Mit der Markteinführung der Vivy-Gesundheits-App wird im Herbst 2018 ein weiterer Schritt in Richtung Digitalisierung der Gesundheitsdaten gemacht. Mehr als 13,5 Millionen Versicherte aus 14 gesetzlichen (GKV) und 2 privaten Krankenversicherung (PKV) können seit dem 17.09.2018 ihre Gesundheitsdaten kostenlos auf ihrem Smartphone verwalten.
Befunde, Laborwerte, Röntgenbilder, Notfalldaten etc. können mit Einwilligung der Versicherten in der digitalen Akte Vivy gespeichert und auf dem Smartphone jederzeit abgerufen werden. Vivy soll außerdem an Impftermine erinnern, Fitnesstracker können mit ihr gekoppelt werden. Nur der Versicherte soll Zugriff auf seine Daten haben, alle Gesundheitsdaten werden verschlüsselt gespeichert.
Apps liegen im Trend
Auch die Techniker Krankenkasse (TK-Safe App, für mehr als 10 Millionen Versicherte) und die AOKen (26 Millionen Versicherte) entwickeln ihre eigene App zur digitalen Gesundheitsakte, die sich noch in der Testphase befinden.
Solche Apps sollen helfen, mehr Transparenz für die Patienten zu schaffen und ggf. Doppeluntersuchungen zu vermeiden.
Diese neuen Produkte haben offensichtlich eine neue Dynamik in die Digitalisierung des Gesundheitswesens gebracht.
Seit Jahren versucht das Gesundheitsministerium die rechtlichen und technischen Voraussetzungen zu schaffen, damit Ärzte, Krankenhäuser und weitere Heilberufler untereinander u.a. Diagnose und Therapiemaßnahmen mittels einer elektronischen Patientenakte austauschen können.
Auch Patienten sollen ihre Gesundheitsdaten besser verwalten können. Der erste Schritt wurde im 2015 mit der elektronischen Gesundheitskarte (eGK) gemacht. Die elektronische Gesundheitskarte scheint jedoch im Zeitalter des Smartphones nicht mehr zeitgemäß.
Elektronische Patientenakte
Nun haben sich laut einem Bericht des „Handelsblatt“ (14.10.2018) unter Berufung auf eine dreiseitige Absichtserklärung Krankenkassen und Ärzte bei Verhandlungen mit dem Gesundheitsministerium auf ein Grundkonzept für die elektronische Patientenakte, die allen gesetzlich Versicherten bis spätestens 2021 zur Verfügung stehen soll, geeinigt.
Die elektronische Patientenakte soll einem einheitlichen Muster folgen und einen Standardbereich für medizinische Daten (u.a. Arztbefunde), einen Kassenbereich für Quittungen oder ggf. Informationen zu Bonusprogrammen und einen Bereich enthalten, in dem der Versicherte eigene Fitnessdaten, Ernährungspläne etc. hinterlegen könnte.
Die Daten sollen zentral auf Servern in Deutschland gespeichert werden. Diese elektronische Patientenakte soll über die Gesundheitskarte (eGK) aber auch über Smartphone oder Tablet einsehbar sein.
Bei der Vivy-Gesundheits-App sowie bei der elektronischen Patientenakte soll die Datenhoheit bei den Versicherten liegen: Sie sollen entscheiden, wer auf welche Informationen zugreifen darf.
Sie haben auch den Anspruch, dass sichergestellt wird, dass die Speicherung ihrer sensiblen Gesundheitsdaten den strengen Anforderungen des Datenschutzes unterliegt.
Update 18.10.2018:
Fälschlicher Weise hatten wir von der „Technische Krankenkasse“statt der Techniker Krankenkasse geschrieben. Wir haben den Tippfehler korrigiert.
Jan Kuhlmann
30. Oktober 2018 @ 13:40
Bei Vivy wurden erhebliche Sicherheitsmängel gefunden. Siehe hier: https://www.modzero.ch/modlog/archives/2018/10/30/sicherheitsm_aumlngel_in_e-health_anwendungen/index.html
Anonymous
23. Oktober 2018 @ 1:14
Ich bitte um ein weiteres Update Ihrerseits bzw. besser, um einen neuen Bericht, denn Sie vermischen hier unglücklicherweise zwei unterschiedliche Medienstränge.
Meine Meinung:
1) TK-Safe (IBM), AOK Nordost (Cisco) und Vivy (Allianz 70%, Vivy-GmbH 30%) sind allesamt ELEKTRONISCHE GESUNDHEITSAKTEN gem. SGB5 §68. Die Daten liegen jeweils bei privatrechtlichen DRITTEN. Das SOZIALGEHEIMNIS gilt deshalb NICHT.
Durch die FREIWILLIGIKEIT der Datenspende ist der Datenschutz AUSGEHEBELT.
Risiko (Insolvenz, Übernahme, Datendiebstahl usw. bzw. Sicherheit des eigenen Smartphones usw.), Verantwortung sowie ggf. Beweispflichten sind in privatrechtlichem Vertrag/AGBs mit DRITTEM geregelt.
Gut, dass jeder Bürger ein abgeschlossenes Jurastudium vorweisen kann!
Den Krankenkassen selbst ist das Führen von ELEKTRONISCHEN GESUNDHEITSAKTEN gem. SGB5 §284 Abs. 1 VERBOTEN.
2) ELEKTRONISCHE PATIENTENAKTEN sind in SGB5 §291a geregelt.
Die Aktenführung unterliegt den Krankenkassen und deshalb auch dem SOZIALGEHEIMNIS sowie sehr strengen Kontrollmöglichkeiten durch die Datenschutzbehörden.
3) Es könnte der Beginn
des Endes des SOLIDARSYSTEMS im Gesundheitswesens
und/oder
eines medizinischen social media Dienstes sein, bei dem der Versicherte glauben soll, dass er die Kontrolle über seine Daten hat.
So wie bei Facebook!
4) Alle weiteren Begriffe bzw. Begriffskombinationen dienen NUR der Verwirrung der Leser.
Daniela Windelband
25. Oktober 2018 @ 10:10
Vielen Dank für Ihren Kommentar. Dass die elektronische Gesundheitsakte (§ 68 SGB V) sich von der elektronischen Patientenakte (§ 291a Abs. 3 SGB V) unterscheidet, ist wahrscheinlich vielen Versicherten nicht klar.
Die „unterschiedlichen Rahmenbedingungen für von der gesetzlichen Krankenversicherung finanzierte elektronische Patienten- und Gesundheitsakten“ wurden Gegenstand einer Kleinen Anfrage. Die Kleine Anfrage der Grünen v. 05.07.2018 (BT-Drs. 19/3269) sowie die Antwort der Bundesregierung v. 20.07.2018 (BT-Drs. 19/3528) sind auf der Internetseite des Bundestages als pdf-Dateien hinterlegt.
Mit freundlichen Grüßen
Ihre Blogredaktion
Anonymous
30. Oktober 2018 @ 18:54
Danke für Ihre hilfreiche und weiterführende Ergänzung!
Krankenkassen: Vivy-App gibt Daten preis
Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden. Artikel veröffentlicht am 30. Oktober 2018, 10:05 Uhr,
Hanno Böck
Siehe dazu
https://www.golem.de/news/krankenkassen-vivy-app-gibt-daten-preis-1810-137376.html
sowie
Prestigeprojekt mit Macken: Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy v. Leon Kaiser
https://netzpolitik.org/2018/prestigeprojekt-mit-macken-forscher-fanden-schwere-sicherheitsluecken-in-gesundheits-app-vivy/
Anonymous
19. Oktober 2018 @ 13:12
08.10.2018Pressemitteilung
Völlig unsichere Gesundheits-Apps?
Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) begrüßt im Rahmen der Digitalisierung ausdrücklich das zunehmende Angebot an Gesundheits-Apps für die über 80 Millionen Versicherten – warnt aber gleichzeitig vor allzu unbegründetem Vertrauen in die bisherigen Entwicklungen und die nicht überprüften Versprechungen hinsichtlich Datenschutz und IT-Sicherheit.
Allein mit der neuen gemeinsamen Gesundheits-App „Vivy“ von 13 gesetzlichen und zwei privaten Krankenversicherungen sollen ca. 13,5 Millionen Kunden zukünftig verstärkt Gesundheitsservices übers Handy abrufen können.Prof. Dr. Hartmut Pohl, Sprecher des GI-Präsidiumsarbeitskreises „Datenschutz und IT-Sicherheit“ weist auf die Risiken der neuen Apps hin: „Die angebotenen Funktionen mögen tatsächlich funktionieren. Die entscheidendere Frage bei dem Abruf von Gesundheitsdaten (elektronische Patientenakte) ist aber, wer liest Befunde, Blutwerte, Medikationspläne, Impfpässe und Röntgenaufnahmennoch mit und noch schlimmer, an wen werden Daten versandt und wer kann die Gesundheitsdaten verändern?“
Eine App steht nämlich nicht allein. Vielmehr hängt das Sicherheitsniveau von den folgenden Aspekten und Komponenten ab:
Gesundheits-Apps laufen auf Hardware wie Handys und Tablets und Betriebssystemen, die erfahrungsgemäß von Angreifern ausnutzbare Sicherheitslücken enthalten. Ein Handy kann von Angreifern auch dann erfolgreich genutzt werden, wenn der Versicherte den Ausschalter betätigt hat: Der Versicherte erkennt dabei nicht, dass sein Handy über das Mobilfunknetz wieder eingeschaltet und missbraucht wird.
Angreifer brauchen weder Nachrichtendienste noch organisierte Kriminelle zu sein – es können auch die Nachbarskinder sein, die einen Angriff im Internet ‚gefunden‘ haben und an Versicherten ausprobieren. Angriffe gibt’s übrigens fertig und entgeltfrei u.a. bei Metasploit. Man muss die Angriffe noch nicht einmal verstehen, um andere Nutzer erfolgreich zu hacken.
Alle mit der App kommunizierenden Server von Krankenhäusern, Arztpraxen, Laboren und andere zur Verwaltung der medizinischen Daten (Krankenkassen, Versicherungen) verwendete Rechner, Service Provider, Clouds stellen ein Risiko für die Vertraulichkeit und Integrität der gespeicherten und bearbeiteten Gesundheitsdaten dar. Dazu gehören neben den explizit für die Verarbeitung dieser Daten eingesetzten Server auch Zwischenknoten. Weiterhin bietet die von der App zum Schutz der Übermittlung eingesetzte TLS-Verschlüsselung keinen Schutz gegen einen Missbrauch der Daten auf den Servern, da sie nur eine Leitungsverschlüsselung unterstützt, so dass die Daten auf diesen Servern im Klartext vorliegen.
Gesundheits-Apps können durch andere Apps manipuliert werden! Und über diese Manipulationen ist auch eine Infektion anderer Apps möglich, die auf einem von Schadsoftware befallenen Endgeräte des Nutzers laufen (Viren, Würmer, Trojanische Pferde, …). Das insgesamt erreichbare Sicherheitsniveau dürfte sehr gering sein; selbst die zur Verschlüsselung eingesetzten kryptographischen Schlüssel sind dann nicht sicher!
Zusätzlich gibt es weitere Sicherheitslücken:
Einige Gesundheits-Apps verbinden sich direkt nach dem Start, vor der allerersten Benutzereingabe (Versicherten-Nr., Passwort) mit mehreren Tracking-Diensten auch außerhalb der EU, und übermitteln diverse Daten an diese Dienste, zu denen u.a. auch die IP-Adresse des Versicherten gehört. Diese Daten erlauben in der Regel eine Re-Identifikation des Gerätes, so dass sie mit anderen personenbezogenen Daten verknüpft werden können, die andere Apps auf demselben Gerät an den betreffenden Tracking-Dienst übermitteln. Welche Daten übermittelt werden, ist dabei weder ausreichend dokumentiert noch wegen der teilweise verwendeten Verschlüsselung vollständig überprüfbar.
Auch die Datenschutzerklärung hilft an dieser Stelle nicht weiter, wenn ihr erst zugestimmt werden kann, nachdem schon längst Daten übermittelt wurden (etwa zum Tracking). Davon abgesehen, wird in der Datenschutzerklärung meist auch nicht in vollem Umfang beschrieben, an wen welche Daten übermittelt werden. Es ist deshalb auch nicht ersichtlich, welche Informationen aus den übermittelten Daten und den damit bei den Tracking-Diensten aus anderer Quelle bezogenen Daten abgeleitet werden.
Damit ist es über Profilbildung in vielen Fällen möglich, das Gerät und oft auch den Nutzer, den Versicherten zu ermitteln und dessen Identität mit den übertragenen Daten dieser App und auch anderer Apps, zu verknüpfen. So lassen sich beispielsweise Rückschlüsse auf das Surf-Verhalten des Versicherten, auf Einkäufe und auch eine Vielzahl anderer Aktivitäten ziehen.
Die Übertragung dieser Daten ohne vorherige Einwilligung des Versicherten stellt einen Verstoß gegen die EU-DSGVO dar (EU-DSGVO, Art. 4 Abs. 1): Sie dürfen erst nach expliziter Freigabe durch den Nutzer übermittelt werden.
Wenn so Dritten Zugriff auf Gesundheitsdaten ermöglicht wird, liegen sogar strafbare Handlungen gemäß § 203 ff. StGB seitens der Verantwortlichen zu Lasten der Versicherten vor.
Durch die Gesundheits-Apps entstehen insgesamt für die höchst schützenswerten medizinischen Daten der Versicherten unkalkulierbare Risiken weil Handys und Tablets grundsätzlich nur ein geringes Sicherheitsniveau erlauben.
Stand der Technikzur Sicherheitsprüfung generell von Software und auch mobiler Apps ist der langjährige internationale Standard ISO/IEC 27034, der konkrete Vorschläge für die Entwicklung sichererer Software und Apps macht. Mindestens diese Norm muss zugrunde gelegt werden, und die zugehörigen Prüfberichte und Zertifikate müssen veröffentlicht werden; dazu gehört die Angabe des zertifizierten Bereichs (GUI – Bedienoberfläche oder Security etc ).
Über die Gesellschaft für Informatik e.V.
Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. Weitere Informationen finden Sie unter http://www.gi.de.
https://gi.de/meldung/voellig-unsichere-gesundheits-apps/
Anonymous
18. Oktober 2018 @ 14:35
Ich bin zwiegespalten und würde bei der technischen Umsetzung ganz, ganz genau hinsehen. Ist die Infrastruktur erstmal errichtet gibt es kein Zurück. Natürlich ist die derzeitige Arbeitsweise im digitalen Zeitalter nicht zeit- und zweckgemäß, aber Datensammlungen in diesem Ausmaß wecken naturgemäß Begehrlichkeiten. Am Anfang sind es vielleicht nur Boni für einfließende Fitnessdaten, aber wer weiß was später noch kommt. Dahinter stehen eine starke Lobby und politische Interessen, von böswilligen Dritten mal ganz abgesehen. Und bei den derzeitigen konservativen und bürgerrechtsfeindlichen politischen Strömungen mag ich nicht abschätzen, wie wir in 20 Jahren in der EU und Deutschland leben. Für totalitäre Systeme ein Traum, siehe China und Indien (wurde hier ja vor Kurzem erst thematisiert). Nach dem bEA-Debakel würde ich schon pauschal keiner Implementierung trauen die nicht unabhängig auditiert und quelloffen ist.
Manfred
18. Oktober 2018 @ 11:22
Die „Technische Krankenkasse“ ???