Smartphone mit Schloss und ePA

ePA: Datensicherheit im Gesundheitswesen

In Notfällen ist Zeit das Wichtigste. An einem Unfallort müssen Gesundheitsdaten so schnell wie möglich zuständige Personen erreichen. Nun soll die digitale Patientenakte (ePA) dabei helfen Diagnosen und weitere Gesundheitsdaten sicher zu kommunizieren. Doch sind unsere Daten wirklich sicher? // von Melvin Peters und Fabian Kanthak Vasquez

Die elektronische Patientenakte (ePA) ist seit Januar für alle gesetzlich Versicherten in der Testphase. Dabei sind alle Gesundheitsdaten in einer App gespeichert. Dazu gehören unter anderem der Allergiebericht, der Arztbericht, Blutwerte sowie Röntgenbilder und alle weiteren Gesundheitsdaten einer Person. Hinter der App steckt das Unternehmen Gematik, dass jegliche Kontrolle über die eigenen Daten verspricht. Patienten können die Akte bei ihrer Krankenkasse beantragen.

Was ist mit der ePA ab wann möglich?

Ab 2021 können Versicherte die ePA in der Testphase nutzen. Ab 2022 werden neue Funktionen hinzugefügt.  //Quelle: Barmer.de, tk.de, aok.de, buk-firmus.de

 ePA nützlich für Patiententransporte

Im Falle eines Krankentransportes oder dem Einsatz eines Krankenwagens nutzt man aktuell noch keine ePA. Für den Rettungssanitäter Kolja Ebert bietet die elektronische Patientenakte jedoch viele Vorteile. Er könnte direkt die wichtigsten Gesundheitsdaten wie ein Blutbild oder Vorerkrankungen berücksichtigen. Dafür muss der Patient allerdings bei Bewusstsein sein und die Freigabe erteilen. "Nicht selten ist es der Fall, dass Ärzte in Krankenhäusern durch einen Ansturm nicht zeitnah auf die wichtigsten Informationen eines Patienten zugreifen können", so Ebert. Kommt ein Patient beispielsweise von einer Unfallstelle, müssen Rettungssanitäter wie Ebert den Patienten zunächst stabil halten und primär herausfinden, was das aktuelle Problem ist. Vorerkrankungen können Sanitäter dabei zwar schnell ausfindig machen, in Einzelfällen dauert dieser Vorgang jedoch zu lange und führt zu Komplikationen. Auf jegliche Entlassungsbriefe und weitere Dokumente, die bei jedem Patiententransport benötigt werden, kann durch die digitale Patientenakte verzichten.

Zentrales Netzwerk der ePA sorgt für Sicherheit

Es wurde bereits viel im Rahmen der Datenschutzgrundverordnung über digitale Sicherheit diskutiert. Gesundheitsdaten genießen ein weitaus höheres Schutzniveau als personenbezogene Daten im Netz. Um diese Sicherheit gewährleisten zu können, gibt es ein zentrales Netzwerk, die sogenannte Telematikinfrastruktur. Hierbei handelt es sich um ein spezielles Virtual Private Network, kurz: VPN. Für die Anmeldung ist eine Zwei-Faktor-Authentifizierung erforderlich. Anschließend bekommt der Nutzer mit der ePA-App Zugriff auf alle seine gespeicherten Gesundheitsdaten und hat die Möglichkeit Berechtigungen an Freunde, Familie oder seinen Ärzten zu erteilen. Alternativ können die Daten auch an einer Rezeption mit seiner Gesundheitskarte abgerufen werden. Solch ein System setzt voraus, dass Arzt und Patient sich gegenseitig authentifizieren. Jede an das System angebundene Praxis benötigt dafür einen sogenannten "Konnektor", einen Virtual Private Network-Router, der den Zugang in das Netzwerk ermöglicht.

Ergänzende Grafik zur Verdeutlichung der Verschlüsselung der elektronischen Patientenakte

Die persönlichen Daten in der ePA sind durch zwei Verschlüsselungsverfahren gesichert und können von den Ärzten nur per Konnektor eingesehen werden. //Quelle: media.ccc.de

Große Defizite im Datenschutz

Trotzdem kann bei jedem Endgerät und bei jeder Freigabe eine Sicherheitslücke entstehen. Ein Beispiel ist der genannte Konnektor. Im Optimalfall ist er nicht direkt mit dem Internet verbunden und mit Benutzernamen und Passwort geschützt. Wie die Hackervereinigung "Chaos Computer Club" feststellen konnte, ist dies oftmals nicht der Fall. Wenn ein System oder eine Software zu langsam ist und den Praxisalltag einschränkt, ist das Personal eher dazu geneigt, auf komplizierte Sicherheitsmechanismen zu verzichten. So können Außenstehende in das Netzwerk eindringen. Daher würde sich die Journalistin und Autorin für netzpolitik.org Jana Ballweber, spezialisiert auf Datenschutz im Gesundheitssystem, aktuell gegen eine ePA entscheiden. "Hier muss auf die korrekte Identifizierung geachtet werden, sodass sich niemand als Arzt oder als eine andere Person ausgeben kann, wie es den Forschern des Chaos Computer Clubs bei der elektronischen Gesundheitskarte gelungen war", sagt Ballweber.

YouTube

Mehr Informationen zum Datenschutz von YouTube

Video laden

Das Bewusstsein für den Umgang mit Datenschutz ist zu gering

In Deutschland und anderen Ländern zeigt sich, dass Politik und Wirtschaft nur ein geringes Bewusstsein für die Risiken dieser hoch vertraulichen Daten haben. "Bereits in der Vergangenheit zeigten große Konzerne wie Amazon, Google und Facebook großes Interesse am Gesundheitsmarkt", erklärt Ballweber. Sollten sie an diese Informationen kommen, habe man als Patient keinen Einfluss mehr. Laut Ballweber gelten Gesundheitsdaten ein Leben lang. Wenn sie einmal personenbezogen vorliegen, überdauern sie eine Gesetzesänderung und könnten gegen die Patienten verwendet werden. Letztendlich würden hauptsächlich (Marketing-)Firmen profitieren, die mit Hilfe weiterer Daten Werbung genau zuschneiden können. "Das bedeutet mehr Geld für die Werbekonzerne und gleichzeitig auch neues Datenfutter für die Algorithmen, die weiter verbessert werden können", sagt Ballweber. Das ganze System ist laut aktuellem Stand gut verschlossen, muss zur gleichen Zeit für jeden Patienten und jeden Arzt trotz allem einfach freizugeben sein. Ein Widerspruch, der bis zum jetzigen Stand noch nicht geklärt ist.

Teaserbild: Smartphone mit Schloss vor der ePA // Quelle: Melvin Peters

Die Autoren:

Fabian Kanthak Vasquez

Fabian Kanthak Vasquez

Melvin Peters

Melvin Peters

 

 

 

 

 

 

 

 

Kommentar hinterlassen

Mit Absenden des Formulars erkären Sie sich mit der Speicherung und Verarbeitung der darin eingegebenen personenbezogenen Daten einverstanden. Weitere Hinweise dazu finden Sie in unserer Datenschutzerklärung.