38C3: Das Desaster um die elektronische Patientenakte (ePA) [update]
Freitag, 3.1.2025, 09:35 > daMaxWie ihr hoffentlich mitbekommen habt, gibt es für euch (sofern ihr gesetzlich versichert seit und dem nicht widersprecht) ab spätestens dem 25. Februar 2025 eine elektronische Patientenakte (ePA). Das heißt kurzgesagt, eure gesamten medizinischen Daten werden in der "Cloud" herum liegen, also auf anderer Leute Rechner. Martin Tschirsich und Bianca Kastl beschäftigen sich seit einigen Jahren mit diesem Themenkomplex und zeigen euch in diesem Vortrag, wie sie sämtliche dazugehörige Infrastruktur bereits mehrfach gehackt haben, soll heißen, sie kamen ohne größeren Aufwand an nahezu alle im System befindlichen Daten.
Aus diesem Grund habe ich der ePA widersprochen und ich würde euch dringend raten, das auch zu tun. Das geht bei eurer Krankenkasse mit ein paar wenigen Klicks, bei der TK beispielsweise gibt es ein fertiges Formular dafür.
Update 1: Na, sieh mal einer an. Der Vortrag hat so hohe Wellen geschlagen, dass die ePA jetzt erstmal doch nicht kommt. Karl Lauterbach gestern auf Twitter:
Artikel ist kritisch aber fair. Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet. [...]
Also wahrscheinlich nie
In wenigen Wochen startet die „elektronische Patientenakte (ePA) für alle“: Medizinische Befunde, Medikationslisten und weitere Gesundheitsdaten von rund 73 Millionen in Deutschland Krankenversicherten werden dann ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Akte zusammengeführt.
Bisher musste die ePA explizit beantragt werden. Ab Januar 2025 dagegen erhalten alle gesetzlich Versicherten, die nicht widersprechen, automatisch eine solche ePA.
Eine moderne Sicherheitsarchitektur ermöglicht dabei, dass die enthaltenen Gesundheitsinformationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden.
„Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt das wichtigste Anliegen“, so Gesundheitsminister Karl Lauterbach. „Ein solches System konnte bisher noch nie gehackt werden“.
Doch die Vergangenheit hat gezeigt: „Vertrauen lässt sich nicht verordnen“.
Fortsetzung von 36C3 - „Hacker hin oder her“: Die elektronische Patientenakte kommt!
Licensed to the public under http://creativecommons.org/licenses/by/4.0
Wer dies nicht übers Netz oder Smartphone erledigen will, kann auch ganz normal per Brief widersprechen, idealerweise per Einschreiben. Es kommt ein Antwortschreiben, in dem natürlich erwähnt wird, daß man jederzeit blablabla die ePA doch noch machen kann. Umgekehrt kann man aber auch jederzeit aussteigen, die ePA muß dann gelöscht werden.
Ich habe es allerdings nicht drauf ankommen lassen und schon vorletztes Jahr widersprochen.
Zusätzlich haben wir im Brief folgendes angefügt: "Ich widerspreche der datengestützten Erkennung individueller Gesundheitsrisiken in meinen bei Ihnen vorliegenden personenbezogenen Daten, wie sie in § 25b Sozialgesetzbuch, Fünftes Buch (SGB V.) vorgesehen ist."
Weil die Krankenkasse ist eine Versicherung und kein Arzt. Formulargeneratoren findet man unter https://widerspruch-epa.de
Der Satz war in meinem Text (Mustertext) nicht drin oder anders formuliert. Ich habe allerdings noch der Weitergabe an European Health Data Space EHDS widersprochen.
Im ersten Widerspruch April 2023 kam von der Krankenkasse ein Schreiben, daß noch gar nicht alles entschieden wäre, der Widerspruch aber vorgemerkt wäre. Im Dezember 2023 schickte ich dann den zweiten Widerspruch und bekam dann die ganz normale Bestätigung.
Meine Mutter widersprach im November 2024 und bekam ebenfalls ein Bestätigungsschreiben
Mehr kann man vermutlich nicht machen.
Dabei wäre das eigentlich eine gute Idee - wenn sie auch gut und datensicher umgesetzt wäre...
Bedankt für die EHDS-Anmerkung! Ups...
Zu dem "nicht vorhandenen Satz": Es gibt mehrere Widerspruchsgeneratoren.
Und zur "guten Idee": Jep, ganz genau. Wobei natürlich Daten datensicher auch auf nicht gewünschte Art weitergegeben werden können. Was nicht gewünscht ist, das ist Definitionssache und überfordert Patienten. IMHO ist das Absicht. Sinnvoll wäre: keep it super spimple. Aber dann würde es ja nur um Patienten gehen...
Dieser (mein) Vorwurf mag übertrieben sein. Wenn dem so ist, dann könnte die Politik das ja leicht entkräften. In der Realität blickt aber niemand wirklich durch... Ergo: Nein!
Bei meiner Krankenkasse kam ein Schreiben über das Einführen und die Möglichkeiten des Widerspruchs in schriftlicher Form oder auf der Webseite über einen personifizierten Code.
Da mir in dieser Geschichte nach wie vor zu viele Parteien drin hängen, bei denen sich nicht kontrollieren lässt, ob abseits der beim Kongress aufgeführten Kritik daran nicht doch an der einen oder anderen Stelle mal ein Datensatz gewollt oder ungewollt heraus flutscht, habe ich das Ding komplett abgelehnt - fertig ist die Laube!
Was nicht gespeichert wird, kann auch nicht mißbraucht werden.
Oh - aktuelles Update - uppsi...
@Siewurdengelesen: hey, das Update ist interessant, danke!