Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz

Anfrage an: AOK Rheinland/Hamburg

Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz

Anfrage eingeschlafen

Warte auf Antwort
  • Datum
    1. Dezember 2022
  • Frist
    3. Januar 2023
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie m…
An AOK Rheinland/Hamburg Details
Von
<< Anfragesteller:in >>
Betreff
Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
1. Dezember 2022 02:19
An
AOK Rheinland/Hamburg
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
Mit freundlichen Grüßen << Anfragesteller:in >>
AOK Rheinland/Hamburg
Guten Tag, vielen Dank für Ihre E-Mail, die wir schnellstmöglich bearbeiten werden. Bei Fragen zu Ihrem Anliegen…
Von
AOK Rheinland/Hamburg
Betreff
AW: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
1. Dezember 2022 02:20
Status
Warte auf Antwort
Guten Tag, vielen Dank für Ihre E-Mail, die wir schnellstmöglich bearbeiten werden. Bei Fragen zu Ihrem Anliegen antworten Sie einfach direkt auf diese Nachricht oder nennen Sie uns die Identifikationsnummer 7451780 Freundliche Grüße
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze N…
An Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Details
Von
<< Anfragesteller:in >>
Betreff
Vermittlung bei Anfrage „Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz“ [#264476]
Datum
3. Dezember 2022 13:57
An
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze Nordrhein-Westfalen (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/264476/ Ich bin der Meinung, dass die Informationen auch in Ihrer Aufsichtsbehörde vorrätig sein müssten, wenn es sie denn geben sollte. Zudem bin ich der Meinung, die Informationen sind nach IFG-Wortlaut ohnehin "unverzüglich" herauszugeben (s. zudem Fristen aus Art. 33-34 DSGVO-EU). Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anhänge: << Adresse entfernt >> 264476.pdf Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Der Eingang Ihrer E-Mail vom 03.12.2022 wird hiermit bestätigt. Wir werden wegen Ihrer Anfrage unaufgefordert auf…
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
AW: Vermittlung bei Anfrage „Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz“ [#264476]
Datum
5. Dezember 2022 09:54
Status
Warte auf Antwort

Empfangsbestätigung

Diese Nachricht scheint eine Empfangsbestätigung zu sein. Wenn dies zutrifft, müssen Sie nichts weiter machen. Die Behörde muss in der Regel innerhalb eines Monats antworten.

Der Eingang Ihrer E-Mail vom 03.12.2022 wird hiermit bestätigt. Wir werden wegen Ihrer Anfrage unaufgefordert auf Sie zukommen. Rein vorsorglich weisen wir darauf hin, dass wir aufgrund der hohen Zahl an Eingaben und Beratungsersuchen diese leider nicht so schnell werden beantworten können, wie wir es uns selbst gerne wünschen. Wir bitten Sie schon jetzt um Ihr Verständnis. Vielen Dank! Diese Mail ist lediglich eine Eingangsbestätigung und noch keine Antwort auf Ihre Anfrage oder Beschwerde. Um unsere Pflichten aus Art. 13 und 14 Datenschutz-Grundverordnung zu erfüllen, weisen wir Sie auf Folgendes hin: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter https://www.ldi.nrw.de/metanavi_Datenschutzerklaerung/Infopflicht-LDI.pdf. << Adresse entfernt >>- Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestr. 2-4, 40213 Düsseldorf Tel.: 0211-38424-0 Fax: 0211-38424-999 E-Mail: <<E-Mail-Adresse>> Internet: www.ldi.nrw.de   Allgemeine E-Mailadresse: <<E-Mail-Adresse>>          Öffentlicher Schlüssel für allgemeine E-Mailadresse: www.ldi.nrw.de/metanavi_Kontakt/key_ldi.asc << Adresse entfernt >>--<< Adresse entfernt >>-Ursprüngliche Nachricht-<< Adresse entfernt >>--<< Adresse entfernt >> Von: << Antragsteller:in >> Gesendet: Samstag, 3. Dezember 2022 13:58 An: ZF LDI Poststelle (LDI) <<Name und E-Mail-Adresse>> Betreff: Vermittlung bei Anfrage „Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz“ [#264476] Sehr geehrte Damen und Herren, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze Nordrhein-Westfalen (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/264476/ Ich bin der Meinung, dass die Informationen auch in Ihrer Aufsichtsbehörde vorrätig sein müssten, wenn es sie denn geben sollte. Zudem bin ich der Meinung, die Informationen sind nach IFG-Wortlaut ohnehin "unverzüglich" herauszugeben (s. zudem Fristen aus Art. 33-34 DSGVO-EU). Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
209.2.3.3-8521/22 Zugang zu einem Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Kr…
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
209.2.3.3-8521/22 Zugang zu einem Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Krankenversicherungskarten AOK Rheinland/Hamburg
Datum
6. Dezember 2022 14:35
Status
Warte auf Antwort

Empfangsbestätigung

Diese Nachricht scheint eine Empfangsbestätigung zu sein. Wenn dies zutrifft, müssen Sie nichts weiter machen. Die Behörde muss in der Regel innerhalb eines Monats antworten.

209.2.3.3-8521/22 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) Ihr Antrag vom 01.12.2022 an die AOK Rheinland/Hamburg auf Zugang zu einem Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Krankenversicherungskarten dieser Krankenkasse Ihre E-Mail vom 03.12.2022 Sehr << Antragsteller:in >> vielen Dank für Ihre E-Mail vom 03.12.2022, in der Sie sich gemäß § 13 Abs. 2 IFG NRW an die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) wenden. Sie bitten um Vermittlung, da Sie die Auffassung vertreten, dass die von Ihnen beantragten Informationen "unverzüglich" herauszugeben sind. Hierzu teile ich Ihnen mit, dass die Information gemäß § 5 Abs. 2 Satz 1 IFG NRW zwar unverzüglich, spätestens jedoch innerhalb eines Monats nach Antragstellung, zugänglich gemacht werden soll. Da im vorliegenden Fall die Monatsfrist noch nicht verstrichen ist, bitte ich Sie diese auch zunächst abzuwarten, zumal eine Eingangsbestätigung von der AOK Rheinland/Hamburg eingegangen ist (dortige Identifikationsnummer 7451780). Sollten Sie nach Ablauf der Monatsfrist keine Antwort erhalten haben, können Sie sich unter Angabe des o.a. Aktenzeichens an mich wenden. Ich werde dann prüfen, ob ich den Vorgang gegenüber der öffentlichen Stelle aufgreifen kann. Einen IFG-Antrag an die LDI NRW bitte ich mit einer neuen Anfrage zu stellen, da diese Anfrage an die AOK Rheinland/Hamburg adressiert ist. Wenn Sie jedoch persönlich betroffen sind (Ihr Hinweis Art. 33-34 DSGVO-EU), bitte ich Sie sich direkt an den/die Datenschutzbeauftragten: https://www.aok.de/pk/rechtliches/kontakt-datenschutzbeauftragter/ zu wenden, denn es handelt sich dann nicht um einen Antrag nach dem IFG NRW. Mit freundlichen Grüßen
<< Anfragesteller:in >>
AW: 209.2.3.3-8521/22 Zugang zu einem Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mi…
An Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Details
Von
<< Anfragesteller:in >>
Betreff
AW: 209.2.3.3-8521/22 Zugang zu einem Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Krankenversicherungskarten AOK Rheinland/Hamburg [#264476]
Datum
6. Dezember 2022 20:52
An
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, danke für Ihre schnelle Rückmeldung. Sie schlagen vor, ich solle getrennt schreiben << Adresse entfernt >> dann würden Sie ein weiteres Aktenzeichen vergeben und später in Arbeitsstatistiken und Budgetverhandlungen mit dem Geldgeber im Landtag strukturell besser da stehen, wobei die Information (falls vorhanden) sowohl Ihrer Behörde wie AOK Rheinland/Hamburg vorliegen dürfte/müsste. Unabhängig davon ist hier bekannt geworden, dass die AOK Rheinland/Hamburg << Adresse entfernt >> im Wissen Ihrer Behörde << Adresse entfernt >> Informationsfreiheitsansprüche von einigen Betroffenen länger hinauszögert, auch Meldungen nach Art. 33-34 DSGVO-EU etc.. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
AOK Rheinland/Hamburg
Guten Tag << Antragsteller:in >> << Antragsteller:in >>, gerne beantworten wir Ihre Anfra…
Von
AOK Rheinland/Hamburg
Betreff
Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 10:06
Status
Warte auf Antwort
Guten Tag << Antragsteller:in >> << Antragsteller:in >>, gerne beantworten wir Ihre Anfrage an die AOK Rheinland/Hamburg. Sie bitten nach dem IFG NRW um einen Überblick über Dokumente zur Datenschutzfolgeabschätzung (DSFA) im Zusammenhang mit der Ausgabe der elektronischen Gesundheitskarte (eGK) nach § 291(ff) Sozialgesetzbuch (SGB) Fünftes Buch (V) Gesetzliche Krankenversicherung. Spezifikation und Produktsteckbriefe: Anforderung und Inhalte der eGK Die Anforderungen an die elektronische Gesundheitskarte, wie auch deren Inhalte sowie die Regularien zur Herausgabe der eGK werden von der Gesellschaft für Telematikanwendungen der elektronischen Gesundheitskarte mbH/Nationale Agentur für Digitale Medizin (gematik) in Form von Spezifikationen und Produktsteckbriefen vorgegeben. Näheres hierzu erfahren Sie über das Fachportal der gematik (Elektronische Gesundheitskarte: gematik Fachportal<https://fachportal.gematik.de/schnelleinstieg/smartcards-in-der-ti/elektronische-gesundheitskarte>). Postgesetz: Versand der eGK Der Versand der eGK unterliegt dem Postgesetz (PostG), insbesondere § 4 Nr. 1 Buchst. a PostG sowie §§ 41, 41 a und 41b PostG. Der Postdienstleister ist als solcher zertifiziert und zugelassen. Datenschutzfolgeabschätzung (DSFA): Produktion der eGK Darüber hinaus liegen uns für die Produktion und Ausgabe der eGK sowie deren Inhalt Dokumente zur Datenschutzfolgeabschätzung vor, die entsprechende Prozesse zwischen der Kasse, den IT-Dienstleistern (Rechenzentren) sowie eGK-Produzenten/Auftragsverarbeiter beschreiben. Die Bewertung der Risiken ergab dabei eine Prüfnotwendigkeit bei den Schutzzielen der Verfügbarkeit, Nichtverkettbarkeit und Intervenierbarkeit. Nach Umsetzung der geeigneten Maßnahmen sind die Risiken für die genannten Schutzziele akzeptabel. Hierbei sind Erfahrungen aus der bisherigen Produktion mit anderen Dienstleistern eingeflossen. · Die Vergabe der Leistung an den eGK-Produzenten/Auftragsverarbeiter ist wirtschaftlich sinnvoll und Ergebnis einer europaweiten Folgeausschreibung. · Die Anforderungen der gematik zu Datenschutz und Datensicherheit werden seitens des Auftragsverarbeiters erfüllt. << Adresse entfernt >> So erfolgt die Übergabe der eGK in den Versand bspw. in Sicherheitszonen (kein Zutritt unbefugter Personen durch Schleusensicherung). << Adresse entfernt >> Retouren werden aktuell zurück an den Auftragsverarbeiter zugeleitet und dort weiter bearbeitet. << Adresse entfernt >> Bei Verlust der Karte seitens des Kunden erfolgt eine Neuausstellung und damit auch eine Sperrung der alten Karte. << Adresse entfernt >> Ein hoher Automatisierungsgrad beschränkt unzulässige Manipulationsmöglichkeiten im Produktionsprozess. << Adresse entfernt >> Jegliche Kommunikation mit dem Auftragsverarbeiter erfolgt über gesicherte Verbindungen. Es werden VPN-Techniken genutzt. Bei Kommunikation per Mail kommen ebenfalls Verschlüsselungstrechniken zum Einsatz (Julia). << Adresse entfernt >> Bei Nutzung der NFC-Technik im Produktionsprozess aber auch im Anwendungsfall in Alltagssituationen wäre neben der Nutzung eines NFC-fähigen Lesegeräts auch zugleich die CAN einzugeben und eine erhebliche Annäherung an die Karte vorzunehmen. Dies wird im Produktionsprozess ausgeschlossen durch: 1. Kleidung im Produktionsbereich nur mit äußerlich aufgesetzten Taschen, die den Tascheninhalt erkennen lassen bei Verbot, fremde Gegenstände einzubringen. 2. Kameraüberwachung der Produktionsstätte. << Adresse entfernt >> Zweckentfremdung ist vertraglich ausgeschlossen (Mandantendatentrennung= Trennung nach Organisations-/Abteilungsgrenzen). Trennung mittels Rollenkonzepten mit abgestuften Zugriffsrechten auf der Basis eines Identitätsmanagements und eines sicheren Authentisierungsverfahrens. Zulassung von nutzerkontrolliertem Identitätsmanagement durch Vor-Ort-Prüfung. << Adresse entfernt >> Einsatz von zweckspezifischen Pseudonymen, Anonymisierungsdiensten, anonymen Credentials. << Adresse entfernt >> Das Notfallkonzept sieht das Vorhalten eines redundanten Rechenzentrums vor. · Der Auftragsverarbeiter ist als Hersteller der eGK durch die gematik zertifiziert und hat von der gematik die Erlaubnis zur Herstellung von G2.1_V2 Karten mit NFC-Schnittstelle erhalten. · Die Produktionseignung wurde per persönlicher Inaugenscheinnahme des Produktionsstandortes am 27.11.2018 durch die AOK Rheinland/Hamburg (Telematikbeauftragte) festgestellt. Auffälligkeiten ergaben sich hierbei keine. · Die datenschutzrechtliche Beurteilung der Produktionsstätte des Auftragsverarbeiters wurde am 30./31.08.2018 von der AOK Baden-Württemberg im Auftrag aller AOKen vorgenommen (mit Nachschau am 25./26.07.2019). · Die Zertifizierung durch die gematik für den IT-Dienstleister (Rechenzentrum) als Fachdienstbetreiber wurde unter Berücksichtigung aller Spezifikationen vorgenommen und hat hinsichtlich der Umsetzung der Anforderungen an Datenschutz und Datensicherheit keine Beanstandungen ergeben. << Adresse entfernt >> Im Verarbeitungsprozess werden nur Kopien von Daten übermittelt, die auch seitens des IT-Dienstleisters vorgehalten und gesichert werden. << Adresse entfernt >> Ein/-e Datenvernichtung/-verlust ist daher nahezu ausgeschlossen. << Adresse entfernt >> Ein hoher Automatisierungsgrad beschränkt unzulässige Manipulationsmöglichkeiten. << Adresse entfernt >> Alle Server befinden sich in Sicherheitszonen, die zutrittsgesichert sind. << Adresse entfernt >> Anpassungsmöglichkeiten sind beschränkt durch rollenbasierte Berechtigungskonzepte. << Adresse entfernt >> Jegliche Kommunikation erfolgt über gesicherte Verbindungen. Es werden VPN-Techniken genutzt. Bei Kommunikation per Mail kommen ebenfalls Verschlüsselungstrechniken zum Einsatz (Julia). << Adresse entfernt >> Übertragen werden nur Daten aus den führenden Systemen der AOK beim IT-Dienstleister. Bei manuellen Eingriffen auf Antrag der Versicherten (insb. zur Bildlöschung) erfolgt eine Beauftragung. << Adresse entfernt >> Die Betroffenenrechte werden ausschließlich von der AOK über dafür vorgesehene Prozesse realisiert. · IT-Dienstleister wie auch Auftragsverarbeiter erfüllen die Anforderung zur IT-Sicherheit nach DIN ISO 27001 Zertifizierung. Im Anhang finden Sie das hier beschrieben Dokument zur Datenschutzfolgeabschätzung, welches die Bewertung und Maßnahmen noch gesondert enthält. Für Rückfragen stehen wir Ihnen gerne zur Verfügung. Diese Auskunft ist für Sie kostenfrei. Freundliche Grüße
<< Anfragesteller:in >>
Guten Tag, Ihre Antwort ist eingegangen. Beispiel: Wenn man Ihre Karte in einer Gemeinschaftspraxis einliest, br…
An AOK Rheinland/Hamburg Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 10:57
An
AOK Rheinland/Hamburg
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, Ihre Antwort ist eingegangen. Beispiel: Wenn man Ihre Karte in einer Gemeinschaftspraxis einliest, braucht man als Rezeptionskraft keine Identifizierung und kann gleich Diagnosen sehen. Haben Sie hierzu keine Meldungen nach Art. 38-39 DSGVO--EU generiert oder in der Datenschutzfolgeabschätzung Erwägungen vorgenommen? Sie schreiben: " Die datenschutzrechtliche Beurteilung der Produktionsstätte des Auftragsverarbeiters wurde am 30./31.08.2018 von der AOK Baden-Württemberg im Auftrag aller AOKen vorgenommen (mit Nachschau am 25./26.07.2019)." Ich antworte: Es geht also um AOK BW, die bereits 6-stelliges Bußgeld wegen massiven Datenschutzverletzungen kassiert hat!?? https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/ Den rechtskräftigen Bußgeldbescheid dazu wollte die AOK BW aber erst einmal unveröffentlicht lassen und hat gegen die Veröffentlichung zeitverzögernd Klage erhoben: https://fragdenstaat.de/anfrage/bugeld-gegen-die-aok-baden-wurttemberg/. VG Stuttgart, 14K 5332/20. Gab es und gibt es angesichts der massiven Datenschutzmissachtungen aus der Sicht der AOK BW hierzu viel zu verheimlichen? Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
<< Anfragesteller:in >>
Guten Tag, ich bitte um Überprüfung der unvollständigen Antwort auf informationsfreiheitsrechtliche und zudem <…
An Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 10:58
An
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, ich bitte um Überprüfung der unvollständigen Antwort auf informationsfreiheitsrechtliche und zudem << Adresse entfernt >> durch zuständige Sachbearbeitung in Ihrer Behörde << Adresse entfernt >> auf datenschutzgrundverordnungsrechtliche Relevanz. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
<< Anfragesteller:in >>
An AOK Rheinland/Hamburg Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 11:03
An
AOK Rheinland/Hamburg
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, https://www.ccc.de/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk Wie haben Sie diese Mitteilung des Chaos Computer Clubs aus dem Jahr 2019 angesichts der einfachen, nicht-technischen Demaskierung der (Un-)Sicherheitsstandards in die Datenschutzfolgeabschätzung integriert? "CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk 2019-12-27 14:53:06, Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden. CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male. Die Diagnose Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen. Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren. Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden. Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag kann im Live-Stream verfolgt werden und ist anschließend unter media.ccc.de verfügbar. Die Ursachen Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen. Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung. Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft. Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von "organisierter Verantwortungslosigkeit", weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben. Der CCC verschreibt Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen. Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden. Volle Umsetzung der eGK als Identitätsnachweis. Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung. Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen. Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung! Hintergrundinformation Was ist die Telematik-Infrastruktur Weitgehend unbemerkt von der Öffentlichkeit ist inzwischen die digitale Vernetzung des deutschen Gesundheitswesens weit fortgeschritten. Über 115.000 Arzt- und Zahnarztpraxen sind inzwischen an ein virtuelles Netzwerk – die sogenannte Telematik-Infrastruktur – angeschlossen. Dazu wurden diese Praxen mit Spezialhardware und elektronischen Praxisausweisen ausgestattet. Damit ist der Weg frei für die Einführung weiterer Anwendungen: Ab der ersten Jahreshälfte 2020 werden die elektronischen Notfalldaten, der elektronische Medikationsplan sowie das sichere Kommunikationsverfahren zwischen Leistungserbringern erwartet. Am 1. Januar 2021 folgt dann die elektronische Patientenakte und somit der Einstieg in die vollständige Digitalisierung unserer Gesundheitsdaten. Technische Details Zur Gewährleistung der Sicherheit der Telematikinfrastruktur und dar­auf aufbauender Anwendungen wie der elektronischen Patientenakte ist die „zuverlässige und eindeu­tige Identifikation“ aller Teilnehmer „zwingend notwendig“. Teilnehmer sind insbesondere Versi­cherte, Leistungserbringer wie Ärzte und Leistungserbringerinstitutionen wie Arztpraxen und künftig Krankenhäuser und Apotheken. Sämtliche Zugriffe auf die Telematik-Infrastruktur werden anhand kryptografischer Identitäten gesichert. Hierzu soll ein Trust Service Provider (TSP) nach sicherer Identitätsprüfung eines Teilnehmers dessen kryptographische Identität << Adresse entfernt >> bestehend aus privatem Schlüssel und Zertifikat << Adresse entfernt >> erzeugen und rechtsverbindlich mit dessen realer Identität verknüpfen. Die kryptographische Identität wird auf einer Chipkarte wie der Gesund­heitskarte (eGK), dem Praxisausweis (SMC-B) oder dem Heilberufsausweis (eHBA) gespeichert. Identitätsmissbrauch auf Grundlage erschlichener kryptographischer Identitäten stellt eine unmit­telbare Bedrohung für den Vertrauensraum der TI und somit für die Sicherheit der auf der TI aktu­ell und zukünftig laufenden Anwendungen wie der elektronischen Patientenakte (ePA) dar: „Die Korrektheit der Kartenherausgabeprozesse ist – wie bei nahezu allen digitalen Pro­zessen in der TI – notwendige Voraussetzung“ schreibt die gematik in ihrer Spezifikation. Dass diese notwendige Vorraussetzung nicht erfüllt ist, konnten die Sicherheitsforscher des CCC mit einfachen, rein nichttechnischen Mitteln zeigen." Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
<< Anfragesteller:in >>
Guten Tag, die von Ihnen erwähnten (gemeinsam?) Verantwortlichen aus der AOK Baden-Württemberg hatten nicht zufäl…
An AOK Rheinland/Hamburg Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 15:09
An
AOK Rheinland/Hamburg
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, die von Ihnen erwähnten (gemeinsam?) Verantwortlichen aus der AOK Baden-Württemberg hatten nicht zufällig im Zusammenhang mit den erwähnten Vorgängen einen Bußgeldbescheid in Höhe von über 1.200.000 € von der Landesdatenschutzaufsichtsbehörde kassiert, dessen Veröffentlichung sie in aller Verzweiflung gerichtlich auszubremsen versuchen? Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/
AOK Rheinland/Hamburg
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückme…
Von
AOK Rheinland/Hamburg
Betreff
Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 15:24
Status
Warte auf Antwort
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückmeldungen. Wir weisen Sie höflichst darauf hin, dass unsere Beantwortung Ihrer Anfrage (264476) sehr ausführlich erfolgt ist. Weitere Informationen entnehmen Sie bitte aus unserem Schreiben vom heutigen Tage. Freundliche Grüße
AOK Rheinland/Hamburg
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückme…
Von
AOK Rheinland/Hamburg
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 15:25
Status
16,2 KB
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückmeldungen. Wir weisen Sie höflichst darauf hin, dass unsere Beantwortung Ihrer Anfrage (264476) sehr ausführlich erfolgt ist. Weitere Informationen entnehmen Sie bitte aus unserem Schreiben vom heutigen Tage. Freundliche Grüße
AOK Rheinland/Hamburg
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückme…
Von
AOK Rheinland/Hamburg
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 15:26
Status
Nicht-öffentliche Anhänge:
image202210.png
71,9 KB
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückmeldungen. Wir weisen Sie höflichst darauf hin, dass unsere Beantwortung Ihrer Anfrage (264476) sehr ausführlich erfolgt ist. Weitere Informationen entnehmen Sie bitte aus unserem Schreiben vom heutigen Tage. Freundliche Grüße
AOK Rheinland/Hamburg
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückme…
Von
AOK Rheinland/Hamburg
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 15:26
Status
Nicht-öffentliche Anhänge:
image202210.png
71,9 KB
Guten Tag Herr << Antragsteller:in >> << Antragsteller:in >>, vielen Dank für Ihre Rückmeldungen. Wir weisen Sie höflichst darauf hin, dass unsere Beantwortung Ihrer Anfrage (264476) sehr ausführlich erfolgt ist. Weitere Informationen entnehmen Sie bitte aus unserem Schreiben vom heutigen Tage. Freundliche Grüße

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
Guten Abend, na, dann warte ich gespannt auf und beantrage die Akteneinsicht in Ihre Prüf- und Sachakte im Verfah…
An AOK Rheinland/Hamburg Details
Von
<< Anfragesteller:in >>
Betreff
AW: Ihre Anfrage: Überblick über Dokumente zur Datenschutz-Folgeabschätzung im Zusammenhang mit Ihren Krankenversicherungskarten mit hochsensiblen Gesundheitsdaten ohne Passwort und sonstigen Schutz [#264476]
Datum
16. Dezember 2022 23:11
An
AOK Rheinland/Hamburg
Status
E-Mail wurde erfolgreich versendet.
Guten Abend, na, dann warte ich gespannt auf und beantrage die Akteneinsicht in Ihre Prüf- und Sachakte im Verfahren nach IFG. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 264476 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/264476/ << Adresse entfernt >>- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/