eGA, ePA & Co - Wie sicher sind elektronische Akten?
Bereits im letzten Jahr sind mehrere elektronische Gesundheitsakten an den Start gegangen. IT-Sicherheitsexperten schlugen jedoch Alarm und kritisierten das Sicherheitskonzept der eGAs. Das löste auch Spekulationen darüber aus, wie es um die Sicherheit der elektronischen Patientenakten bestellt ist.
Im Dezember 2018 hat die gematik die gesetzlich geforderten Spezifikationen, Zulassungsverfahren und Feldtestkonzepte für elektronische Patientenakten (ePA) nach Paragraf 291a SGB V veröffentlicht. Einige Krankenkassen wollten darauf nicht warten und sind bereits im letzten Jahr mit sogenannten elektronischen Gesundheitsakten (eGA) an den Start gegangen, die sie ihren Versicherten als Satzungsleistung bereitstellen. Gesetzliche Grundlage dafür ist der Paragraf 68 SGB V. Die Nutzung durch den Arzt ist allerdings freiwillig.
Beide Akten fungieren als eine Art Sammelstelle für Gesundheitsdaten, die orts- und zeitunabhängig allen an der Behandlung Beteiligten zur Verfügung gestellt werden können und vom Patienten geführt werden. Die Akten enthalten Patientendaten wie Diagnosen, Therapieempfehlungen, unverträgliche Medikamente usw. in elektronischer Form und auch Dokumente wie Arztbriefe, Befunde, den elektronischen Medikationsplan, Laborwerte, den Mutterpass oder Impfpass, Ultraschall- oder Röntgenbilder. Die Hoheit über die Daten bleibt beim Patienten. Er bestimmt, welcher Arzt auf welche Daten Zugriff hat.
Im vergangenen Jahr haben sich Ärzte und Krankenkassen mit der Bundesregierung auf ein Grundkonzept für die elektronische Patientenakte geeinigt. ePAs sollen vor allem dabei helfen, den Datenaustausch über Sektoren und fachliche Grenzen hinweg zu verbessern. Daher ist eine einheitliche und vernetzte Aufbereitung der Informationen sowie eine Einbindung in Standards notwendig, die jetzt von der gematik vorgelegt wurde. So kann der Arzt auf verschiedene ePAs zugreifen – unabhängig vom Anbieter. Und auch der Wechsel in eine ePA einer anderen Krankenkasse ist für den Versicherten problemlos möglich.
Sicherheitsprobleme bei den Gesundheitsakten
Bei den im vergangenen Jahr stark voran getriebenen Gesundheitsakten schlugen IT-Sicherheitsexperten Alarm und kritisierten das Sicherheitskonzept der eGAs. Das löste auch Spekulationen darüber aus, wie es um die Sicherheit der elektronischen Patientenakten bestellt ist.
Auf dem Chaos Communication Congress äußerten Fachleute Kritik: Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen. Bei einer der Akten können Patienten Dokumente in eine Cloud hochladen. Dabei wird ein Onlinelink mit einem fünfstelligen Buchstabencode generiert, den die Patienten dann an den behandelnden Arzt weitergeben. Dieser Code sei zu leicht zu knacken, so die IT-Experten. Auch andere elektronische Akten fielen in Sachen Sicherheit durch und auch die Verwaltung der Akten mit Tablets oder Smartphones stellte sich als anfällig für Angriffe heraus.
ePAs haben höheren Sicherheitsstandard
Etwas anders sieht es bei den elektronischen Patientenakten (ePA) aus, versichern Vertreter der gematik. Krankenkassen sind ab dem Jahr 2021 verpflichtet, diese Aktenart anzubieten. Im Unterschied zu den Gesundheitsakten müssen die ePAs das Einhalten vorgegebener Sicherheitsstandards gegenüber der gematik beweisen. Allein dieser Umstand dürfte für mehr Sicherheit sorgen.
Fachleute diagnostizierten das Hauptproblem bei den getesteten Gesundheitsakten nicht etwa in den Verschlüsselungsmechanismen, sondern in der Implementierung. So war der fünfstellige Buchstabencode zu einfach zu knacken, was den Testern keinen Zugriff auf Gesundheitsdaten, aber immerhin auf Metadaten ermöglichte, die Rückschlüsse auf die Person zuließen. In Arztpraxen bemerkten die Experten außerdem Probleme mit der Schlüsselgenerierung.
Diese Probleme soll es mit den ePAs nicht geben. Der Hauptunterschied: Es gibt in der Telematikinfrastruktur den Konnektor für die Datenverschlüsselung. Damit ist die Kommunikation der Patientenakte mit der Arztpraxis gesichert.
Die Vorgehensweise bei den ePAs
Was die Datensicherheit angeht, so agieren die ePAs tatsächlich auf einem anderen Sicherheitsniveau, denn der gematik obliegt die Spezifikation der einzelnen Komponenten. Auch die verschiedenen Zugriffsvarianten, die App des Versicherten oder der Konnektor, mit dem der Arzt auf die ePA (Frontend) zugreift, müssen eine Prüfung durchlaufen. Ist diese erfolgreich, erhalten sie eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnologie. Die Datenspeicher (Backend) werden wiederum durch von der gematik zugelassene Sicherheitsgutachter in Bezug auf ihre Sicherheit geprüft. Im Backend werden ausschließlich verschlüsselte Daten gespeichert. Ist eine ePA erst einmal sicher implementiert, erfolgt ein regelmäßiges Sicherheitsmonitoring. Diese Maßnahmen und Vorgaben zusammengenommen, schaffen gute Voraussetzungen, um elektronische Patientenakten ausreichend sicher zu machen.
Sicher ist auch, dass die Gesundheitsakten nur eine Übergangslösung sind. Jetzt da die Interoperabilitätsfestlegungen zur ePA durch die gematik getroffen worden sind, müssen die Krankenkassen diese Grundlagen auch bei den von ihnen finanzierten Akten berücksichtigen. Dazu sind entsprechende Übergangs- und Migrationsregelungen geplant.
Ergänzung am 21.02.2019
Der Bundesverband Gesundheits-IT hat in einer aktuellen Pressemitteilung die schnelle und effektive Umsetzbarkeit der ePA-Spezifikation der gematik bezweifelt. Einerseits hilft die ePA in der "momentanen Ausgestaltung weder Patienten noch Leistungserbringern wirklich, da sie lediglich ein Speichermedium für Dokumente darstellt". Weiterhin wird bemängelt, dass die gematik IHE-Profile in der Spezifikation so verändert hat, dass eine IHE-konforme Verwendung unmöglich ist. Insgesamt gehen die Hersteller von IT-Lösungen im Gesundheitswesen von einer zeit- und ressourcenintensiven Umsetzung der Spezifikation aus. Die vollständige Pressemitteilung des bvitg finden Sie hier.
Weitere Informationen
- Chaos Computer Club: All Your Gesundheitsakten Are Belong To Us
- BSI: ISO 27001-Zertifikate auf der Basis von IT-Grundschutz
- gematik: Einheitliche elektronische Patientenakte für das deutsche Gesundheitssystem
- Ärzteblatt: Die Gesundheitsakte ist eine Übergangslösung
- Letter of Intend zur ePA zwischen GKV-SV, KZBV und KBV
- Faktenblatt zur ePA herausgegeben von der gematik