Follow

Ich weiß Fediverse, ihr seid nicht representativ. Aber es würde mich trotzdem mal interessieren:

Würdet ihr damit einverstanden sein, dass bei einem (unfreiwilligen) Besuch im Krankenhaus eure Patienten- und Behandlungsdaten in der Cloud eines privaten Anbieters landen?

Ganz davon abgesehen, dass ihr davon ja nichtmal unbedingt erfahren würdet. Wenn dann nur in der Liste der Auftragsdatenverarbeiter.

:boost_ok:

@The_Observer6955 Finde die Frage schwierig. Wäre es besser, wenn es on-premise laufen würde, aber von einem externen Dienstleister betrieben wird, der genau so Zugriff hätte, wie ein Cloud-Dienstleister?

@julian
Ich hatte im Beitrag meine Meinung absichtlich nicht gennant, aber ja. Ich denke das macht einen unterschied. Dein Punkt ist zwar valide, aber:
- Cloud heißt auch "ein" Angriffspunkt für alle Daten. (In Anführungszeichen weil es vielleicht dennoch verteilt ist, aber dann ist eine Schwachstelle wahrscheinlich auch verteilt)
- Cloud heißt der Anbieter kann leider "Big Data" damit machen
- Das Krankenhaus hat bei on premise mehr Möglichkeiten selbst denn Schutz zu verbessern.

@julian
- Wenn solche sensiblen Daten das interne Netzwerk verlassen ist hier das Risiko bereits höher.
- Such der eigentliche Cloud Betreiber (AWS, Azure,…) ist ein zusätzliches Risiko. Bsw. durch eigene Schwachstellen

Meiner Meinung nach ist das Risiko beim Cloud Betrieb einfach höhere. Daher sind auch höhere Sicherheitsvorkehrungen notwendig.

Die Frage ist also quasi: Traut ihr das einem privatem Anbieter zu und denkt ihr, der wird das nicht für Big Data oder ähnliches missbrauchen?

@The_Observer6955 Ich würde es halt nicht am Begriff Cloud festmachen. Für mich macht es recht wenig Unterschied, ob das jetzt in der Cloud im Rechenzentrum bei $mittelständischem_Hoster oder auf dem ESXi-Cluster im Krankenhaus, der von $mittelständigem_Systemhaus verwaltet wird.

@julian
Die Zentralisierung von Daten (sprich ein Hack viele Krankenhäuser) und das verlassen des privaten Netzwerks und damit der Kontrolle des Krankenhauses / der Krankenhaus IT machen für mich den unterschied.

@The_Observer6955 Da ich aus eigener Erfahrung weiß, wie viele Krankenhäuser von Datenschutz und Datensicherheit so gar keine Ahnung haben, ist ein Auftragsdatenverarbeiter womöglich noch das kleinere Übel 😕.

@maikek
Ich wollte darauf Antworten mit "Da ich aus eigener Erfahrung weiß, wie viel private Anbieter von Datenschutz… ", aber ich gehe darauf mal lieber nicht weiter ein. :)

@The_Observer6955
Einverstanden wäre ich nicht, aber ich würde es wohl hinnehmen - wird ja einen Grund gehen, warum ich ins Krankenhaus gegangen bin.

@lauteshirn
Ja.

Ich hatte auch überlegt die Frage anders zu formulieren. In Richtung "Wie viele Umstände würdet ihr euch machen um das zu vermeiden wenn möglich".

Sprich, würdet ihr in ein anderes Krankenhaus gehen (wenn ihr die Möglichkeit habt). Habe mich aber dann dagegen entschieden, wusste nicht wie ich die Umfrage dann gut und einfach gestalten kann.

@The_Observer6955
Ganz ehrlich, ich vertraue einem Cloud Anbieter, dessen Hauptgeschäft es ist diesen Dienst bzw. Software anzubieten und dafür beim Krankenhaus auch einiges an Geld nimmt, mehr als der IT Abteilung eines durchschnittlichen Krankenhaus.

@wire
Das heißt du hast "ja" gestimmt, wenn ich fragen darf?

@wire
Interessant.

Meine Sicht darauf ist vielleicht auch anders, weil ich bei so einem privaten Anbieter arbeite…

Dazu noch der Hinweis, dass der Anbieter in meinem Fall eher den Fokus auf Geräte hat(te?). Daher hieß es bis vor kurzem immer "We are not an IT company".

Die sahen das also vielleicht nicht unbedingt als ihr Hauptgeschäft. Aber mal sehen wie das in Zukunft wird. *shrug*

@The_Observer6955
OK I get your point.
Tatsächlich hab ich nicht an Hersteller von medizinischen Geräten gedacht sondern eher an irgendwelche Cloud Röntgen Bild Analyse Provider.
Bei Herstellern von medizinischen Geräten könnte es tatsächlich bisschen kritisch werden.

@wire
Von meiner Erfahrungen mit einigen großen Anbietern von Krankenhausinformationssystemen kann ich sagen, dass die mir oftmals unprofessionell vorkamen und viele Dinge nicht auf gute Softwarequalität schließen lassen.

Bsw: "Lets configure some software settings via regeddit! Don"t know what fits in there… lets just try out x" oder "That port can only handle 5 simultaneous connections. If that limit is hit it shuts down for x sec. If a message cannot be processed it shuts down too."

@The_Observer6955
Gut okay, dazu kann ich jetzt nicht wirklich was sagen.
Du hast halt immer professionelle und unprofessionelle Menschen und Unternehmen.
Aber das selbe gilt halt auch für Krankenhaus IT Abteilung.
Kannte jemanden, die in einem Krankenhaus gearbeitet hat, in der alleine 5 Leute nur Monitoring gemacht haben.
Während damals bei mir in der Krankenhaus IT meine Chefs nicht Mal wussten, wie ihre eigene Umgebung aussieht.

@The_Observer6955
Ach ja Spoiler wir hatten gar kein Monitoring.

@wire
Ich weiß was du meinst. Ich habe ja auch mit vielen Krankenhäusern zu tun. Da gibt es viele mit VPN & RDP Admin Zugangsdaten wie
Benutzername: *firma*
Passwort: xxx2020!

Wobei xxx ein Produktkürzel ist, oder stattdessen auch oftmals ein Firmenkürzel.

Hatte auch zwei Krankenhäuser mit dem Passwort 12345. Soweit ich mich erinnere, hatten die aber wenigstens noch 2FA.

@The_Observer6955
Genau. Aber als Mitarbeiter eines Medizintechnikunternehmen, weißt du ja, dass man es Ärzten nicht sonderlich schwerer machen darf. Sonst drehen die durch.

@The_Observer6955
(1/3)
Disclaimer: Ich verdiene meinen Lebansunterhalt beim "Privaten Dienstleister" u.A. im Bereich der Judikative, bin also der Auftragsdatenverarbeitung nicht kategorisch oppunierend.

Es gibt ein Paar Punkte, die ich im Kontext medizinischer Daten sowohl für problemlos umsetzbar, als auch für notwendig halte:

@The_Observer6955
(2/3)
* Keinerlei 'dunkele' drittverwertung der Daten beim Dienstleister
* Keine Assoziation des Dienstleisters mit Diensten, die wir dem Überwachungskapitalismus zuordnen würden
* Endnutzer-Schnittstellen beim Dienstleister, die die Verwaltung (Export, Korrektur, Löschung, etc.) der dort verarbeiteten Daten ermöglicht.

@The_Observer6955
(3/3)
* Endnutzer-Schnittstellen, die die Datenübertragung in andere Systeme administrieren (z.B. Patient:in möchte, dass ihre Akte vom Krankenhaus an Praxis XY, bzw. deren Dienstleister übermittelt wird)
* Datenverarbeitung nur innerhalb der eigenen Juristiktion (also in der EU)

@The_Observer6955
(4/3)
* Sämtliche Endnutzer-Schnittstellen müssen vollumfänglich nutzbar sein via
** REST-api (will eigene App machen können)
** Webinterface (Will keine App installieren)
** Telefonischer Supporthotline u.Ä. (hab kein Internetfähiges Endgerät)

All diese Punkte müssen Gesetzlich geregelt sein und dürfen nicht dem Markt überlassen werden.

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community