Yetkisiz EPA çelişkisinden sonra: Federal Veri Koruma Görevlisi hemen geri istiyor
Geçen hafta, yetkisiz bir kişinin bir yabancının elektronik hasta dosyası için Barmer Sağlık Sigortası Şirketi'ne itiraz etmeyi başardığı bilindi. Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BFDI), Louisa Specht-Remenschneider şu anda davayı inceliyor. Bu tür olayların bir nedeni olarak, BFDI, Federal Bilgi Teknolojisi Ofisi (BSI) ve BFDI'nin veto yasasının geri çekildiği yasadaki değişiklikten sorumludur.
BSI ve BFDI için veto yasası
BFDI sözcüsü Haberler Online'a verdiği demeçte, “BFDI, EPA'daki veri işleme süreçlerinin incelenmesine mümkün olduğunca erken dahil edilmelidir. Yasal durumun BFDI ve BSI'nin EPA'nın özel gereksinimleri hakkında anlaşma yapması gerektiğinde mantıklı olacaktır.” Dedi. BSI ve BFDI EPA planlarına dahil edilmiş olsa da, sadece dikkate alınması gerekir ve endişeler varsa artık veto alamazlar.
Nisan ayının sonunda BFDI, otoritesinin bir onay otoritesi olmadığını ve EPA'nın operasyon sırasında bakılması gerektiğini vurguladı. Bağlamda, EPA'nın güvenlik boşluklarına da atıfta bulundu. BFDI ve BSI, sağlık sisteminin dijitalleşmesini hızlandırma yasası ile veto yasasını kaybetti. Veto yasası, özellikle elektronik hasta dosyalarının tanıtımı ve tasarımı ve eski BFDI Ulrich Keber, çözülene kadar veto yasasını birkaç kez kullandıktan sonra kaldırıldı.
Sağlık sigortası şirketleri tarafından kimlik muayenesi
Aslında, Barmer Sağlık Sigortası Şirketi “açıklayıcı kişinin kimliğine ve yetkisine sahip olmalı”. BFDI, “Kimliğin korunması ve açıklayıcı kişinin yetkisi, daha sonraki bir veri işleme (bu örnekte: EPA) objektif olarak doğru ve yasal olarak silinebilir. İlgili sağlık sigortasının veri koruma sorumluluğunda yatmaktadır.” Dedi.
Barmer'a göre, üçüncü bir tarafın EPA'sına itiraz etmek veya rıza göstermeden mümkün değildi. “Yetkisiz bir itiraz veya yetkisiz bir söndürme başvurusunun dosyalanması henüz kaydedilmemiştir” diyor. Bu nedenle Handelsblatt tarafından belirtilen dava “meşru benliğe meşru erişime erişim” dir. Buna ek olarak, 29 Nisan 2025'te ülke çapında piyasaya sürülmesinden bu yana iptal olurdu […] 28 günlük bir süre ile sağlanmıştır “, sigortalı daha önce kimliklerini kanıtlamadığı sürece.
Sağlık sigortası şirketleri için hizmet sağlayıcı olarak çalışan bir muhbir, Nisan ayının üçüncü haftasında yabancı bir elektronik hasta dosyasına itiraz etmeyi başarmıştı. Bu amaçla, diğer şeylerin yanı sıra, sadece sigortalının adını barmerinin itiraz biçiminde imzaladı ve imzaladı-sigortalı numara gerekli değildi. Bu arada bu değişti, şimdi sigortalı numara gerekli.
Bilinen olası zayıflıklar
Fraunhofer Sit'in güvenlik uzmanları, önceden “çelişkiye yetkisiz itiraz” için çok sayıda saldırı vektörünün zaten uyarmıştı. Eleştiri, diğer şeylerin yanı sıra, ekleme prosedürü veya çelişkileri geri çekme prosedürü için “asgari güvenlik gereksinimleri” ve “güvenlik kontrolleri” olmadığıydı. Hasta dosyasına bir çelişki derhal silinmesine yol açmalıdır.
Raporda, “Saldırganlar, belirli hasta dosyalarını silmek için çelişkileri kötüye kullanabilir.” Gematik “prosedürün spesifikasyonun bir parçası olmadığını açıkça belirtiyor.” Bu nedenle, maliyet taşıyıcısı için “bir itirazın nasıl yapılabileceği. Minimum güvenlik gereksinimleri dikkate alınır ve tekdüze bir süreç oluşturulur.”
EPA'nın çok eleştirisi
Elektronik hasta dosyasının her zaman veri koruma ve BT güvenliği açısından eleştirisi vardır. Son zamanlarda EPA'daki verilere erişim için genişletilmiş güvenlik önlemlerinin yeterli olmadığı açıklandı – bu arada değiştiği söyleniyor. Ayrıca, diğer şeylerin yanı sıra, yetkilendirme yönetiminin değiştirildiği ve artık bireysel dosyalar için bültenin yayınlanmasının mümkün olmadığı eleştirileri de var.
(Mack)