Yetkisiz APA'nın çelişkisinden sonra: Veri Koruma Federal Yetkili geri istiyor
Geçen hafta, yetkisiz bir kişinin bir yabancının hastalarının elektronik dosyası için Rapa sağlık sigortası şirketine karşı çıkmayı başardığı bilindi. Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BFDI), Louisa Specht-Remenschneider şu anda davayı inceliyor. Bu olayların bir nedeni olarak, BFDI, Federal Bilgi Teknolojisi Ofisi (BSI) ve BFDI'nin vetodan çekildiği yasadaki değişiklikten sorumludur.
BSI ve BFDI için veto yasası
“BFDI, EPA'daki veri işleme süreçlerinin incelenmesine en kısa sürede dahil edilmelidir. Yasal durumun BFDI ve BSI'nin APA'nın özel gereksinimleri hakkında bir anlaşma yapması gerektiğinde mantıklı olacaktır.” Dedi. BSI ve BFDI EPA planlarına dahil edilmiş olsa da, sadece dikkate alınmalı ve endişeler varsa artık veto olmayabilir.
Nisan ayı sonunda BFDI, otoritesinin bir onay otoritesi olmadığını ve EPA'nın operasyon sırasında incelenmesi gerektiğinin altını çizdi. Bağlamda, APA'nın güvenlik boşluklarına da atıfta bulundu. Sağlık sisteminin dijitalleşmesini hızlandırma yasası ile BFDI ve BSI veto yasasını kaybetti. Veto yasası, özellikle hastaların elektronik dosyalarının tanıtımı ve tasarımı bağlamında kaldırıldı ve eski BFDI Ulrich Keber, çözülene kadar veto yasasını birkaç kez kullandıktan sonra yeniden tekrar tekrar tekrar çıkarıldı.
Sağlık sigortası şirketleri tarafından kimlik sınavı
Gerçekte, Vergi Sağlık Sigortası Şirketi “açıklayıcı kişinin kimliğine ve yetkisine sahip olmalıdır”. BFDI, “Açıklayıcı kişinin kimliğinin korunması ve açıklayıcı kişinin yetkisinin daha sonra işlenmesi (bu örnekte: EPA) objektif ve yasal olarak ortadan kaldırılabilmesi için bir ön koşuldur.
Barmer'a göre, üçüncü tarafa karşı çıkmak yardım veya fikir birliği olmadan mümkün değildi. “Yetkisiz bir itiraz veya yetkisiz bir yok olma başvurusunun dosyalanması henüz kaydedilmemiştir” diyor. Bu nedenle Handelsblatt tarafından belirtilen dava “meşru benliğe meşru erişime erişim” dir. Buna ek olarak, 29 Nisan 2025'te Ulusal Lansmandan “iptal olurdu. […] Sigortalı daha önce kimliklerini göstermedikçe 28 günlük bir süre ile sağlanmıştır.
Sağlık sigortası şirketlerinde servis sağlayıcı olarak çalışan bir muhbir, Nisan ayının üçüncü haftasında yabancı elektronik hasta dosyasına karşı çıkmayı başarmıştı. Bu amaçla, diğer şeylerin yanı sıra, sigortalının adını lastik sigortalı sayı sayısına itirazda bulundurdu ve imzaladı. Bu arada bu değişti, şimdi sigortalı numara gerekli.
Olası bilinen zayıflıklar
Fraunhofer SIT'in güvenlik uzmanları, önceden “çelişkiye yetkisiz itirazlar” için çok sayıda saldırı taşıyıcısını zaten uyarmıştı. Eleştiri, diğer şeylerin yanı sıra, ekleme prosedürü veya çelişkilerin geri çekilmesi prosedürü için “asgari güvenlik gereksinimleri” ve “güvenlik kontrolleri” olmadığıydı. Hasta dosyasıyla bir çelişki derhal silinmesine yol açmalıdır.
Raporda, “Saldırganlar belirli hastaların dosyalarını ortadan kaldırmak için çelişkileri kötüye kullanabilir” diyor. Gematik “prosedürün spesifikin bir parçası olmadığını açıkça vurgulamaktadır.” Bu nedenle, maliyet taşıyıcısı için bir süreci “bir itiraz olarak sunulabilir. Minimum güvenlik gereksinimleri alınır ve tek tip bir süreç oluşturulur.”
APA'nın birçok eleştirisi
Elektronik hasta dosyasının her zaman veri koruma ve BT güvenliği açısından eleştirisi vardır. Son zamanlarda EPA'daki verilere erişim için genişletilmiş güvenlik önlemlerinin yeterli olmadığı açıklandı – bu da bu arada değiştiği söyleniyor. Ayrıca, diğer şeylerin yanı sıra, yetkilendirmenin yönetiminin değiştirildiği ve bireysel dosyalar için serbest bırakmaların yayınlanmasının artık mümkün olmadığı eleştirileri de vardır.
(Mack)