1. Digitale Gesundheitsdaten
Geht es nach dem Willen des Gesetzgebers, sollen alle Krankenkassen bis zum Jahr 2021 ihren Versicherten eine elektronische Patientenakte (ePA) anbieten. Die ePA ist im Grunde genommen nichts anderes als eine zentrale Datenbank, in der Behandlungsdaten, Allergien, Medikamente und weitere Gesundheitsdaten landesweit einheitlich gespeichert werden sollen. Praxen und Krankenhäuser wären dann in der Lage, verstreut gespeicherte medizinische Daten zusammenzuführen bzw. untereinander auszutauschen.
Über eine digitale Gesundheitsakte (eGA) sollen Krankenversicherte die Gesundheitsdaten künftig über das Smartphone oder Tablet einsehen können. Damit wären Patienten in der Lage, Befunde, Laborergebnisse, Medikationspläne, aber auch Röntgen- und Ultraschallbilder jederzeit abrufen zu können. Das eGA-Konzept sieht vor, dass der Patient die alleinige Verfügungsgewalt über seine Akte hat – also bspw. selbst darüber entscheiden kann, welche Ärzte, Pflegeeinrichtungen etc. Zugriff erhalten.
Soweit die Theorie. In Wirklichkeit droht eines der wichtigsten Digitalisierungsthemen im Gesundheitswesen zum Desaster zu werden. Das liegt insbesondere daran, weil der Gesetzgeber es versäumt hat, rechtzeitig Vorgaben bzw. Standards für die Speicherung / Umgang mit den Gesundheitsdaten auszuarbeiten. Schlimmer: Über die eGA ermöglicht er diversen Anbietern sensible Gesundheitsdaten von Versicherten zu verarbeiten, ohne die dahinter liegenden Unternehmen, Verantwortlichen und deren Lösungen überhaupt ausreichend geprüft zu haben.
2. Der Wert von Gesundheitsdaten
Nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) zählen Gesundheitsdaten zu den besonders geschützten Daten. Flankiert wird diese Regelung von der ärztlichen Schweigepflicht, die es Ärzten untersagt, ihnen anvertraute Geheimnisse unbefugt an Dritte weiterzugeben. Diese Vorgaben dienen unmittelbar dem Schutz des persönlichen Lebens- und Geheimnisbereichs einer Person – also seiner Privatsphäre. Die wenigsten würden ihre Gesundheitsdaten einfach mit unbekannten Dritten teilen. Eher das Gegenteil: Gerade für Krebspatienten ist die Diagnose Krebs oftmals ein Schock. Viele Betroffenen verschweigen selbst engen Verwandten oder guten Freunden ihre Krankheit – die Gründe sind vielfältig.
Gesundheitsdaten sind also Daten, die für die meisten Menschen einen unschätzbaren Wert haben bzw. äußerst sensibel sind. Vor diesem Hintergrund müssen wir eigentlich alles tun, um die Privatsphäre von Patienten so gut wie möglich zu schützen. Das kann nur gelingen, wenn wir im Umgang mit Gesundheitsdaten die höchsten Anforderungen an Sicherheit und Datenschutz stellen.
3. Vivy-App und andere Schlampereien
Im September 2018 startete die »Gesundheits-App« Vivy, ein Tochterunternehmen der Allianz SE, die einen Anteil von 70% hält. Meine stichprobenartige Prüfung bescheinigte Vivy eine »Datenschutz-Bruchlandung«, die ebenfalls von Spiegel-Online aufgegriffen wurde.
Martin Tschirsich, von der modzero AG, hat meine Analyse sogar zum Anlass genommen, um sich Vivy und andere Gesundheits-Lösungen genauer anzuschauen. Seine Ergebnisse präsentierte er auf dem 35c3 Refreshing Memories in einem Vortrag »All Your Gesundheitsakten Are Belong To Us«. Unter anderem hat er die Lösungen Vivy, Vitabook, meinarztdirekt.de, TeleClinic, TK-Safe und CGM Life analysiert. Aus dem Vortrag lässt sich ableiten: Fast alle Anbieter von Gesundheitsakten und Telemedizindiensten machen einfache Fehler bei der Umsetzung, die sich ohne tiefere Analyse auffinden lassen. Dazu zählen:
- Einsatz veralteter bzw. unsicherer kryptografischer Primitiven
- Unsichere Speicherung von Passwörtern
- Mangelnde Filterung von Benutzereingaben
- Fehlender Schutz vor Brute-Force-Angriffen
- […]
Im Jahr 2019 sind all diese Probleme bzw. Einfallstore eigentlich hinlänglich bekannt, dennoch werden diese Fehler in der Konzeption und Umsetzung ständig wiederholt. Das zeigt erneut, dass eine sichere Softwareentwicklung nach dem Security-by-Design-Prinzip noch immer kaum Anwendung findet. Oder wie hat es Martin in seinem Vortrag trefflich beschrieben:
Die sind noch nicht einmal auf dem Niveau von Online-Banking.
Vor diesem Hintergrund sollten wir uns noch einmal vor Augen führen, dass all diese Anbieter mit sensiblen Gesundheitsdaten arbeiten! Es ist daher mehr als unverständlich, wenn immer mehr Krankenkassen auf den »Vivy-Zug« aufspringen. Insbesondere bei Vivy handelt es sich nach meiner Auffassung um eine hingeschluderte Lösung mit einem Sicherheitsniveau, das mit der positiven Außendarstellung des Unternehmens bzw. der Anzahl der »Sicherheitszertifikate« wenig gemein hat. Da helfen auch keine Penetrationstests, denn diese sind, obwohl notwendig, kein Allheilmittel für Sicherheitsmängel. Die fehlende Berücksichtigung von Informationssicherheit in der Entwicklungsphase kann später nur schwer oder gar nicht mehr korrigiert werden.
Man wird daher den Eindruck nicht los, dass Krankenkassen eher aus der Not heraus Lösungen wie Vivy einsetzen, weil sie dem Druck des Gesetzgebers ausgesetzt sind, ihren Versicherten einen digitalen Zugriff auf ihre Gesundheitsdaten zu ermöglichen. Alternativen zu Vivy sind bisher leider rar – dennoch ist das nach meiner Auffassung kein Grund, eine Lösung zu unterstützen, die mit solch schweren Mängeln zu kämpfen hat. Letztendlich liegt die Verantwortung damit beim Versicherten, der auf solche Lösungen besser verzichten sollte.
4. Smartphone grundsätzlich ungeeignet
Grundsätzlich kann man den Zugriff auf Gesundheitsdaten via Smartphone sowieso in Frage stellen. Diese Systeme sind einfach nicht dafür konzipiert, um solch sensible Daten zu verarbeiten. Da hilft auch kein schönreden oder wegdiskutieren.
Beinahe 90% der Smartphone-Nutzer weltweit setzen ein Android-Gerät ein. Allerdings hat die Android-Welt mit einem Riesenproblem zu kämpfen: Benutzer können oftmals keine Sicherheitsupdates einspielen. Einige Smartphone-Hersteller schaffen es einfach nicht, zeitnah Updates für ihre herstellerspezifischen Android-Versionen bereitzustellen oder unterstützen ältere Geräte einfach aus Kostengründen nicht mehr. Damit entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele Geräte anfällig für kritische Sicherheitslücken macht.
Aufgrund der weltweiten Verbreitung von Android (ca. 3 Milliarden Geräte) ist die Suche nach Android-Schwachstellen für Angreifer daher besonders interessant bzw. lukrativ – über eine solche Schwachstelle bzw. Sicherheitslücke sind Angreifer unter anderem in der Lage, die vollständige Kontrolle über das Gerät zu erlangen, den Nutzer auszuspionieren oder unbemerkt Daten abfließen zu lassen.
Eine Entdeckung einer kritischen Schwachstelle würde bereits genügen, um auf einen Schlag Millionen von Geräte verwundbar zu machen. Solche schwerwiegenden Schwachstellen sind nicht gerade selten, sondern treten in regelmäßigen Abständen auf. Allein im Jahr 2018 wurden 611 Schwachstellen in Android identifiziert – im Jahr 2017 sogar 842.
Wie ernst die Lage ist, zeigen drei aktuelle Schwachstellen (CVE-2019-1986, CVE-2019-1987 und CVE-2019-1988), die Google mit dem Februar-Update 2019 geschlossen hat:
The most severe of these issues is a critical security vulnerability in Framework that could allow a remote attacker using a specially crafted PNG file to execute arbitrary code within the context of a privileged process.
Das Öffnen bzw. das Anzeigen eines präparierten Bildes im PNG-Format reicht bereits aus, dass ein Angreifer Schadcode zur Ausführung bringen kann – bis hin zur Übernahme des Systems.
Die Frage lautet daher: Wollen wir wirklich sensible Gesundheitsdaten auf Smartphones verarbeiten bzw. speichern? Angesichts der im Internet frei verfügbaren Exploits, mit denen ungeschützte bzw. veraltete Android-Versionen aus der Ferne übernommen werden können, halte ich das für eine ganz schlechte Idee.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
5. Fazit
Die ePA ist bereits auf dem Weg – der Gesetzgeber will es so. Zumindest aktuell ist die Verwendung der ePA noch freiwillig. Dazu zählt ebenfalls die Abfrage bzw. Verwaltung der Gesundheitsakte mittels Smartphone-App. Die Frage lautet allerdings: Wie lange noch? Ob es bei der Freiwilligkeit nämlich bleibt, ist unklar. Denn wenn die ePA irgendwann der Standard in Krankenhäusern und Arztpraxen ist, werden Ärzte und Patienten die zentrale Datenspeicherung nutzen müssen.
Interessant in diesem Zusammenhang ist auch, dass die gematik die Spezifikationen und Zulassungsverfahren für die Komponenten und Dienste zur ePA erst im Dezember 2018 veröffentlicht hat. Für Vivy gelten die »strengen« Zulassungsverfahren allerdings nicht, weil die App unter die Kategorie elektronische Gesundheitsakte (eGA) fällt, die davon nicht erfasst wird. Die ePA ist also nicht gleichzusetzen mit der eGA. Der Gesetzgeber lässt hier also bewusst eine »Lücke« bzw. setzt unterschiedliche Maßstäbe. Verrückt. Überhaupt kann man den Eindruck gewinnen, dass es der Gesetzgeber ganz eilig hat. Wie sonst sind die angedrohten Sanktionen der Kassenärztlichen Bundesvereinigung (KBV) zu erklären, die Praxen bzw. Ärzte betreffen, wenn sich diese nicht an das »sichere« elektronische Gesundheitsnetz (Telematikinfrastruktur) anschließen lassen:
Sie müssen spezielle, für die TI zertifizierte Komponenten bestellen und anschließen lassen, sonst drohen Honorarabzüge von einem Prozent.
Aktuell rate ich davon ab, eine Gesundheits-App wie Vivy auf dem Smartphone zu benutzen. Die Gefahr ist einfach zu groß, dass sensible Gesundheitsdaten in die Hände unbefugter Dritter gelangen. Ob und wie sich die Situation in den nächsten Jahren verbessern wird ist aktuell schwierig zu beurteilen. Fakt ist: Wenn wir nicht über Maßnahmen wie eine Meldepflicht für IT-Sicherheitslücken nachdenken oder eine erweiterte Produkthaftung im Umgang mit Gesundheitsdaten einführen, werden weitere hingeschluderte Lösungen den Markt erobern – darauf können die Millionen von Versicherten herzlich gerne verzichten.
Anders als es uns die ePA oder eGA vorgaukelt, werden wir bei der digitalen Verarbeitung von Gesundheitsdaten niemals die Kontrolle haben, wer unsere Daten zusammenführt und für welche Zwecke diese verwendet werden. Von dieser illusorischen Vorstellung sollten wir uns im Jahr 2019 ehrlicherweise verabschieden.
Bildquellen:
eHealth: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
17 Ergänzungen zu “Elektronische Gesundheitsakte: Das gefährliche Spiel mit den Gesundheitsdaten”
Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Angenommen, man geht ins Krankenhaus. Soll man dort sein Smartphone mit sämtlichen Zugangscodes (PIN, Verschlüsselungscode, Zugang zur ePA) abgeben? Dort wird man nicht nur von einem Arzt behandelt, sondern es sind mehrere Abteilungen beteiligt. Die ganze Sache ist nicht bis zu Ende gedacht.
wozu willst du da dein Smartes Phone abgeben Albert ?
Brauchst du doch garnicht dank Bluetooth Wlan NFC ( was bei den meisten „Doofen“ immer an ist und selbst wenn man nicht zu den „Doofen“ gehört reicht eine unachsam installierte App und der Müll ist wieder an )
wenn du den Artikel aufmerksam gelesen hast dürfte dir auch klar sein, wenn du das Krankenhaus betrittst und an der Anmeldung deinen Namen sagst oder noch besser deine gechipte Gesundschüffelkarte zeigst haben die sofort Zugriff auf deine Daten
Selbst wenn du als Fleischklumpen in der Notaufnahme eingeliefert wirst, reicht irgendein identifikationsdokument oder chip oä.
:)
Wer nicht ansprechbar ist, kann und muss sich auch nicht identifizieren (Behandlungspflicht).
Im echten Notfall werden keine Karten, PINs, Smartphones o.ä. gesucht, dann werden bewährte Standardabläufe durchgeführt. Auch Blutgruppen u.ä. werden nicht nicht in (eventuell) fehlerhaften Dokumenten gesucht, sondern vom Behandler bestimmt (Haftungsrisiko).
Hier hilft auch folgende „leicht auslesbare Gesundheitsdatenquelle.“
https://www.bundesanzeiger-verlag.de/pharma/fachliteraturprodukte/europaeischer-notfallausweis.html
Auf der eGK kann man FREIWILLIG sogenannte Notfalldaten speichern lassen, auf die (fast) JEDER zugreifen kann, da diese für einen schnellen Zugriff NICHT besonders geschützt sind!
Wer hier vorbeugen will, ist m.E. mit dem Notfallausweis besser bedient.
Es zeichnet sich ab, dass man von einer (vermeintlich) sicheren Blackbox-Telematikinfrastruktur ( TI) mit der elektronischen Gesundheitskarte (eGK) zu Smartphoneanwendungen wechsel will.
Mit einer PIN sollte man FREIWILLIG bei eingelegter eGK den Zugriff auf die eigenen Daten ermöglichen.
Im Krankenhaus hätte man damit für ALLE dortigen Behandlungen einmalig für ALLE an der Behandlung Beteiligten eine PIN-freigabe erteilt.
Zusatzbemerkung1: Auf der eKG werden bzw. sollen NUR die letzten 50 (!) Zugriffe auf die Daten NICHT REVISIONSSICHER gespeichert werden.
Was dies bedeutet, ist klar; keine Kontrolle für den Versicherten!
Zusatzbemerkung2: Ursprünglich sollten die Versicherten an Spezial-„Terminals“ , ähnlich Bankautomaten, ihre Daten und die Zugriffe überprüfen können.
Davon war allerdings nur in den Hochglanzprospekten für die Genehmigungsphase die Rede.
Sollte es „JEMALS“ (also in absehbarer Zeit=3-5 Jahre) verpflichtend sein ein Smartphone zu besitzen, für Bezahlvorgänge oder Arztbesuche, werde ich mein Gerät zertrümmern. Mir geht diese unsagbare Fixierung auf dieses Gerät auf die nerven.
Stand heute sind die meisten Praxen und Krankenhäuser noch nicht annähernd genug digitalisiert und vernetzt um alle Daten in eine ePa oder eGa fließen zu lassen. Ich denke 2021 ist ein sehr ambitioniertes Ziel für die Umsetzung, dass sich wahrscheinlich wie andere bekannte Projekte doch noch deutlich verzögern wird.
Zum Glück, kann man da nur sagen!
Man sollte wieder öfters den normalen Menschenverstand einschalten!
Welche Branchen profitieren von kranken Menschen bzw. „fördern“ Krankheiten (Pharmaindustrie, Medizintechnik, Krankenhäuser, mittlerweile auch IT-Industrie, Lebensmittelindustrie, Zuckerindustrie, Fast-Food-Ketten, Autoindustrie, Energiewirtschaft u.v.m.).
Die Ärzteschaft zwar auch, allerdings erst am Ende der Kette.
Es wäre einfacher und viel günstiger für den Staat, d.h. für die Beitragszahler, wenn die Produkte obiger Branchen und deren Herstellung einfach nur gesünder wären!
Aber das will MAN anscheinend nicht.
Nicht zu vergessen sind Investoren, die mittlerweile Ärztezusammenschlüsse, Krankenhäuser, Pflegeheime usw. aufkaufen.
Siehe dazu:
my DRG Themenseite
Digitalisierung im Krankenhaus Informationstechnologie und IT-Sicherheit in der Medizin
https://www.mydrg.de/myDRG_archives/it_in_der_medizin/index.html
Eine Bekannte von mir (Arzthelferin) fragte neulich, ob ich nicht zufällig noch ein externes Diskettenlaufwerk zu Hause habe. Das Laufwerk in deren Praxis-PC sei kaputt und die können die Privatpatienten nicht mehr abrechnen.
Ich glaube dort braucht man keine Angst vor der eGK / eGA haben…
Was mir gerade nicht klar ist:
Sind ePA und/oder eGA die ominöse Telematik-Infrastruktur? Oder sind das nur zwei Möglichkeiten dieser?
Die Telematikinfrastruktur (TI) ist die Grundlage für eine ganze Reihe von Funktionen:
– elektronische Gesundheitskarte (eGK)
– elektronischer Arztbrief (eArztbrief)
– elektronischer Medikationsplan (eMP)
– elektronische Patientenakte (ePA)
– elektronisches Patientenfach
Ein kleines Weiterbildungsprogramm, wer möchte:
Politische Akteure
Forum der Landes-Gesundheitsminister
https://www.epa-forum.de
https://www.heise.de/newsticker/meldung/Patientenakte-EU-hofft-auf-Zugriff-ueber-Grenzen-hinweg-4299176.html
Wirtschaftliche Akteure
Übersicht über alle bundesweiten Bestrebungen !!!
https://egesundheit.nrw.de/wp-content/uploads/2013/09/Projektuebersicht_elektronische_Akten_deutschlandweit.pdf
https://e-health-com.de/
Eine ergiebige Quelle bietet
https://www.heise.de/suche/?q=
Hier anschließend infragekommende Suchbegriffe eingeben, wie
Gesundheitskarte, Gesundheitsakte, Patientenakte, Telematikinfrastruktur (TI) , Bertelsmann, Arvato,
Atos (Big data Berater der Bundesregierung, TI-Zertifizierungsdienst), Cisco (Gesundheitsakte AOK), IBM (Gesundheitsakte TK), Compugroup (Marktführer Praxisverwaltungssysteme, Provider, Apothekensoftware u.v.m.), CSC (EX-AG von Edward)
Datenschutz u.a. im Gesundheitswesen
https://www.stoppt-die-e-card.de/
https://ddrm.de/category/alle_beitraege/
https://patientenrechte-datenschutz.de/
Die schonungslose Wahrheit über unser Gesundheitswesen und die Akteure
(auch in Bibliotheken teilweise ausleihbar)
http://blog.renatehartwig.de/
http://der-marktgerechte-patient.org/index.php/de/
Also wenn ich mir überlege, wie oft allein in den letzten zwei Jahren Meldungen über irgendwelche Viren oder Würmer oder was auch immer durch die Presse gingen, dann kommt mir das kalte Grausen. Die Krankenhäuser haben jetzt schon nicht genug Computerkenntnisse, um die Administration von derartigen System und elektronischen Akten durchzuführen, sondern es kommt bereits zum Stillstand, wenn so ein Wurm verschickt wird. Vieles basiert wahrscheinlich auch auf Windows.
Außerdem sollte sich ein Krankenhaus und die ganze Branche in den nächsten Jahren lieber Gedanken darüber machen, wie man man mehr Pflegepersonal bekommt und auch noch gut bezahlt. Sollen etwa jetzt auch noch die Angestellten die Verantwortung für komplexe IT-Systeme bekommen?
Und dann nur ein Wurm oder was auch immer und alle Daten des Krankenhauses über Krankheiten und Medikamente und Allergien fließen sonstwo hin. Das ist genau so ein Szenario, was dann nämlich kommen wird. Ich weiß auch nicht, mit wem man da reden soll, um diesen ganzen Unfug entweder sofort einzustampfen oder mit einem deutlich verbesserten Konzept auszustatten.
Die Idee der Gesundheitskarte an sich ist sehr gut, aber es fehlt ein politisch vorgegebener maximal hoher Sicherheitsstandard. Für viele Rentner, „Behinderte“ usw. wäre das ein praktisches Mittel um nicht zwischen allen Ärzten und Krankenhäusern rumzurennen o. -fahren.
Die Nutzung müsste aber auf jeden Fall freiwillig sein und bleiben! Eine PIN zur Entschlüsselung der Daten vor Ort, die man selbst setzen muss, müsste Voraussetzung sein. Nur vom Patienten frei gegebene Daten dürften auf der Chipkarte aufbewahrt werden.
Wenn ich meinen eigenen Kommentar so lese, fühle ich mich so naiv optimistisch, doch man möchte schließlich die Hoffnung nicht aufgeben :)
Unter dem Thema eHealth Forum Freiburg gibt es am Sa. 06. April 2019 in der Kassenärztlichen Vereinigung BW einer Konferenz.
eHealth Forum Freiburg
Kongress zur digitalen Medizin-Welt
Digitalisierung – Mehrwert oder Mehraufwand für die Praxen?
eHealth Forum Freiburg
Siehe dazu auch den dort verlinkten Flyer (PDF). Nachmittag wird u.a. Vivy vorgestellt.
Frage:
Nur über solche Geräte und den damit verbundenen einschlägig bekannten Betriebssystemen? Oder auch mit einem ganz normalen Linux-PC?
Martin
Die können ihre Daten überall wo so ein Teil rumliegt einsehen, also auch an der Supermarktkasse und über den GrossBild oder GigantoBildfernseher des Nachbarn Dank NFC Bluetooth und Wlan
OS der Datenpräsentationsendgeräte ist dabei sekundär
Der Weg ist
Erfassung der GrundDaten per NFC durch die PrimärschnüffelHardware -> Abgleich mit BigDataservern über WLan ->eindeutige Identifikation mittels FindFace und Rekognition -> Übermittlung der Daten an alle verfügbaren Präsentaionsendgeräte über alle vorhandenen Schnittstellen -> übertragung der peinlichsten und sensibelsten Daten an den GigantoBildfernseher des Nachbarn
( Das ist nur Spass aber ich befürchte das ist garnicht so weit weg von der Realität )
:)
Heute habe ich gelesen, dass diverse Gesundheits-Apps (aber auch andere Apps) unerlaubt sensible Daten an Facebook weiterleiten. Ich frage mich daher, wie kann es sein, dass solche Datenlecks programmiert werden und sich niemand darum kümmert? Was ist denn aus den Nutzern dieser Apps geworden? Hat keiner mehr Sinn für seinen eigenen Datenschutz?