„Patientendaten ungeschützt im Netz“

Question

Hallo liebes zollsoft-Team

Ich hab diese Meldungen schon längere Zeit verfolgt üben Sicherheitslücken in Praxis-Software und bei den Konnektoren. Es wurde ja immer (zurecht) Panik gemacht, dass die Ärzte diese Dinge anschaffen müssen, über solche Sicherheitslücken nicht Bescheid wissen können, aber juristisch doch haftbar sind.

Ich hab mir immer gedacht: zollsoft wird es schon besser machen und hab mich relativ beruhigt zurück gelehnt. Ich konnte ja (außer regelmäßig die Rechnungen für unsere Monster-Firewall zu bezahlen) eh nichts dran ändern.

Jetzt erreicht mich eine Mail des Bayerischen Facharztverbandes:

https://7pm48.r.a.d.sendibm1.com/mk/mr/mKUD6F9wna5oIyguX_DTfybruU3qIDDBDFs0qwiN6BX4c3hwnakaIRntEJgIG7g36L3W_TXGzo_dp0GWqWDo2HPTL_roQUGLyFKGRlWYwu4h2v2fLnhCjp3UDY6vcMFjNJK6pQY

Und jetzt muss ich schon mal fragen: ist die Software (tomedo) bzw. die Kollektoren, die wir über zollsoft beziehen sicher?

Müssen wir aktiv etwas unternehmen?

Updates bei tomedo führen wir wöchentlich durch. 

Müssen die Kollektoren ebenfalls (aktiv) geupdated werden?

Danke für ein kurzes Update.

 

Answer 1

Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten." Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich sei seinen Angaben zufolge die Arztpraxis. Sie müsse überprüfen, dass die Software datenschutzkonform sei - und dürfe sich nicht auf Zertifikate oder Gütesiegel verlassen.

Ähnliche Statements liest man immer wieder von diversen Datenschutzbeauftragten. 

Ich finde das himmelschreiend skandalös.

Auf´s Auto übertragen hieße das: Kein Autohersteller ist verpflichtet die Fahrsicherheit zu gewährleisten. Das muß der Autofahrer  selber machen und kann auch dafür haftbar gemacht werden.

Comments

Oooh-keeee .... Was passiert denn, wenn ich das jetzt heute überprüfe und heute an zollsoft eine E-Mail schicke, dass ich der Meinung bin, dass ihre Software nicht datenschutzkonform ist? haben Sie dann die Pflicht nachzubessern? Oder muss ich den Anbieter wechseln (bei dem aber das gleiche Problem vorliegt)?

---

Aber Herr Cepin, genau so ist das auch mit dem Auto. Im ersten Schritt haften immer Sie und sind für die Fahrsicherheit verantwortlich.

Passiert etwas wird danach geschaut, ob das Auto einem Mangel hatte, was dann, wenn sich das bestätigt, zu Ansprüchen gegen den Hersteller führen könnte.

Wenn Sie aber das Auto nicht gewartet haben (Tüv, Inspektionen, usw.) dann sind Sie verantwortlich.

Lg Axel Tubbesing

tubbeTEC GmbH - Hamburg, Berlin, München

---

Also, in dem ziterten Schreiben steht doch 

... Tatsächlich hat ein Softwarehersteller (Autohersteller) keine Verpflichtung, seine Software (das Auto/die Software) in irgendeiner Art und Weise datenschutzkonform (verkehrssicher) auszugestalten...

Das kann juristisch doch nicht so stehenbleiben...

Aber wir sollten das hier nicht weiter diskutieren, hat mit Zollsoft nichts zu tun, das ist Politik.

Answer 2

Hallo,

das wurde vor kurzem hier (https://forum.tomedo.de/index.php/55188/software-hersteller-sicherheitslucke) schon mal von allen Seiten diskutiert.

Ich denke außer einer vernüftigen Firewall und keine Patientendaten über Whatsapp usw verschicken können wir nicht viel machen.

Comments

Denke ich auch. Ich kann mit meinen begrenzten EDV Wissen doch eh keinen Sicherheits Problem finden, das denn Cracks von Tomedo nicht auffällt. Soll ich dafür einen Hacker anstellen?

Man kann doch nur technisch alles dafür tun und selber natürlich auch die Grundregeln zum eigenen Verhalten beherzigen. Natürlich kann dann trotzdem was passieren, aber das muss sowieso jeden klar sein, dass ein versierter Hacker, der es sich in den Kopf gesetzt hat in genau meinen Computer herein zu kommen das auch reinkommt. Ich kann es ihm nur so schwer wie möglich machen.

Dass eine Software Hersteller das gar nicht für verantwortlich sein soll, finde ich schon merkwürdig. Vielleicht sollten wir das auch so machen: für Behandlungsfehler übernehmen wir keine Verantwortung. Soll doch der Patient selber überprüfen, ob der verschicken nicht zum Verapamil passt...

Spannend finde ich in dem Zusammenhang, dass der Hausärzteverband in einer Broschüre empfiehlt, man sollte das nicht so viel Geld ausgeben, der Windows Defender reicht, mehr braucht man nicht...,

Answer 3

Vielen Dank für den geposteten Link.

So langsam wird mir unwohl dabei. Ich bin genau wie Sie kein IT Profi.

Dadurch dass wir die TI nutzen müssen, gehen wir hohe Sicherheitsrisiken ein, die wir nur durch entsprechend kostenintensive Gegenmassnahmen minimieren können.

In einem anderen Beitrag hatte Kollege Hanich folgenden Link gepostet.

https://www.heise.de/forum/heise-online/Kommentare/Konnektortausch-Gematik-gegen-Neubewertung-Aerzte-fordern-weiterhin-Aufklaerung/Der-Irrsinn-hat-Methode/posting-41444663/show/

Wenn ich für die Sicherheit verantwortlich bin, dann muss es auch in meiner Entscheidungsgewalt liegen, ob ich die aufgezwungene TI nutze oder nicht. Ohne deren Anwendung wäre alles viel sicherer.

Ich benötige nichts davon und habe bisher auch noch keine Arbeitserleichterung davon gehabt - im Gegenteil – nebenher sind außerdem enorme Mehrkosten aufgelaufen. Diese Kosten und mein hoher Zeitaufwand für die Einführung, werden entgegen der vollmundigen Versprechungen unserer Gesundheitspolitiker nicht übernommen. Börsennotierte Unternehmen und ein Heer von IT Spezialisten verdienen sich damit eine goldene Nase auf unsere Kosten.

Auch Zollsoft hat Ressourcen verbraucht um sich TI -fit zu machen und auch das müssen wir bezahlen.

Im Nachhinein betrachtet, wäre es für mich deutlich günstiger gewesen, die TI von Beginn an zu verweigern. Solange ich zur Anwendung gezwungen werde, kann ich auch nicht für deren Sicherheit verantwortlich gemacht werden. Der Vergleich mit dem Auto ist deshalb gar nicht schlecht. Wenn es nicht sicher ist, werde ich mich da nicht rein setzen. Werde ich aber dazu gezwungen, kann ich jegliche Verantwortung ablehnen oder gehe eben zu Fuß.

Sobald die angedrohten Honorarkürzungen für den Fall der TI Verweigerung von irgendeinem Gericht gekippt werden, sehe ich keinen Sinn mehr darin, diese Technik weiter einzusetzen.

Ich bin mir sicher das dann keiner mehr freiwillig die Technik nutzt. Die einzig sinnvolle Applikation "KIM" wird weder von Krankenkassen noch vom MDK eingesetzt. Die erwarten von mir, dass ich Befunde faxe.

Die Umsetzung hat fast 20 Jahre gedauert. Das was dabei herausgekam ist in meinen Augen grottenschlecht. Niemand würde so etwas freiwillig einführen um damit zu arbeiten. Vielleicht sollten wir alle wieder zu Fuß gehen und unsere Energie auf andere für uns wichtige Dinge focussieren.

 

Comments

Sehe ich genau so. Und möchte noch auf diesen Artikel aufmerksam machen. Auch hier sehe ich es auch so wie der Verfasser (offensichtlich ein Arzt).

https://www.heise.de/meinung/Das-Papier-E-Rezept-Eine-Einschaetzung-aus-der-Arztpraxis-7218997.html

Die Idee einer Digitalisierung des/im Gesundheitswesen in D ist mit der aktuellen Umsetzung krachend gescheitert.