Die elektronische Patientenakte (ePA) befindet sich nun (seit dem 01.01.2021) in der Einführungsphase – eine gute Idee?
Kein System ist zu 100 Prozent sicher.
Dennoch hat die Einführung der elektronischen Patientenakte (ePA) auch viele Vorteile.
Die verwendeten Akten sind ohnehin größtenteils digitalisiert, nur wenige Arztpraxen nutzen noch klassische Karteikarten. Das neue System ist quasi die digitale Vernetzung der Ärzte untereinander – was in vielen Fällen sicherlich sinnvoll ist.
Wenn beispielsweise Röntgenbilder, MRT- oder CT-Daten resp. notwendige Vorbefunde direkt für die Diagnose verfügbar sind, dann ist das natürlich eine gute Sache.
Wo liegt das Risiko?
Nicht sinnvoll ist die Einführung eines Systems immer dann, wenn das Risiko in Relation zum Nutzen sehr hoch ist. Als Beispiel seien hier Berichte von Psychotherapeuten genannt, wo der Vorteil der Online-Verfügbarkeit sicher nicht so hoch ist wie im Falle von Röntgenbildern zur anschließenden Diagnose. Ein Notfallszenario für die schnelle Verfügbarkeit dieser Daten existiert in der Praxis vermutlich deutlich seltener.
Das prinzipielle Risiko ist immens, wie wir im Herbst in Finnland gesehen haben. Dort gab es den Fall, dass solche Daten im Netz landeten und die Erpresser Lösegeld forderten (vgl. Artikel in der SZ).
Das Gesundheitsministerium hält die ePA für sicher. Die Daten seien verschlüsselt. Einsehen können sie nur Patienten und Praxen, denen man dieses Recht erteilt habe. Es wurden allerdings auch Lücken gefunden.
Die Telematik-Infrastruktur und die ePA an sich sind sehr komplexe Systeme mit vielen neuralgischen Punkten. Einige davon werden sehr gut geschützt, zum Beispiel die verschlüsselte Datenbank im Internet und die entsprechenden Server.
Dass die Arztpraxen selbst alle gut geschützt sind, wird dagegen einfach vorausgesetzt. Die Erfahrung zeigt, dass das nicht immer der Fall ist. Nur ein kleiner Teil der Praxen hat das IT-Sicherheitslevel, das es bräuchte.
Ein Sicherheitsforscher der Fachhochschule Münster hat etwa bei einem einfachen Scan ca. 200 TI-Konnektoren (Router für die Verbindung) gefunden, welche offen aus dem Internet erreichbar waren – viele davon sogar ohne Passwortschutz.
Wie steht es um das Bewusstsein für IT-Sicherheit in der Ärzteschaft?
Die meisten Praxen sind ohnehin schon ans Internet angeschlossen, zum Beispiel mit Systemen zur Online-Terminvergabe. Das Bewusstsein sollte deshalb überall da sein, auch jetzt schon. Es sollte ähnlich laufen wie mit Hygienerichtlinien. In diesem Bereich gibt es schon seit Jahrzehnten Stichproben, viele Vorgaben und Überprüfungen. So sollte das auch mit der IT-Sicherheit sein. Diese ist zwar auf den ersten Blick nicht ganz so relevant wie Hygiene, wo es um Leben und Tod geht, aber auf Rang zwei steht die sichere IT.
Ausblick ins Jahr 2021
Die ePA an sich ist durchaus ein Schritt in die richtige Richtung. Mit der Einführung eines jeden neuen System gibt es Probleme und Risiken. Wichtig ist nur, dass diese adressiert und angegangen werden.
Schlussendlich können die Patienten selbst entscheiden, welche Arztpraxis Zugriff bekommt und ob sie beispielsweise auch dem Psychotherapeuten Zugriff auf die Online-Ablage geben möchten.
IT-Sicherheit im Gesundheitssektor steht auch 2021 weiterhin im Fokus. Hoffen wir, dass die Betriebe und Kliniken aus den Angriffen im lezten Jahr (Todesopfer nach Angriff auf Uniklinik Düsseldorf | Erpressungstrojaner stürzt US Krankenhauskette ins Chaos) lernen und blicken optimistisch in die digitale Zukunft.