Gesundheitskarte
Patienten sollen Datenzugriff haben – auf eigene Gefahr
Die Patienten sollen bei der Telematikinfrastruktur nicht außen vor bleiben. Wie das gehen könnte, hat die gematik jetzt geprüft. Ergebnis: Technisch ist der Patientenzugriff auf die Daten komplex. In vielen Fällen wird zudem der E-Arztausweis als Gegenpart gebraucht.
Veröffentlicht:BERLIN. Die Open-Notes-Bewegung aus den USA hat auch Spuren im E-Health-Gesetz hinterlassen. In den Vereinigten Staaten ist vor einigen Jahren erstmals getestet worden, was passiert, wenn Patienten Zugriff auf die Patientenakten erhalten, die Ärzte über sie führen. Die Erfahrungen sind überwiegend positiv. In der Folge ist in das E-Health-Gesetz ein Passus gekommen, dass die Betreibergesellschaft gematik prüfen soll, ob und wie Versicherte auf ihre Daten in der Telematikinfrastruktur (TI) und auf der Gesundheitskarte (eGK) zugreifen können – über Desktop-PC, über Smartphones, Tablets oder über Smart-TV-Geräte.
In dem jetzt vorliegenden Prüfbericht der gematik steht die wenig überraschende Erkenntnis, dass Hard- und Software der Endgeräte der Versicherten "stark differieren" und "stark fragmentierte Sicherheitseigenschaften" haben, wie es heißt.
Und so steht es im Sozialgesetzbuch V:
SGB V, Paragraf 291 b, Satz 13: Bis zum 31. Dezember 2016 hat die Gesellschaft für Telematik zu prüfen, inwieweit mobile und stationäre Endgeräte der Versicherten zur Wahrnehmung ihrer Rechte, insbesondere der Zugriffsrechte (...) und für die Kommunikation im Gesundheitswesen einbezogen werden können. Über das Ergebnis der Prüfung legt die Gesellschaft für Telematik dem Deutschen Bundestag über das Bundesministerium für Gesundheit spätestens bis zum 31. März 2017 einen Bericht vor.
Tatsächlich prallen hier zwei Welten aufeinander: die mehrfach abgesicherte TI als Basisnetz für Anwendungen der Gesundheitskarte auf der einen Seite; und die Smartphones, Tablets, Notebooks und PC der Versicherten mit Facebook-Account, Spiele-Plattformen, Sicherheitslücken, die nicht immer geschlossen werden, und unterschiedlichsten Apps, die genutzt werden, auf der anderen.
Kein sicherheitszertifiziertes Niveau
Der Prüfbericht spricht lakonisch davon, "dass die Implementierungen dieser Sicherheitseigenschaften kein sicherheitszertifiziertes Niveau besitzen". Das Risiko, durch Sicherheitslücken die eigenen Daten zu kompromittieren, müssten daher die Versicherten selbst tragen, heißt es. Sie seien "für die Einhaltung von Sicherheitsregeln selbst verantwortlich".
Die Zugriffsrechte der Versicherten auf die eigenen Daten sind umfassend: Von den Notfalldaten über den Arztbrief bis zur elektronischen Patientenakte, der Patientenquittung und dem Patientenfach sollen Versicherte auf alle ihre Daten auf der Karte und in der Telematikinfrastruktur zugreifen können. Teilweise ist der Zugriff aber nur möglich, wenn gleichzeitig die eGK und ein elektronischer Arztausweis oder eine entsprechende Praxiskarte vorliegen. Begründet wird diese Einschränkung mit dem Schutz der Patientendaten.
Das Patientenfach als Brücke
Selbständig zugreifen können Patienten – theoretisch – bislang auf die Versichertenstammdaten, auf die Organspendeerklärung und auf persönliche Erklärungen wie die Patientenverfügung. Derzeit arbeitet die gematik an einem Konzept, wie die Versicherten auf andere Anwendungen, zum Beispiel den Medikationsplan zugreifen können. Das wäre möglich, wenn dieser im sogenannten Patientenfach der Karte beziehungsweise in der TI abgelegt wird. Die Versicherten sollen zu diesem Zweck für einen gesicherten Verbindungsaufbau eine App erhalten. Mit der in ein eigenes Lesegerät gesteckten eGK soll dann der Zugriff auf die eigenen Daten möglich sein.
Natürlich sind all die beschriebenen Anwendungen mit der Karte noch gar nicht in der Realität umgesetzt, geschweige denn der Zugriff durch die Versicherten. Aber die technischen Voraussetzungen, auf die eigenen Daten zugreifen zu können, wenn die Karte in einigen Jahren dazu in der Lage ist, diese zu verarbeiten – die werden gerade geschaffen. Wenn es nach dem E-Health-Gesetz geht, wird der Praxistest für viele der Anwendungen dann im nächsten Jahr kommen.