Archiv der Kategorie: Sicherheitslücken

Chancen und Risiken der elektronischen Patientenakte in Orthopädie und Unfallchirurgie

DKOU-Kongresspräsident: „Die Datensicherheit muss gewährleistet sein“

Berlin – Ab dem 1. Januar 2021 müssen die Krankenkassen ihren Versicherten eine elektronische Patientenakte (ePA) zur Verfügung stellen. Bis dahin muss sichergestellt sein, dass die Daten nicht von Unberechtigten abgegriffen oder missbraucht werden können. So kursierten zuletzt im September frei zugängliche Patientendaten im Netz, darunter 13.000 Datensätze aus Deutschland. Am 10. Oktober 2019 in Berlin diskutieren Experten über mögliche Sicherheitslücken und benennen Anforderungen an die ePA. Sie zeigen aber auch die Chancen der Digitalisierung von Patientendaten auf – etwa um im Notfall Leben zu retten. Um auf die Brisanz des Datenschutzes hinzuweisen, findet auf dem Kongress ein „Demo-Live-Hack“ auf Sicherheitsdaten statt, zu dem die Veranstalter Interessierte einladen.

Terminhinweis:

Live Hacking! Angriffe erleben – Sensibilität steigern

Donnerstag, 24.10.2019, 14:30 Uhr-16:00 Uhr, Raum: Paris 1

Kann die Behandlung chronischer Rückenschmerzen durch eine Depression oder eine andere Begleiterkrankung erschwert werden? „Die elektronische Patientenakte (ePA) ist ein wichtiges Arbeitsinstrument, um zielgerichteter und besser diagnostizieren und behandeln zu können“, sagt Dr. med. Thomas Möller, Kongresspräsident DKOU 2019 des Berufsverbandes für Orthopädie und Unfallchirurgie (BVOU): „Wir können aus der elektronischen Patientenakte entnehmen, unter welchen Begleiterkrankungen Patienten leiden und Befunde wie Röntgenbilder oder Laborberichte direkt einsehen. Dadurch ist es möglich, diese Befunde bei der Diagnose und Behandlung zu berücksichtigen. Auch belastende Doppel- und Mehrfachuntersuchungen lassen sich so vermeiden und Therapien besser organisieren. Als Ärztinnen und Ärzte für O und U haben wir ein hohes Interesse an der elektronischen Patientenakte“, fasst der niedergelassene Orthopäde und Unfallchirurg Möller zusammen. „Sie wäre ein großer Schritt sowohl für die interdisziplinäre als auch für die stationäre und ambulante Vernetzung.“ 

„Eine entsprechende Akte sollte allerdings vollständig, nicht manipulierbar und sicher sein,“ sagt er. Internationale Fälle von Datenraub hätten gezeigt, wie vulnerabel die Datensicherheit sei. Derzeit gäbe es in Deutschland keine Notfallstrategie gegen Datenraub, Datenlecks und Datenmissbrauch, so Möller weiter. 

Auch die Frage nach den Zugriffsrechten ist noch offen. Sie soll in einem eigenen Datenschutzgesetz geregelt werden. Statt den Zugriff auf die elektronische Patientenakte zu reglementieren, könnte der Zugriff nach Ansicht von Möller möglicherweise auch kontrolliert werden. Das würde bedeuten, dass jeder Aufruf von Befunden und Daten mit Datum, Name des Zugreifers und Anlass registriert und in der elektronischen Patientenakte vermerkt wird. Fehlverhalten würde so auffallen.

Um die Versorgungsforschung voran zu treiben, begrüßt der BVOU auch die Datenspende – das anonyme und unentgeltliche zur Verfügung stellen von Gesundheitsdaten für die medizinische Forschung. Jedoch müssten die Bedingungen für eine Datenspende noch einmal unter die Lupe genommen werden. So hat eine aktuelle Nature-Untersuchung1 nachgewiesen, dass sich jeder Amerikaner über fünfzehn Datenpunkte mit einer Wahrscheinlichkeit von 99,98 Prozent identifizieren lässt. Obwohl Personendaten anonymisiert werden, besteht offensichtlich die Gefahr, dass Studienteilnehmer mit technisch einfachen Mitteln re-identifiziert werden, so Möller. In einer kleinen Stichprobe genügten oft schon das Geschlecht, die Postleitzahl und das Geburtsdatum einer Person, um sie mit hoher Sicherheit zu identifizieren. „Wir sehen hier eine Aufgabe, die im Konsens gelöst werden muss, die uns aber keinesfalls den Blick auf Zukunftschancen versperren sollte “, so der niedergelassene Orthopäde und Unfallchirurg aus Speyer.

Um zu zeigen, dass die Digitalisierung auch ein Einfallstor für Cyberkriminalität ist, veranstaltet der BVOU auf dem Kongress am 24. Oktober 2019 einen „Live Hack“. Ein Experte aus Tübingen demonstriert, wie einfach es ist, veraltete Systeme zu attackieren, Daten über Phishing-Mails abzugreifen, ein WLAN-Netz lahmzulegen oder Schadsoftware über USB-Sticks oder Wechseldatenträger zu installieren. Interessierte erhalten hier einen Einblick in die Tricks der Angreifer und die Sicherheitslücken der Systeme. 

Live Hacking Vorführung der Firma Rhode & Schwarz auf der CeBit 2017
Live Hacking Vorführung der Firma Rhode & Schwarz auf der CeBit 2017

Weitere Aspekte des Datenschutzes in Orthopädie und Unfallchirurgie, etwa bei Patientenregistern wie dem Endoprothesenregister (EPRD) und dem staatlichen Implantateregister sowie dem TraumaRegister DGU® sind ebenfalls Thema auf d DKOU in Berlin.

Die Anmeldung zum DKOU, dem größten Kongress dieser Fachrichtung in Europa, ist im Internet unter https://dkou.org/registrierung/ möglich. Unter http://dkou.org/webcasts können Interessenten alle Vorträge aus dem Festsaal außerdem live verfolgen. Nähere Informationen sind bei Intercongress GmbH, Friedrichstraße 6, 65185 Wiesbaden, Tel. 0611 977-160, dkou@intercongress.de erhältlich. Journalisten akkreditieren sich über liebendoerfer@medizinkommunikation.org.

Literatur:

1)       Rocher L. et al., Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 2019; 10: 3069, https://www.nature.com/articles/s41467-019-10933-3.pdf