Cyberrisiken im Spitalwesen
Unlängst haben Hackerangriffe einmal mehr für Schlagzeilen gesorgt - diesmal im Umfeld des Gesundheitswesens, insbesondere in Deutschland, in den USA und nun auch in der Schweiz. Man wähnte sich in Schweizer Kliniken bisher aus vielen Gründen besonders sicher, doch der Schein trügt: Cyberrisiken kennen keine Privatsphäre, im Gegenteil.
Im Gegensatz zu wiederersetzbaren Kreditkartennummern liefern Patientendaten über ein Leben, wenn nicht über Generationen hinweg „Schlüsseldaten“ für Gesundheitsspione.
Ein aktueller IT-Security Report von IBM listet die grössten Cyperrisiken. Daraus geht hervor, dass Cyberangriffe auf die Gesundheitsbranche ein hohes Ausmass erreichen. Die Motive der Angreifer, so unterstreicht der IBM Security Index, zielen vermutlich auf Identitätsdiebstähle hin. Solche entdeckten „Incidents“ wurden dabei von Insidern – oft von Mitarbeitern oder Vertragspartnern – ausgeführt.
In Bezug auf die digitalen Gefahren von aussen, aber auch von den routinierten Usern selbst gilt es im Gesundheits- und Sozialwesen Aspekte zu beachten, die in anderen Branchen weniger im Fokus stehen: Es geht um sensible Patienten- und Klientendaten, welche stets – auch im ambulanten Bereich – geheim gehalten werden müssten.
Im Gegensatz zu wiederersetzbaren Kreditkartennummern liefern Patientendaten über ein Leben, wenn nicht über Generationen hinweg „Schlüsseldaten“ für Gesundheitsspione.
Elektronischen Patientendossier
Selbstverständlich gelten elektronische Patientendaten in Form eines Dossiers als „besonders schützenswert“ für den Gesetzgeber. Ab Dezember 2016 werden Patientenaufzeichnungen für Ärzte und für Patienten mit dem Elektronischen Patientendossier Gesetz (EPDG), eigentlich nur ein Rahmengesetz, schweizweit vereinheitlicht.
Einige Vorteile: Der Patient weiss über jede Erkundigung oder Ergänzung eines Arztes Bescheid. Bei Notfällen werden Einsichten von Fachkräften registriert. Der Patient könnte auch die Rapports auch selber verschlüsseln, weitere Daten z. B. über Allergien hinzufügen oder Arztrezepte einsehen). Prüfstellen werden die dezentralen Datengemeinschaften zertifizierten und kontrollieren.
Zwei gewichtige Nachteile: Persönliche Aufklärungsgespräche mit dem Arzt werden obsolet. – Die Verschlüsselung liegt letztendlich bei Herr und Frau Schweizer.
Die grössere Herausforderung, denkt man an die jetzigen Spital-internen Erfassungssysteme oder sonstige private Messgeräte und Notizen: Die Steuerung und Verteilung der Patientendaten sind bis jetzt nicht durchgehend geregelt.
Hoheitsgebiet: Arztgeheimnis
Neben allen technischen und organisatorischen Aspekten gilt es im Gesundheitswesen ein besonders wichtiges Element zu beachten: das Arztgeheimnis. Zum einen erhält es in Zeiten der Digitalen Revolution eine neue Dimension, zum anderen könnten Ärzte und ihre Stellvertreter bei ambulanten Dossier-Abgleichen durch Cyberspione im grossen Stil düpiert werden.
Die digitale Technik kennt kein Berufsgeheimnis und unterscheidet auch nicht, welches Bit oder Byte nicht zweckmässig oder schützenswert (siehe DSG Datenschutzgesetz), heikel oder üblich ist? Diese Aufgabe fällt nach wie vor den Ärzten, respektive Anwendern zu und beginnt beim Praxiscomputer. Wer verantwortet die darauf gespeicherten Patientendaten? Wer verwaltet das Backup oder eine externe E-Health Cloud?
In der Praxis der Zukunft gibt es vielleicht nur noch Tabloids. Diese könnten via Apps durch Cryptoviren infiziert werden. Die Konsequenz: Statt eigentlich die Patientendaten von A bis Z zu verschlüsseln, könnten Cyberkriminelle einzelne Prozesse abkupfern und manipulieren – sich noch bei weiteren Geräten eines Betriebs einloggen.
Wer übernimmt jetzt für welchen Behandlungsprozess die Haftung, wenn plötzlich etwas schief laufen würde? Die Schadensituation wäre jedenfalls verheerend.
Seitens Ärzte, respektive Anwender wird Eines klar: Die elektronischen Medien fördern den Austausch von Gesundheitsdaten sowie von Bilddateien wesentlich. Nebst diesen Vorzügen gibt es jedoch auch eine Beschleunigung von heiklen Abklärungen und Diagnosen. Würden diese beispielsweise durch einfache Timer-Viren verschleppt, stünde das ärztliche Berufsgeheimnis auf der Kippe.
Datenschutz- und Sicherheit?
Schliesslich unterstehen nicht nur Ärzte, Assistenzärzte, Zahnärzte, Apotheker, Hebammen, Chiropraktiker oder Psychologen einer grösseren Verantwortung in Sachen „Datensicherheit“ und „Schweigepflicht“, sondern auch die Patienten und Rechnungssteller. Hier liegt die eigentliche Crux, wenn es um den offiziellen Datenschutz und die eigene Datensicherheit geht.
Von Michael Merz (galledia verlag ag). Den redaktionellen Beitrag über das Elektronische Patientendossier finden Sie im Management & Qualität, Ausgabe 5/2016.