Digitalisierung im Gesundheitswesen: Cloud bietet neuen Weg zu einer vernetzten medizinischen Versorgung

Cloud

Veröffentlicht 06.10.2020 12:30

Patienteninformationen sind hochsensible Daten, die gut und dauerhaft geschützt sein müssen. Gleichzeitig sollten sie so aufbewahrt sein, dass Krankenhäuser und Arztpraxen sie untereinander austauschen können. Die Ansätze der Bundesregierung, für diese Herausforderungen eine Lösung zu finden, sind bislang erfolglos.

Die Corona-Pandemie hat gezeigt, wie wichtig es ist, Informationen zentral erfassen und einfach austauschen zu können. Um die Usprünge, Verbreitungswege und Folgen von Covid-19 zu untersuchen, brauchen Ärzte und Forscher Unmengen von Daten. Allerdings sind diese auf Hunderten von Krankenhäusern und Praxen verteilt und es kostet viel Zeit, sie zu finden. Zeit, die Menschenleben kosten kann.

Das gilt nicht nur für die aktuelle Pandemie. Welche Medikamente nimmt ein Patient, welche Vorerkrankungen hat er, wie verliefen frühere Behandlungen? Solche Informationen speichern viele Arztpraxen und Krankenhäuser noch in digitalen Ordnern auf eigenen Servern. Ein gegenseitiger Austausch ist damit oft nicht möglich. Sucht ein Patient einen anderen Arzt auf, muss er seine gesamte Geschichte neu erzählen. Und unter Umständen werden Untersuchungen wiederholt, die woanders bereits gemacht wurden.

Die elektronische Patientenakte kommt

Damit soll ab 2021 Schluss sein. Dann werden die Krankenkassen an alle gesetzlich Versicherten die so genannte elektronische Patientenakte (ePA) ausgeben, in der Befunde, Diagnosen, Therapien und Behandlungen sowie Impfungen gespeichert sind. Der Patient kann über eine Smartphone-App auf seine Daten zugreifen und sie gegebenenfalls auch löschen. Die Kliniken, Praxen, Apotheken und Krankenkassen wiederum sollen die Patientendaten problemlos untereinander austauschen können – vorausgesetzt, die Versicherten stimmen der Speicherung ihrer Informationen zu. Denn eines steht bereits fest: Die ePA wird nur angelegt, wenn der Versicherte damit einverstanden ist. Und außer dem Patienten selbst haben nur von ihm autorisierte Personen Zugriff auf die Akte.

Die Speicherung und Übertragung der Daten läuft über die so genannte Telematikinfrastruktur (TI). Dabei handelt es sich um ein geschlossenes Netz, auf das nur Personen und Einrichtungen zugreifen können, die über einen elektronischen Heilberufs- oder Praxisausweis verfügen. Der Zugang erfolgt über einen Kartenterminal und eine permanent aktive Schnittstelle zwischen Praxisdaten und der TI. Dieser Konnektor stellt ein virtuelles privates Netzwerk (VPN) zur TI her, das den Einsatz moderner Verschlüsselungstechnologien ermöglicht. Bedingung für den Einsatz von Konnektor und Kartenlesegerät ist die Zulassung der Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte) sowie eine Zertifizierung des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Technische Probleme mit der ePA

Allerdings hat die ePA schon jetzt mit einer Reihe von technischen Problemen zu kämpfen. So räumte Gesundheitsminister Jens Spahn vor einigen Monaten ein, dass die Versicherten auch im nächsten Jahr noch nicht individuell festlegen können, welche Inhalte sie freigeben wollen. Ein Patient kann also nicht selber entscheiden, welche Informationen für welchen Arzt, Apotheker oder Therapeuten einsehbar sind. Und selbst wenn dies irgendwann möglich sein sollte, ist die Lösung alles andere als perfekt. Wenn die Versicherten nicht allen Ärzten Einblick in die elektronische Akte gewähren müssen, ist die Wahrscheinlichkeit groß, dass die Informationen unvollständig und damit nicht von großem Wert sind. Da Ärzte ihre Dokumentationen nach Abschluss der Behandlung mindestens zehn Jahre lang aufbewahren müssen, werden sie ihre Diagnosen daher wohl oder übel auch in Zukunft auf dem eigenen Server speichern. Und dadurch werden sich in Krankenhäusern und Praxen weiter Massen von duplizierten Daten ansammeln.

Cyber-Angriffe auf das Gesundheitswesen

Fraglich ist zudem, ob die ePA die geforderten Sicherheitsanforderungen einhalten kann. Bereits Ende 2019 musste die Ausgabe von Krankenhaus- und Praxisausweisen wegen einer Sicherheitslücke in der TI gestoppt werden. Experten des Chaos Computer Clubs (CCC) hatten ein Datenleck bei einem Anbieter von elektronischen Chipkarten entdeckt, mit denen Ärzte und Praxen auf das verschlüsselte Netzwerk zugreifen.

Auch Fälle in anderen Ländern belegen, wie anfällig der Betrieb komplexer Infrastrukturen für Cyberattacken ist: In Singapur wurden Anfang letzten Jahres die Namen von 14.000 HIV-Patienten veröffentlicht. Auch in England kam es 2019 zu mehreren Vorfällen, bei denen Gesundheitsdaten publik gemacht wurden. Und in Norwegen wurden 2018 drei Millionen Patientenakten gestohlen. Auf Bedenken stößt bei Sicherheitsexperten aber vor allem der geplante Zugriff auf die ePA per Smartphone oder Tablet: „Solche Endgeräte laufen auf Betriebssystemen, die erfahrungsgemäß von Angreifern ausnutzbare Sicherheitslücken enthalten", warnt etwa Hartmut Pohl von der Gesellschaft für Informatik (gi).

Man kann sich denken, welche fatalen Folgen solche Leaks bei hochsensiblen Daten wie Gesundheitsinformationen haben können. Denn im Gegensatz zu Bankdaten, die bereits nach zehn Jahren nichts mehr über die Bonität des Kontoinhabers aussagen, bleiben Informationen über eine HIV-Infektion oder genetisch bedingte Vorerkrankungen für immer aktuell. Gelangen sie in falsche Hände, können sie zur Stigmatisierung und Benachteiligung der betroffenen Patienten beitragen.

Sicher in der Cloud

Ob Sicherheitslücken, technische Probleme oder eine doppelte Datenhaltung: Die ePA hat noch einige Hürden zu nehmen. Und Kliniken und Arztpraxen stehen weiter vor der Frage, wie sie ihre Patientendaten sicher und schnell abrufbar speichern können. Immer mehr Einrichtungen entscheiden sich mittlerweile dafür, die Informationen nicht auf ihrem Server im Haus, sondern in einer Private Cloud abzulegen.

Diese Lösung bietet gleich mehrere Vorteile: Die Cloud verfügt in der Regel über multiple Sicherheitsebenen und modernste Richtlinien mit zahlreichen Redundanzmechanismen für den Datenschutz. Die Server stehen weit entfernt von den Mitarbeitern und werden gut bewacht. Die Informationen sind verschlüsselt und entsprechend schwer zu hacken. Wer über die richtigen Werkzeuge verfügt, kann sie dennoch schnell finden beziehungsweise leicht abrufen. Datenverluste durch Server-Ausfälle oder eine Datenbankfragmentierung sind praktisch ausgeschlossen. Zudem lassen sich die Daten mit speziellen Funktionen in der Cloud auch analysieren sowie Modelle daraus erstellen – etwa um die Ausbreitung eines Virus aufzuzeichnen. Und schließlich ist die Cloud in der Regel kostengünstiger als die On-Premise-Variante, da sie keine Hardware-Anschaffungen erfordert. Auch Betrieb und Wartung sind Sache des Dienstleisters.

Datenschutz – ein heikles Thema

Der Cloud-Provider ist zwar für den sicheren Betrieb der Hardware verantwortlich, nicht aber für den Schutz und die Sicherheit der Daten. Das ist vielen Unternehmen nicht bewusst, wie eine Untersuchung von Vanson Bourne im Auftrag von Veritas zufolge belegt. Demnach glauben 69 Prozent der Befragten, ihr Cloud-Anbieter sei beim Thema Datenschutz in der Pflicht. In den meisten Verträgen gibt es jedoch gar keine Klausel dazu. Firmen sowie Gesundheitseinrichtungen müssen also selbst dafür sorgen, dass kritische Informationen vor unberechtigten Zugriffen dauerhaft geschützt sind. Konkret bedeutet das: Patientendaten werden in der Praxis beziehungsweise im Krankenhaus verschlüsselt, bevor sie in die Cloud fließen. Nur der Arzt und seine Mitarbeiter dürfen im Besitz des Schlüssel sein.

Dennoch ist die Vertrauenswürdigkeit des Cloud-Dienstleisters ebenfalls ein wichtiger Aspekt: Sind die Daten und Applikationen ausreichend gegen Ausfälle gewappnet und hochverfügbar ausgelegt? Lassen sich die Informationen durchgängig sichern und einfach wiederherstellen? Werden alle wichtigen Compliance-Vorgaben erfüllt? Solche Fragen müssen vorab eingehend geklärt werden. Der Cloud-Provider sollte zudem über ein dediziertes IT-Sicherheitsmanagement verfügen und nach der Norm ISO 27001 zertifiziert sein. Idealerweise setzt er ausgefeilte Datenmanagement-Tools ein, um die Gesundheitsinformationen so zu klassifizieren, dass sie schnell gefunden werden, und um sie vorschriftsgemäß aufbewahren und löschen zu können. Wichtig ist auch, dass die Server, auf denen die Patientendaten gespeichert sind, in Deutschland oder einem anderen EU-Land stehen, da hier die strenge EU-Datenschutz-Grundverordnung (EU-DSGVO) gültig ist.

Bei der Verlagerung der Gesundheitsdaten in die Cloud ist einiges zu beachten. Doch der Aufwand lohnt sich, da er den Weg zu einer vernetzten medizinischen Versorgung bereitet. Denn nicht nur der Zugang zu den richtigen Daten ist entscheidend. Die Informationen müssen auch zeitnah zur Verfügung stehen. Verzögerungen bei der Übermittlung wichtiger Patienteninformationen können Menschenleben kosten.

Sascha Oehl, Veritas 

Autor: Sascha Oehl, Director Technical Sales DACH Veritas Technologies

Foto: Adobe Stock / metarmorworks


Lesen Sie mehr zum Thema "Digitalisierung"

Neuer Vorstand bei Hashtag Gesundheit
Digitalisierung
#Gesundheit

Lesen Sie hier die neuesten Beiträge