Effektiv tillgång till patientdata möjlig

Sjukförsäkring: Patientdata är uppenbarligen inte tillräckligt skyddade

2014/06/26

Patientdata från flera miljoner sjukförsäkringsfondsmedlemmar i Tyskland kan inte vara tillräckligt skyddade. I vilket fall som helst ett test av „Rheinische Post“ (RP). Han hade visat att tillgången till känsliga data är nästan utan någon speciell IT-kunskap möjlig.

Självtest om ämnet för integritet
Hur säker är min personliga information? Denna fråga kommer upp igen och igen, speciellt när en ny privatlivskandal träffar rubriken igen. För att ta reda på hur väl patientinformationen hos de försäkrade sjukförsäkringsbolagen i Tyskland är skyddad, „Rheinische Post“ (RP) gjort nu ett självförsök. Resultatet: Känsliga uppgifter om behandlingar, diagnoser och recept är uppenbarligen otillräckligt skyddade och tillgång till tredje part lättare än föreställt sig.

Inga speciella IT-färdigheter krävs
Som RP rapporterar, avslöjade testet att även Internet layers kunde få information om andra lagligt försäkrade med ett enkelt telefonsamtal och några få musklick. Allt som är nödvändigt för detta är namnet på sjukförsäkringsmedlemmen och försäkringsnumret - ingen svår uppgift, eftersom det tydligt kan läsas på framsidan av chipkortet. Om dessa uppgifter är tillgängliga skulle det vara möjligt att snabbt och enkelt få känslig information via hälsoförsäkringsfondernas online-grenar - eftersom säkerhetsåtgärderna under registreringsprocessen vanligtvis är otillräckliga med avseende på dessa serviceerbjudanden.

Namn och försäkringsnummer som är tillräckligt för registrering i onlinekontor
Enligt RP hade en tester från södra Tyskland kunnat få uppgifter om läkare och föreskrivna läkemedel som skulle behandlas via namn och försäkringsnummer för en redaktionsmedlem i tidningen - även om de två personerna inte ens kände varandra. Ett skrämmande resultat, eftersom det skulle ha varit i filen av „Oscoutade“ Redaktörsinformation om allvarlig sjukdom eller psykiskt lidande ges, dessa skulle ha varit lätt synliga för utländska testare. Inte ens kortet själv var nödvändigt för att ta emot känsliga data från Barmer, fortsatte RP. Men inte bara Barmer erbjuder sina medlemmar en onlineadministration av sina uppgifter, utan även andra försäkringsbolag som AOK, tekniker, DAK eller företags sjukförsäkringsfonder. Dessa erbjudanden hade dock inte testats.

Arbetsgivare kan enkelt fråga anställdas hälsotillstånd
För barmern är dock enligt RP ett isolerat fall där det är „att handla ett misstag av en anställd“ måste, „Som sjukförsäkringsbolaget påpekar, kommer "strikta säkerhetsbestämmelser" normalt att följas vid hanteringen av patientuppgifter genom att alltid kräva födelsedatum och bostadsort för tillträde, men data i Internetets ålder I princip är de inte längre en hemlighet utan kan också hittas på försäkringskortet eller helt enkelt hittas i nätverk eller online kataloger, och dessa uppgifter skulle ändå vara tillgängliga för arbetsgivare - vilket teoretiskt skulle göra det möjligt att fråga anställdas hälsotillstånd också.

Barmer vill träna anställda igen och kontrollera säkerhetsbestämmelserna
Som barmeren tillkännagav till RP, menade testet fortfarande „Dessutom reagerade Federal Insurance Office som tillsynsmyndighet på testresultatet enligt RP och meddelade ytterligare åtgärder: „Vi använder dina beskrivningar som ett tillfälle att utsätta den rättsliga säkerheten för kommunikation mellan försäkrade och sjukförsäkringsbolagen till en grundlig granskning.“ Vad är brådskande behov, enligt Thomas Reisener (RP), eftersom, som redaktören skriver i en kommentar till det aktuella testet, skyddar barmeren även de känsligaste medicinska detaljerna för sina medlemmar „knappt bättre än en medlemslista för tilldelningsklubb“. Antagandet skulle också vara nära att det skulle finnas sådana säkerhetsbrister med andra fonder. Detta problem bör dock inte vidarebefordras till användarna av onlinetjänsterna - i stället, enligt Reisener, skulle lagstiftare och leverantörer behöva vidta åtgärder och ge mer skydd. (Nr)