Laut dem Elektronischen Patienten-Dossier-Gesetz, kurz EPDG, das erst im Juni 2015 verabschiedet wurde, ist geregelt: Es entscheidet immer der Patient über den Zugriff auf seine persönlichen Gesundheitsdaten. Der sichere Datentransfer wird dabei als selbstverständlich vorausgesetzt. Eine der grössten Herausforderung für mehr Datensicherheit sieht der Datenexperte Greuter im Schutz des letzten Abschnitts zwischen Gesundheitsfachperson und dem Patientendossier. Der Username, das Passwort und der neuste Virenschutz reichen dafür längst nicht mehr aus.

Strenge Zugriffsrechte schützen Patientendaten

Ziel ist es, mit einem sicheren Kommunikationskanal und einer garantierten Authentisierung mittels einer elektronischen Identität ein Maximum an Datensicherheit zu garantieren. Es muss sichergestellt werden, dass nur berechtigte Personen Zugriff auf diese persönlichen Informationen erhalten. Hierzu ist analog der realen Welt eine sichere und garantierte Identifizierung nötig. Die Fragen müssen lauten: Entspricht der Online User, welcher auf das elektronische Dossier zugreift, auch der von ihm ausgegebenen Identität?

Es entscheidet immer der Patient über den Zugriff auf seine persönlichen Gesundheitsdaten.

Ist es wirklich der Hausarzt, der nun online auf mein Dossier zugreift? Elektronische Identitäten (eID), die durch zertifizierte Stellen vergeben werden, können helfen. Die hierzu verwendeten Zertifikate beinhalten neben den persönlichen Daten auch die Rolle im gesamten Behandlungsprozess. Handelt es sich hier um den Hausarzt, den zusätzlich hinzugezogenen Facharzt oder einen Spitex-Mitarbeiter?

Ebenfalls entscheidend für den Zugriff auf besonders geschützte Informationen ist die berufliche Qualifikation. Ein Psychiater hat sicher weitere Zugriffsrechte als zum Beispiel ein Krankenpfleger oder Physiotherapeut. Diese Angaben müssen bei jedem Zugriff auf das Dossier elektronisch überprüft werden und mit den zugeteilten Berechtigungen übereinstimmen.

Greuter bemerkt zudem, dass nicht nur die Server, welche die Daten beinhalten, sondern auch die für den Zugriff verwendeten Endgeräte sorgsam zu schützen sind.

Welche Rolle spielt der Mensch?

In der Schweiz stehen die notwendigen Plattformen für den sicheren Austausch schon seit Jahren zur Verfügung. Trotz aller Technologie spielt der Mensch die zentrale Rolle in der Datensicherheit. An erster Stelle steht deshalb für Greuter die Awareness der Benutzer – sprich das Bewusstsein der Risiken im Umgang mit solchen Datensammlungen. Fehlt dem Menschen das nötige Gespür oder ist gar Vorsatz im Spiel, so vermag selbst die sicherste Technik wenig auszurichten.

Unser teilweise achtloser Umgang mit digitalen Daten ist inzwischen ein generelles Gesellschaftsthema. Der Experte für dezentrale Datensammlung und Informationssicherheit Greuter bemerkt hierzu abschliessend: «Es betrifft nicht nur die Gesundheitsfachpersonen und Datenschützer, sondern jeden Einzelnen von uns im täglichen Umgang mit der Online-Welt.»