«Wer Gesundheitsdaten klaut, kann nichts damit anfangen»
Ein ganzes Spektrum an Sicherheitsmechanismen bietet die Luxemburger «eHealth Plattform». Das Konzept wurde am CRP Henri Tudor im Auftrag des Gesundheitsministeriums entwickelt. Stefan Benzschawel hat unsere Fragen zu den Sicherheitsdetails beantwortet.
Was versteht man unter «eHealth Plattform» und wozu dient sie ?
Das ist eine IT-Austauschplattform für medizinische Daten. Jeder Patient hat eine Plattform-Akte für die wirklich wichtigen Informationen, also solche, die ein Arzt einem Kollegen zugänglich macht. Sie ersetzt nicht die Akten, welche in Kliniken, bei Ärzten oder von mobilen Pflegediensten geführt werden. Im Unterschied zu solchen Insel-Applikationen, dient die Plattform-Akte zur besseren Koordination der Leistungserbringer über die organisatorischen Grenzen hinweg. Die Vorteile liegen in der schnellen und zuverlässigen Verfügbarkeit der Infomationen, und in dem ganzheitlichen Überblick. Ein solches übergreifendes System gibt es heutzutage noch nicht in Luxemburg.
Gibt es neben diesen offensichtlichen Vorteilen noch weitere ?
Definitiv ja. Hier kommen in Zukunft Entscheidungs-unterstützende Systeme hinzu, die basierend auf den verfügbaren Informationen zu einem Patienten und dem aktuellen Weltwissen über seine Symptome, Medikation und Laborwerte dem Arzt Hilfestellung geben. Das ist vergleichbar mit einem Navi, was dem Autofahrer einen Weg vorschlägt.
Besteht damit nicht die Gefahr, dass Daten gestohlen werden ?
Ja natürlich. Der Zugriff durch verschiedene Beteiligte ist gerade der Vorteil der Plattform-Akte. Leider birgt dies auch Gefahren, und es könnte illegale Begehrlichkeiten wecken. Solche Informationen wären sehr wertvoll für ganz zweifelhafte Zwecke. Um es klar zu sagen, das wären illegale Zwecke, die alle Vorteile in den Schatten stellen könnten, und die wir daher mit allen Mitteln unterbinden müssen. Die Stichworte sind Lebensversicherungen, Hauskredit, Arbeitgeber, und sie zeigen schon, welches Gefahrenpotential besteht. Selbst wenn ein nationales oder europäisches Gesetz die illegale Nutzung unter Strafe stellt, was ist zum Beispiel mit einem out-gesourceten Rating einer Lebens-Versicherung, welches «berechnet» ob dieser Antragsteller ein «gutes» Risiko ist. Wäre da nicht ein Blick in die Plattform-Akte verlockend? Diese Informationen sind viel sensibler als ein Bankkonto zu knacken, was letzlich ein finanzieler Schaden ist. Den Schaden durch einmal offengelegte Gesundheits-Informationen (Depressionen, Gehirntumor, Sehstörung, Tinitus, Hepatitis, Malaria, Abortion, jährliche HIV-Tests, Burn-Out, etc.) kann man vielleicht nie wieder gut machen.
Deshalb legt unser Konzept besonderen Wert auf hohe Datensicherheit. Diese Mechanismen sind bereits in der IT-Architektur eingebaut. Sie werden nicht erst nachher, sozusagen als Sahnehäubchen dazugepackt nach dem Motto: erst Applikation, dann ein bischen ssl- und https-Sahne obendrauf und fertig.
Und wie sieht eine solche IT Architektur aus ?
Die Maxime beim Design der Plattform war der Schutz gegen Zugriffe der eigenen Administratoren. Es ist bekannt, dass ein Hacker immer versucht, Administratorrechte zu bekommen, um dann Daten zu stehlen. Daher ist ein Schutz gegen den Administrator ein wirksamer Schutz gegen Datendiebe aller Art. Da aber letztlich jemand da sein muss, um die Daten zu verwalten, legen wir die Daten so ab, dass sie unbrauchbar sind, wenn jemand sie klaut.
Unsere «Privacy Politik» beruht auf drei Prinzipien: Zugangskontrolle, Verschlüsselung mit Pseudonymisierung und Patienten-Consent mit Alarmfunktionen. Die Zugangskontrolle ist zweistufig aufgebaut. Zuerst wird die Person mittels einer Smartcard identifiziert. Damit sind wir sicher, dass es diesen Benutzer als Person gibt. Für die zweite Stufe haben alle Benutzer eine Rolle in der eHealth Plattform : zB. Radiologe, Zahnarzt, Apotheker oder auch Patient. Je nach Rolle wird dem Benutzer eine virtuelle Eintrittskarte ausgestellt, entsprechend derer er zugreifen darf.
Alle hintergelegten Daten sind zudem verschlüsselt. Zum weiteren Schutz verwenden wir Pseudonyme statt Personen-Identitäten. Die Zuordnung von Person zum Pseudonym liegt außerhalb der medizinischen Datenablage in der Hohheit einer anderen Organisation. Wir haben also mindestens 2 Administratoren. Der eine sieht nur die Abbildungstabelle von Personen und Pseudonymen, und der andere sieht Pseudonyme und dazugehörige verschlüsselte Daten. Wer Gesundheitsdaten klaut, kann nichts damit anfangen.
Sie haben auch ein «Consent» und Alarmeprinzip erwähnt. Woraus besteht es ?
Unter «Consent» versteht man die Zustimmung des Patienten zur Speicherung seiner Daten in der Plattform-Akte. Laut Gesetz werden alle Patienten eine leere Akte bekommen. Sie können aber widersprechen, wenn keine Daten eingestellt werden sollen. Dies nennt man Opt-Out. Aber das eigentlich Interessante ist was der Patient alles festlegen kann. Ein Beispiel hilft und erklärt die Alarmfunktion gleich mit : Ein Patient vergfügt hier, dass nur sein Hausarzt Zugriff zur Akte haben soll, und im Notfall soll auch jede Notaufnahme Zugriff haben. Falls der Zugriff im Notfall-Modus geschieht, soll eine SMS an seinen Verwandten gesendet werden. Darin steht welche Notaufnahme die Daten angefordert hat. Dieser Service ist sehr wertvoll für die Angehörigen und gleichzeitig eine enorme Barriere gegen vorwitzige Zugriffe. Die genaue Ausgestaltung liefert noch viel Diskussionsbedarf.
Haben Sie auch daran gedacht, wie ältere Leute mit einem solchen high tech System umgehen sollen?
Wir müssen davon ausgehen, dass die Mehrzahl der Patienten sich nicht mit der Plattform auseinandersetzten will oder kann. Vielleicht möchten sie einen Vertreter bestimmen, ihren Enkel oder den Hausarzt. Ganz wesentlich ist eine gute Defaulteinstellung für neue Akten. Diese sollte zusammen mit der Patientenvertretung und anderen Organisationen festgelegt werden.
Wenn ich nicht mitmachen will, was können Sie empfehlen ?
In unserem Gesamtkonzept sind auch Alternativen zur Plattform-Akte aufgezeigt. Die heute genutzte Form ist eine Papierakte, die der Hausarzt zum Beispiel einer älteren Dame zusammengestellt hat. Diese hat sie im Schrank liegen für den Notfall, damit die Klinik gleich alles Wichtige zusammen hat. Diese Papierakte kann auch auf einem USB Stick sein. Beides kann natürlich verloren gehen, meißt in der Gegend wo Sie wohnen. Der Datenschutz ist dann nicht besonders hoch. Wenn Sie der eHealth Plattform vertrauen, ist das sicherlich die bessere Lösung. Vielleicht hilft unser Gespräch dazu ein wenig, und Sie wollen doch ?