Das massenhafte Sammeln und Verwerten von Daten für Analyse- und Prozesszwecke stand im Mittelpunkt eines Vortrages beim Sicherheitskongress „Cyberlife 2030“, veranstaltet vom Kuratorium Sicheres Österreich und dem Innenministerium. Im Zuge dessen wurde eine Studie präsentiert, in der Experten zum Schluss kommen, dass die Wirtschaft schon bei der Entwicklung von neuen Technologien den Sicherheitsaspekt miteinbeziehen muss.
Diese Erkenntnis kommt – angesichts der Vorgänge rund um die Weitergabe von Patientendaten an das Meinungsforschungsinstitut IMS Health – zu spät. Auch wenn sich mittlerweile die Gerichte mit der Klärung befassen und die ÖÄK mit einer Verordnung künftig die Weitergabe von Daten für die Marktforschung regeln wird, möchte ich dennoch zwei Aspekte besonders hervorheben.
Erstens hat die Firma Innomed – von ihr stammt die Software – vor kurzem bestätigt, dass ohne Wissen der Ärzte Schnittstellen auf den Ordinations-Computern installiert wurden, welche die technischen Voraussetzungen dafür geliefert haben, dass Patientendaten abgesaugt wurden. Zweitens: Die Daten wurden pseudonymisiert – und nicht anonymisiert – was einen Unterschied in Bezug auf die Rückführung der Daten macht, wie IT-Spezialisten betonen. Und genau diese beiden Aspekte sind meiner Ansicht nach von zentraler Bedeutung, weil sie ein besonderes Gefahrenpotential darstellen. Man hat die Ärzte hintergangen, weil man ihnen nicht gesagt hat, dass bestimmte Programme zur Datenübermittlung installiert werden und man hat sie hintergangen, weil die Daten nicht so verschlüsselt wurden, wie es eigentlich hätte sein sollen.
Auch wenn nicht zuletzt durch die öffentliche Meinung die Ärzte zum Sündenbock in dieser Causa gemacht wurden, muss schon eines klargestellt werden: In Wirklichkeit geht es nicht um die Ärzte. In Wirklichkeit geht es um die IT-Experten: um diejenigen, die Zugang zu den elektronischen Patientendaten haben und sich Zugang verschaffen können; die darüber hinaus möglicherweise auch an der Entwicklung der jeweiligen Software maßgeblich mitgewirkt haben und genau wissen, was alles damit möglich ist. Dem Know how der IT-Experten kommt jedoch auch noch in einer anderen Hinsicht Bedeutung zu: Niemand weiß besser, wie man seine Cyber-Spuren verwischen kann. Der Name Edward Snowden und seine Enthüllungen über das US-amerikanische Überwachungsprogramm PRISM wird künftig vermutlich immer in einem Atemzug genannt werden, wenn es um das Thema Datensicherheit geht.
Verträge in diesem Bereich wird man sich in Zukunft noch genauer als bisher anschauen müssen – ganz besonders dann, wenn eine Gruppe merkantile Vorteile davon haben könnte. Standardverträge, die den Ärzten auch rechtliche Sicherheit geben, werden auszuarbeiten sein.
Was all diese Vorfälle außerdem zeigen: Unsere Bedenken hinsichtlich ELGA waren und sind berechtigt – auch wenn die User bei ELGA nachverfolgbar sein werden – so versichern es jedenfalls IT-Experten. Aber was nützt das, nachdem jemand unberechtigterweise Einblick in diesen hochsensiblen Bereich der Gesundheitsdaten genommen hat und was auch immer mit diesen Daten unternimmt.
Wieso ich diese Bedenken mehr denn je habe? Die Software der Firma Innomed war es, mit der Patientendaten an IMS weitergeleitet wurden. Innomed ist Teil der Compugroup. Und Compugroup hat eine zentrale Rolle bei der Programmierung von ELGA …
Johannes Steinhart
Vize-Präsident der Österreichischen Ärztekammer
© Österreichische Ärztezeitung Nr. 18 / 25.09.2013