Viel wird über Messenger und ihre Sicherheit geredet. Immer wieder gerät der Platzhirsch, WhatsApp, in die Diskussion. Immerhin ist die Kommunikation Ende-zu-Ende verschlüsselt, doch was ist mit den Metadaten? Und reicht eine Ende-zu-Ende-Verschlüsselung überhaupt aus? Dann gehört WhatsApp zu Facebook und die Server stehen in den USA. Es gibt inzwischen viele Alternativen zu WhatsApp und […]
Gesundheitsdatenschutz
Gesundheitsdatenschutz
Messenger im Gesundheitswesen – Teil 1 Siilo
Im November 2019 formulierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kurz DSK in einem Whitepaper die technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich. Unmittelbar nach der Veröffentlichung prüften wir WhatsApp anhand des Kriterienkataloges. Das Ergebnis können Sie auf unserem Blog nachlesen. Glücklicherweise ist WhatsApp nicht alternativlos. Es gibt mittlerweile eine Vielzahl an […]
Neues Patientendaten-Schutzgesetz – es krankt am Datenschutz.
Die Digitalisierung macht auch im Gesundheitswesen nicht hat. Vielfach wird sie als Heilsbringer für die medizinische und pflegerische Versorgung gesehen. Damit diese im Gesundheitsbereich Fuß fassen kann, bedarf es eines entsprechenden Gesetzes. Ein solches wurde nunmehr mit dem Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutzgesetz – PDSG) auf den Weg gebracht. […]
#36C3 „Die ganze Gesundheit auf einen Blick!“ – Sicherheitsmängel der elektronischen Patientenakte
Nach seinem im letzten Jahr viel beachteten Talk zum Thema Gesundheitsapps und Co. hat sich Martin Tschirsich vorgenommen unser Gesundheitssystem – genauer: die elektronische Patientenakte (ePA) und die unterliegende Telematikinfrastruktur – aus IT Sec Sicht näher unter die Lupe zu nehmen. Für seinen Talk „‘Hacker hin oder her‘: Die elektronische Patientenakte kommt!“ hat er sich […]
Techniker Krankenkasse beendet Zusammenarbeit mit Ada Health
Vor ungefähr zwei Monaten berichteten wir über die Gesundheits-App „Ada“, bei der Nutzer ihre Krankheitssymptome eingeben können um dazu eine passende Diagnose zu erhalten. In Kritik geraten war die App durch die fragwürdige Zusammenarbeit mit Unternehmen wie Facebook und durch einen Test des IT-Sicherheitsexperten Mike Kuketz. Darüber hinaus enthielt die alte Datenschutzerklärung der App Passagen, die […]
Verhängtes Bußgeld für Defizite im Patientenmanagement
Nur wenige Einrichtungen verarbeiten so viele und vor allem schützenswerte personenbezogene Daten wie Krankenhäuser. Dabei ist es grundsätzlich notwendig auf geregelte Abläufe zurückgreifen zu können um hierdurch sicherzustellen, dass nur die richtigen und auch notwendigen Daten verarbeitet werden. In Folge einer Patientenverwechslung und einer nachfolgenden falschen Rechnungsstellung, hat sich die zuständige Aufsichtsbehörde für Datenschutz und […]
Messenger im Gesundheitswesen – rote Karte für WhatsApp?
Sie werden sicherlich gleich die Augen verdrehen und denken, wie kann man nur? Aber folgendes Szenario findet im Gesundheitswesen so oder in abgewandelter Form täglich statt: Arzt A ist niedergelassener Hämatologe, behandelt einen Patienten. Der Fall scheint komplizierter zu sein, als auf den ersten Blick vermutet. Daher beschließt A ein Konsil bei der Kollegin B […]
Wer diese App nutzt, hat die Datenschutzbestimmungen wohl nicht gelesen.
Die Gesundheits-App „Ada Health“ sorgt aktuell für Furore. Die App soll dem Nutzer durch die Beantwortung einfacher Fragen die wahrscheinlichste Ursache für seine Krankheitssymptome nennen. Die Angaben des Users werden mit den Antworten ähnlicher Fälle abgeglichen. Nach der Analyse erhält der Nutzer Vorschläge für sein weiteres Vorgehen: Angaben zur Selbsthilfe, Aufsuchen eines Facharztes, Apothekers oder […]
Datenschutzrechtliche Besonderheiten für Belegärzte
Die meisten Krankenhäuser haben mittlerweile verstanden, dass die Gesundheit der Patienten zwar stets die erste Priorität ist, der Datenschutz jedoch auch nicht auf die leichte Schulter genommen werden sollte. Dies dürfte den Verantwortlichen spätestens klar geworden sein, als die Datenschutzaufsichtsbehörden einem portugiesischen und einem holländischen Krankenhaus Strafen von 400.000 € bzw. 460.000 € auferlegt haben, […]
BayLDA leitet Verfahren gegen Bayerisches Rotes Kreuz ein
„Blutspendedienst übermittelte heikle Daten an Facebook“ – so lautete ein Artikel der Süddeutschen Zeitung vom 27. August 2019. Nun bestätigte Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), dass ein aufsichtsrechtliches Verfahren eingeleitet worden sei. Was war passiert: Wie das Bayerische Rote Kreuz in seiner Stellungnahme vom 27. August 2019 angibt, war auf der […]
Fehlendes Berechtigungskonzept im Krankenhaus, ein bußgeldbewehrtes Risiko!
Zu den wohl größten datenschutzrechtlichen Risiken im Krankenhaus zählt freilich ein fehlerhaftes oder gänzlich nicht vorhandenes Berechtigungskonzept. Über dieses wird definiert, wer wann welche Informationen über Patienten einsehen und verarbeiten darf. Erst kürzlich wurde das größte Krankenhaus in Den Haag, das Haga Hospital, wegen eines Verstoßes gegen die DSGVO mit einem Bußgeld in Höhe von […]
Processing Personal Data in the Context of the Clinical Trial Regulation (CTR), and the General Data Protection Regulation (GDPR)
The European Data Protection Board (EDPB) has provided a clear guidance on the legal basis for processing personal data when conducting clinical trials. Although the opinion refers specifically to the interaction between the GDPR and the Clinical Trial Regulation (CTR), in this article we summarize the premises applicable for the processing of personal data in […]
Effiziente Umsetzung der Betroffenenrechte im Gesundheitswesen
Die Betroffenenrechte, unter anderem auch das Auskunftsbegehren nach Art. 15 DSGVO, zählen zu den bedeutungsvollsten Instrumenten der DSGVO und sollten in jedem Fall konform umgesetzt werden. Andernfalls drohen dem Verantwortlichen sogar Bußgelder. Nach Art. 15 DSGVO steht es dem Betroffenen zu, vom Verantwortlichen umfangreiche Auskunft über die Verarbeitung der ihn betreffenden personenbezogenen Daten zu verlangen. […]
Datenschutzrechtliche Anforderungen an die BEM-Akte
Arbeitgeber in Deutschland sind gemäß § 167 Abs. 2 SGB IX dazu verpflichtet, Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein sog. Betriebliches Eingliederungsmanagement (BEM) anzubieten. Ziele des BEM- Verfahrens sind die Überwindung der Arbeitsunfähigkeit, die Vorbeugung weiterer Arbeitsunfähigkeitszeiten sowie der Erhalt des Arbeitsplatzes. Das wichtigste Prinzip hierbei […]
#35C3 Ausgewählte Talks vom 35C3 aus (nicht allein) datenschutzrechtlicher Sicht
Es ist mal wieder so weit. Ich versuche mich an einer höchst subjektiven Auswahl an interessanten Talks vom nun mittlerweile 35. Chaos Communication Congress. Dabei habe ich festgestellt, dass es mir nicht nur von Jahr zu Jahr leichter fällt, datenschutzrechtlich relevante Talks auszusuchen, nein, mittlerweile kann ich von dem ein oder anderen interessanten Talk gar […]