Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 28

Thema: eGK - elektronische Gesundheitskarte -

  1. #1
    Registriert seit
    02.07.2009
    Beiträge
    741

    Pfeil eGK - elektronische Gesundheitskarte -

    ...Hier präsentierte die Gematik mit "Versicherter@home" erstmals, wie der Patient Herr seiner Daten sein kann. Über ein Portal seiner Krankenkasse kann der Versicherte mit Hilfe eines Java-Applets und eines einfachen Kartenlesers auf seine eGK zugreifen und beispielsweise eine Änderung seiner Stammdaten veranlassen. Wird der vom Haupt-PIN der Karte unabhängige PIN@home eingetippt, öffnet sich das Datenfach mit dem Zugriffsprotokoll. Auf diese Weise kann der Versicherte kontrollieren, was welcher Arzt (und später Apotheker) mit der Karte gemacht hat, ein Service, der mit der herkömmlichen KVK nicht möglich ist.

    der ganze Bericht

  2. #2
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard eGK In Riesenschritten in die Konzeptlosigkeit?

    Ich wollte nicht noch einen eGK Thread aufmachen und dieser schien geeignet. Hades möge mir verzeihen.

    Elektronische Gesundheitskarte: Daten-Backup in der Diskussion
    Da das Schlüsselmanagement ein erheblicher Kostenfaktor ist, hat der Bitkom den Vorschlag gemacht, bei der eGK komplett auf die Speicherung des X.509-Schlüsselmaterials zu verzichten, die zur Authentifizierung und Verschlüsselung durch den Karteninhaber aufgebracht werden. Die einfache Unterschriftsfunktion könnte genausogut der elektronische Personalausweis (nPA) übernehmen, der dann bei der Anlage eines Notfalldatensatzes benötigt wird.
    Warum fällt ihnen fast vier Jahre nach der Spezifikation ein, daß etwas fehlt?
    Was machen die Versicherten ohne nPA?
    Wieviele Ausweise soll man künftig zum Arzt mitbringen, damit es für die Bitkom kostendeckend wird?

    Wie einfach wäre es doch gewesen, hätte man sich von Beginn an mit einem Backup-Konzept auseinandergesetzt und nicht erst, wenn die Karte im Wirkbetrieb ist.
    Aber das ging wohl nicht. Privacy by Design abgelehnt - aus Kostengründen. Und nun? Schrittweise Abschaffung der Schutzmaßnahmen - aus Kostengründen.

    Nagut, ich will die ursprünglich angedachten Sicherungs- und Wiederherstellungsmaßnahmen nicht vorenthalten:
    Das Wiederherstellen erfolgt von einer Sicherung außerhalb der Telematikinfrastruktur.
    Die Sicherung der Notfalldaten, die auf der eGK gespeichert sind, liegt in der Verantwor-
    tung des Versicherten. Zu diesem Zweck kann ihm ein Ausdruck der aktuellen Notfallda-
    ten zur eigenen Aufbewahrung mitgegeben werden. Ergänzend kann im Primärsystem
    des Arztes (niedergelassener Arzt, Krankenhausarzt) eine zeitlich begrenzte Sicherung
    im Rahmen der Dokumentation erfolgen.[...]
    Vom papierlosen Büro ins papierlose Heim dank elektronischer Gesundheitskarte. Scheint mir ähnlich durchdacht wie das Verbot des Ausweiskopierens verbunden mit der Anforderung der Ausweiskopie zur Legitimation (siehe nPA). Aber immerhin, der Ausdruck ist eine Alternative zur (Bundes-)Cloud.


    Was bei all diesen Überlegungen der gern bemühte mündige Bürger als Herr seiner Daten wirklich wünscht, ist unklar.
    Dann stelle ich mal klar: Ich wünsche ein Verfahren nach dem Sicherheitskonzept! Inklusive freiwilliger Anwendung und Ausdruck.
    Das aktuelle Sicherheitskonzept ist hier zu finden.

    Darin sind unter "Freiwillige Anwendungen" die Berechtigungsrichtlinien für Notfalldaten und außerdem folgende Feststellung unter "Kartengenerationen und Algorithmen" zu finden:
    Krypto-Algorithmen - Keine Ersatzverfahren vorgesehen.
    Das übersetze ich als: Kein nPA vorgesehen.


    Die Sicherung der Notfalldaten ist darum so kompliziert, weil der Patient die eigenen Daten nicht einsehen darf. Dies darf nur der Arzt, der den Datensatz erstellt sowie im Notfall der Rettungsdienst. Denn im Datensatz können auch Diagnosen (z.B. Alkoholismus) vermerkt werden, die der Patient unterdrücken will, die aber in Notfallsituationen hilfreich sein können.
    Verstehe ich §291a Abs.2 und 3 SGB V und §6c BDSG falsch, wenn mich das verwundert?

    Berechtigungsrichtlinie Notfalldaten auf eGK: Zugriff Versicherte
    Read: Auditieren, Signatur prüfen; PIN erforderlich, in Verbindung mit HBA/SMC-B
    Delete: Auditieren; PIN erforderlich, in Verbindung mit HBA/SMC-B
    Un-/Hide: Auditieren; Alle Informationsobjekte der freiwilligen Anwendung (entspricht de-/reaktivieren der Anwendung)

    Berechtigungsrichtlinie: Notfalldaten im Fachdienst (Back-up): Zugriff Versicherte
    Read: Auditieren, Signatur prüfen, Entschlüsseln; in Verbindung mit HBA/SMC-B
    Delete: Auditieren; in Verbindung mit HBA/SMC-B
    Un-/Hide: Auditieren; Alle Informationsobjekte der freiwilligen Anwendung (entspricht de-/reaktivieren der Anwendung)
    HBA: elektronischen Heilberufsausweis
    SMC: Secure Module Card (SMC-B) für Identifikation einer Institution (z. B. Apotheke, Krankenhaus)


    Das klingt auch ein wenig anders als "weil der Patient die eigenen Daten nicht einsehen darf".


    Zur freiwilligen Anwendung Notfalldaten gehört die Information Organspende.
    Das steht dazu im abgekündigten Fachkonzept "Daten für die Notfallversorgung". (Ein aktuelles habe ich nicht gefunden.)
    Nach DIN 13050 ist ein Notfall ein Ereignis, das unverzüglich Maßnahmen der Notfallret-
    tung erfordert. Notfallrettung wiederum stellt die organisierte Hilfe dar, die in ärztlicher
    Verantwortlichkeit erfolgt und die Aufgabe hat, bei Notfallpatienten am Notfallort lebens-
    rettende Maßnahmen oder Maßnahmen zur Verhinderung schwerer gesundheitlicher
    Schäden durchzuführen,...
    ...
    Bestandteil der Notfalldaten ist auch die "Erklärung zur Spende von Organen/Geweben
    zur Transplantation nach dem Tod" (im Folgenden: Erklärung zur Organspende) des Ver-
    sicherten.
    Klingt beruhigend. Oder auch nicht.

    Mag sein, daß ich mich hier grundlos aufrege, weil ich nichts davon verstehe, aber nach meiner Ansicht funktioniert das Ganze überhaupt nicht so wie vorgesehen.
    Sollte es nicht verständlich für die Versicherten (u.a. meine Wenigkeit) sein?

    Habt Ihr Euch mal damit beschäftigt? Was haltet Ihr davon?

  3. #3
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard

    Die Gesundheitskarte und der Softwaretest mit Echtdaten.

    "Im zweiten Quartal 2013 soll der Zuschlag für die Erprobung der
    Aktualisierung der Versichertenstammdaten und die qualifizierte
    elektronische Signatur (QES) erteilt werden.
    Nach der Entwicklung von Lösungen durch die Industrie wird die
    Erprobung in zwei Testregionen beginnen. Im Fokus der Tests stehen
    Praxistauglichkeit, Datenschutz, Interoperabilität, Kompatibilität,
    Stabilität und Sicherheit der Telematikinfrastruktur.
    Anschließend erfolgt der bundesweite Online-Rollout.
    [...]
    Die Einführung der elektronischen Gesundheitskarte und der Aufbau
    einer Telematikinfrastruktur in Deutschland zielten ausdrücklich
    darauf ab, Datenschutz und Datensicherheit zu stärken, nicht zu
    schwächen."

    http://gematik.de/cms/de/header_navi...eilungen_1.jsp

    Das heißt, im Labor wird etwas "zusammengestrickt" und anschließend im Feld mit den Karten getestet.

    Grundsätzlich ist dagegen nichts einzuwenden. Aber. Durch den Zwangsrollout enthalten diese Karten Echtdaten. Echte Stammdaten der Versicherten, die keine andere Karte als Ersatz haben? Mit diesen Karten und diesen Daten wird getestet, ob die Anbindung an die Software der Krankenkasse funktioniert und ob die Software der Krankenkasse die Stammdaten der Versicherten auf Gültigkeit prüfen, aktualisieren und ggf. sperren kann? (http://www.gematik.de/cms/de/egk_2/a...ereitung_1.jsp)

    Grundsätzlich ist gegen Bananensoftware nichts einzuwenden. Aber. Das sind Gesundheitskarten mit Stammdaten der Versicherten. Das ist keine Software zur Erfassung der Bibliotheksbestände eines Haushaltes, bei der es keine Rolle spielt, wenn sie ein Buch in das falsche Regal einordnet, das Buch daraufhin nicht mehr wiedergefunden wird, weil der Index nicht richtig zugeordnet wurde.

    Grundsätzlich frage ich mich, ob jemand über Fehler in der Software und die Auswirkungen von falschen Aktualisierungen, Sperrungen und ähnlichen Späßen nachdenkt. Ob jemand über eine fehlerhafte Verteilung der QES nachdenkt. Ob jemand über auftretende Fehler bei der Anbindung von Bestandsnetzen und deren Folgen nachdenkt.
    Und ich frage mich, wer auf Datenschutzseite dieses Testverfahren prüft und begleitet.

    Softwaretest mit Echtdaten und das Recht der Versicherten auf informationelle Selbstbestimmung.
    Wie kommt man eigentlich auf die Idee, mit solchen Konzepten das Vertrauen der Versicherten gewinnen zu können? Ein Konzept, bei dem Jahre nach der Einführung aufällt, daß die Backups der Kartendaten vergessen wurden? Ein Konzept, das ungeprüfte Zwangsphotos zur Legitimation der Versicherten verwendet? Ein Konzept, das die PIN wieder abschafft, weil das Verfahren für die Versicherten zu kompliziert ist? Wird der Test ähnlich durchdacht sein?
    Und wie kommt man eigentlich auf die Idee, diese Einführung und dieser Aufbau würde den Datenschutz und die Datensicherheit stärken?

    Warum werden Versicherte gezwungen, bei so etwas mitzumachen?
    Gehört zum Recht auf informationelle Selbstbestimmung nicht, daß Betroffene gegen die Verwendung ihrer Daten zu Testzwecken widersprechen können?

  4. #4
    Registriert seit
    03.08.2011
    Beiträge
    609

    Standard

    Zitat Zitat von anzolino Beitrag anzeigen
    ...........
    Warum werden Versicherte gezwungen, bei so etwas mitzumachen?
    Gehört zum Recht auf informationelle Selbstbestimmung nicht, daß Betroffene gegen die Verwendung ihrer Daten zu Testzwecken widersprechen können?
    Fragen Sie beim BfDI nach, z.B. in der eGK-Gruppe/Abteilung, Referat3.
    Dort werden Sie einer glühenden Verteidigung des derzeitigen Zustandes begegnen, vgl. auch:
    https://www.bfdi.bund.de/bfdi_forum/...3674#post23674

  5. #5
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard

    Zitat Zitat von mainframer Beitrag anzeigen
    Fragen Sie beim BfDI nach, z.B. in der eGK-Gruppe/Abteilung, Referat3.
    Dort werden Sie einer glühenden Verteidigung des derzeitigen Zustandes begegnen, vgl. auch:
    https://www.bfdi.bund.de/bfdi_forum/...3674#post23674
    Ein Verweis auf den Blogbeitrag "Ferrari oder Postkutsche"? Brauchen Ferraris und Postkutschen jetzt eine Gesundheitskarte? Kein TÜV mehr?


    Die Fragen haben schon einen Hintergrund. Weder in der Verordnung über Testmaßnahmen für die Einführung der elektronischen Gesundheitskarte (TestV) noch in der Informationsbroschüre Erprobung Online-Rollout (Stufe 1) wird eine Einwilligung der Versicherten zu diesen Tests mit ihren Echtdaten erwähnt. In der Broschüre heißt es lediglich:

    "Der Erprobungsumfang bezieht alle gesetzlich Versicherten und eine
    definierte Auswahl von Leistungserbringern (Ärzte und Psychotherapeuten,
    Zahnärzte sowie Krankenhäuser) unter Beachtung projektspezifischer
    rechtlicher Rahmenbedingungen, insbesondere
    • SGB V, insbesondere §§ 291 ff.,
    • TestV,
    ein.
    [...]
    Der Aufbau und der Betrieb umfassen die vollständige Bereitstellung aller
    erforderlichen Komponenten und Dienste für die Erprobung zumindest der
    Fachanwendung VSDM..."

    (VSDM = Versichertenstammdatenmanagement)

    Unter "7.3 Datenschutz und Informationssicherheit" steht zwar etwas zur "Sicherstellung des informationellen Selbstbestimmungsrechtes der Patienten sowie des (Sozial-)Datenschutzes bei der Nutzung ihrer elektronischen Gesundheitskarte" und auch schöne Formulierungen wie "Privacy und Security by Design" sind zu lesen. Jedoch die Einwilligung der Patienten in einen Test mit Echtdaten ist nicht zu finden. Auch nach einer Informierung der Versicherten sucht man vergebens.
    Beim Design scheint etwas vergessen worden zu sein?

    Rechtliche Rahmenbedingungen:
    Die in §291 ff SGB V erwähnten Einwilligungen umfassen keine Tests mit Echtdaten.
    Die Einwilligung der Versicherten fehlt auch in TestV, was aber nicht verwundert, denn §5 Abs.3 verlangt:
    "die erforderliche Parallelität von Test- und Wirkbetrieb ist durch geeignete Maßnahmen zu ermöglichen."
    Ein Verwendung von Testdaten also. Diese Daten bedürfen keiner Einwilligung, denn sie sind pseudonymisiert/anonymisiert, Dummy-Daten.

    Aus der Informationsbroschüre:
    "Die Erprobung erfolgt in der Wirkbetriebsumgebung und sieht Smartcards
    (z. B. eGK/HBA) mit Echtdaten und die Einbindung der Versicherten im
    regulären Geschäftsprozess bei den Leistungserbringern vor."

    Das versteht die gematik "unter Beachtung rechtlicher Rahmenbedingungen, insbesondere TestV"?


    "Restrisiken werden zwischen Auftragnehmer und Auftraggeber transparent
    gemacht, damit die Aufrechterhaltung des notwendigen Datenschutz- und
    angemessenen Sicherheitsniveaus im laufenden Betrieb sichergestellt ist."

    Die Versicherten werden ob der ihnen gegenüber dargebrachten Transparenz sehr erleichtert sein und ihr schutzwürdiges Interesse dürfte dank der umfangreichen Informierung gegen Null sinken.

    Wie also soll man sich die erforderliche Parallelität von Test- und Wirkbetrieb bei einem Test mit Echtdaten im Wirkbetrieb vorstellen?
    Mit denselben Daten auf zwei unterschiedlichen Karten?
    Wie soll man sich die Sicherstellung des informationellen Selbstbestimmungsrechtes der Patienten vorstellen?
    Ohne Einwilligung, Informierung und Transparenz?

    Entweder habe ich etwas Grundlegendes übersehen oder im Dokumentendschungel der gematik das falsche Dokument erwischt. Sollte dem nicht so sein und tatsächlich keine Einwilligung der Test-Versicherten gefordert werden, dann kann der Test nach BDSG durchaus als unzulässig eingestuft werden. Und auch TestV sieht keinen Test mit Echtdaten im Wirkbetrieb vor, denn dort heißt es "vor der Aufnahme des Wirkbetriebs der Anwendungen diese in realen Versorgungsumgebungen (Feldtests) zu testen".

  6. #6
    Registriert seit
    03.08.2011
    Beiträge
    609

    Standard Nachtrag

    "Ein Verweis auf den Blogbeitrag "Ferrari oder Postkutsche"? Brauchen Ferraris und Postkutschen jetzt eine Gesundheitskarte? Kein TÜV mehr"?

    Es gilt der Verweis auf die (kolportierte) Zustimmung des BfDI ...

    "Wie also soll man sich die erforderliche Parallelität von Test- und Wirkbetrieb bei einem Test mit Echtdaten im Wirkbetrieb vorstellen?
    Mit denselben Daten auf zwei unterschiedlichen Karten?
    Wie soll man sich die Sicherstellung des informationellen Selbstbestimmungsrechtes der Patienten vorstellen?
    Ohne Einwilligung, Informierung und Transparenz?"


    Aus dem Hause des BfdI wird kommuniziert, dass der "geschützte Container" auf der Karte be- bzw. umgeschrieben wird mit den bereits auf der (neuen) Karte vorhandenen Daten, sobald die Ärzte ein Lesegerät haben und der Patient mit seiner bis dahin erhaltenen PIN die Zustimmung erteilt. Das geschieht dann in der Arztpraxis, denn man könne und wolle nicht in eine weitere Karte investieren, die immerhin 5 EUR/Stück koste. Bis dahin muss man halt mit frei zugänglichen Informatioenn auf der Karte leben.
    "Später" gebe es eine spezielle Heilberufe-Zugangsberechtigung. Die heute bestehenden Daten bleiben auf alle Fälle jedoch erhalten. Und es sei nicht wahr, dass nicht alle diese persönlichen Daten und noch weitere mehr vom Arzt für sein ärztliches Wirken benötigt werden. Auch der Apotheker benötige sie, und ebenfalls die und der. Dass drei niedergelassene Fachärzte unterschiedlicher Disziplinen, eine Uni-Klinik und eine der größten deutschen Apotheken dies bestreiten, sei überhaupt nicht wahr. Man bilde sich dies nur ein und schüre Unruhe.

    Anmerkung: So komplizierte Fragestellungen wie über den Test mit Echtdaten betreffend werden heute von den Verantwortlichen gar nicht mehr gestellt. Aus, basta. Es gibt das SGB V. Es gibt hochgebildete Sozialversicherungsfachangestellte, die der Expertise von Firmenberatern mit über 1.000 EUR Tagesgage voll vertrauen, es gibt den BfDI, der alles abgesegnet hat. Wer dort nachzufragen wagt, wird ex cathedra belehrt und bei Wiederholung der Frage mit möglichen Abbruch der Verbindung konfrontiert. Mit nicht anonymisierten Echtdaten wurde und wird übrigens seit Jahrzehnten auch getestet bei den größten Banken, Versicherungen und Behörden, und einem naiven EDV-Menschen (der auch ich einmal war...) können dabei schon die Augen hervor treten...
    Nachtrag:
    Der gematik unter Führung eines Master of Laws, Doktor der Gesundheitswissenschaften, FOM-Professor gar und Spielwaren - wie auch Nürburgring-Praktikers kann und sollte man ruhig vertrauen. Er hat ganz bestimmt auch schon mal einen Komputa gesehen.
    Geändert von mainframer (11.11.2012 um 13:36 Uhr) Grund: Nachtrag

  7. #7
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard

    Ja, über den "geschützten Container" ohne PIN müssen wir nicht streiten. Da sind wir einer Meinung und auch einer Meinung mit dem HmbBfDI.
    Mein Problem ist aber noch davor angesiedelt, wie auch richtig in der Anmerkung erwähnt. Nämlich daß mit Echtdaten herumgespielt wird. Das wurde bereits Ende der 90er bemängelt, als Software noch in halbwegs ordentlichem Zustand ausgeliefert wurde. Heute leben wir in der Zeit der Bananensoftware. Die Software reift beim Kunden. Das sind die Erfahrungen eines derzeitigen EDV-Menschen. Es hat sich also nichts geändert. Nur das Ausmaß wird immer größer.
    Die Fragen dürften für Datenschutzbeauftragte eigentlich nicht zu kompliziert sein, denn es ist ihr täglich Brot.

    Nürburgring. Ein ganzes Rudel von Experten.
    Geändert von anzolino (12.11.2012 um 23:22 Uhr) Grund: s hatte sich als ß getarnt

  8. #8
    Registriert seit
    03.08.2011
    Beiträge
    609

    Standard

    "Trial and Error", das ist das Motto!
    Und "Work around" heißt auf Fachchinesisch der gute, alte "Murks und Pfusch".

    Bei meiner Regenwetter-Eliteforschung bin ich noch auf einige intgeressante Quellen gestoßen, die offenbar ebenfalls in die eGK hinein wirken:
    http://www.zeit.de/2010/50/A-Uni-Tirol
    http://diepresse.com/home/bildung/un...in-Turbulenzen
    http://www.tirol.info/page.cfm?vpath...chschulen/umit
    http://umit.at/page.cfm?vpath=studien
    (Die haben heute (?) dort gar keinen so genannten Doktor der Gesundheitswissenschaften

  9. #9
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard

    Schau ich heute abend mal rein.

  10. #10
    Registriert seit
    10.02.2011
    Beiträge
    1.922

    Standard

    Zitat Zitat von mainframer Beitrag anzeigen
    Bei meiner Regenwetter-Eliteforschung bin ich noch auf einige intgeressante Quellen gestoßen, die offenbar ebenfalls in die eGK hinein wirken
    Vielleicht bei ELGA. Aber was hat die UMIT mit der gematik und der eGK zu tun?

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Elektronische Gesundheitskarte vor Gericht
    Von DJ_rainbow im Forum Datenschutz - Gesellschaft - Politik
    Antworten: 1
    Letzter Beitrag: 11.06.2012, 22:56
  2. Organspende und elektronische Gesundheitskarte
    Von devianzen im Forum Gesundheit
    Antworten: 12
    Letzter Beitrag: 09.10.2011, 00:35
  3. elektronische Führerscheinkontrolle
    Von Columbus30 im Forum Spezielle Techniken
    Antworten: 4
    Letzter Beitrag: 02.09.2011, 17:07
  4. Elektronische Unterweisung der Mitarbeiter
    Von Treysse im Forum Datensicherheit, TOM, IT für den Datenschutz
    Antworten: 1
    Letzter Beitrag: 07.09.2010, 19:51
  5. Antworten: 6
    Letzter Beitrag: 20.11.2009, 13:36

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •