Patientendaten 4.000 Psychiatrie-Akten offen im Netz
In Schleswig-Holstein waren psychiatrische Befunde und Gutachten via Internet einsehbar. Warum, ist nicht klar. Doch der Fall zeigt die Risiken vernetzter Patientendaten.
© Screenshot ZEIT ONLINE
Website des gemeinnützigen Vereins Die Brücke aus Rendsburg
Wenn über die Risiken von Datenverarbeitung im Netz debattiert wird, gelten unfreiwillig veröffentlichte psychiatrische Patientenakten immer als der GAU. In Schleswig-Holstein ist dieser größte anzunehmende Unfall nun passiert. Die Lübecker Nachrichten berichteten als Erste, dass Tausende Dokumente von mehreren psychiatrischen Einrichtungen eine unbekannte Zeit lang frei über das Netz zugänglich waren.
Datenschützer bestätigten den Fall inzwischen. Ungefähr 4.000 Dokumente seien betroffen, sagte Thilo Weichert, der Landesdatenschutzbeauftragte und Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD). Die Daten seien "tagesaktuell" gewesen, die neuesten stammten vom Vortag, vom gestrigen Donnerstag. Inzwischen wurde der Server jedoch komplett abgeschaltet.
Anzeige
Medizinische Befunde, psychiatrische Gutachten, eingescannte Berichte, Briefe der Kliniken, Verhaltensstudien von Patienten – alles, was für die psychiatrische Betreuung von Patienten relevant sein könnte, lag ungeschützt auf einem Server der Rebus gGmbH, einem IT-Dienstleister, der für verschiedene Betreuungseinrichtungen arbeitet.
Betroffen waren mehrere soziale Dienste, hauptsächlich aber der Verein Die Brücke aus Rendsburg-Eckernförde. Zu diesem Verein gehören mehrere Gesellschaften für die Betreuung von Behinderten und Kranken und auch der IT-Dienstleister namens Rebus. Dieser unterhielt die betroffene Datenbank.
Ursache des Lecks unklar
Wer oder was genau das Leck verursacht hat, ist bislang nicht klar. Man ermittele das noch, sagte Weichert. Auch die Firma Rebus hat noch keine Ursache identifizieren können, ein "Konfigurationsfehler" sei ebenso möglich wie ein "Hackerangriff". Erklären könne man sich den Fall nicht und habe "stets alles getan, diese vertraulichen Daten zu sichern".
Wie und ob überhaupt die Daten ursprünglich gesichert gewesen seien, müsse noch geklärt werden, sagte Weichert und fügte hinzu: "Solche Rechner haben im Internet eigentlich überhaupt nichts zu suchen."
Bei Rebus heißt es, die Datenbank sei selbstverständlich "hoch verschlüsselt" und die Zugänge dazu gesichert. Die Datenbank mit den Patientenakten selbst sei auch gar nicht betroffen gewesen. Über das Netz zugänglich seien Dokumente gewesen, die als Anhänge mit den Krankenakten verknüpft seien, eben all die Dinge, die wie Briefe und Beurteilungen auch zu einer Patientenakte gehörten. Der Ordner mit diesen Begleitdokumenten habe sich nicht in der Datenbank selbst befunden, sondern sei an einem anderen Ort im System abgelegt gewesen.
Er sei über einen Zugang erreichbar gewesen, "den wir selbst nicht kannten", sagte eine Sprecherin von Rebus.
Übersicht zu diesem Artikel
- Seite 1 4.000 Psychiatrie-Akten offen im Netz
- Seite 2 Risiko Datenvernetzung
Anzeige
- Datum 04.11.2011 - 15:44 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 25
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Datenschutz ist eine Sache, eine sicherlich teure, manchmal sinnlos bürokratische. Denn was an einer Stelle dem User oder Kleinunternehmen tonnenschwer auferlegt, darf durch die "big Player", bzw. den Staat in großem Stil unterlaufen werden.
Die eGK ist eine andere Sache, datenschutztechnisch abgesichert bis zur vollständigen Lähmung.
Der Datenschutz ist eher der Grund, warum die eGK nicht erfolgreich sein kann, die Konzeption stammt noch aus den neunzigern und die Kosten sind horrend - ohne einen nennenswerten Gegenwert zu ermöglichen.
Die Zukunft der Datenverarbeitung von Patientendaten in einem extrem komplexen und vernetzten Gesundheitssystem wird zwangsläufig, da mag Rebus jetzt noch so unbeholfen klingen, den Portalen gehören.
Ob wir es wollen oder nicht.
Wer etwas anderes behauptet, möchte zwar das Fell gewaschen bekommen, aber dabei bitte nicht nass werden.
Aber für diesen Gedanken wäre man vor ein paar Jahren in der Szene gesteinigt worden.
Stattdessen wurde und wird fröhlich für die eGK weiter Geld verbrannt, wir hams ja...
Und was hat Ihr Beitrag mit dem Artikel zu tun?
Möchten Sie damit zum Ausdruck bringen, dass zukünftig jeder jede Patientenakte einsehen kann und das kein Problem darstellt?
Meine Daten gebe ich nicht her. Ich werde widersprechen und Ärzte werden mich brav befragen, wenn sie etwas über mich wissen wollen.
Und was hat Ihr Beitrag mit dem Artikel zu tun?
Möchten Sie damit zum Ausdruck bringen, dass zukünftig jeder jede Patientenakte einsehen kann und das kein Problem darstellt?
Meine Daten gebe ich nicht her. Ich werde widersprechen und Ärzte werden mich brav befragen, wenn sie etwas über mich wissen wollen.
Und was hat Ihr Beitrag mit dem Artikel zu tun?
Möchten Sie damit zum Ausdruck bringen, dass zukünftig jeder jede Patientenakte einsehen kann und das kein Problem darstellt?
Es steht ausser Frage, dass Patientendaten ein äussert schützenswertes Gut sind.
Technisch gesehen ist aber die eGK weder Datenschutzproblem noch Lösung irgendwelcher Kommunikationsprobleme, die es nun mal im Gesundheitswesen gibt und wahrscheinlich auch immer geben wird.
Daher werden - so läuft das auch in vielen anderen Ländern - zunehmend Patientendaten über hochgesicherte Internetportale laufen. Das ersetzt sämtliche Funktionen der eGK und kostet nur ein Bruchteil, funktioniert aber - im Gegensatz zur in der Praxis kaum handhabbaren eGK.
Insofern haben Sie teilweise recht:
Ja, diese Daten werden mehr und mehr im Web verfügbar sein. Aber nur für betroffene Ärzte mit gesonderten und hoffentlich gut gesicherten Zugriffsrechten.
In Dänemark wird das sogar so weit betrieben, dass jeder Arzt über ein Portal die Akte von jedem Patienten (theoretisch auch der Königin) sehen kann.
Ebenso transparent - und hier hätten deutsche Systeme dringenden Nachholbedarf - ist die Zugriffshistorie.
Wer da spioniert, ist ganz schnell geliefert.
Es steht ausser Frage, dass Patientendaten ein äussert schützenswertes Gut sind.
Technisch gesehen ist aber die eGK weder Datenschutzproblem noch Lösung irgendwelcher Kommunikationsprobleme, die es nun mal im Gesundheitswesen gibt und wahrscheinlich auch immer geben wird.
Daher werden - so läuft das auch in vielen anderen Ländern - zunehmend Patientendaten über hochgesicherte Internetportale laufen. Das ersetzt sämtliche Funktionen der eGK und kostet nur ein Bruchteil, funktioniert aber - im Gegensatz zur in der Praxis kaum handhabbaren eGK.
Insofern haben Sie teilweise recht:
Ja, diese Daten werden mehr und mehr im Web verfügbar sein. Aber nur für betroffene Ärzte mit gesonderten und hoffentlich gut gesicherten Zugriffsrechten.
In Dänemark wird das sogar so weit betrieben, dass jeder Arzt über ein Portal die Akte von jedem Patienten (theoretisch auch der Königin) sehen kann.
Ebenso transparent - und hier hätten deutsche Systeme dringenden Nachholbedarf - ist die Zugriffshistorie.
Wer da spioniert, ist ganz schnell geliefert.
dass ich mir vielleicht auch mal ein Röntgenbild der verstopften Penisarterie meines Nachbarn oder ein Video der Darmspiegelung einer unserer Volksvertreter im Netz anschauen kann?
Meine Daten gebe ich nicht her. Ich werde widersprechen und Ärzte werden mich brav befragen, wenn sie etwas über mich wissen wollen.
Dann sollten Sie als gesetzlich Versicherter Sorge tragen, sich niemals stationär behandeln zu lassen: Ihre Diagnosedaten werden ganz offiziell an die Kassen übermittelt. Und zwar in 99% der Fälle ohne Einsichtnahme der Patienten, die sehen bestenfalls, was im Entlassbrief steht. Da gibt es Kliniken, die schnell mal aus Kopfschmerzen eine Diagnose stricken, die mit dem Ursprung nicht mehr viel zu tun hat, aber die die Kasse aufgrund des Morbi-RSA (Morbiditäts-Risikostrukturausgleich) gerne haben möchte, da gibt es wirklich üble schwarze Schafe, eine Bekannte von mir hat mal für so einen Schuppen gearbeitet.
Noch tückischer ist es bei den privaten Kassen und Zusatzversicherungen: Eine Rechnungsprüfung zu erhaltenen Leistungen bedeutet dort, dass die Kassen meist direkt die Krankenakte erhalten - wenn man nicht sehr aufpasst.
Mit diesen Daten wird dann nämlich gerne eine Hochstufung argumentiert - die hat die fragliche Privatkasse dann nämlich offiziell und mit Billigung des Patienten erhalten:
Guten Morgen.
läuft das ganz einfach ab. Der Arzt tippt in ihrem Beisein ihre Diagnosen etc. in sein System ein, dadurch, dass sie anwesend waren, wird stillschweigend von ihrer Zustimmung ausgegangen.
So stehts im Bundesdatenschutzgesetz, z.b. wenn ein neuer Arzt alte Patienten seines Vorgängers übernimmt.
Dann sollten Sie als gesetzlich Versicherter Sorge tragen, sich niemals stationär behandeln zu lassen: Ihre Diagnosedaten werden ganz offiziell an die Kassen übermittelt. Und zwar in 99% der Fälle ohne Einsichtnahme der Patienten, die sehen bestenfalls, was im Entlassbrief steht. Da gibt es Kliniken, die schnell mal aus Kopfschmerzen eine Diagnose stricken, die mit dem Ursprung nicht mehr viel zu tun hat, aber die die Kasse aufgrund des Morbi-RSA (Morbiditäts-Risikostrukturausgleich) gerne haben möchte, da gibt es wirklich üble schwarze Schafe, eine Bekannte von mir hat mal für so einen Schuppen gearbeitet.
Noch tückischer ist es bei den privaten Kassen und Zusatzversicherungen: Eine Rechnungsprüfung zu erhaltenen Leistungen bedeutet dort, dass die Kassen meist direkt die Krankenakte erhalten - wenn man nicht sehr aufpasst.
Mit diesen Daten wird dann nämlich gerne eine Hochstufung argumentiert - die hat die fragliche Privatkasse dann nämlich offiziell und mit Billigung des Patienten erhalten:
Guten Morgen.
läuft das ganz einfach ab. Der Arzt tippt in ihrem Beisein ihre Diagnosen etc. in sein System ein, dadurch, dass sie anwesend waren, wird stillschweigend von ihrer Zustimmung ausgegangen.
So stehts im Bundesdatenschutzgesetz, z.b. wenn ein neuer Arzt alte Patienten seines Vorgängers übernimmt.
"Er sei über einen Zugang erreichbar gewesen, "den wir selbst nicht kannten", sagte eine Sprecherin von Rebus."
Das ist der GAU, ein Haus gemachter. So etwas DARF wirklich nicht passieren. Ich kann noch nachvollziehen, dass auch hochmoderne Verschlüsselungsmechanismen von gewieften Hackern geknackt werden können, wenn die eine richtige Attacke starten. Aber ein Haus bauen und dann Monate später feststellen: Ups, da ist ja eine Tür, wo kommt die denn her?!
Was mich in dem Zusammenhang auch interessieren würde: Was passiert mit den Betroffenen? Das ist, gerade bei psychiatrischen Akten, eine echte Katastrophe! Nicht nur, dass dies ein extremer Eingriff in die Persönlichkeitsrechte ist, hier ist auch Vertrauen missbraucht worden bei einer Patientengruppe, die besonders sensibel in dem Punkt ist.
Es wäre zu begrüßen, wenn hier ernsthafter Journalismus an dem Thema dran bleibt! Hier sind Menschen betroffen, die es besonders schwer haben, sich zu wehren.
Artikelzitat: Das System soll in seiner letzten Ausbaustufe Krankenakten über eine Telematik-Infrastruktur zugänglich machen, sodass Kassen, Krankenhäuser, Ärzte und Apotheken darauf zugreifen können. So sinnvoll das bei einem medizinischen Notfall sein mag, so riskant kann es auch sein.
Bei medizinischen Notfällen hilft die Karte nix. Blutanalysen müssen (mit Recht) immer vor der Gabe von Senderblut gemacht werden. Und in echten Notfällen wird es für die Patienten nicht einfach sein mit dem Arm unterm Kofpf noch die PIN einzugeben.
In Notfällen wird die Karte nicht helfen, bei der Vernetzung von Patientendaten fürchte ich wird es etliche Begehrlichkeiten geben und die Daten werden irgendwann gestohlen.
Sie zitieren:
"Das System soll in seiner letzten Ausbaustufe Krankenakten über eine Telematik-Infrastruktur zugänglich machen, sodass Kassen, Krankenhäuser, Ärzte und Apotheken darauf zugreifen können."
Wie bitte ? Apotheken ???
Apotheken gehören laut Transparency International zu den größten halbseidenen Absahnern innerhalb des Gesundheitssystems, die als Unternehmen ausschließlich ihrem Profit verpflichtet sind und ihre Verkaufs- und Empfehlungsstrategien sehr abhängig von den Boni der Pharmaindustrie machen.
Das, was ich bisher an unqualifizierter Beratung von Apotheken bekommen habe, da bin ich wirklich zutiefst erschrocken, dass meine Patientendaten mit Apotheken vernetzt werden sollen.
Wieso nicht mit dem Kiosk um die Ecke für den Kauf von Mineralwasser?
Googeln Sie mal nach den Strategien der Apotheken bei Transparency über subtilen Abrechnungsbetrug, wie Eintausch von Rezepten gegen Wellness-Produkte und Kosmetika etc.
Das Personal ist nur extrem freundlich, immer lächelnd und höflich. Das ist Kompensation und Verschleierung.
Sie zitieren:
"Das System soll in seiner letzten Ausbaustufe Krankenakten über eine Telematik-Infrastruktur zugänglich machen, sodass Kassen, Krankenhäuser, Ärzte und Apotheken darauf zugreifen können."
Wie bitte ? Apotheken ???
Apotheken gehören laut Transparency International zu den größten halbseidenen Absahnern innerhalb des Gesundheitssystems, die als Unternehmen ausschließlich ihrem Profit verpflichtet sind und ihre Verkaufs- und Empfehlungsstrategien sehr abhängig von den Boni der Pharmaindustrie machen.
Das, was ich bisher an unqualifizierter Beratung von Apotheken bekommen habe, da bin ich wirklich zutiefst erschrocken, dass meine Patientendaten mit Apotheken vernetzt werden sollen.
Wieso nicht mit dem Kiosk um die Ecke für den Kauf von Mineralwasser?
Googeln Sie mal nach den Strategien der Apotheken bei Transparency über subtilen Abrechnungsbetrug, wie Eintausch von Rezepten gegen Wellness-Produkte und Kosmetika etc.
Das Personal ist nur extrem freundlich, immer lächelnd und höflich. Das ist Kompensation und Verschleierung.
Dürfen Krankenakten überhaupt an ein IT-Unternehmen zur Verwaltung weitergegeben werden? Natürlich bereits vorausgesetzt, dass die Patienten dazu schriftlich einwilligen. Kann man die entsprechenden Rechte in dem Bereich überhaupt aufgeben? Und was ist, wenn ein potentieller Patient nicht damit einverstanden ist, dass seine Daten überhaupt elektronisch verarbeitet werden? Muss er trotzdem als Patient angenommen werden?
Und inwiefern sind jetzt oben genannte soziale Dienste und auch der IT-Dienstleister Rebus seitens der Patienten rechtlich zu belangen? Immerhin dürften sämtliche Akteninhalte ja vertraulich gewesen sein...
Dazu noch dies, vermutlich nicht ganz passend, trotzdem interessant: http://dejure.org/gesetze...
Das war schon immer mein Traum, dass Ärzte sich hinter meinem Rücken über meine Krankheiten austauschen. Ich sehe da sowieso wenig Nutzen.
Diese Psychiatrie-Geschichte ist für mich ein erstes Fanal und wundert mich gar nicht. Solche Daten dürfen gar nicht ans Internet gehängt werden und nicht verschickt.
Da muss man natürlich Widerstand leisten.
Die meisten-auch tödlichen- Arztfehler passieren aufgrund von banalsten Verwechslungen, z.B. weil Namen von Medikamenten ähnlich klingen...
Das war schon immer mein Traum, dass Ärzte sich hinter meinem Rücken über meine Krankheiten austauschen. Ich sehe da sowieso wenig Nutzen.
Diese Psychiatrie-Geschichte ist für mich ein erstes Fanal und wundert mich gar nicht. Solche Daten dürfen gar nicht ans Internet gehängt werden und nicht verschickt.
Da muss man natürlich Widerstand leisten.
Die meisten-auch tödlichen- Arztfehler passieren aufgrund von banalsten Verwechslungen, z.B. weil Namen von Medikamenten ähnlich klingen...
"In Schleswig-Holstein waren psychiatrische Befunde und Gutachten via Internet einsehbar. "
Die Reaktion gegen solche Skandale ist scheinbar gering.
Ginge es um Griechenlandhetze wäre das Interesse riesengroß.
Das allein beweist die Grundausrichtung der Republik.
Bitte melden Sie sich an, um zu kommentieren