Wieder mal zwei Datenschutzskandale im Gesundheitswesen – aber: „Die elektronische Gesundheitskarte ist sicher!“ Hermann Gröhe, Gesundheitsminister
Am 11.02.2016 wurden zeitgleich zwei Datenschutz-Skandale in zwei vd. Krankenhäusern bekannt:
- Der Westdeutsche Rundfunk (WDR) meldet: „Das Lukaskrankenhaus in Neuss kann wegen eines Cyberangriffs derzeit nur eingeschränkt arbeiten. Unbekannte hatten das IT-System gestern mit einer Schadsoftware infiziert… Durch das Virus seien zwar alle Daten verschlüsselt und somit unbrauchbar. Da das Krankenhaus aber regelmäßige Back-ups seiner Systeme erstellt, seien alle gespeicherten Patientendaten gesichert und das Krankenhaus könne bald wieder darauf zurückgreifen… Die Angreifer könnten aber mit den Daten ohnehin nichts anfangen, das diese verschlüsselt seien…“ Die Botschaft der Meldung, insbesondere der Stellungnahme der Krankenhausleitung: Menschliches Versagen eines einzelnen Mitarbeiters, alles nicht so schlimm, wir kriegen das in den Griff…
- Der Mitteldeutsche Rundfunk (MDR) meldet: „In Dermbach im Wartburgkreis wurden während der närrischen Tage Patientenakten als Konfetti verwendet. Patientennummern und Diagnosen waren auf den Papierstreifen zu lesen…“ lt. MDR erklärte Thüringens Datenschutzbeauftragter Lutz Hasse: „Die Akten seien nicht ganz harmlos gewesen, die Menge aber überschaubar. Er gehe davon aus, dass Gedankenlosigkeit im Spiel gewesen sei, aber keine Absicht. Die Akten seien bei der Straßenreinigung sichergestellt worden und würden jetzt verbrannt.“ Der nachdenkliche Leser fragt sich: Wird der Vorfall etwa dadurch weniger problematisch, weil die Menge des Patientendaten-Konfettis gering und von der Straßenreinigung inzwischen zu Asche gemacht wurde?
In beiden bekannt gewordenen Fällen das gleiche Spiel: Verharmlosung, verschieben der Schuld auf einzelne Mitarbeiter/innen. Dass hier Organisationsverschulden vorliegt, dass hier Sicherheitsregelungen nicht vorhanden oder ihre Wirksamkeit durch die betroffenen Krankenhausleitungen nicht ausreichend sichergestellt wurde, darf bis zum Beweis des Gegenteils unterstellt werden.
Update 15.02.2016
Spiegel-Online meldet: „Ein Computervirus hat die digitale Kommunikation eines Krankenhauses in Nordrhein-Westfalen unterbrochen. Das Klinikum Arnsberg habe am Freitag auf einem Computersystem eine Schadsoftware entdeckt, sagte ein Sprecher des Klinikums am Montag… Laut weiteren Medienberichten waren zuvor auch Krankenhäuser in Mönchengladbach, Essen, Kleve und Köln von ähnlichen IT-Schädlingen betroffen.“
Auf Twitter wurde alles Notwendige dazu gesagt:
Update 16.02.2016
Los Angeles (USA): Krankenhaus-IT gehackt und gekidnappt. Lösegeldforderung: 3,6 Mio. Dollar; danach werden die Daten wieder freigegeben.
Inzwischen hat auch heise.de einen Bericht zu dieser Meldung veröffentlicht.
Heise.de meldet heute:
Das Krankenhaus ist derzeit nur eingeschränkt funktionsfähig, weil viele Systeme heruntergefahren wurden. Der Schädling verschlüsselt alle erreichbaren Daten und ist eine Ransomware wie TeslaCrypt 2.0… Noch zwei Kliniken betroffen? Auch zwei andere Krankenhäuser in Nordrhein-Westfalen sollen sich den Virus eingefangen, den Vorfall aber nicht öffentlich gemacht haben.
http://www.heise.de/newsticker/meldung/Ransomware-Virus-legt-Krankenhaus-lahm-3100418.html
Krankenhäuser & Arztpraxen haben sich in der Vergangenheit wegen ökonomischer und organisatorischer Gegebenheiten bereits mehr oder minder weitgehend „digitalisiert“. Mängel in der lokalen Datenschutzstruktur wirken sich dann entsprechend aus.
EDV-Firmen bieten als Dienstleister oft in Kooperation mit Herstellern für Software für Arztpraxen und Apotheken Programme unter Nutzung von Daten aus dem Patienteninformationssystem an. Diese Anwendungen zeigen nach den Untersuchungen des ULD SLH jedoch noch eine Vielzahl datenschutzrechtlicher Mängel http://www.datenschutzzentrum.de/artikel/43-Verordnungsmonitoring-fuer-ambulante-Arztpraxen-durch-externe-Dienstleister.html .
“ Eine Ausstellung eines Anspruchsnachweises anstelle einer eGK ist ab 1. Januar 2015 ausgeschlossen.“
Ist diese Aussage vom KBV nun tatsächlich richtig?
Was tun??
Der Gesetzgeber (Bundestag mit Zustimmung Bundesrat) hat den Anspruch auf eine Ersatzbescheinigung statt einer eGk zum 01.01.2016 deutlich erschwert. In § 15 Abs. 6 SGB V steht jetzt: „Jeder Versicherte erhält die elektronische Gesundheitskarte bei der erstmaligen Ausgabe und bei Beginn der Versicherung bei einer Krankenkasse sowie bei jeder weiteren, nicht vom Versicherten verschuldeten erneuten Ausgabe gebührenfrei… Muß die Karte auf Grund von vom Versicherten verschuldeten Gründen neu ausgestellt werden, kann eine Gebühr von 5 Euro erhoben werden; diese Gebühr ist auch von den nach § 10 Versicherten zu zahlen. Satz 3 gilt entsprechend, wenn die Karte aus vom Versicherten verschuldeten Gründen nicht ausgestellt werden kann und von der Krankenkasse eine zur Überbrückung von Übergangszeiten befristete Ersatzbescheinigung zum Nachweis der Berechtigung zur Inanspruchnahme von Leistungen ausgestellt wird. Die wiederholte Ausstellung einer Bescheinigung nach Satz 4 kommt nur in Betracht, wenn der Versicherte bei der Ausstellung der elektronischen Gesundheitskarte mitwirkt…“ (Quelle: http://dejure.org/gesetze/SGB_V/15.html).
Auf dieser Grundlage müssen Sie leider damit rechnen, dass Sie künftig größere Probleme bei der Beschaffung von Ersatzbescheinigungen bekommen können. Die Praxis der einzelnen KK bei der Auseinandersetzung mit einzelnen eGk-Ablehner/innen ist aber noch immer sehr unterschiedlich. Das können Sie erkennen, wenn Sie die Kommentare zu diesem Beitrag nachlesen: https://ddrm.de/2016/01/17/auch-2016-ohne-elektronische-gesundheitskarte-aerztliche-leistungen-in-anspruch-nehmen-geht-das-wenn-ja-wie-ein-angebot-zum-erfahrungsaustausch/