Unter dem Titel “Gesundheitsminister will Patientenakte auf Handys zugänglich machen” lesen wir
von den Plänen des amtierenden Gesundheitsministers, Versicherten den Zugriff auf ihre elektronische
Patientenakte via Handy oder Tablet zu ermöglichen.
“Spahn wolle auch die Zugänge und Authentifizierungsverfahren für die elektronische Patientenakte erweitern:
Der Versicherte selbst soll wie beim Online-Banking mit PIN und TAN einfacheren Zugriff auf seine eigenen Daten bekommen.”
heißt es ferner.
Es ist zu befürchten, dass durch die Analogie zum Online-Banking Vertrauen in diese Technologie geweckt werden soll.
Dieses Vertrauen ist jedoch auf die Fehlannahme gebaut, der Online-Zugang zu Patientenakten könne mit einer analogen
Zugriffstechnik sicher wie Online-Banking gemacht werden. Dies ist aus mehreren Gründen nicht der Fall:
1. PIN und TAN sind sicher. Dies ist nicht der Fall, wie viele erfolgreiche Phishing-Angriffe auf Online-Banking belegen.
So wurde im Jahr 2016 laut https://de.statista.com/statistik/daten/studie/38681/umfrage/finanzieller-schaden-durch-phishing/
durch Phishing ein Schaden von rund 8,7 Millionen Euro verursacht. Es gibt keinen Grund zur Annahme, dass auch der Zugang zu den Patientenakten nicht ähnlich kompromittiert wird.
2. Der Schaden ist wie im Online-Banking zeitnah zu entdecken. Beim Online-Banking sind finanzielle Schäden unmittelbar durch
einen Blick auf den Kontostand erkennbar, “das Geld ist weg”. Sollte jemand eine Kopie einer digitalen Patientenakte
anfertigen, kann der Schaden nicht so leicht erkannt werden, das Original ist ja noch da. Dadurch verursachte Probleme wie
bekanntgewordene stigmatisierende Diagnosen oder schlechtere Chancen auf dem Arbeits- oder Versicherungsmarkt können möglicherweise nicht ohne weiteres in Bezug zu einer gestohlenen Akte gesetzt werden.
3. Der Schaden ist im Online-Banking gedeckt. Trägt der Kunde keine Schuld, haftet die Bank. Die Bank hat ein existentielles
Interesse, Schadenfälle möglichst kulant und geräuschlos zu regulieren. In über 10 Jahren eGK-Geschichte vermissen wir immer noch Haftungsregeln für geschädigte Patienten. Vielleicht tut sich der Gesetzgeber hier deshalb so schwer, weil das die Renditeaussichten im eHealth-Business zunichte machen würde, wenn man die Risiken einpreisen würde?
Links:
https://de.statista.com/statistik/daten/studie/38681/umfrage/finanzieller-schaden-durch-phishing/
“Es gibt keinen Grund zur Annahme, dass auch der Zugang zu den Patientenakten ähnlich kompromittiert wird.”
Äh, doch?! Müsste es nicht heissen
“Es gibt keinen Grund zur Annahme, dass der Zugang zu den Patientenakten *nicht* ähnlich kompromittiert wird.”?
Wobei die doppelte Verneinung den Satz etwas schwer verständlich macht…
Vollkommen richtig. Ich habe den Beitrag entsprechend korrigiert.