2003/05/07 Apothekerkammer verschickt sensible Gesundheitsdaten ungeschützt über das Internet
Elektronische Medikamentenabrechnung der Apothekerkammer benutzt Uralt-Internet-Technologie - Stand der Verschlüsselungstechnik wird ignoriert - vermutlich Verletzung der Sicherheitsbestimmungen des DSG - Vorabkontrolle der Datenschutzkommission nicht gewährleistet - Patientendaten sind nicht sicher
Elektronische Medikamentenabrechnung der Apothekerkammer
Österreichs Apotheken führen mittels einer speziellen Software die Abrechnung aller über die Sozialversicherungen finazierten Medikamente durch. Mittels dieser Software werden alle Medikamentendaten bei einem Internetserver der Apothekengehaltskasse gesammelt und anschließend dem Hauptverband zur Abrechnung übermittelt.
Die Übertragung von den Apotheken zu diesem Internet-Server (194.158.158.51, angeschlossen beim Provider APA) erfolgt mittels ftp-Protokoll, einer Technik aus der Frühzeit des Internet, die alle Daten als Klartext lesbar belassen. Die Übertragung hat die Qualität eines unverschlüsselten und unsigniert verschickten Mails.
Hans G. Zeger: 'Jeder e-commerce-Anbieter, der den Kauf von zwei Paar Socken mittels Kreditkarte über ein unverschlüsseltes Formular erlaubt, muß mit dem sofortigen Entzug seiner Kreditkartenvereinbarung rechnen. Da muß überhaupt noch nichts passiert sein. Der Vertrauensverlust, der durch eine derartig fahrlässige Übertragung gegeben ist, wird als groß genug eingeschätzt, um diesen Entzug zu rechtfertigen.'
Das Verschicken von ALLEN Medikamentendaten ALLER Österreicher in derselben Art und Weise bleibt ohne Konsequenzen.
Brisanter Datensatz
Die übermittelten Datensätze haben es in sich. Neben den Angaben zum Apotheker, enthält der Datensatz auch die Sozialversicherungsnummer des Patienten, die Pharmanummer (Medikamentennummer), die Nummer des ausstellenden Vertragsarztes, Angaben zur Gebührenbefreiung, das Rezeptabgabedatum, allenfalls Mengenangaben und Hinweise auf die Zubereitung.
Hans G. Zeger, Mitglied des Datenschutzrates: 'Bei den übertragenen Informationen handelt es sich um höchst sensible Daten. Unter anderem kann auf Grund der Medikamentennummer auch abgelesen werden, welche Personen suchtgiftrelevante Medikamente beziehen.'
Bei derartig sensiblen Datenverarbeitungen sieht das DSG 2000 nicht nur die Einhaltung der allgemeinen Datenschutzbestimmungen vor, sondern zusätzliche Kontroll- und Prüfpflichten der Datenschutzkommission.
Hans G. Zeger: 'Spätestens mit Beginn des DSG 2000, also dem 1.1.2000 hätte diese Applikation vom Netz gehen müssen bzw. hätte sie tiefgreifende Anpassungen an den Stand der Technik benötigt.'
Stand der Verschlüsselungstechnik wird ignoriert
Sichere Alternativen stehen in Form von SSL-Servern, Virtual Private Networks und lokaler Verschlüsselung leicht und kostengünstig zur Verfügung. Wer diese Alternativen ignoriert, handelt nicht nur höchst unprofessionell, sondern ist im Umgang mit Patientendaten grob fahrlässig. Er nimmt bewußt in Kauf, dass Patientendaten in falsche Hände gelangen.
Geteilte Verantwortung bei Apothekerkammer, Datenschutzkommission und Hauptverband der Sozialversicherungsträger
Die Hauptverantwortung trifft die Apothekerkammer, weil sie es verabsäumt hat, die verwendete Software dem Stand der Technik anzupassen.
In einem sehr hohen Maß sind aber auch die Datenschutzkommission und der Hauptverband für den gegenwärtigen Zustand verantwortlich.
Die Datenschutzkommission hat besonders bei sensiblen Datenverarbeitungen eine Aufsichts- und Kontrollpflicht, die sie auch wahrzunehmen hat, wenn noch kein konkreter Schaden oder Datenmißbrauch entstanden ist.
Von Seiten des Hauptverbandes muß ein gesteigertes Interesse bestehen, die Vertrauenswürdigkeit in der Verwendung von Sozialversicherungsnummer und Gesundheitsdaten möglichst hoch zu halten. Kommen diese Daten in falsche Hände, entsteht ein kaum mehr wieder gut zu machender Vertrauensverlust.
Der Hauptverband kennt sicher das bestehende System und hätte dessen Nutzung längst unterbinden sollen.
Hans G. Zeger: 'Die, objektiv gesehen, geringste Verantwortung liegt bei den einzelnen Apothekern selbst. Liest man die weitschweifigen Vereinbarungen und Dokumentationen zum Übertragungsprogramm, dann ist es vollgestopft mit technischen Details, organisatorischen Hinweisen und Appellen, die Sicherheit einzuhalten. Die entscheidenden Sicherheitsfragen und auch die Dokumentation einer DSG2000-Konformität bleiben jedoch unbeantwortet.'
Für IT-Laien, und die meisten Apotheker sind als solche zu verstehen, entsteht der Eindruck, ein sicheres System zu benutzen. Auch für die Experten der ARGE DATEN dauerte es eine geraume Zeit, um definitiv festzustellen, dass alle Gesundheitsdaten 'ungepackt und unverschlüsselt' per ftp über das Internet geschickt werden.
Bruch der MAGDA-LENA - Richtlinien
Intern haben die österreichischen Gesundheitseinrichtungen im Rahmen der sog. STRING-Kommission gemeinsame Richtlinien zur elektronischen Verwaltung von Patientendaten verabschiedet. Diese Richtlinien sollen ein Höchstmaß an Datensicherheit gewährleisten und damit das Vertrauen der Patienten an der elektronischen Gesundheitsverwaltung stärken.
Hans G. Zeger: 'Es erscheint völlig unvorstellbar, dass das Apothekensystem auch nur ansatzweise diesen Vorgaben gerecht wird. Wir sind daher auf eine Stellungnahme der STRING-Kommission äußerst gespannt.'
Patientendaten unsicher
An jedem Internetknoten, bei jedem dazwischen liegenden Provider, könnten diese Daten mit Standardwerkzeugen abgerufen und gelesen werden. Die Verknüpfung der Sozialversicherungsnummer mit den Personen wäre auf Grund der Eindeutigkeit der Nummer bei vielen Behörden und auch Unternehmen zumindest bezüglich der dort tätigen Mitarbeiter möglich.
Hans G. Zeger, Datenschutzrat: 'Dieses System sollte auf Grund der hohen Risken sofort außer Betrieb gehen. Eine Weiterführung sollte erst nach Implemenetierung von Sicherheitsmaßnahmen nach dem Stand der Technik erfolgen.'
andere --> http://www.akh-wien.ac.at/SRING/
|
