Zum Feiertag noch ein brisantes Thema aufgespießt: Digitalisierung im Gesundheitswesen. Aufhänger ist eine Nachricht eines Arztes, der mich auf einen speziellen Schlenker einer AOK aufmerksam machte: Die nutzen die Telematik-Infrastruktur zur Kommunikation im Gesundheitswesen (KIM der gema) selbst nicht. Zusammen mit dem MOVEit-Sicherheitsvorfall, bei dem AOKs betroffen sind, und den "ePA-Plänen der Politik" fasse ich mal wieder einige Informationen und Gedanken in einem Blog-Beitrag zusammen. Ergänzung: Es sieht so aus, als ob auch nicht ein DSGVO-Problem über (unachtsamen) Ärzten schwebt, weil Behörden und Versicherungen Auskünfte ohne Nachweis einer Patienteneinverständniserklärung einzuholen versuchen.
Anzeige
Insellösungen der Krankenkassen
Auf Hochglanzbroschüren der Anbieter (und bei Sonntagsreden der Politiker) sieht alles so schön aus. Digitalisierung in der Medizin, damit der Arzt endlich wieder für den Patienten da ist. Ab Ende 2024 soll ja für alle gesetzlich Versicherten die elektronische Patientenakte (ePA) verpflichtend kommen. Wer die nicht will, muss aktiv widersprechen (siehe meinen Blog-Beitrag Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?).
Begriffe sortieren
Alles sicher, alles fein und damit die Kommunikation zwischen Ärzten, Krankenkassen und weiteren Stellen auch klappt, gibt es KIM von der gematik. Wer mit den Begriffen nicht per Du ist, einige kurze Begriffserklärungen:
- Das Kürzel ePA steht für elektronische Patientenakte, die seit 20 Jahren auf ihre Einführung im deutschen Gesundheitswesen harrt.
- Die Gematik GmbH (gematik– Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) ist die im Gesundheitsministerium angesiedelte "Spitzenorganisationen des deutschen Gesundheitswesens", die sich um die Einführung, Pflege und Weiterentwicklung der elektronischen Gesundheitskarte (eGK) und ihrer Infrastruktur in Deutschland kümmern und diese koordinieren und die Interoperabilität der beteiligten Komponenten sicherstellen soll. Damit das klappt, sind die Gesellschafter der Gematik handverlesen: das Bundesministerium für Gesundheit (BMG), die Bundesärztekammer (BÄK), die Bundeszahnärztekammer (BZÄK), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG), der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), der Verband der Privaten Krankenversicherung (PKV), die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV). "Zu Risiken und Nebenwirkungen dieser Konstellation lesen Sie die Packungsbeilage und fragen Sie Ihren Arzt oder Apotheker".
- Um die Kommunikation zwischen den Ärzten, Krankenkassen etc. sicher abzuwickeln, gibt es KIM. Das Kürzel steht für Kommunikation im Medizinwesen- ist ein Kommunikationsstandard der deutschen staatlichen gematik mit dem Ziel, darüber in Deutschland die gesamte elektronische Kommunikation im Gesundheitswesen abzuwickeln. Für Arztpraxen und andere Teilnehmer im Gesundheitswesen wie Apotheken ist es damit möglich, medizinische Dokumente elektronisch und sicher über die Telematikinfrastruktur (TI) zu versenden und zu empfangen. Der Dienst hieß zuvor Kommunikation Leistungserbringer (KOM-LE) und wurde nach der Erweiterung des Nutzerkreises auf Kommunikation im Medizinwesen (KIM) geändert.
KIM ist inzwischen verpflichtend für Teilnehmer im Gesundheitswesen. Die Dramen rund um die Telemetik-Infrastruktur (TI-Konnektoren) lasse sich in diversen Blog-Beiträgen nachlesen (siehe links am Artikelende).
Damoklesschwert Digitalisierung in der Medizin
Ich hatte auch über das Thema Sicherheitsbedenken bezüglich der elektronischen Patientenakte sowie der Pläne der EU-Kommission für einen Gesundheitsdatenraum im Blog berichtet. Wir werden künftig sehr häufig Datenschutzvorfälle und Datenlecks beobachten können. Mein Blog-Beitrag Cyberangriffe auf Krankenkassen-IT-Dienstleister Bitmarck, Klinikum Hochsauerland GmbH thematisiert ja die Ransomware-Infektion bei IT-Dienstleister Bitmarck, der gleich einige Krankenkassen von ihrer IT in den digitalen Orkus gerissen hat.
Und auch in den inzwischen per Rezept eingesetzten digitalen Gesundheits-Apps tun sich Abgründe auf. Ich hatte es hier im Blog nicht thematisiert, aber die Winkelzüge lassen sich im heise-Beitrag Sicherheitslücken bei Gesundheits-Apps: Daten- und Identitätsklau waren möglich nachlesen. Da schwebt ein Damoklesschwert über uns. Bei heise hat jemand die drohenden Verhältnisse im Kommentar: Der digitale Patient ist ein ideales Entführungsopfer zusammen gefasst – ganz lesenswert, meiner Meinung nach. Aber der Irrsinn ist noch größer, wie ich die Tage gleich zwei Mal erfahren musste.
Die AOK brät eigene Lösungen
Die allgemeinen Ortskrankenkassen (AOK) scheinen aber bezüglich der Kommunikation ihren eigenen Stiefel zu fahren, wie ich die Tage gleich zwei Mal lernen musste.
Der MOVEit Transfer Datenschutzvorfall
Die Tage habe ich im Blog-Beitrag MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen? über die die SQL-Injection-Schwachstelle CVE-2023-34362 in der Managed File Transfer (MFT)-Lösung MOVEit Transfer berichtet. Cyberkriminelle haben die Schwachstelle ausgenutzt, um auf Daten von Firmen und Institutionen zuzugreifen. Die Clop-Ransomware-Gruppe hat bereits gedroht, ab dem 14. Juni 2023 erbeutete Daten zu veröffentlichen, wenn von betroffenen nicht gezahlt wird.
Im oben verlinkten Beitrag hatte ich auch ausgeführt dass zehn AOK-Ortskrankenkassen aktuell prüfen, ob es zum Abfluss vertraulicher Patientendaten von zehn AOK-Ortskrankenkassen gekommen ist. Denn diese AOKs haben die Lösung MOVEit Transfer zur Übertragung von Daten an Leistungserbringer und Sozialversicherungsträger wie die Agentur für Arbeit genutzt.
Anzeige
CryptShare: Noch ne Lösung für den Doktor
Anfang Juni 2023 traf eine Mail bei mir ein, die von einem Arzt abgesetzt wurde (der Name wird hier aus Quellenschutzgründen nicht genannt). Der Arzt informierte mich über eine "nette Besonderheit der örtlichen AOK" (danke dafür) und schrieb:
Krankenkassen nutzen Telematik selbst nicht
Hallo Herr Born,
Sie veröffentlichen ja viele Themen rund um die Telematik im Gesundheitswesen in ihrem Blog, welche ich mit großer Freude rezipiere.
Der Irrsinn wird immer größer, denn das für Ärzte zwangsverplichtende System wird von den Krankenkassen selbst gar nicht genutzt, wie unsere Hausarztpraxis heute erfahren durfte.
So ist bei der AOK ein System im Einsatz, mit welchem Versicherungs- und Krankendaten per Link (kommt per normaler E-Mail und sieht zunächst nach unseriösem Phishing aus) zum Download bereitgestellt werden (nennt sich CryptShare und wir von Kubus IT angeboten). Einziger Schutz ist offenbar, dass der API-Link-Zugang per Passwort erfolgt und die Versuchsanzahl begrenzt ist (vermutlich 3-5 pro Stunde).
Warum allerdings die Krankenkassen solche Lösungen nutzen, obwohl diese doch Zugang zu der Telematik haben und alle Arztpraxen zwangsweise angeschlossen sind, ist vollkommen unverständlich. Zumal das Problem besteht, dass notwendige Passwort auszutauschen. Man könnte sich auch vorstellen, dass aus Bequemlichkeit hier ein „Standard-Passwort" wiederholt oder ständig vergeben wird. Für den Passwortaustausch wird völlig sinnfrei wertvolle Arbeitszeit in den Arztpraxen gebunden, welche bei Zustellung per vorhandener Telematik komplett entfällt.
Langsam aber sicher pervertiert hier ein System und es wildwächst ein Dschungel aus Bastellösungen und Apps jeder Krankenkasse. Wofür wurden dann die Milliarden ausgegeben, wenn es nicht einmal die KK nutzen?
Die betreffende Transferlösung CyptShare lässt sich auf dieser Webseite nutzen (siehe obiger Screenshot). Bei ChryptShare handelt es sich um eine Lösung dieses Anbieters, die eine verschlüsselte und sichere Kommunikation über eine Webplattform sicherstellen soll. Schaut man sich die Liste der Mitgliedschaften bei CryptShare an, ist auch der Bundesverband der Krankenhau-IT-Leiterinnen/Leiter mit im Boot. CryptShare ist kostenpflichtig – die Lösung für die AOKs wird von kubus IT bereitgestellt.
Kubus IT wurde 2008 gegründet und ist der IT-Dienstleister für die AOKs. Die kubus IT stellt den IT-Betrieb für 17.000 AOK-Anwender in den Bundesländern Bayern, Sachsen und Thüringen sicher. Das Leistungsspektrum reicht vom kompletten Betrieb der technischen Systeme, über Anwendungsbetreuung und Support, bis hin zu Beratungs- und Entwicklungsleistungen.
Klingt zwar alles nicht schlecht und ich möchte CryptShare nicht verteufeln – die Kommunikationslösung ist mehr mehrfach untergekommen. Aber der Arzt aus obiger Mail hat Recht, das Gesundheitssystem pervertiert in Deutschland (nicht nur) in Sachen IT-Lösungen. Warum Ärzte mit großem Aufwand auf die TI-Kommunikatoren und KIM gezwungen werden, dann aber Krankenkassen eine Kommunikation für bestimmte Daten über eigene Lösungen erzwingen, erschießt sich für mich auch nach langem Nachdenken nicht.
Gibt es noch ein DSGVO-Problem?
Ergänzung: Von Seiten des Arztes wurde ich noch auf ein weiteres Problem hingewiesen, welches auf eine Sauerei hindeutet, falls es durchgängig so gehandhabt wird. Es geht um Anfragen von Behörden und Versicherungen an Ärzte zwecks Auskunft zu SGB-Verfahren. Hier der Text einer Nachtragsmail zu diesem Thema:
Nur zur Abrundung, wie mit Datenschutz im Gesundheitswesen in der Praxis seitens Behörden und Versicherungen agiert wird:
Hausärzte werden von Behörden (Sozial- und Arbeitsamt, Renten- und Lebensversicherer) um Auskünfte zu Verfahren nach SGB ersucht (GdB, Rente, AU, Lebensversicherungen etc.).
Die Anfrage ist im Prinzip in Ordnung, wenn die betreffende Person ihre schriftliche Einwilligung erteilt hat. Dazu schreibt der Arzt folgendes:
Zu ca. 50% der Anfragen wird statt dem Freigabenachweis per Unterschrift des Patienten einfach im Anschreiben behauptet, dass Einverständnis der Person läge vor. Unsere Anforderung der Einverständniserklärung mit Unterschrift wird mit Unverständnis quittiert und es wird frech behauptet: wir wären die Einzigen, welche dies fordern! Teilweise dauert die Zusendung so lange, dass man vermuten könnte, es wird erst nachträglich die Freigabe eingeholt.
Trotz unserer Androhung unvollständige Anfragen ohne mitgesandte Einverständniserklärung nicht zu bearbeiten, wird dies ignoriert und weiterhin ohne Einverständnis angefragt, darauf bauend, dass die Arztpraxen ja gesetzlich zur zeitnahen Auskunft gesetzlich verpflichtet seien.
Das ist schon ein krasses Verhalten – da scheint einiges nach dem Motto "man kann es ja immer mal wieder versuchen" zu laufen. Der normale Mensch denkt sich "beschwere ich mich halt beim Datenschutzbeauftragten des Landes oder beim Bund". Hier die Erfahrung des Arztes:
Das Schärfste daran ist jedoch, dass auf unsere Beschwerden bei Datenschutzbeauftragten des Landes Sachsen sowie im Bund gar nicht reagiert wird. Es gibt weder eine Eingangsbestätigung noch irgendeine Rückfrage oder Reaktion trotz klarer Angaben.
Der Datenschutz scheint im Bereich des Gesundheitswesens (SGB-V) beabsichtigt und behördlich gedeckt gar nicht existent zu sein.
Eigene Erfahrungen
In dieser Hinsicht kann ich eine eigene Erfahrung in gleiche Richtung beisteuern. Als langjähriger Patient eines Physiotherapeuten habe ich dessen Scheidungsverfahren am Rande mitbekommen. Dabei ging es auch ums liebe Geld und die Frage, was die Praxis samt Patientenstamm wohl wert sei. Die Rechtsanwälte scheinen sich geeinigt zu haben, dass die gegnerische Seite die Patientenkartei einsehen darf. Das ist im Prinzip in Ordnung, wenn das Ganze vertraulich gehalten wird.
Aber plötzlich fanden sich die Daten der Patientenkartei bei den Kindern des Physiotherapeuten auf Smartphones sowie beim neuen Lebensgefährten der Ex-Ehefrau. Die Beschwerde beim Datenschutzbeauftragten in Hessen verlief im Sande "ist Scheidung, da passieren solche Sachen, kann man nix machen".
Nicht für dumm verkaufen lassen
Mit solchen Datenschützern ist Hopfen und Malz verloren – es braucht halt mal wieder ein paar Urteile in der Sache, die Grenzen aufzeigen. Mein Ratschlag: Man sollte darauf achten, dass möglichst wenig Daten über einen vorliegen und allen Datenweitergaben, die nicht unbedingt erforderlich sind, widersprechen. Der gläserne Patient kommt noch früh genug.
Und lasst euch nicht den Bären aufbinden, dass beispielsweise die elektronische Patientenakte eine bessere Behandlung ermöglichen und Kosten sparen soll. Die Krankenkassen schreiben ja, angeblich auch wegen der Coronavirus-Pandemie, hohe Verluste …
Corona ist zwar vorbei, aber NDR, WDR und Süddeutscher Zeitung haben kürzlich in diesem investigativen Artikel öffentlich gemacht, wie die gesetzlichen Krankenkassen und vor allem die Versicherten abgezockt wurden. Es wurden den Krankenkassen wohl weit überhöhte Kosten für einen PCR-Test – auf Druck des Gesundheitsministeriums unter Jens Spahn (CDU) – aufgebürdet.
Ganz aufschlussreich ist auch der Report München-Bericht Wie Gauner Kasse machen vom 6. Juni 2023, der über Milliardenschäden (Jahr für Jahr) im Gesundheitswesen durch Betrug handelt.
Ähnliche Artikel:
Elektronische Patientenakte: Bär will Datenschutz schleifen
Digitalisierung im Gesundheitswesen: Ärzteverbände fordern einjähriges Moratorium
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Video-Ident durch Chaos Computer Club "sturmreif geschossen"
gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)
Problem mit statischer Aufladung bei eGK 2.1-Lesegeräten
Datenleck: Old-School-'Hack' für Gesundheitskarte
KBV: Gematik verschiebt eRezept-Einlösung mit eGK auf Sommer 2023
TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs
TI-Konnektorentausch: Ärzteverbände erstatten Anzeige wegen Korruptionsverdacht
Sicherheitslücken im deutschen Gesundheitsdatennetz
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
2015
Genau deshalb sind wir als Hausarztpraxis nicht an die TI angeschlossen und zahlen brav jedes Quartal 2,5% vom Honorar Strafe. Mal sehen, wie lange das noch toleriert wird – dann gehts in Rente.
KIM wäre die einzige Anwendung, die aus Arztsicht Sinn macht. Aber nur, wenn alle mitspielen und darüber erreichnabr sind.
Warum die so etwas machen?
Ich könnte mir vorstellen, dass da Geld aus dem System gezogen werden soll.
Follow the money.
Das Geld anderer Leute für sich ausgeben ist doch schön.
Andererseits hat ja der Ausfall der Bitmarck IT gezeigt, welch 'gute' Idee ein Monopol ist…
(Btw es wurde von 80 betroffenen KK berichtet.
Hört sich ja nicht so schlim an. Aber:
Es gibt in 2023 nur noch 96 eigenständige gesetzliche Krankenkassen. Davon 11 AOK, 71 sind Betriebskrankenkassen… und diese nutzten Bitmarck. Wem gehört Bitmarck eigentlich? )
Ich habe bei Heise einen Artikel zum Thema Cyber-Angriff auf Gesundheit Nord gelesen. Was hier zu lesen war, hat aus meiner Sicht einmal unverblümt beschrieben, was passieren kann, wenn Gesundheitsdaten in die Hände von Kriminellen gelangen:
„Auch zum Risiko durch den Datenabfluss informiert die GeNo: "Grundsätzlich besteht das Risiko, dass die abgeflossenen Daten durch unbefugte Dritte genutzt werden. Das heißt, dass jemand diese Daten nutzen könnte, um Ihnen zu schaden, beispielsweise um Sie zu diskriminieren, Ihren Ruf zu schädigen oder Sie finanziell zu schädigen. In jedem Fall bedeutet es den Verlust der Kontrolle über Ihre personenbezogenen Daten und den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen." Sie fügt hinzu, dass Betroffene schlimmstenfalls finanzielle oder gesellschaftliche Nachteile erleiden könnten. Oder dass Kriminelle versuchen könnten, mit den erbeuteten Daten zu betrügen, etwa mittels Phishing."
https://www.heise.de/news/Gesundheit-Nord-bestaetigt-Cyber-Angriff-und-Datenabfluss-9076718.html
Hoch lebe die ePA… gibts da schon offizielles wie man da widersprechen kann?
https://annaelbe.net/datenschutz_gesundheitskarte.php#20230309-ePALauterbach
Aus meiner Sicht ist das größte Problem, dass den Patienten bzgl. der ePA ein großer Bär aufgebunden wird. Man gibt dem Patienten die Information Herr über seine Gesundheitsdaten zu sein. Im Rahmen seiner Datenhoheit könne er die Nutzung seiner Daten kontrollieren sowie einschränken, die ePA auch komplett löschen.
Eine gewisse Kontrolle existiert bestenfalls noch in den Systemen der TI, aber sicher nicht mehr, wenn die Daten auf anderen Systemen liegen. Seit es beim Arzt, welcher Dokumente aus der ePA auf seinen PC geladen hat, oder noch umfangreichere Datenexporte, welche im Rahmen der Forschung ermöglicht werden sollen.
Stichworte sind hier das "Digitalgesetz" und das "Gesundheitsdatennutzungsgesetz", welche nach meinem aktuellen Stand aber noch nicht vorgelegt wurden. Entsprechend gibt es derzeit auch noch keine Rechtsgrundlage für die Einführung der ePA Ende 2024 per Opt-Out. Informationen auf den Webseiten der Krankenkassen sprechen weiterhin von einer Freiwilligkeit der Nutzung, eine Möglichkeit des Opt-Out wird nicht angeboten.
Vielen ITlern ist klar, dass der geplante Weg mehr als risikoreich ist, da ein Leck im System nicht ein paar Tropfen, sondern einen Dammbruch bedeutet. Das Ganze System ist extrem komplex und auch für ITler, welche nicht beruflich mit der TI zu tun haben nur schwer zu überblicken. Am Ende werden wohl viele den Aussagen der Politik von oben Vertrauen. Hoffentlich werden Sie nicht enttäuscht!
Da stellt sich aber zuvor noch die Frage, ob die Insel schon vor KIM da war oder erst danach.
Das Problem bei KIM ist, das nicht immer alle Nachrichten vollständig ankommen – da harkt es dann daran, das aus Gründen Anlagen abgelehnt werden, weil irgendwo (intern – extern – Zertifikatanbieter – Gematik – weiß der Teufel) etwas nicht passt.
Das ist dann die Suche im Heuhaufen!
Du hast einen Konnektor eines Herstellers – ja, aber Support macht der für das Gerät nicht und Fragen kann er auch nicht beantworten.
Da ist es auch kein Wunder, da das ja alles so STRENG geheim und mit Sicherheitshandschlag – versiegelt und schau genau hin, sich keiner mehr auskennt und Jugend-Forscht betreibt.
Das Internet ist voll mit Problemen, Hunderttausend Ideen aber das war's dann auch.
Der Arzt soll dem Patienten dienen und helfen, nicht der EDV – aber nicht jede Praxis kann sich einen Telematik-Affinen ITLer halten.
Wenigstens schreibst Du Deine Texte selbst und keine KI. Herzlich geschmunzelt beim Lesen (erschießt sich bestimmt keiner im letzten Satz) und die Informationen kommen nicht wirklich überraschend, geht ja momentan in der deutschen IT-Landschaft eh drunter und drüber…
Ganz toll ist auch, wenn man als Patient der noch nie in einer bestimmten Praxis gewesen ist (und daher auch nicht irgendwelche DSGVO Sachen unterschreiben haben kann), per Telefon (aka "fernmündlich") einen Termin macht und dann kurz vor dem Termin eine "Erinnerung" per SMS von Doctolib bekommt. Wer zum Teufel hat denen das erlaubt!
Doctolib ( Wikipedia ) ist bekannt "zu modern" und intransparent.
Selbst Datenspeicherung bei Amazon in non-EU Cloud hat ein Gericht 2021 abgenickt – leider sprech in kein Francais
So rügte Digitalcourage mit BigBrother Award , zeigt die Verletzung Patienteneheimnis, Datenschutzexpertise hier als PDF
Sorge kann einem auch das Fremdkapital geben – Accel, Bpifrance, Eurazeo + General Atlantic – supported zB via E&Y.
Dazu noch einen Gründerpreis bekommen? Idee vielleicht gut, Umsetzung defizitär, Daten weg, Geld verdient?
Und wer Doctolib im privaten Modus oder via VPN/Tor ansurft landet schon mal auf "Human-Check" mit Support-ID oder sogar auf einer Inkompatibilitäts-Subsite von ZENDESK CRM Software?