Besuchen Sie uns auf der it-sa 2024!
Home>
Schutz von Patientendaten hat Priorität
SECURITY INSIGHTS | 6. April 2020
Die Digitalisierung vereinfacht Medizinern den Zugriff auf Patientendaten und sorgt damit für mehr Effizienz im Gesundheitswesen. Gänzlich unproblematisch gestaltet sich die digitale Transformation aber auch in diesem Bereich nicht.
Der Schutz von Patientendaten ist nicht erst seit der Digitalisierung des Gesundheitswesens ein heikles Thema – schon seit der Antike beschäftigen sich Ärzte mit dem korrekten Umgang von sensiblen Informationen. So ist die ärztliche Schweigepflicht bereits im hippokratischen Eid verankert und stellt darin sicher, dass Mediziner die Informationen von Patienten nicht an Dritte weitergeben dürfen. Damit schützt diese ethische Richtlinie die Privatsphäre des Einzelnen sowie das Recht auf informationelle Selbstbestimmung, das in Deutschland von der Verfassung vorgegeben ist.
In Zeiten der digitalen Transformation gewinnt der Schutz von Patientendaten zunehmend an Relevanz. Während früher sensible Gesundheitsdaten dem Ohr des behandelnden Arztes vorbehalten waren und die Archivierung mittels analoger Aktenordner erfolgte, sind heutzutage nahezu alle Informationen zu Patienten, Behandlungen und Medikationen digital gespeichert. Es genügen damit schon wenige Klicks, um diese Datensätze weiterzuleiten, zu vervielfältigen oder zu manipulieren. Der Zugriff zu sensiblen Patientendaten muss daher unbedingt streng kontrolliert und reglementiert sein.
In Deutschland ist beispielsweise der vollständige Zugriff auf die Daten in der neuen elektronischen Patientenakte (ePA) nur für die betreffenden Patienten vorgesehen. Sie sollen selbst bestimmen, welche Ärzte, Apotheker, Pflegekräfte oder auch Krankenkassen Zugang auf die dort hinterlegten Informationen erhalten. Nach den Plänen des Bundesgesundheitsministeriums werde die ePA das Fundament des digitalisierten Gesundheitswesens bilden. Mit Zustimmung des jeweiligen Patienten speichert der neue Dienst detaillierte Informationen zu Befunden, Diagnosen, Therapiemaßnahmen, Behandlungsberichten, Impfungen, Medikationsplänen und mehr.
In der Praxis erhofft man sich durch die Digitalisierung dieser Daten erhebliche Effizienzsteigerungen im Gesundheitswesen. Beim Wechsel des Hausarztes stehen dadurch etwa die erforderlichen Informationen zur Behandlung ohne viel Aufwand zur Verfügung. Ebenso sollen Ärzte dank der ePA überflüssige Untersuchungen und damit auch Zusatzkosten vermeiden. Die Einführung der elektronischen Patientenakte ist für das Jahr 2021 geplant.
Gesundheitsdaten werden heutzutage aber nicht mehr nur in Kliniken, Arztpraxen oder Apotheken aggregiert und festgehalten. Viele Bürger tragen ihre persönliche Gesundheitsdatenbank in ihrer Hosentasche mit sich herum. Fitness-Tracker und Smartwatches erfassen jeden zurückgelegten Meter, zählen Kalorien, erfassen Schlafmuster und manchmal sogar die Herzfrequenz. All diese Daten werden zur Verarbeitung per Bluetooth an das Smartphone übertragen. Von dort aus gelangen die Informationen meist noch zur weiteren Auswertung in die Cloud der Hersteller.
Für den Schutz dieser privat aggregierten Daten sind die einzelnen Anwender sowie die Hersteller der Geräte und Dienste verantwortlich. Allerdings machen sich nur wenige Anwender die Mühe, die meist umfangreichen AGB der Anbieter zu kontrollieren. Im Zweifelsfall riskieren sie dadurch die unbewusste Weitergabe von gemessenen Vitalwerten an Dritte, die diese Datensätze wiederum gewinnbringend weiterverkaufen. So eigenen sich die Informationen mitunter für die Erstellung detaillierter Nutzerprofile.
Ebenfalls problematisch gestaltet sich die Absicherung der Geräte selbst. Speziell im Niedrigpreissegment werden sowohl Fitness-Tracker als auch Smartphones oftmals nur spärlich mit Updates versorgt. Der aufwändige Software-Support ist mit den geringen Margen am Markt nicht vereinbar. Daher ist es keine Seltenheit, wenn sensible Gesundheitsdaten auf veralteter Software verarbeitet werden, die keinen verlässlichen Schutz gegen Angriffe von außen bietet.
Um den Verbraucher und seine Daten auch auf privaten Diensten und Geräten zu schützen, sind daher strenge regulatorische Vorgaben erforderlich. Dasselbe Maß an Datenschutz und Datensicherheit, das vom Gesundheitswesen abverlangt wird, muss auch für private Anbieter und Hardware-Hersteller gelten. Nur auf diese Weise lässt sich sicherstellen, dass sensible Daten nicht unbemerkt in die Hände Dritter gelangen oder für dubiose Geschäftsmodelle missbraucht werden.
Security Insights
17 Juni 2020
Myra News
23 Februar 2022
Security Insights
19 Mai 2021