Das Netz und ich

Security

Das Krankenhaus und das Faxversand

lars

Bylars

Jan 6, 2023 , , , ,
Lesedauer 3 Minuten
0
(0)

Aufgrund dessen, dass meine Schwiegermutter relativ häufig in letzter Zeit im Krankenhaus ist und hier logischerweise Dokumente anfallen,
die von a nach b müssen, hatte meine Frau gebeten, die Unterlagen uns auf dem E-Mail-Wege zukommen zu lassen. Dies wurde aber vom Krankenhaus verneint, da das Krankenhauspersonal aus regulatorischer Sicht keine Patientenakten wir E-Mail versenden dürfen.

Ein Altes Telefax Gerät steht auf einem Holztisch. Unter diesem Papier und drum herum liegen Stifte.
MidjourneyAI

Laut eines Mitarbeiters dieses Krankenhauses dürfen solche Dokumente aus regulatorischen Gründen nur per Fax versendet werden! Als ich das gehört habe, ist mir fast die Kinnlade heruntergefallen. Wie kann man heutzutage noch auf die Idee kommen, solche sensiblen Daten per Faxversand an Dritte zu übermitteln? Hier reicht ein Tippfehler in der Telefonnummer und die Daten landen bei unbekannten Personen.

Zudem ist dieses Vorgehen laut dem Datenschutzbeauftragten des Landes Bremen gar nicht mehr zulässig. In dieser schreibt auf seiner Seite „Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.

Laut der DSGVO ist der Faxversand für Patientendaten nicht mehr erlaubt

Auch laut dem hessischen Datenschutzbeauftragten, der in unserem Falle zuständig ist, ist die Nutzung des Faxes zum Übertragen personenbezogener Daten, ein Verstoß gegen die DSGVO.

Im Art. 5 Abs. 1 lit. f DSGVO heißt es:“ Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“ Dies ist bei einem Fax schlichtweg nicht gegeben, da die Verbindung zwischen zwei Endgeräten und verschlüsselt erfolgt. So wäre ein Zugriff Dritter auf diese Verbindung auf relativ einfachen Wege möglich.

Der Artikel 32 DSGVO, konkretisiert das ganze noch einmal. „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Warum also immer noch in manch einem Krankenhaus das Fax genutzt wird, um Patientenakten von A nach B zu schicken ist mir vollkommen ein Rätsel. Dabei wäre eine verschlüsselte Übertragung so einfach, entweder per S/MIME Zertifikat, oder OpenPGP.

Verschlüsselte E-Mail nutzen um Daten sicher zu versenden

S/MIME (Secure/Multipurpose Internet Mail Extensions) wird verwendet, um E-Mails zu verschlüsseln und zu signieren. Hier ist eine allgemeine Übersicht darüber, wie das funktioniert:

  • Der Absender der E-Mail besitzt ein S/MIME-Zertifikat, das einen öffentlichen Schlüssel und einen privaten Schlüssel enthält.
  • Der Absender verwendet seinen privaten Schlüssel, um die E-Mail zu signieren und damit die Integrität der E-Mail zu gewährleisten.
  • Der Absender verwendet den öffentlichen Schlüssel des Empfängers, um die E-Mail zu verschlüsseln und somit sicherzustellen, dass nur der Empfänger die E-Mail entschlüsseln und den Inhalt lesen kann.
  • Die verschlüsselte und signierte E-Mail wird an den Empfänger gesendet.
  • Der Empfänger verwendet seinen privaten Schlüssel, um die E-Mail zu entschlüsseln und den Inhalt zu lesen. Er kann außerdem die Signatur der E-Mail überprüfen, um sicherzustellen, dass sie vom Absender stammt und nicht verändert wurde.

Habt ihr schon einmal ähnliche Erfahrungen gemacht? Hattet ihr was unternommen in diesem Fall?

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 0 / 5. Anzahl Bewertungen: 0

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

lars

By lars

Related Post

Security

Cyberattacken auf Booking.com

Dez 12, 2023 lars
Security

Sicherheitslücke im Passwort-Manager Bitwarden: Master-Schlüssel war für alle lesbar

Jun 19, 2023 lars
Security

CVE-2023-34108: Manipulation interner Dovecot-Variablen in mailcow durch speziell gestaltete Passwörter

Jun 7, 2023 lars

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

verpasst

Windows

Microsoft führt Werbung ein

Apr 25, 2024 lars
Linux

failed to get available addr cam – Linux

Apr 6, 2024 lars
Linux

Signal-Cli einrichten und auf einem Server nutzen

Apr 6, 2024 lars
Internet

Fakeshop Finder der Verbraucherzentrale – richtig nützlich

Mrz 27, 2024 lars
Cookie Consent mit Real Cookie Banner