: Medizinische Daten aus der Cloud auf GitHub durchgesickert https://www.datensicherheit.de/entwicklerfehler-medizin-daten-cloud-github-leak https://www.datensicherheit.de/entwicklerfehler-medizin-daten-cloud-github-leak#respond Sat, 29 Aug 2020 19:12:23 +0000 https://www.datensicherheit.de/?p=37641 VECTRA kommentiert Sicherheitsrisiken durch Cloud-Nutzung im Gesundheitswesen

[datensicherheit.de, 29.08.2020] Laut einer aktuellen Meldung von VECTRA soll ein Entwicklerfehler den Leak von 150.000 bis 200.000 in „Office 365“ und „Google G Suite“ gespeicherten Gesundheitsdaten von Patienten verursacht haben, die kürzlich auf „GitHub“ gefunden worden seien.

Andreas Müller

Foto: Vectra

Andreas Müller: Kein System und kein Benutzer jemals perfekt…

Patientendaten von neun Gesundheitsorganisationen aus der Cloud entdeckt

Der niederländische Security-Forscher Jelle Ursem habe neun separate Dateien mit hochsensiblen persönlichen Gesundheitsdaten (PHI) von neun verschiedenen Gesundheitsorganisationen entdeckt. Die darin gefundenen Patientendaten stammten von den Gesundheitseinrichtungen Xybion, MedPro Billing, Texas Physician House Calls, VirMedica, MaineCare, Waystar, Shields Health Care Group, AccQData und einem weiteren im Bericht beschriebenen, aber nicht genannten Unternehmen.

Betroffene Cloud-Nutzer schwer zu erreichen

Ursem habe Schwierigkeiten gehabt, diese Unternehmen zu erreichen, deren Daten durchgesickert seien, und habe den Vorfall schließlich an „DataBreaches.net“ gemeldet, „das mit ihm zusammenarbeitete, um ein gemeinsames Paper mit dem Titel ,No Hack When It’s Leaking‘ über die Ergebnisse zu veröffentlichen“.

Nichts Neues: Klinikverwaltungen versäumen grundlegende Schritte zur Sicherung von Cloud-Diensten und -Anwendungen

„Klinikverwaltungen, die es versäumen, grundlegende Schritte zur Sicherung von Cloud-Diensten oder -Anwendungen zu unternehmen, sind nichts Neues“, kommentiert Andreas Müller, „Director DACH“ bei VECTRA AI. Es seien so viele Fälle bekannt geworden, in denen private Daten versehentlich dem Internet ausgesetzt worden seien. „Die sofortige Bereitstellung und Skalierbarkeit von Cloud-Computing sind zwar wertvolle Vorteile, aber die Funktionen und Standardkonfigurationen des Cloud-Service-Providers sind ständig im Wandel begriffen.“

Fähigkeit entscheidend, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren

Administratoren müssten wissen, „was sie tun, Anpassungen vornehmen und sicherstellen, dass geeignete Zugriffskontrollen zum Schutz ihrer Daten vorhanden sind“. Da kein System und kein Benutzer jemals perfekt sei, könne die Fähigkeit, den unbefugten oder böswilligen Zugriff auf Cloud-Dienste zu überwachen, zu erkennen und darauf zu reagieren, den Unterschied zwischen einem eingedämmten Sicherheitsvorfall und einem ausgewachsenen Datenschutzproblem ausmachen, „mit dem die betroffenen Gesundheitsdienstleister und ihre Patienten jetzt konfrontiert sind“.

Weitere Informationen zum Thema:

VECTRA Blog, Andreas Müller, 09.07.2020
Gravierende Cyber-Risiken im Gesundheitswesen

DataBreaches.net
Health Data

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

]]>
https://www.datensicherheit.de/entwicklerfehler-medizin-daten-cloud-github-leak/feed 0