Zuerst fehlte es an einwilligen Teilnehmer und andererseits an Transparenz über die Datenweitergabe und den Zugriff auf die Daten.
Anfang 2024 hat es in Frankreich einen Cyberangriff gegeben, und Krankenversicherungsdaten von 33 Millionen Franzosen wurden geraubt. Diese stehen jetzt in den Händen von Kriminellen, die diese problemlos für weitere Zwecke an skrupellose Dritten anbieten können. Zwar behauptet die Gesundheitsdienstleiter Viamedis und Almerys, dass keine Bankdaten, E-Mail-Anschriften oder Telefonnummer entwendet wurden, dennoch bleibt abzuwarten, welche Daten von den Kriminellen genau abgezapft wurden (10).
Daten wie zum Beispiel Erfassung von Körperfunktionen, die drahtlos übertragt werden, erfordern hohe Sicherheitsmechanismen wie Verschlüsselung und Entschlüsselung, Signieren von Daten. Folgende Kriterien müssen eingehalten werden (11):
- Vertraulichkeit
- Datenintegrität
- Datenverfügbarkeit
Mittels der ePA können diese Daten zentral in der Akte hochgeladen und gespeichert werden. Da die Datensicherheit und -vertraulichkeit zurzeit mangelhaft ist, darf die Frage gestellt werden: Wie sicher ist die ePA eigentlich?
Da schon ernst zu nehmenden Bedenken bei der Datenquelle (Ärzte, Krankenhäuser und gesundheitliche Dienstleister) bzgl. Schwachstellen in medizinischen Netzwerken und Geräten an der Tagesordnung steht, bleibt die vernetzte Medizintechnik ein Risiko für alle Teilnehmer, besonders für die Patienten. Der Grund hängt mit der Netzwerkarchitektur zusammen, deren sichere zunehmende Konnektivität nicht vorhanden ist. Erhebliche Schwachstellen und Implementierungsfehler stehen im Mittelpunkt eines unsicheren Netzes (12).
Und wenn zuletzt der Bundesdatenschutzbeauftragte (BfDI), Ulrich Kelber, in seinem Tätigkeitsbericht ernsthafte Kritiken an den Plänen der ePA vom Gesundheitsminister Lauterbach äußert (13), darf ich die Frage stellen: Wieso wurden enorme Steuermittel in einem von Vorneherein zur Tote verurteilten Experiment investiert? Ich als Patient wurde von den zuständigen Behörden nie konsultiert, ob ich mit dieser krankhaften Aktenverfügbarkeit einverstanden bin. Nein, ich musste Anfang 2024 selber präventiv aktiv werden.
Du auch kannst aktiv werden, indem du deiner Krankenkasse jetzt einen Widerspruch (ODT Schreibgeschützt) gegen das Anlegen deiner ePA schriftlich unterbreitet. Ab 2025 würde das Anlegen deiner Patientendaten nur noch mit einem Widerspruch ermöglicht werden, erst aber, wenn deine Akte schon angelegt wurde. Wenn du im Vorfeld widersprichst, dann ist deine Krankenkasse in der Pflicht dir über das Anlegen der Akte zu berichten, bevor diese angelegt wurde.
Wer unbedingt das Risiko der Preisgabe seiner Gesundheitsdaten angehen will, soll das tun. Man soll dann auch die Konsequenzen für die Zukunft dieser Preisgabe mit einberechnen, und ebenfalls bedenken, dass diese einem zum Verhängnis kommen könnte.
Widerspurch als PDF
Quellen
(1) Jim Atherton, Development of the Electronic Health Record https://journalofethics.ama-assn.org/article/development-electronic-health-record/2011-03
(2) Elektronische Gesundheitsakte https://de.wikipedia.org/wiki/Elektronische_Gesundheitsakte
(3) Exchange of electronic health records across the EU https://digital-strategy.ec.europa.eu/en/policies/electronic-health-records
(4) Die elektronische Patientenakte (ePA) https://www.bundesgesundheitsministerium.de/elektronische-patientenakte
(5) Elektronische Patientenakte – Kernanwendung vernetzter Versorgung https://www.bundesaerztekammer.de/themen/aerzte/digitalisierung/digitale-anwendungen/telematikinfrastruktur/epa
(6) Gesellschaftsverteilung – Gematik https://www.ti-faktencheck.de/index.php/aktuelles/gematik
(7) Kritik an den gematik-Plänen https://www.healthpolicy-online.de/news/kritik-an-den-gematik-plaenen
(8) Umbau der gematik: Bis zu zwei Millionen Euro für Berater https://www.pharmazeutische-zeitung.de/45-millionen-euro-mehr-fuer-die-gematik-122357/
(9) Günter Born, Neustart in 2023 für Elektronische Patientenakte (ePA) geplant https://www.borncity.com/blog/2022/12/30/neustart-in-2023-fr-elektronische-patientenakte-epa-geplant/
(10) Günter Born, Cyberangriff: Krankenversicherungsdaten von 33 Millionen Franzosen abgeflossen https://www.borncity.com/blog/2024/02/13/cyberangriff-krankenversicherungsdaten-von-33-millionen-franzosen-abgeflossen/
(11) Dipl. Betriebswirt Otto Geißler, Wie sicher sind drahtlose Netze zur Erfassung von Körperfunktionen? https://www.security-insider.de/wie-sicher-sind-drahtlose-body-area-networks-a-a61aac97310fcbf260613daf5b4a5ade/
(12) Günter Born, Claroty-Report: Zahlreiche Schwachstellen in medizinischen Netzwerken und Geräten https://www.borncity.com/blog/2024/03/19/claroty-report-zahlreiche-schwachstellen-in-medizinischen-netzwerken-und-gerten/
(13) Günter Born, Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe https://www.borncity.com/blog/2024/03/23/digitalisierung-im-gesundheitswesen-kelber-kritisiert-epa-schutzlos-gegen-cyberangriffe/
Weitere interessanten Links zum Thema
Tim Jacquemard, The anatomy of electronic patient record ethics: a framework to guide design, development, implementation, and use https://bmcmedethics.biomedcentral.com/articles/10.1186/s12910-021-00574-x
René Raab, Msc, Arne Küderle, Msc, Anastasiya Zakreuskaya, Msc, Ariel D Stern, PhD, Prof Jochen Klucken, MD, Georgios Kaissis, MD MHBA, Prof Daniel Rueckert, PhD, Prof Susanne Boll, Dr techn, Prof Roland Eils, PhD, Harald Wagener, Dipl-Inf, Prof Bjoern M Eskofier, PhD. Federated electronic health records for the European Health Data Space https://www.thelancet.com/journals/landig/article/PIIS2589-7500(23)00156-5/fulltext
Norbert Häring, Träume des Weltwirtschaftsforums werden wahr: Mit Impfpass und digitaler Patientenakte zur lückenlosen Überwachung https://norberthaering.de/macht-kontrolle/digital-health-deloitte/
Günter Born, gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen https://www.borncity.com/blog/2022/11/08/gematik-gesellschafter-haben-opt-out-fr-elektronische-patientenakte-epa-beschlossen/#more-274856
Günter Born, IT aus der Hölle im Gesundheitswesen: Schlimmer geht’s (n)immer https://www.borncity.com/blog/2024/03/24/it-aus-der-hlle-im-gesundheitswesen-schlimmer-gehts-nimmer/
Hallo Thierry,
Danke für diesen informativen Artikel. Ich habe zwar der ePA-Speicherung meiner Daten im Gesamten widersprochen, nur wie sicher kann man sich sein, ob alle Beteiligten dahingehend informiert werden/wurden?
Bis Ende 2024 ist es ja so, dass man der Speicherung explizit zustimmen mußte. Aber bedingt durch einen Vorfall bei meinem Hausarzt gewann ich den Eindruck, dass bereits da schon unter Umständen einiges falsch lief.
Laut DSGVO hat man ja zwar das Recht, Auskunft über die gespeicherten eigenen Daten zu verlangen, auch die Löschung, aber woher weiß ich, welche Gesundheits-Daten, wann, wo und von wem initiiert nachgehalten wurden/werden? Also, wie transparent ist ist es für jeden Versicherten?
Ich hege die Befürchtung, dass man trotzdem man widersprach, irgendwann unauffällig z.B. im Krankenhaus etwas unterschreibt, dass diesen Widerspruch wieder aufhebt. Ich gewinne den Eindruck, das mit Absicht alles verkompliziert wird, nur um an die Daten zu kommen.
Auch frage ich mich, wie im Zusammenhang mit den erhobenen Daten es sich im Falle des elektronischem Rezeptes oder der Arbeitsunfähigkeitsbescheinigung verhält? Sind diese Prozesse wirklich voneinander getrennt?
Gruß
Guten Tag, vielen Dank für deinen sehr interessanten Kommentar. In der geheimnisvollen Digitalwelt sind deine Fragen mehr als berechtigt. Vielleicht ist eine Hintertür schon möglich, die leider für jeden Krankenversicherten sehr schwer zu schließen sein kann. Die geheimen Absprachen zwischen der Pharmaindustrie und der Politik wissen wir jetzt alle „Querdenker“ sehr gut zu identifizieren, denn wir wurden vier Jahre lang durch diese Industrie auf übelster Weise drangsaliert, weil wir uns weigerten, die faschistischen Verordnungen während der Corona-Hysterie zu unterwerfen. Und ePA geht genau in dieser Richtung. Weiterhin kommt hinzu, dass die Anwendung zur Funktionsweise ePA auf Datensicherheits- und -Sicherungsebene löchrig ist. Wer behauptet, dass ePA sicher ist, kennt sich womöglich wenig in diesem Bereich aus. Es ist einfach so, dass keine digitale Anwendung hundert Prozent sicher ist und sein kann, denn die Komplexität der Anwendungsarchitektur immer eine offene Lücke aufweisen wird, die durch Hackers ausgenutzt sein können. Wären bei einer Anwendung alle Türe und Tore zu, würde diese Anwendung unbrauchbar sein. Ein sehr lesenswerter Artikel auf dem Blog der Chaos Computer Club ist unter diesen Link https://www.ccc.de/de/updates/2024/ende-der-epa-experimente zu finden.