heise PlusAbo
Anzeige

Elektronische Patientenakte kommt ab 29. April flächendeckend

Das Bundesgesundheitsministerium hält die nachgewiesenen Sicherheitsprobleme für behoben. Die Widerspruchsrate liegt weiter bei etwa fünf Prozent.

vorlesen Druckansicht 118 Kommentare lesen
Ein Arzt mit einem Stethoskop um den Hals hält einen Papierstapel. Vom Arzt ist nur der Oberkörper im weißen Kittel und zwei Hände zu sehen, die den Papierstapel tragen.

Die seit Jahren entwickelte elektronische Patientenakte soll eine Menge Papierkram sparen.

(Bild: Billion Photos/Shutterstock.com)

Lesezeit: 4 Min.
Von
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In zwei Wochen wird es ernst mit der elektronischen Patientenakte (ePA): Nach einer mehrmonatigen Testphase in Modellregionen soll ab dem 29. April der bundesweite Roll-Out beginnen. Am Dienstagabend hat das Bundesministerium für Gesundheit (BMG) die für die Umsetzung zuständige Gematik per Brief aufgefordert, die ePA ab dem Stichtag bundesweit zur Verfügung zu stellen.

Mit der ePA soll fĂĽr die knapp 75 Millionen gesetzlich Versicherten die Gesundheitsversorgung maĂźgeblich verbessert werden, so die Hoffnung der Verantwortlichen. "Nach ĂĽber zwanzig Jahren ist es jetzt an der Zeit, in die entscheidende Phase einzutreten", heiĂźt es in dem Schreiben des scheidenden Bundesgesundheitsministers Karl Lauterbach (SPD).

Wer die ePA für sich oder Mitversicherte wie etwa Kinder nicht will, muss bei seiner Krankenkasse widersprechen. Dies ist grundsätzlich formlos möglich, sollte aber eindeutig formuliert sein. Auch Teilwidersprüche, etwa gegen die Weitergabe pseudonymisierter Daten für Forschungszwecke durch Dritte wie die Pharmaforschung, sind möglich. Bislang hat etwa jeder 20. gesetzlich Versicherte von dieser “Opt out”-Möglichkeit Gebrauch gemacht.

Lesen Sie auch

Ministerium: Sicherheitsprobleme gelöst

"Die Sicherheit der ePA steht an vorderster Stelle", heißt es in Lauterbachs Brief an die Gematik weiter. In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seien weitere Sicherheitsmaßnahmen umgesetzt worden, die eine Voraussetzung für die bundesweite Nutzung wären.

Wie sicher die ePA in Konzeption und Umsetzung aber tatsächlich ist, darüber wurde lange diskutiert. Die Gematik, BSI und BMG hatten bereits im vergangenen Herbst betont, dass das System sicher sei. Peinlich für die Beteiligten: Zu diesem Zeitpunkt hatten Sicherheitsforscher aus dem CCC-Umfeld bereits mehrere Sicherheitslücken ausfindig gemacht.

Eine davon hätte einen großflächigen Angriff auf die ePA-Daten ermöglichen können, was bei den Betreibern zu hektischen Nacharbeiten geführt hat und eine Verlängerung der Testphase, die ursprünglich nur bis Mitte Februar gehen sollte, zur Folge hatte.

Während dieser betrieb die Gematik die ePA nur mit einer Allowlist, einer Positivliste für die zugelassenen sogenannten Institutionskarten. Außerdem soll laut Gematik "die Verschlüsselung der Krankenversichertennummer (KVNR) das Durchprobieren zufälliger ICCSN ohne Kenntnis der dazugehörigen KVNR” verhindern.

Sicherheitsfragen bleiben

Auch die Anzahl der Autorisierungen für den ePA-Zugriff soll künftig auf eine plausible Größenordnung beschränkt werden, um unberechtigte Zugriffe zu vermeiden. Aus Sicht der Betreiber ist das Großangriff-Szenario auf die ePA nun ausgeschlossen.

Ob damit aber tatsächlich alle Lücken geschlossen sind, ist unklar. Noch vor wenigen Tagen kritisierten die CCC-nahen Sicherheitsforscher, dass es weiterhin keine technische Prüfung der Zugriffsberechtigung stattfinden würde. Wer aber einmal Zugriff auf eine ePA erlange, komme an die individuellen Patientendaten heran, bemängeln sie.

Die Daten liegen grundsätzlich zentral bei den Krankenkassen für ihre jeweiligen Versicherten. Ob die Daten dort gegen Akteure wie fremde Nachrichtendienste tatsächlich sicher genug geschützt sind, bleibt offen: Solche Angriffsszenarien gelten bei politischen Verantwortungsträgern erst seit Kurzem als realistisch.

Videos by heise

Für Ärzte und Krankenhäuser Pflicht

Die ePA soll nach dem Willen des Gesundheitsministeriums in den kommenden Monaten nun großflächig eingesetzt und mögliche bisher nicht erkannte Probleme identifiziert werden. Befunde aus Arztpraxen und Krankenhäusern sollen ab Ende April zunehmend automatisiert aus den Praxis- und Krankenhausverwaltungssystemen in die Akte geschrieben werden, wenn mit der Gesundheitskarte die Freigabe erteilt ist.

Ab dem 1. Oktober soll die Befüllung der elektronischen Patientenakte für Leistungserbringer wie Ärzte und Krankenhäuser verpflichtend sein, ab Beginn des kommenden Jahres dann sogar strafbewehrt: Wer als Leistungserbringer für GKV-Versicherte dann nicht mitmacht, soll zur Kasse gebeten werden. Ob diese Frist tatsächlich zu halten sein wird, ist angesichts der Erfahrungen in den Testregionen offen.

Die digitale Akte wird von den Krankenkassen verwaltet. Auf die Inhalte allerdings sollen diese nicht zugreifen können. Grundsätzlich können die Versicherten in der ePA-App ihrer Krankenkasse selbst die Inhalte verwalten. So lassen sich etwa Arztbriefe, Entlassungsscheine, Medikationspläne oder Befunde löschen oder verbergen. Auch können Patienten einzelne Akteure wie Arztpraxen sperren oder der Speicherung von Daten im Einzelfall widersprechen.

(vbr)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten