Zum Wochenstart spieße ich mal wieder zwei Datenschutzvorfälle auf, die zeigen, wie wackelig das Thema Datenschutz ist. In der Gemeinde Kalbach in Osthessen waren durch einen IT-Fehler die Namen und Mailadressen von Bürgern auf Webseiten der Gemeindeverwaltung einsehbar. Und ein Konfigurierungsfehler in KIM sorgte dafür, dass Hunderttausende elektronische Arbeitsunfähigkeitsbescheinigungen an eine Arztpraxis statt an die AOK-Krankenkassen versandt wurden. Ergänzung: Und in der Schweiz ist nach einem Hack der Daten-GAU eingetreten", weil extrem sensitive Informationen der Polizei und des Bunds (Schweizer Behörden, Regierung etc.) abgeflossen sind. In Sachsen hat die Datenschutzbeauftragte der Staatskanzlei aus DSGVO-Gründen untersagt, weiterhin eine "Fanpage" für das Bundesland zu betreiben.
Anzeige
Wir digitalisieren ja auf "Teufel komm raus" und die Protagonisten werden nicht müde, zu betonen, dass wir mehr, schneller umfassender digitalisieren müssen. In einer Antwort auf eine solche Forderung hatte ich mal auf Twitter geschrieben "bin nicht sicher, ob die stockende Digitalisierung in der Verwaltung nicht ein Glücksfall für den Datenschutz in Deutschland ist". Die beiden Episoden, die mir die Tage untergekommen sind, ist der beste Beleg – wir können keine Digitalisierung und diese verzeiht auch keine Fehler.
Digitales Rathaus: Wenn Bürgerdaten offen liegen
Der erste Fail ist bei der Gemeindeverwaltung Kalbach im Landkreis Fulda (Ost-Hessen) im "digitalen Rathaus" passiert. Jens Lange weist in nachfolgendem Tweet auf den Sachverhalt hin. Ein klitzekleiner "Systemfehler" führte dazu, dass die Namen und E-Mail-Adressen aller Bürger und Bürgerinnen für Dritte einsehbar waren, die sich beim "digitalen Rathaus" der Gemeinde registriert hatten.
Die Fuldaer Zeitung hat den Fall in diesem Artikel aufgegriffen. In der Gemeinde können die Leute ihre Behördenangelegenheiten seit einiger Zeit online im "digitalen Rathaus" regeln. Erfordert eine Registrierung mit Hinterlegung persönlicher Daten – und jeder Fehler endet damit in einem Datenschutzvorfall.
Anzeige
Am 5. Juli 2023 musste die Gemeinde einen Datenschutzvorfall mitteilen, wie die Zeitung berichtet. Durch einen "Systemfehler" waren die Namen und die zugehörigen E-Mail-Adressen aller Menschen einsehbar, die sich für diesen Dienst registriert hatten. Behörden und Ämter können m.W. für Datenschutzvorfälle nicht mit Bußgeldern belegt werden – aber man kann sich die Sache zusätzlich noch schön reden. Die Zeitung schreibt, dass die Gemeinde betonte, dass diese sensiblen Daten nur für andere Nutzerinnen und Nutzer des Digitalen Rathauses einsehbar waren. Willkommen in Digitalien Anno 2023 in Deutschland.
Arbeitsunfähigkeitsbescheinigung eAU gehen an Praxis
Und dann wäre noch der Super-Fail im im Umfeld der Kommunikationsinfrastruktur im deutschen Medizinbereich. KIM steht ja für Kommunikation im Medizinwesen, ein auf einem sicheren E-Mail-Verfahren basierenden Dienst, der für den abgesicherten Austausch von sensiblen Informationen wie Befunden, Bescheiden, Abrechnungen oder Röntgenbildern über die Telematikinfrastruktur der gematik zwischen verschiedenen Ärzten bzw. medizinischen Einrichtungen sorgen soll. Auf der oben verlinkten Seite der Bundesärztekammer lässt sich nachlesen, was da alles an Maßnahmen verwendet wird, um die Kommunikation vertraulich und abgesichert abzuwickeln.
Die Kollegen von heise haben in diesem Artikel einen Vorfall von September 2022 aufgegriffen, bei dem mehr als 100.000 vorwiegend elektronische Arbeitsunfähigkeitsbescheinigungen (eAUs), ausgestellt von Arztpraxen für AOK-Versicherte, nicht an die AOK Niedersachsen gingen, sondern im Postfach einer Arztpraxis landeten.
Ursache war laut apotheke-adhoc.de eine fehlerhafte Implementierung in der medatixx Praxis-Software, so dass sich die AOK-Niedersachen und eine Arztpraxis die gleiche ID für die E-Mail-Kommunikation teilten. medatixx wird so zitiert, dass die Domain-IDs im zentralen Verzeichnisdienst der KIM-Adressen (LDAP-Verzeichnis) doppelt vergeben worden seien. Da in der Praxissoftware bei der Ermittlung der Empfängeradresse der erste gefundene Eintrag verwendet wird, gingen die Arbeitsunfähigkeitsbescheinigungen (eAUs) an den komplett falschen Empfänger: Bei Patienten der AOK Niedersachsen wird die eAU nicht an die KIM-E-Mail-Adresse der Kasse, sondern an die einer Arztpraxis versendet, heißt es.
Man arbeite an einer Korrektur, heißt es im Artikel von apotheke-adhoc. Arztpraxen müssen bei Verfügbarkeit das Service-Pack für x.concept einspielen lassen, damit der Fehler nicht mehr auftritt. Der "Klopper" an der Geschichte ist aber, dass der Vorgang für die gematik und medatixx (letztere waren 2021 Opfer eines Hackerangriffs, siehe Ransomware-Angriff auf Arztdienstleister medatixx) zwar peinlich ist. Aber haftbar für diesen Datenschutzvorfall sind die Ärzte, deren Praxissoftware die Daten falsch verschickt. Das war mir schon länger klar, nachdem ich als stiller Gast an einer Session einer Landesärztekammer teilnahm, in der es um Sicherheit in Arztpraxen ging. Zum Vorfall heißt es dazu vom Hersteller.
In Ihrer Rolle als Verantwortlicher für die Daten, obliegt es Ihnen zu prüfen, ob Ihnen aus diesem Vorfall zum jetzigen Zeitpunkt oder später Pflichten erwachsen (insbesondere Meldepflichten gegenüber Behörden). In jedem Fall sollten Sie Ihren Datenschutzbeauftragten über den Vorfall informieren, wenn Sie einen solchen bestellt haben. Wir bitten Sie jedoch um Verständnis dafür, dass wir Sie nicht rechtlich beraten dürfen.
Sprich: Betroffene Ärzte müssen selbst eine Meldung über den Datenschutzvorfall an die zuständigen Behörden absetzen. Die gematik hat laut heise bereits den Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, informiert. Ein unbefugter Zugriff auf die Telematikinfrastruktur sei nicht erfolgt, heißt es. Der Vorfall unterliege zudem "besonderen berufsrechtlichen und strafrechtlichen Vorgaben", zitiert heise. Wenn ich die Meldung bei heise richtig interpretiere, hat die Praxis zur Prüfung wohl nur einige eingetroffene eAUs angesehen und dann die gematik sowie die AOK Niedersachsen über das Problem informiert.
Der Fall zeigt, wie fehleranfällig das gesamte System ist, und wie bescheiden die Ärzte in diesem Spielfeld aufgestellt sind. Die sollen die Patienten behandeln, erhalten vom Gesundheitsministerium eine technische Konzeption (KIM samt Infrastruktur) aufgedrückt, müssen Software von Drittanbietern einsetzen, sind am Ende des Tages aber sogar für Fehler anderer haftbar, ohne dass sie groß eine Chance haben, diese Fehler im Vorfeld zu erkennen. Juristisch alles korrekt, aber eine bescheidene Situation.
Daten-GAU in der Schweiz
Ergänzung: In der Schweiz gab es einen Cyberangriff auf einen IT-Dienstleister (XPlain) der für "Home-Security" zuständig war. Daten der Polizei und des Zolls werden im Dark-Net weitergereicht. Ich hatte im Blog-Beitrag Sicherheitsvorfälle (13. Juni 2023) auch über diesen unschönen Sachverhalt berichtet.
Dieser Vorfall wirft aber jetzt doch einige Wellen, weil nach meinem Dafürhalten nicht nur Daten einfacher Bürger betroffen sind. Sondern es sind wohl in den abgezogenen Daten der Schweizer Bundespolizei Anfragen von Interpol sowie Sicherheitsdatensätze enthalten, bei denen es um Sicherheitsinformationen zu Staatsgästen und Regierungsmitgliedern geht.
Das Medium Blick hat das in diesem Artikel aufgegriffen – die Informationen sind in meinen Augen brisant, nicht nur wegen der erbeuteten Datensätze. Sondern mir drängt sich der Eindruck auf, dass da auch nicht wirklich verantwortlich mit den Daten umgegangen ist. Denn es scheint keine Verschlüsselung gegeben zu haben. Ob eine Zugriffskontrolle vorhanden war, ist unklar, genauso wie der Umfang der abgeflossenen Daten öffentlich nicht wirklich bekannt ist. Zudem wird über eine erbeutete Login-Datei berichtet, so dass zahlreiche Zugänge für Behörden gesperrt und die Login-Daten geändert werden mussten. Der Begriff Daten-GAU scheint mir hier schon berechtigt.
Sachsen muss seine Facebook-Seite abschalten
Abschließend noch eine weitere kurze Information, die zeigt, dass die Datenschutzbehörden doch langsam in Sachen DSGVO vorgehen. Der Freistaat Sachsen bzw. dessen Staatskanzlei muss seine Facebook-Seite abschalten, wie heise in diesem Artikel berichtet. Juliane Hundert, die Landesdatenschutzbeauftragte von Sachsen, hat dies in einem am letzten Freitag (7.7.2023) bekanntgemachten Bescheid angeordnet. Begründet wird dies damit, dass die Staatskanzlei seit 2018 mit der Seite gegen die DSGVO verstoße.
Die Staatskanzlei habe die ordnungsgemäße Verarbeitung personenbezogener Daten nach der DSGVO nicht nachweisen können. Seit Jahren seinen über die "Fanpage Sachsens" Daten an die Meta-Tochter in die USA übermittelt worden, "obwohl hierfür keine wirksame Rechtsgrundlage gegeben ist". Die Datenschutzbeauftragte beruft sich auf das EuGH-Urteil (u.a. Schrems II) und führt aus, dass die Richter beim "Einsatz einer Facebook-Seite eine gemeinsame Verantwortlichkeit mit dem Meta-Konzern als bestehend" sehen. Der Betreiber einer solchen Facebook-Seite muss daher die Einhaltung der Grundsätze des Datenschutzrechts nachweisen.
Die ausführliche Begründung lässt sich im Bescheid nachlesen. Dieses Thema ist natürlich noch aus einem anderen Blickwinkel sehr interessant. Die Datenschützer in Form der Deutschen Datenschutzkommission haben 2022 ja den Einsatz von Microsoft Office 365 als nicht datenschutzkonform angesehen (siehe auch meinen Blog-Beitrag Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"). Dort findet sich ebenfalls die Aussage, dass der Nachweis des DSGVO-konformen Einsatzes durch Datenschutzverantwortliche nicht möglich sei.
Spätestens, wenn ein Datenschutzbeauftragter eines Bundeslandes das aufgreift und einen Bescheid mit Untersagung gegen eine Behörde oder Firma erlässt, wird dieses Problem ja virulent. Aktuell läuft es auf dieser Ebene auf zwei Sachen hinaus: Die Betroffenen klagen gegen den Untersagungsbescheid. Und die Branche hofft, dass es bald einen EU-Angemessenheitsbeschluss für das EU-US-Datentransferabkommen "Data Transfer Framework" (DTF) der EU-Kommission gibt, die einen Datentransfer in die USA legitimiert. Im Artikel USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework hatte ich vor kurzem den Stand umrissen und auch eine Einschätzung gegeben, ob das Abkommen vor dem EuGH Bestand haben kann.
Anzeige
"Ursache war laut apotheke-adhoc.de eine fehlerhafte Implementierung in der medatixx Praxis-Software, so dass sich die AOK-Niedersachen und eine Arztpraxis die gleiche ID für die E-Mail-Kommunikation teilten."
Eigentlich unmöglich, sofern man sich an vernünftige (und alles andere als neue) Programmpraxis hält. Eine automatische Vergabe eindeutiger IDs (unique_id) ist in jeder SQL-DB implementiert, man muss diese nur nutzen.
Eine vernünftige Plausibilitäts- und Fehlerüberprüfung hätte auch nicht geschadet.
Schöne Arbeitswoche
Wau,
das muss man erst mal hin bekommen.
Das fällt doch jedem Schülerpraktikanten nach 2 Wochen Training auf.
Gruß
Digitalisierung ist nicht per se schlecht, sie muss halt nur gut gemacht werden, und das nicht nur auf der Sicherheitsshine. Ein "digitales Rathaus" ist doch letztlich nichts anderes als eine Art Onlineshop für Dienstleistungen des Rathauses, und die meisten anderen Onlinshops, ob das jetzt der Fahrradhändler ist oder ein Riese wie Amazon sind ja auch nicht löchrig wie ein Sieb.
Guten Morgen, lieber Günter.
Abermals danke ich Ihnen für diesen wunderbaren Blog. Hier konnte und kann ich Artikel lesen, von dessen Inhalten ich teilweise keine Ahnung hatte. So auch dieser, abermalige Vorfall des Versagens der Zwangsdigitalisierung.
Zitat:
In der Gemeinde Kalbach in Osthessen waren durch einen IT-Fehler die Namen und Mailadressen von Bürgern auf Webseiten der Gemeindeverwaltung einsehbar.
Zitat Ende
Alleine dieser Umstand ist absolut unerträglich. Verantwortliche der Digitalisierung vergessen wohl immer wieder, daß wir uns im Intenet befinden und da haben Klarnamen und Emailadressen von Bügern nichts zu suchen, wenn es nicht selber von den betroffenen Personen so getätigt wird.
Zitat:
Wir digitalisieren ja auf "Teufel komm raus" und die Protagonisten werden nicht müde, zu betonen, dass wir mehr, schneller umfassender digitalisieren müssen.
Zitat Ende
Tja, der sogenannte "Doppelwums" vom Nuschelolaf. Willkommen in Deutschland 2023. Nichts dazugelernt, aus all den digitalen Vorfällen der letzten 10 jahre.
Mir graut es absolut davor, wenn sogenannte Bürgerdienste an den Start gehen.
Zitat:
….ob die stockende Digitalisierung in der Verwaltung nicht ein Glücksfall für den Datenschutz in Deutschland ist
Zitat Ende
Danke, Danke, Danke! Genau -so- sehe ich das auch. Diese inkompetente "Trial'nError" Methode ist katastrophal.
Zitat:
….wir können keine Digitalisierung und diese verzeiht auch keine Fehler.
Zitat Ende
Und wieder Danke! Das ist es. Deutschland kann so vieles nicht ( wie übrigens andere Länder auch) und dennoch wird einfach drauflosdigitalisert. Klingt ja auch so chic, so modern, so doppelwumsig und haste nich gesehen….und weil ja ein, zwei andere Länder in Europa das ja auch machen – müssen wir natürlich unbedingt schnell mitmachen. Egal was es an Datenschutz und Schutz für die Bürger kostet. Geht es schief, dann kommen halt wieder nette Sprüche, Entschuldigungen, Schuldzuweisungen an andere usw…. Der Bürger wirds schon schlucken.
Zitat:
Digitales Rathaus: Wenn Bürgerdaten offen liegen
Zitat Ende
O M G ! Davor graut es mir. Ehrlich, das regt mich unheimlich auf. Aber so richtig wütend werde ich, wenn das dann alles unter falscher Flagge begründet wird. Wir kennen ja die Argumentationskette:
"..Für den Bürger, Bürgernah, der Bürger muß dann nicht so oft wohingehen, Geschwindigkeit usw…"
Die einzige Wahrheit ist: Geldeinsparungen und Imagepflege und Personalabbau und…… weil es eben so "zeitgemäß chic" ist.
Furchtbar.
Zitat:
Jens Lange weist in nachfolgendem Tweet auf den Sachverhalt hin. Ein klitzekleiner "Systemfehler" führte dazu……
Zitat Ende
Ja, ja, ein "klitzekleiner Systemfehler"…. da frage ich mich, wer denn noch so alles so einen Fehler hat, ausser den Rechensystemen und die Software?
Und so eine Aussage von einem "ISB" (Informationssicherheitsbeauftragter) Mein liebe Schwan!
Zitat:
Behörden und Ämter können m.W. für Datenschutzvorfälle nicht mit Bußgeldern belegt werden…
Zitat Ende
Tja, das ist ein großer Fehler aber ist wohl so gewollt. Somit kann man ja machen was man will.
Aber wehe, man parkt einmal falsch….
Zitat:
…mehr als 100.000 vorwiegend elektronische Arbeitsunfähigkeitsbescheinigungen (eAUs), ausgestellt von Arztpraxen für AOK-Versicherte, nicht an die AOK Niedersachsen gingen, sondern im Postfach……
Zitat Ende
…kannste dir nicht ausdenken… weisste bescheid!
Alles nur noch schrecklich! Schrecklich, schrecklich, schrecklich!
"Ja, ja, ein "klitzekleiner Systemfehler"…. da frage ich mich, wer denn noch so alles so einen Fehler hat, ausser den Rechensystemen und die Software?
Und so eine Aussage von einem "ISB" (Informationssicherheitsbeauftragter) Mein liebe Schwan!"
Liebe Manuela Berger, der Begriff "Systemfehler" und die damit zusammenhängende Aussage stammt aus der verlinkten Berichterstattung der Fuldaer Zeitung, die ich inhaltlich wiedergegeben habe. Ich habe den Begriff "Systemfehler" bewusst als Zitat in Anführungszeichen gesetzt, da er m. E. sehr schwammig eine Ursache beschreibt. Ich habe aber keine weiteren Informationen zu dem Vorfall, daher bin ich vorsichtig mit einer Bewertung. Wohl wissend, dass IT-Systeme und Software tatsächlich Fehler enthalten können, aber auch menschliches Versagen eine mögliche Ursache sein könnte. Letztlich kann auch die Berichterstattung der Zeitung Fehler enthalten, weil z. B. Angaben der Gemeinde Kalbach missverstanden wurden.
Lieber Jens Lange, da haben Sie sich aber unglücklich ausgedrückt.
Eine Wortwahl wie "klitzekleiner Systemfehler" klingt wahrlich nach Verharmlosung.
Solche Vorfälle sind jedoch keine Kleinigkeiten, egal wer oder was der / die Schuld trägt.
Liebe Manuela Berger, vielleicht lesen Sie zuerst, was ich wirklich geschrieben habe. Entweder oben im Screenshot, den Günther gemacht hat oder hier im Original: https://twitter.com/ein_ISB/status/1677636377440137216
Das Adjektiv "klitzeklein(er)" stammt von Günther und ist zudem nach meiner Auffassung etwas sarkastisch oder zumindest ironisch, im Sinne von "kleine Fehler können eine große Wirkung haben", gemeint. Schade, wenn Empörung vor Sachlichkeit geht.
"Günter" und nicht "Günther", sorry Günter. ;-)
Lieber Jens Lange
Na, da ist mir wegen Empörung ein Fehler unterlaufen. Sowas aber auch.
Das ist natürlich viel fataler, als der Datengau der geschehen ist. Hmm.. ;-)
Was ich so mitbekommen habe, ist die ID, um die es geht per Spezifikation nicht für sich eindeutig, sondern nur in Kombination mit einem Typ-Feld.
D.h. ein Verzeichniseintrag vom Typ Arzt, kann die selbe ID haben wie ein Eintrag vom Typ Krankenkasse.
Diesen Umstand hat medatixx nicht berücksichtigt, und einfach den erstbesten Verzeichniseintrag mit der ID genommen.
Vielleicht wäre es schlauer gewesen einfach UUIDs zu verwenden. Dann gäbs keine Duplikate.
Ich bin bei dir – in die Interna kann ich nicht wirklich eintauchen. Das Problem, welches ich sehe und warum ich den Fall aufgreife, ist das Thema ePA mit Opt-out, sowie der Aspekt, dass der Arzt/Therapeut am Ende des Tages haftet, obwohl er kaum etwas zum Schlamassel beiträgt.
Aktuell zeigen ja solche Fälle, wie die "Digitalisierung im Medizinwesen" gerade an die Wand gefahren wird. Es sind keine klaren Verantwortlichkeiten (gematik, Anbieter) definiert, das Gesundheitswesen erscheint mir für Firmen als Selbstbedienungsladen mit Lizenz zum Geld-drucken (hab da noch einen Artikel in Planung, wo auch DIGA-Apps vorkommen), ohne dass eine wirkliche Haftung bei den Anbietern erfolgt. Der Arzt darf im Zweifelsfall zahlen und haften und wird mit Strafabzügen vom Honorar gegängelt, wenn er die KIM-Infrastruktur nicht einführt.
Am Ende des Tages bekommen die gesetzlich Krankenversicherten die Kosten für dieses vermurkste Konstrukt aufgebrummt und erhalten on-top noch die Gewissheit, dass ihre Daten früher oder später in unbefugte dritte Hände gelangen. Hört sich an dieser Stelle marktschreierisch an, aber wartet ab, das wird passieren.
Zum Thema Sicherheitsimplikationen ePA durch die ausgetauschten Dokumente hatte ich ja schon was geschriebem (siehe auch meine Bemerkung hier, wo ich meine Eindrücke als Gast bei einer Sitzung einer Kassenärztlichen Vereinigung kurz reflektiert habe) – läuft für die Öffentlichkeit unter der Decke – der gemeine Versicherte "glaubt noch an den Segen, dass die ePA und diese Daten ihm im Falle eines Notfalls hülfe".
Zitat:
Am Ende des Tages bekommen die gesetzlich Krankenversicherten die Kosten für dieses vermurkste Konstrukt aufgebrummt und erhalten on-top noch die Gewissheit, dass ihre Daten früher oder später in unbefugte dritte Hände gelangen. Hört sich an dieser Stelle marktschreierisch an, aber wartet ab, das wird passieren.
Zitat Ende
Ja, leider, ich befürchte Sie haben recht…
Es wird eben wie immer laufen… wie sooft…
Die Politiker wären doch genauso für die ePA, wenn es auch für Privatversicherte gelten würde. ;)
Ja, diese geplante opt-out-Regelung sehe ich aus sehr kritisch.
Kann mir schwer vorstellen, dass das DSGVO-konform umsetzbar ist.
Leider herrscht rund um die Telematik bei ein paar großen Unternehmen Goldgräberstimmung und die Gematik macht brav alles mit.
Bestes Beispiel ist der sinnlose Konnektor-Tausch, den der CCC ja bereits hinreichend dokumentiert hat. Wobei man auch sagen muss, dass es die Konnektoren gar nicht braucht. Viel Voodoo um nichts. In Zukunft werden die Konnektoren durch reine Softwarelösungen ersetzt werden.
Unabhängig von politischen Entscheidungen, interessieren mich aber auch immer die technischen Hintergründe. Meine technische Anmerkung ist nicht als Relativierung von politischen Fehlentscheidungen zu verstehen.
Günter Born schrieb: "Aktuell läuft es auf dieser Ebene auf zwei Sachen hinaus: […]"
Hallo Günter,
leider hast Du (zumind. meiner Auffassung nach) nur einen Aspekt der Ebene "beleuchtet" – insofern, was wäre denn der zweite Aspekt?
Btw.:
Datenschutz wird einfach von der Politik (unter tätiger Ratgebung sog. "Experten") leider nach wie vor falsch konstruiert in Gesetze gefasst – die Systematik muß/darf nicht "Erstmal ist alles erlaubt und dann soll der Bürger/Nutzer via Opt-Out widersprechen!" sein, sondern genau anders herum würde ein Schuh draus.
Sache 1: Klage
Sache 2: Hoffen auf Angemessenheitsbechluss
"wir können keine Digitalisierung"
Ach, wat nen Quatsch. Hier gibt es dieselben Probleme wie, tatsächlich, überall. Wenn man das kleine Kuckloch mal woanders hin ausrichtet, überall dasselbe.
Aber sei's drum. Staatliche Organisationen haben ja noch mehr zu wuppen. Ausschreibung, Spezifikation, Konzept, Leistungs-/ Anforderungskataloge usw. muss man können.
Und dafür sollte man das, was und wohin man da ausschreibt auch verstehen.
Das schreibt man ja in den Kapitalismus da draußen, als Wettbewerb um den günstigsten Preis raus und sollte dann auch erwarten, dass man, maximal, das Spezifizierte bekommt. In der Regel weniger (Software reift während der Nutzung) und das Wenige als Beta-Version. Der dauerhafte Service-Vertrag ist das, womit Geld verdient wird.
Datenpanne letztens beim Hausarzt (oder Schlamperei): Er druckt mir einen aktuellen Medikationsplan aus, den ich mir aber erst zuhause ansehe.
Es stehen auch Medikamente drauf, die ich mal vor Monaten nehmen musste, jetzt jedoch nicht mehr. Andere, die ich seit einigen Jahren und aktuell noch nehme, fehlen. Darauf beim nächsten Besuch angesprochen: Die Fehlenden hält er nicht für notwendig, diese zu notieren. Genau diese enthalten aber einen Inhaltsstoff, der auch beim neu verordneten Medikament enthalten ist und nun die Maximaldosis übersteigt.
Auch früher genommene Medikamente haben teilweise monatelange Nachwirkungen, die bei Einnahme anderer Tabletten noch relevant sein können. Gibt es keine Einnahmebeginn und -ende-Datenfelder oder kennt er die nicht? Hat er mir nicht beantwortet.
Etwas besser sollte er sich schon auskennen mit seiner IT. Ansonsten hat er bald einen Patienten weniger.
>> Etwas besser sollte er sich schon auskennen mit seiner IT. Ansonsten hat er bald einen Patienten weniger.
Hier muss ich eine Lanze für den Arzt oder die Ärztin brechen: ich persönlich will nicht, dass die Ärzte, zu denen ich gehe, besser IT als Medizin können (nebenbei bemerkt, kommen als anderer "Arbeitszeitfraß" noch weitere bürokratische Forderungen aus anderen Ecken wie vorgeschriebene Meldungen an Ämter etc. dazu).
Eines der großen Probleme der Praxisverwaltungssysteme (PVS), mit denen ich bisher Kontakt hatte (es wurde hier auch schon öfter angesprochen), sind elementare Plausibilitätschecks bei Punkten wie dem von Ihnen genannten: sinnvollerweise sollte in Ihrem Fall das PVS (das i.d.R. Zugriff auf eine Medikamentendatenbank hat) bei Eingabe der Medikamente den Check durchführen und dann z.B. ein Fensterchen mit dem Inhalt "Wollen Sie wirklich mit den Medikamenten abc und xyz die doppelte Dosis des Wirkstoffs Wasauchimmerin verschreiben?" öffnen und damit den Arzt bei der Entscheidung unterstützen (oder sogar vor einer Fehlentscheidung bewahren).
Weiteres Beispiel, mit dem ich Kontakt hatte: Termine von U-Untersuchungen von Kindern bei Kinderärzten konnten bei einem Terminverwaltungssystem (über Schnittstellen auch mit dem PVS verbunden) mehrfach vergeben werden, obwohl pro Kind und Untersuchungstyp (i.d.R ab U3 aufwärts, also U3, U4 etc.) nur eine einzige Untersuchung stattfindet – ein einfacher Plausicheck, ob bereits eine erfolgreiche U-Untersuchung (also nicht eine abgesagte und neu terminierte) stattgefunden hat, würde das verhindern und den Ärzten und MFAs damit Arbeitszeit (Absage, Diskussion mit den Patienteneltern etc.) ersparen, die sinnvoller mit medizinischer Behandlung genutzt werden könnte. NB: das genannte Beispiel kam mir nur bei einem System unter – bei anderen Systemen kann die Thematik durchaus intelligent gelöst sein.
Ungeachtet dessen vermute ich stark, dass die Thematik sinnvoller, die Ärzte (wie in "die zahlenden Kunden") unterstützender Plausi-Checks o.Ä. von den Herstellern stiefmütterlich behandelt wird und die Umsetzung der Anforderungen für Zertifizierungen (durch KBV, gematik etc.) Priorität hat.
Und das, obwohl der Sinn von Software ja eigentlich darin bestehen sollte, dem (zahlenden) Nutzer im günstigen Fall Arbeit abzunehmen statt ihm neue aufzuhalsen.
Lieber Jens Lange
Da ist mir aber ein Zitierfehler unterlaufen.
Das ist natürlich viel schlimmer als der Datengau , gell?
Freue mich für Sie, scheint irgendwie so weiterzugehen…
Wünsche Ihnen noch ein schönes ISB Dasein.
Hm.. ;-)
„Betroffene Ärzte müssen selbst eine Meldung über den Datenschutzvorfall an die zuständigen Behörden absetzen. „
Genau das, werden kleine Arztpraxen nicht machen. Denn entweder wissen Sie es nicht oder haben Angst vor Konsequenzen. Die richtigen Datenschutzprobleme werden aber zukünftig genau hier auftreten. In der Presse liest man immer nur die Fehler der großen Cloud- und Software Hersteller. Ich sehe Tag täglich kaum oder nur rudimentär abgesicherte Kundendatenbanken, welche auf Clients von Ärzten und Therapeuten liegen und keinen juckt es.
Ein sehr ausführlicher Artikel. Wieder was zum 4. Dimension manipulieren wollen… damit man nicht zuviel Zeit beim lesen verliert.