Notices by Bianca Kastl (bkastl@mastodon.social), page 2

Zugegeben: Das einzige, wo sie sich wirklich Mühe gegeben haben, war bei der Tatsache, dass Krankenkassen die Daten der ePA nicht einsehen können*

* ausgenommen Abrechungsdaten etc.

Aber ansonsten sind alle Vektoren quasi egal.

Die Pilotphase ist nicht für die Prüfung von Sicherheitsaspekten da. Du kannst eine ePA für Modellregionen nicht mit echten Daten mit Sicherheitsmängeln auf die Bevölkerung loslassen.

Ab dem ersten echten Datensatz muss das sicher sein. Nicht nachher.

Ihr beschäftigt euch nicht mal ansatzweise mit dem, bei wem ihr euch genau bedanken sollt.

"Dem CCC" danken geht sehr weit an der Konstellation der Leute vorbei, die an dem Thema mitgewirkt haben. Die EUREN Job gemacht haben, die EURE Qualitätssicherung gemacht haben.

"Wir screenen nicht Ebay nach Angeboten für Kartenlesegeräte durch"

Ja genau das haben wir gemacht, literally.

Das ist das Problem.

"Wurden schon mal alle Arztpraxen befragt, ob sie schon mal was auf Kleinanzeigen verkauft haben"

Kudos an Miriam Dahlinger vom SZ Dossier.

"Die Daten werden nie von Unternehmen ausgewertet"

Strohmann Argument. Die Fragestellung wird neutral bewertet. Ob da Big Tech dahinter steckt, ist egal. "Gemeinwohl"

Die Schuld an Sicherheitsprobleme für die gesamte ePA für alle werden nicht die tragen, die architektonische Probleme erzeugt haben, sie wird diffundiert auf die schwächsten Glieder der Kette. Am Ende wird jede einzelne Arztpraxis, deren IT leckt (was wie wird) "schuld" sein, wenn mehr als eine Akte abfließt. "Die ePA ist sicher", so heißt es ja.

Weiß nicht, was davon die Ärzteschaft hält.

"Es ist richtig, dass für eine einzelne ePA nie eine 100 % ige Sicherheit gegeben werden kann"

(Karl Lauterbach)

Das ist vielleicht wichtig. Der Mißbrauch einer ePA ist schlimmer, als nur einer Praxis, weil sie patientenindividuell alle Daten ALLER Praxen im Zugriff hat. Nicht die einzelnen Daten einer Praxis.

Stand der Technik des letzten Jahrhunderts. – das Logbuch Netzpolitik auch zur #ePA

"Und ich könnte sagen, meine Enttäuschung über die Unternehmen, die für Staaten oder für die Regierung wirklich hochkritisches Software bauen,könnte größer nicht sein."

https://logbuch-netzpolitik.de/lnp511-stand-der-technik-des-letzten-jahrhunderts

Guten Morgen,

eine Gruppe von aktuell 28 Organisationen hat gerade unserem Gesundheitsminister einen offenen Brief geschickt.

Fünf Schritte zu mehr Vertrauen in die ePA

Einzusehen unter https://www.inoeg.de/offenerbrief-epa-2025/

Mit dabei: Deutsche Aidshilfe, Björn Steiger Stiftung, Verbraucherzentrale Bundesverband, der CCC, D64, BAG Selbsthilfe, die Deutsche Depressionsliga, die Deutsche Alzheimer Gesellschaft, Ärzteverband MEDI Baden-Württemberg, Freie Ärzteschaft… uvm

Sowie einige Einzelpersonen.

#ePA

Telekom-CEO präsentiert CSU 10-Punkte-Plan zur Digitalisierung.

Ja genau, da haben sich zwei gefunden 🤣

"Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt."

Damit auch durch @bfdi bestätigt: Das E-Rezept ist auch leck. Nicht nur die #ePA

https://netzpolitik.org/2025/elektronische-patientenakte-lauterbach-verspricht-einen-start-ohne-restrisiko/

"Die elektronische Patientenakte wird nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte"

Das Wort "groß" in dem Kontext ist das Entscheidende. Im Wesentlichen könnt ihr nur davon ausgehen, dass gegen dem VSDM+ Mangel ein Hotfix reingeschoben wird. Mehr nicht.

Alles andere ist ja kein "großer" Hackerangriff und ist damit eingepreist.

https://www.apotheke-adhoc.de/nachrichten/detail/politik/lauterbach-epa-daten-sind-sicher-vor-hackern/

@tessarakt Weil der Markt das sonst nicht regeln kann

"Der Brief fasst die Vereinbarungen aus einem vorangegangenen Gespräch mit den Stakeholdern zusammen und konstatiert, dass der Testbetrieb offenbar nur mit einem der geplanten zwei Aktensystemen starten wird, weil eines nicht rechtzeitig fertig geworden sei. Hinzu komme, dass sich die beiden Aktensysteme von IBM und RISE sehr unterschiedlich verhalten, was die Interoperabilität erschwere."

Diesmal waren wir es nicht. Versprochen. #ePA

https://www.heise.de/news/E-Patientenakte-Brief-an-Gesundheitsministerium-verdeutlicht-Umsetzungsmaengel-10233312.html

@vollkorn 😢 Weint in nicht mehr 9 Euro teuren Monatstickets

So jetzt. #ePA #Tagesthemen (wahrscheinlich mit mir)

Als Sachverständige bist du – vergleichbar mit Abgeordneten – erst mal sehr frei in dem, was du im Auschuss antwortest und deinem Gewissen unterworfen.
Falschaussagen um Gesetze zu beeinflussen, solltest du lassen eher.

Aber als Sachverständige hast du sehr viel Spielraum in dem, was du antwortest.

Oftmals gibt es Vorgespräche mit Mitarbeitenden von Fraktionen, was so mögliche Themen und Erwartungen sind, aber du bist als Sachverständige sehr frei in deiner Antwort. Eigentlich.

Einladungen zu Ausschüssen enthalten seit kurzem folgenden Satz (so oder ähnlich in mehreren Ausschüssen):

Sachverständige sollen doch bitte allen Fraktionen antworten, dass sei parlamentarische Praxis dies das.

Anstand schön und wichtig meinetwegen, aber dann können wir das mit dem Eintreten für die freiheitlich demokratische Grundordnung gleich aufgeben.

Normalerweise ist nur wichtig, dass in den Fragerunden das Zeitkontingent fair verteilt ist und niemand überzieht. Daher versuchen Sachverständige im Pairing mit Abgeordneten auch das Zeitkontingent exakt zu füllen.

Wie jetzt der AfD antworten, falls man gefragt wird:

Der AfD nicht antworten ist eigentlich eine Option. Fragen kurz mit nein abwürgen ist auch eine Option. Es gibt aber keine Antwortpflicht in dem Sinne, eher nur Dinge, die üblich sind.

Bis vor kurzem.