Mit dem bundesweiten Start der neuen elektronischen Patientenakte (ePA) wächst auch die Kritik an selbiger. Neben der IT-Sicherheit steht auch die Kommunikation rund um die ePA im Fokus. Bisher ist nur ein geringer Teil der Bevölkerung ausreichend informiert. Dabei sollte die ePA eigentlich für einen "mündigen Patienten" sorgen.
Ohne Informationen und Transparenz geht dies allerdings nicht. Der bundesweite Rollout und die Kommunikation rund um die ePA wird aus verschiedenen Richtungen scharf kritisiert. "Der bundesweite Start der ePA ist verfrüht, denn die technischen Sicherheitslücken sind nicht glaubhaft und nachprüfbar ausgeräumt", sagt dazu Manuel Hofmann von der Deutschen Aidshilfe gegenüber heise online. Zudem sei der Start intransparent, da Patienten nicht wissen können, "ob die jeweilige Praxis bereits auf die ePA zugreifen kann". Daher sei ein gutes Informationsangebot umso wichtiger.
Kritik an dem unzureichendem Informationsangebot kommt auch vom Verbraucherzentrale Bundesverband (vzbv). "Patient:innen müssen eine informierte Entscheidung für oder gegen die ePA treffen können. Die Aufklärung, insbesondere rund um mögliche Risiken der ePA, kam aus unserer Sicht bislang zu kurz. Eine niedrige Widerspruchsquote bei der ePA ist kein eindeutiges Zeichen für breite Zustimmung, sie kann ebenso Ausdruck mangelnder Information und Aufklärung sein. Wir erwarten, dass das Gesundheitsministerium als auch die Krankenkassen hier nachlegen", so Lucas Auer, Gesundheitsexperte beim vzbv.
Ursprünglich sollte die ePA bereits im Februar ausgerollt und nach vierwöchiger Testphase für Ärzte verpflichtend werden. Bei Ärzten hat das aufgrund verschiedenartiger Mängel für großen Unmut gesorgt, sodass es erstmal einen "Soft-Start" gibt, wie er inzwischen von den Beteiligten genannt wird. Im Oktober sollen Ärzte verpflichtet werden, ab 2026 dann mit Sanktionen.
"Betriebsorganisatorisch wird durch die erfolgte 'Ent-Pflichtung' die Herausforderung allerdings kein bisschen kleiner. Eher kommen durch die neuen Unklarheiten bei der praxisindividuellen Entscheidung, zu welchem Zeitpunkt, und ob überhaupt, man sich mit der ePA befasst, neue Kommunikations- und Organisationsherausforderungen auf die Leitungen medizinischer Versorgungszentren, beziehungsweise die der Praxen zu", ist dazu auf der Seite des Bundesverbands Medizinische Versorgungszentren zu lesen. Zudem müssten Verantwortliche in Praxen und MVZ das Überangebot an Detail-Informationen sortieren.
Scharfe Kritik kommt auch von Dr. Silke Lüder von der freien Ärzteschaft: "Wir fordern die Verantwortlichen auf, dieses unsinnige Milliardenprojekt zu stoppen – zumindest die Bürger durch sachgemäße Risikoaufklärung zu schützen und echte Freiwilligkeit (Opt-in Modell) für Patienten und Ärzte zu garantieren". Die tatsächliche Kontrolle über die Daten sei für Patienten aufgrund komplexer technischer Prozesse nur erschwert möglich.
Vor dem Start der ePA hatte zudem der Bundesverband Gesundheits-IT davon gesprochen, dass bei vielen Praxen die Voraussetzungen für die ePA bisher nicht geschaffen sind. "Wir brauchen klare Zuständigkeiten, einheitliche Standards und eine stärkere Einbindung von Expertise aus der Digital-Industrie. Die ePA muss leicht zu bedienen, barrierefrei und mit allen Systemen kompatibel sein – Insellösungen dürfen kein Hindernis bleiben", sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder zum ePA-Start.
Um die Sicherheit der ePA zu erhöhen, soll die Anzahl der Autorisierungen für den ePA-Zugriff künftig auf eine plausible Größenordnung beschränkt werden. Zumindest aus Sicht der Betreiber ist das Großangriff-Szenario auf die ePA nun ausgeschlossen. "Einzig der massenhafte Zugriff auf Gesundheitsdaten wurde erschwert, auch das mit nicht wirklich tauglichen Maßnahmen", sagte Linus Neumann vom Chaos Computer Club kürzlich im ZDF.
Zudem sei der gezielte Zugriff auf Daten von Einzelpersonen weiterhin möglich, ohne dass die elektronische Gesundheitskarte dazu ins Kartenterminal in der Praxis gesteckt werden muss. Jedoch reicht die Kenntnis der Kartennummer alleine laut Gematik nicht mehr aus, es sei beispielsweise auch die Kartenversicherungsnummer und eine weitere Information nötig. "Durch die Kombination dieser Maßnahmen werden mögliche Angriffsszenarien verhindert. Das Maßnahmenpaket bietet einen wirksamen Schutz gegen einen möglichen Angriff auf eine hohe Anzahl an Patientenakten", verspricht die Gematik. Sicherheitsexperten bezweifeln jedoch, dass diese Maßnahmen ausreichen, da die für den Datenzugriff erforderlichen Informationen beispielsweise dem Umfeld bekannt sein könnten.
Während der Testphase hatte die Gematik teilnehmende Ärzte in den Pilotregionen auf eine Allowlist gesetzt, eine Positivliste für die sogenannten Institutionskarten. Diese Liste wurde jetzt aufgehoben. Hinzu kommt, dass viele Praxen für das Thema IT-Sicherheit nicht sensibilisiert sind. Die Kassenzahnärztliche Bundesvereinigung gibt Hinweise, was Praxen für mehr IT-Sicherheit (PDF) tun können. Die Gematik und ihre Gesellschafter sorgen nach eigenen Angaben ebenfalls für eine bessere Sensibilisierung. "Darüber hinaus bestehen zusätzliche Maßnahmen, die gegen eine weitere Verwendung gestohlener oder verkaufter Praxisausweise wirken", so die Gematik.
Weder die Bundesdatenschutzbeauftragte noch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sich bisher zur Datensicherheit der ePA geäußert. "In dieser Gemengelage bleiben die Patienten allein", bemängelt das Bündnis "Widerspruch gegen die elektronische Patientenakte" das aus Datenschützern, Patientenn, Ärzten, Zahnärzten und Psychotherapeuten besteht und das aufgrund bisheriger Erkenntnisse zum Widerspruch rät.
(
Kommentare