Offener Brief zur elektronischen Patientenakte: "Wir haben erhebliche Bedenken"
Nach dem Fund erheblicher SicherheitslĂĽcken bei der elektronischen Patientenakte verfassen Vertreter der Zivilgesellschaft einen Brief an Karl Lauterbach.
(Bild: FOTO Eak/Shutterstock.com)
Nachdem Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress erhebliche Sicherheitslücken bei der elektronischen Patientenakte (ePA) demonstriert haben, die den Vollzugriff auf Akten aller 70 Millionen gesetzlich Versicherten ermöglicht hätten, wachsen Bedenken zum Start der ePA 3.0. Darum haben Vertreter aus der Zivilgesellschaft einen offenen Brief an Gesundheitsminister Karl Lauterbach verfasst, in dem sie unter anderem fordern, sich am Entwicklungsprozess der ePA einbringen zu dürfen. Außerdem äußern sie zum "jetzigen Zeitpunkt [...] erhebliche Bedenken" in Bezug auf den ePA-Start.
Digital Health abonnieren
Alle 14 Tage bieten wir Ihnen eine Ăśbersicht der neuesten Entwicklungen in der Digitalisierung des Gesundheitswesens und beleuchten deren Auswirkungen.
E-Mail-Adresse
Ausführliche Informationen zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten erhalten Sie in unserer Datenschutzerklärung.
"Die ePA in ihrem aktuellen Zustand auszurollen, ist angesichts ihrer besorgniserregenden Sicherheitsprobleme eine falsche Entscheidung. Denn die Behauptung, dass die ePA sicher ist, trifft nicht zu. Dass Bundesgesundheitsminister Karl Lauterbach dies wahrheitswidrig und unverfroren behauptet, leugnet die belegten und beweisbaren Schwachstellen", sagt Calvin Baus, Sprecher des Chaos Computer Clubs (CCC).
Schwächen ungelöst
Wesentliche Schwächen "im Umfeld der ePA" sind laut offenem Brief "weiterhin ungelöst, etwa Prozesse bei der Ausgabe von Gesundheitskarten. Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend", heißt es im offenen Brief. Begrüßt wird dabei die Bereitstellung einer Testinstanz sowie die Testphase. Es sei wichtig, Lücken bereits vor dem Start zu erkennen und nicht "wie bei ähnlichen Projekten in der Vergangenheit", erst im Betrieb.
Für den "langfristigen Erfolg" der ePA fordern die Akteure aus der Zivilgesellschaft die Umsetzung von fünf Maßnahmen. Zu diesen gehört, dass der Start in den Modellregionen nur unter zusätzlichen Sicherheitsmaßnahmen erfolgt, die transparent kommuniziert werden müssen. Eine weitere Forderung ist die ehrliche Kommunikation von Risiken, die die ePA birgt – denn Sicherheitslücken könnten nie zu 100 Prozent ausgeschlossen werden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
"Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten", heißt es dazu von der AG KRITIS, die ebenfalls zu den Mitzeichnern gehört.
Zu einer weiteren geforderten Maßnahme zählt, Kritik verschiedener Organisationen ernst zu nehmen, etwa die Kritik am veränderten Berechtigungsmanagement. Damit ist es Versicherten nicht mehr möglich, einzelne Dateien nur mit bestimmten Ärzten oder Institutionen zu teilen. Laut Thomas Moormann, Leiter Team Gesundheit und Pflege vom Verbraucherzentrale Bundesverband, der den offenen Brief ebenfalls unterzeichnet hat, müsse die ePA "zwingend" ermöglichen, dass Patienten selbst entscheiden können, welche Ärzte welche Diagnosen und Therapiemaßnahmen einsehen können.
Echtes Mitspracherecht fĂĽr die Zivilgesellschaft
Neben einem "offenen Prozess der Weiterentwicklung" und einen "größtmöglichen Nutzen für Versicherte", fordern die Verfasser ein "echtes Mitspracherecht" und zwar nicht nur für "einzelne Organisationen in den Gremien der Gematik". Zudem dürfe die ePA erst bundesweit eingeführt werden, wenn alle Beteiligten die Tests positiv bewerten. Ebenso sollen Experten aus Wissenschaft und Digitaler Zivilgesellschaft eine "belastbare Bewertung von Sicherheitsrisiken" vornehmen können, etwa durch die "Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates", wie aus dem Brief hervorgeht. Dazu sei es auch wichtig, dass die Arbeit der Sicherheitsexperten abgesichert ist. Unabhängige Sicherheitschecks müsse es demnach ebenfalls geben.
"Nur von einer sicheren ePA, die den konkreten Mehrwert für Patient:innen in den Fokus nimmt, profitieren wirklich alle. Zugleich sind einige Fragestellungen zur ePA gar nicht so leicht zu lösen: Während zum Beispiel eine vollständige Medikationsübersicht die Behandlung verbessern könnte, gehen aus ebendieser Liste sensible Informationen hervor, die Patient:innen nicht mit allen Ärzt:innen teilen möchten. Man denke an HIV-Medikamente oder Psychopharmaka. Das Beispiel zeigt: Um langfristig gute Lösungen zu etablieren, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden", erklärt dazu Manuel Hofmann, Referent Digitalisierung bei der Deutschen Aidshilfe.
Zu weiteren Mitzeichnern des offenen Briefs gehören unter anderem der Ärzteverband MEDI Baden-Württemberg, die Björn Steiger Stiftung, das Bündnis für Datenschutz und Schweigepflicht, der CCC, D64 – Zentrum für digitalen Fortschritt, die Deutsche Aidshilfe, der Innovationsverbund Öffentliche Gesundheit (InÖG) und das SUPERRR Lab.
(mack)
