Krankenhaus verschlüsselt

[Ego]

Wie der das ohne sudo allerdings außerhalb von /home/jack schaffen will, erschließt sich mir nicht.

Es betshet kein Bedarf fuer sudo. Es wird einfach alles verschluesselt, was mit den jeweiligen User-Rechten erreichbar ist. Dies ist teilweise mehr als man denkt, da es in manchen Firmen ueblich ist, Rechte nicht nach Projekt und Position zu vergeben, sondern nur nach Position.
Im Prinzip ist das wie Privat... oder hast fuer dein NAS nur Lese-Rechte und ein gesonderter User hat dann Schreib-Rechte? Wobei manche Vorgaben in Firmen auf den ersten Blick merkwuerdig anmuten, aber in solchen Faellen einiges verhindern koennen: Schreib-Rechte fuer manche Laufwerke/Ordner, aber keine Aenderungsrechte...

 

[peterle]

Meine user können weder in /etc noch in / oder /root irgendwas ändern oder reinschreiben und auch in Webserververzeichnisse oder gar /var/db können die das nicht, aber Du hast natürlich vollkommen recht.

Irgendwo gab es mal so ein schönes Beispiel für copy/paste unter *nix. Man glaubte irgendein "ls -la" zu kopieren und statt dessen gab es ein paste mit irgendeiner Schweinerei, die einem die Zunge rausstreckte - Merke: Tippe besser selber.

 

[-Nuke-]

/home reicht doch vollkommen. Die wollen das System ja nicht kaputt machen, sondern nur deine persönlichen Daten verschlüsseln, damit du zahlst, damit du sie wiederbekommst.

Die interessiert /etc und /root doch gar nicht.

 

[peterle]

Das ist mir schon klar.

 

[CommanderZed]

Die verschlüsseln ja auch gemountete Netzordner, also auch z.B. wenn ein Windows-User die Samba-Freigabe einer *nix Maschine gemountet ... und ggf. dann auch größere Projekte-Ordner mit denen mehrere Arbeiten, die haben ja da idr. dann auch Schreibzugriff ... naja zumindest hab ich endlich durch die aktuellen Horromeldungen ein neues Tapedrive genehmigt bekommen

Ganz 100% Verhindern kann man das nicht bei Desktop Systemen, so stark kann man MA garnicht Schulen (Wir haben da Kollegen die z.B den Monitor nicht vom Thinclient daneben unterscheiden können, oder die immer sehr hektisch sind e.t.c.). Und es kommt halt auch auf die Menge an. Und Virenscanner e.t.c. sind halt auch nicht zu 100% oder oft zu langsam was die Signaturen Angeht. Bislang hatten wir aber Glück, der mist ist offenbar nicht LibreOffice Kompatibel, und wir haben nur ca. 20% User die MS Office haben, und das sind dann auch idr. die PC-Erfahreneren.

/Edit Generell aber eine gute Gelegenheit mal wieder sein Backupkonzept für Enduserdaten zu hinterfragen, bzw. auch im Freundeskreis e.t.c. auf Backups zu Sensibilisieren

 

[abeginner]

@pit234a : Möchte dir an dieser Stelle erst mal für deine fundierten, ausführlichen & engagierten Antworten danken.

Ich will das ein wenig detaillierter beschreiben.
Medizinische Bilder werden seit einigen Jahren digital im sogenannten Dicom-Standard zwischen Anwendungen ausgetauscht. Dieser Standard ist aber nur ein Rahmen in dem sich Hersteller bewegen können.

Ja, dieser Dicom-Standard, davon weiss ich. Und wie du das beschreibst, scheint der praktizierte Umgang damit wirklich lasch. Ich sehe das aber zweierlei : die alleinige Möglichkeit qualitativ minderwertigerer Ansicht sagt noch nichts darüber aus, dass sich ein Arzt sicht dessen nicht bewusst ist. Er muss fachlich wissen, welche Qualität für welche Befunde reicht und welche nicht. Aber selbstverständlich gehe ich mit dir darin einig, dass ein lascher Umgang damit verantwortungslos ist.
Auf der anderen Seite bedeuten solche Lösungen à la 24/7-Zugänglichkeit doch nichts andereres als die Erwartung , dass die Fachkräfte auch davon Gebrauch machen, dass sie auch abseits stationär gebundenen Orte Arbeit tätigen.


Wir brauchen erst gar nicht um politische Dinge zu debattieren und/oder auch Länder in Betracht ziehen die sowohl andere Rechtsprazis haben als fachlich (hier medizinisch) andere Vorgehensweisen bis hin Bestimmungen haben. Ohne dabei Missstände gut reden wollen.
Der Ursprung liegt doch aber in der Digitalisierung selber. Wir haben sie gerufen und sie ist gekommen. Die technischen Mittel/Werkzeuge der Digitalisierung haben Dinge verändert, sie erfodern in manchen Dingen aber auch anderes Verhalten, bis hin zu daran angepassten Bestimmungen.

So was darf einfach nicht sein und wenn sich dann Krankenhäuser bei der Einlieferung von Patienten auch noch eine Befreiung von Datenschutz-Vorsorge unterschreiben lassen, dann ist das meiner Meinung nach sogar schon Nötigung. Und zwar nur, weil man seine Hausaufgaben nicht macht und für die Sicherheit der Daten sorgt.

Das ist doch eine Folge der politisch-juristischen Ausseinandersetzungen mit dieser Thematik. Weshalb soll sich ein Spital juristisch nicht anders absichern als es eine SocialMedia Plattoform tut.
Es ist keine andere Gängelei, als zB jene Haftungsausschlüsse auf Internetseiten inkl. Rechte-Verweise auf Inhalte.

 

[pit234a]

@abeginner:

ich gehe nur auf die unterschiedlichen Ansichten zu meiner Position ein, wobei es für mich nur einen gravierenden Unterschied gibt:

Weshalb soll sich ein Spital juristisch nicht anders absichern als es eine SocialMedia Plattoform tut

Weil:
wenn ich einen lieben Menschen in einem Krankenhaus einliefern möchte, dann bin ich irgendwie in einer Not-Situation und deshalb greift auch der Begriff Nötigung. Das ist etwas vollkommen anderes, als wenn ich entspannt auf dem Sofa sitze und mir überlege, nun mal eben Mitglied in einem Social-Media zu werden und dafür dann evtl die Rechte an meinem Bild und meinen anderen Daten umsonst verschenke.

Einmal erwarte ich, dass ich als Freier Bürger Frei entscheiden darf und das Andere Mal erwarte ich, dass ich als Freier Bürger mit meinen Rechten auch dann akzeptiert und geschützt werde, wenn ich durch einen Vorfall, der meine Gesundheit und damit womöglich geistige Fähigkeit beeinträchtigt, einem System gegenüber stehe, das genau das Aufgaben der erst genannten Freiheiten von mir verlangt und dies in Zusammenhang mit einer möglichen weiteren Behandlung setzt.

Das ist für mich ein gravierender Unterschied, ein Krankenhaus ist keine Social-Media-Plattform!


Was Dicom und seinen Standard angeht: Ärzte wissen dazu beinahe nichts und auch keine der Helfer-Berufe und warum auch?
Was wissen wir zum Standard der Email-Protokolle? Wir nutzen sie, aber was sie vorschreiben und wie sie umgesetzt sind, das wissen wir doch meist nicht. Wir empfangen und lesen Emails und wenn das geht, haben wir alles richtig gemacht. Aber welchen Standard der Austausch dieser Daten jeweils erfordert, lesen wir in der Regel nicht und das gilt für viele Situationen am PC.
Wir stellen uns das alles viel zu einfach vor und weil wir keine Grundkenntnisse brauchen und von OpenSource profitieren, funktioniert alles auch gut.

Aber bei DICOM ist eben nur der Standard offen und die Umsetzung dieses Standards ist nicht geregelt.
Ich weiß nicht, wie ich das irgendwie erklären kann, ohne zu viel aus dem Nähkästchen zu plaudern.
Nehmen wir mal USB-Sticks und es ist wahr, dass ich nicht weiß, wie der derzeitige Standard dazu ist.
Es gab aber eine Zeit, da waren USB-Medien (und zu einer anderen Zeit auch optische Medien wie CD-ROMS) einfach nicht vom DICOM-Standard erfasst oder berücksichtigt. Es wird schnell klar, dass es sich bei diesem Standard nicht einfach nur um eine Art und Weise handelt, wie Bilder dargestellt werden sollen oder wie sie archiviert werden.
IT-Technisch mag es keinen Unterschied zwischen einem auf USB-Stick und auf HDD gespeicherten Image geben, aber weil wir es hier mit sehr sensiblen Patienten-Daten zu tun haben, ist es sehr sinnvoll und nachvollziehbar, dass der Standard erst dann greift, wenn er vollends beschrieben ist.

Und dieser Standard sagt allgemein nichts dazu aus, in welcher Qualität die Darstellung von Bildern geschehen soll oder muss.
Das ist nur ein Austauschformat für Daten, kein Standard für Qualität.

Wie es auch eine E-Mail in dein Postfach schaffen kann, die einfach nur Mist enthält oder sich deren Anhang sich nicht innerhalb des Mail-Programms sauber darstellen lässt.

Und ja, ein Arzt hat darüber zu entscheiden und niemand anders.
Der Arzt weiß nicht, dass ein Bild per E-Mail unter Umständen nicht geeignet ist, eine Befundung zu tätigen. Er gibt eben sein Bestes anhand des Materials, das ihm vorgelegt wird. Dass evtl bereits das Weiterleiten der Daten per Mail oder CD-ROM aus dem verwendeten Standard fällt, weil Dicom das noch nicht so beschrieben hat, ist einem Arzt in der Regel nicht bekannt. Dass er dazu dann nicht einen mitgelieferten und freien Viewer benutzen darf, um etwas zu befunden, sollte er eigentlich wissen, aber in der Praxis hat es sich anders etabliert.
Verantwortlich bleibt der Arzt!

 

[abeginner]

Das ist für mich ein gravierender Unterschied, ein Krankenhaus ist keine Social-Media-Plattform!

Selbstverständlich
Allerdings : sind die Grenzen zwischen der physischen Realität und digitaler nicht etwa fliessend, kann man digitale Daten überhaupt davon abgrenzen . . . Sowohl in deren Bedeutung als Werkzeuge, geschweige denn noch metaphysisch. Also warum nicht auch juristisch.
Ich gehe mit dir einig, solche Praxis ist stossend. Nur aber bezweifle ich, dass rein technischer Makel Folge solcher Gängelei ist.

Was Dicom und seinen Standard angeht: Ärzte wissen dazu beinahe nichts und auch keine der Helfer-Berufe und warum auch?

Nach meinem Verständnis eine Frage der Bildung, der Ausbildung.
Und nicht zuletzt liegen solche Dinge auch am Engagement des Einzelnen; das Engagement, auch über die Werkzeuge der Arbeit Bescheid wissen.

 

[peterle]

Einmal erwarte ich, dass ich als Freier Bürger Frei entscheiden darf und das Andere Mal erwarte ich, dass ich als Freier Bürger mit meinen Rechten auch dann akzeptiert und geschützt werde, wenn ich durch einen Vorfall, der meine Gesundheit und damit womöglich geistige Fähigkeit beeinträchtigt, einem System gegenüber stehe, das genau das Aufgaben der erst genannten Freiheiten von mir verlangt und dies in Zusammenhang mit einer möglichen weiteren Behandlung setzt.

Das Krankenhaus kann sich alles Mögliche im Notfall unterschreiben lassen, aber sie werden trotzdem alles Nötige und Wichtige tun müssen, um einen Mißbrauch der Daten zu verhindern. Nur handeln können, müssen sie erst mal und Nötigung hin oder her, wenn ich auf dem letzten Loch pfeifend in der Notaufnahme eintrudel, sind mir solche Fragen völlig egal - selbst wenn ich lebend wieder rauskomme, sind mir die immer noch egal, solange die Daten nicht auf irgendeiner Plakatwand kleben oder sonstwie gedankenlos verteilt werden.

 

[Rakor]

Aber grundsätzlich ging es ja, so denke ich, um die technischen (Miss-)stände in verschiedenen Institutionen die mit vertraulichen Daten arbeiten.

 

[pit234a]

Das tut aber so, als müsse man sich entscheiden: ENTWEDER mit dem Leben davon kommen ODER den Datenschutz wahren.
Das ist nicht so.
Wie schon gesagt, in USA gibt es da strengere Regeln und da helfen die Mitarbeiter in einem KKH auch Menschen in Not.
Es muss auch in Deutschland möglich sein, Menschen zu behandeln und vor allem solche in Not aufzunehmen, ohne dafür eine Erklärung abzunötigen, die geltendes Datenschutz-Recht aufweicht.

Die allermeisten Aufgenommenen in Krankenhäuser sind keine Notfallpatienten.
Bei Notfällen müssen ja oft Verwandte die verlangten Erklärungen abzeichnen. Eine weitere strittige Sache, weil geltende Patentverfügungen auf diesen Fall in der Regel gar nicht eingehen. Es geht da Allen genau, wie das hier beschrieben wird: andere Dinge sind wichtiger und niemand denkt in einem solchen persönlichen Katastrophenfall an Datenschutz.
Umso wichtiger finde ich die gesetzliche Regelung zum Wohle des Patienten UND den Schutz seiner Intimsphäre gegen mögliche finanzielle Interessen der Krankenhäuser.

Um das mal deutlicher zu machen: es geht ja darum, dass noch Jahre nach einer Einlieferung und Behandlung in einem Krankenhaus alles nicht nur gespeichert ist, sondern auch für alle möglichen Leute transparent gehalten wird. Desto länger Daten so offen rum liegen und desto mehr Leute einfach heran kommen, desto größer wird die Gefahr für einen Missbrauch. Die abgegebenen Erklärungen zur Aufhebung des Datenschutzes gelten ohne zeitliche oder sachliche Begrenzung!
Ich bin sicher, dass kein halbwegs selbständig denkender Patient der gängigen Praxis in manchen Häusern zustimmen würde, wenn ihm dieser und seine möglichen Folgen erst bewusst wären.

 

[pit234a]

Ich muss nochmal nachlegen, um keinen falschen Eindruck zu erwecken:
Es gibt auch in Deutschland durchaus viele KKH und Klinik-Betreiber, die hier vollkommen andres aufgestellt sind und damit auch zeigen, dass es bei uns geht beide Seiten unter einen Hut zu bringen. Es sind nur einzelne Häuser, die nicht daran denken sich hier zu engagieren und der Patient weiß natürlich vorher nicht, wohin der Notarztwagen in "abliefern wird". Das ist mit diesem Virenbefall vergleichbar. Es trifft ja nur recht wenige Häuser und sehr viele sind so aufgestellt, dass sie da mit viel mehr Sicherheitsbewusstsein agieren.

Nein, es braucht nicht die Alternative zwischen Datenschutz und Behandlung. Es sollte sie nicht geben in Deutschland.