Schlagwortarchiv für: Datenschutz

Für das Sat1 Frühstücksfernsehen durfte ich heute erklären, was die Umstellung auf die neue elektronische Patientenakte (ePA) bedeutet.

In der ePA sollen Gesundheitsdaten, Diagnosen, Behandlungen, Rezepte elektronisch, verschlüsselt und zentral gespeichert werden. Das halte ich für die Verbesserung der Datensicherheit und des Informationsaustauschs im Gesundheitswesen sinnvoller. Die Alternative ist doch Zettelwirtschaft und Versand sensibler Daten per E-Mail.

Der BDfI hält die ePA derzeit für rechtswidrig, da das Zugriffsrechtesystem nicht feingranular ausgestaltet ist und BSI-Vorgaben für Endgerätesicherheit nicht umgesetzt wurden. Wer will schon, dass sein Zahnarzt den Befund des Psychologen lesen kann?! Aber ist das wirklich das Problem?

Ich befürchte, dass Cyberkriminelle nicht nur die Server der ePA angreifen werden, sondern vor allem die Nutzer, z.B. Arztpraxen und Krankenhäuser. Ärzte werden verstärkt mit Ransomeware-Angriffen rechnen müssen. Mit perfiden Social Engineering-Tricks werden die Täter versuchen, bei den Patienten Passwörter zu erbeuten oder eine Datenfreigabe per Teamviewer zu erhalten, wie das derzeit bei der Microsoft-Anrufer-Masche grassiert.

Wer als Datendieb Zugriff auf besonders sensible Gesundheitsdaten erhält, kann nicht nur Identitätsdiebstahl begehen, z.B. um sich medizinische Leistungen oder Rezepte unter fremden Namen zu erschleichen. Auf diese Weise könnten leicht Medikamente erworben und auf dem Schwarzmarkt im Darknet verkauft werden. Sicherlich dürfte auch der Verkauf von umfangreichen Datensätzen an die Pharmawerbeindustrie einträglich sein.

Ich persönlich finde Digitalisierung im Gesundheitssektor gut und richtig. Vernetzung und schneller Informationsaustausch kann Leben retten, wenn z.B. Ärzte in der Notaufnahme über die elektronische Patientenakte sofort lebenswichtige Informationen über eine Vorerkrankung abrufen können. Datenschutz und Datensicherheit dürfen aber nicht auf der Strecke bleiben – hier sind nunmal leider die ePA-Nutzer gefragt.

Arztpraxen sollten daher nicht nur ihre eigene IT-Sicherheit überprüfen lassen. Vielmehr müssen sie ihre Patienten in leicht verständlicher Weise über die Veränderungen, Folgen und Gefahren informieren, damit niemand abgehängt wird. So kann der Kraftakt der Digitalisierung des Gesundheitswesens gelingen.

Mehr Informationen, wie man sich vor Identitätsdiebstahl oder Datenklau in der elektronischen Patientenakte schützen kann, finden Sie unter Datenklau-Hilfe.de.

„Jetzt über WhatsApp bestellen“ – Apotheken, die unbedarft und ohne ausdrückliche Einwilligung WhatsApp einsetzen, um von ihren Kunden Arzneimittelbestellungen entgegen zunehmen, handeln rechtswidrig. Nach Auffassung des Bayerischen Landesamtes für den Datenschutz erfüllen Apotheken dabei nicht ohne weiteres die Anforderungen an die technischen und organisatorischen Maßnahmen für Daten mit hohem Schutzbedarf. Das Bedürfnis der Apotheken als Verantwortliche ihren Kunden eine weit verbreitete und einfach anwendbare Kommunikationsmöglichkeit zu Verfügung zu stellen, erkennt das Landesamt jedoch an, wenn dies von Kunden ausdrücklich gewünscht und nachgefragt wird.

 

Aus diesem Grund könne WhatsApp aus der Sicht des Landesamtes beanstandungsfrei eingesetzt werden, wenn der Verantwortliche den Nutzer hinreichend auf die gegenwärtigen Datenschutzbedenken hinweise, eine informierte transparente Einwilligung einhole und dem Kunden parallel ein anderer sicherer Kommunikationsweg ohne Medienbruch angeboten werde, damit sich der Kunde frei für oder gegen eine WhatsApp-Kommunikation entscheiden könne. Weitere Hinweise zur Geltendmachung von Betroffenenrechten können die Erklärung abrunden.

Mit der Anwendbarkeit der Datenschutz-Grundverordnung ab dem 25. Mai wird es auch für Apotheken ernst: Gesundheitsdaten sind als „besondere Kategorie“ gem. Art. 9 DSGVO strengen Anforderungen an die Einwilligung und die Zweckbindung ausgesetzt. Neben der Pflicht zur Gewährleistung der Sicherheit der Datenverarbeitung (Art. 32 DSGVO) wird hier künftig das Erfordernis einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu beachten sein. Zur Vermeidung von Haftungsfällen nach Art. 82 DSGVO und Bußgeldverfahren ist eine frühzeitige Befassung mit dieser Problematik und eine datenschutzrechtlich zulässige Umsetzung anzuraten.

Mehr dazu: „Bedenken first – WhatsApp second Die digitale Arzneimittelvorbestellung sollte wohlüberlegt sein“, erschienen in der Januar-Ausgabe 2018 der Deutschen Apotheker Zeitung (DAZ): 

https://www.deutsche-apotheker-zeitung.de/daz-az/2018/daz-1-2018/bedenken-first-whatsapp-second  

Bildquelle: freestocks.org on Unsplash.