Identity Management für Telemedizin: Elektronische Sicherheit zwingend notwendig

 

Geht es um das Thema Telemedizin und Consumer Health scheiden sich oftmals die Geister. Gegner der neuen Techniken verteidigen die alten, teilweise noch aus den 1980er und 1990er Jahren stammenden Technologien, während die Befürworter von Neuerungen auf die zahlreichen Vorteile hinweisen. Dabei besagt sogar der Koalitionsvertrag zwischen SPD und Union: »Die Anwendung und Abrechenbarkeit telemedizinischer Leistungen soll ausgebaut werden«, was die fortschreitende Digitalisierung des Gesundheitswesens somit als klares Ziel setzt. Die am 25. Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (EU-DSGVO) hat ihrerseits Auswirkungen auf telemedizinische Dienste. Um die Datensicherheit im Bereich Telemedizin und Consumer Health zu gewährleisten, sind ID-Management-Lösungen unumgänglich.

 

Der Weg in eine moderne Datenwelt

In den meisten Krankenhäusern kämpfen Ärzte mit längst veralteter Technik und investieren Zeit in (ein eigentlich unnötiges) Sammeln von Informationen. Die seit 1995 geplante Einführung der eGK (elektronische Gesundheitskarte) in Deutschland sollte Abhilfe schaffen und sowohl Medizinern als auch Krankenkassen die Arbeit erleichtern. Der Speicherchip war dafür vorgesehen, unter anderem medizinische Daten für Notfallversorgungen, elektronische Arztbriefe, Arzneimittelunverträglichkeiten und Allergien sowie elektronische Patientenakten zu speichern.

 

Medizin und Technik, eine Symbiose der besonderen Art

Seit den 1980er Jahren werden telemedizinische Verfahren erprobt. Allerdings nutzen wenige Mediziner die Telemedizin. Im Grunde lohnt sie sich nur bei großer räumlicher Trennung von Arzt und Patient. Das ist beispielsweise in schwach besiedelten Gebieten der Fall, wenn die für den Patienten nächstgelegene Arztpraxis 50 Kilometer und mehr entfernt ist. In Städten und Gemeinden mit relativ dichter Besiedlung besteht hingegen geringes Interesse an dieser Technik. Viele Mediziner schrecken zudem vor den enormen Auflagen zurück. Gemäß der neuen Datenschutzgrundverordnung ist eine zusätzlich erhöhte Sicherheit gefordert. Da sich die meisten Ärzte mehr Zeit für ihre Patienten wünschen, sind sie jedoch durchaus bereit, auch telemedizinische Werkzeuge im weitesten Sinne zu nutzen, wenn dies ihnen Vorteile verschafft.

Für radiologische Praxen zum Beispiel bietet sich die Telemedizin grundsätzlich an. Die Auswertung von Röntgenbildern geschieht in der Regel in Abwesenheit der Patienten. Viele Radiologen schicken deshalb bereits heute mit der vorhandenen Technik Daten durch ganz Deutschland. Ein Problem stellt hierbei allerdings eine möglicherweise unzureichende Verschlüsselung der Daten dar, weil diese somit im Prinzip »abgefangen« und ausgelesen werden können – auch von unbefugten Personen.

Es wäre somit sinnvoll, radiologische Zentren zu bilden, in denen Spezialisten zusammenarbeiten und von dort aus (Fern-)Diagnosen stellen. Um dabei die Hürde der adäquaten Umsetzung des Datenschutzes gemäß der neuen Datenschutzgrundverordnung (DSGVO) zu überwinden, kommen ID-Management-Lösungen ins Spiel. Mit eIDAS-zertifizierten Identifizierungsverfahren und der qualifizierten elektronischen Fernsignatur ließen sich die Anforderungen an die Datensicherheit lösen. Dem Abrufen und Öffnen entsprechend sensibler Daten wäre ein Schritt zur eindeutigen Identifizierens des Abrufers vorgeschaltet. Unbefugten wird der Zugriff somit entzogen.

 

Moderne Identifikationsverfahren in Kliniken

In der Telemedizin gab es bisher eigentlich keine Identifizierungsverfahren. Bei der Videosprechstunde sitzen sich Arzt und Patient in einem virtuellen Sprechzimmer gegenüber. Da der Patient vorher die Praxis mindestens einmal besucht haben muss, entfällt die Notwendigkeit der Personenüberprüfung. In Krankenhäusern verwenden nur wenige Chefärzte den elektronischen Heilberufsausweis, um qualifiziert zu signieren. Das System »Identifizierung« funktionierte über das Normalmaß hinaus nicht. In Zukunft wird jedoch auch das Gesundheitswesen nicht auf eine elektronische, qualifizierte Identifizierung und das Unterschreiben von Dokumenten über qualifizierte elektronische Signaturen (das eSign) verzichten können.

Die Identifizierung über das Video-Ident-Verfahren und andere Fernidentifikationsmöglichkeiten, wie sie die identity Trust Management AG anbietet, eröffnet zahlreiche Möglichkeiten. Ärzte könnten sich bei Dienstantritt einmalig über ihr Handy mittels PIN und TAN anmelden und müssten nicht mehr für die verschiedenen Bereiche eines Krankenhauses unterschiedliche Ident-Verfahren durchlaufen. Dies erleichtert die Arbeit, spart Zeit und sorgt zudem für eine bis dato unbekannte Sicherheit. Übernimmt medizinisch nicht eingebundenes Personal, wie zum Beispiel Sekretariat oder Patientenaufnahme des Krankenhauses, die Funktion eines Identifizierers, lassen sich die Patientenaufnahme und die Aktenanlage vereinfachen. Auch Ärzte können ohne großen Zeitaufwand vor Ort identifiziert werden.

 

Identity-Lösungen im Gesundheitswesen, nicht nur für Kliniken interessant

Den Krankenkassen bieten die Identity-Verfahren große Vorteile hinsichtlich Wirtschaftlichkeit und Effizienz. Prozesse ließen sich digitalisieren und optimieren, wodurch Kosten eingespart werden könnten. Personal, das bisher für diese Aufgaben eingesetzt war, stünde zukünftig für andere Tätigkeiten zur Verfügung. Ein gutes Beispiel ist die Krebsvorsorge. Aktuell erfolgt der dafür nötige, aufwendige Schriftverkehr papiergebunden.

Für die Krebsvorsorge, einer außerbudgetären Leistung der Krankenkassen, muss der Patient eine Teilnahmeerklärung in Schriftform abgeben. Nachdem er den »Vertrag« unterzeichnet hat, verschickt eine Arzthelferin die Unterlagen zur Krankenversicherung. Diese stellt eine seriell abzuarbeitende Kostenübernahmeerklärung aus. Auf digitalem Weg hingegen entfallen Papier, Briefmarke und Sachbearbeitung. Der Patient signiert nach seiner Identifizierung qualifiziert mit seiner TAN und PIN. Bei der Krankenkasse geht die Information über die Signierung des Dokuments ein. Die Software sendet daraufhin eine Benachrichtigung, aus der hervorgeht, dass das digital eingereichte Dokument signiert und die Schriftform somit gewahrt wurde. Wie der Gesetzgeber es fordert, verbleibt das Original in der (elektronischen) Patientenakte.

 

ID-Verfahren als Garant für die Datensicherheit im Gesundheitswesen

Durch Identifizierungsverfahren, wie etwa die der identity Trust Management AG, ließen sich im Gesundheitswesen viele unterschriftsbedürftige Dokumente, Verträge und Formulare ohne persönlichen Kontakt und mithilfe einer qualifizierten elektronischen Signatur abwickeln. Krankenkassen erhielten damit zukünftig zusätzlich die Möglichkeit, gesicherte Chats sowie einen protokollierten, dokumentierten und identifizierten Dokumentenaustausch abzurechnen wie eine Videosprechstunde.

Als Ersatz für die Gesundheitskarte bieten sich Cloudlösungen an. Alle Daten ließen sich mithilfe einer App abrufen. Unterliegt die Cloud einem professionellen Management und Hosting, gewährleistet sie zudem die Datensicherheit. Um Daten abzurufen, würde sich beispielsweise ein Arzt wiederum eines der ID-Verfahren bedienen. Erhält er die entsprechende Freigabe infolge der erfolgreichen Identifizierung und Legitimation, kann er auf alle Informationen zugreifen, unabhängig von Zeit und Raum. Sowohl dem Arzt als auch dem Patienten würden Cloudlösungen also eine Vielzahl von Vorteilen bieten. So stehen die Patienteninformationen jederzeit komplett und vollständig zur Verfügung. Gerade in Notfällen brächte dies einen enormen Zeitgewinn und könnte Leben retten.

 

Kleiner Blick in die Zukunft

Der Schutz von Patienteninformationen war und ist ein wichtiges Thema, nicht nur in Kliniken. In der Vergangenheit haben sich dennoch Ärzte untereinander nicht immer unter der Berücksichtigung aller Datenschutzrichtlinien ausgetauscht. Dies war möglicherweise grenzwertig, wurde aber geduldet. Analoge Daten lassen sich nur schwer kopieren oder missbrauchen, eine unbürokratische Verarbeitung erfolgte im Sinne der Gesundheit des Patienten. Heute versenden Mediziner Aufnahmen zur Analyse in digitaler Form. Durch die technische Beschaffenheit internetbasierter Kommunikation »reisen« die Informationen rund um die Welt. Kliniken benötigen daher innerhalb ihrer Mauern sichere Kommunikationskanäle und effektive Verschlüsselungstechniken. Sie müssen eine moderne IT-Infrastruktur schaffen, die es ermöglicht von Arzt zu Arzt sowie von Arzt zu Patient Dokumente, Fotos, Daten und Chats sicher auszutauschen. Qualifizierte ID-Verfahren und elektronische Signaturen für Ärzte, medizinisches Personal und Patienten sind ein wichtiger Schritt in diese Zukunft.

Johannes Meerloo, identity Trust Management AG

 


 

Der Technik vertrauen können: Warum wir mehr Sicherheit im vernetzten Gesundheitswesen brauchen

Gesundheitswesen als chronischer Patient in Sachen IT-Sicherheit – Herausforderungen und Lösungswege

Sicherheitsarchitektur: Cloud-Sicherheit wird zum Fokusthema, nicht nur im Gesundheitswesen

IT-Sicherheitsreport: Gesundheitsdaten ziehen Kriminelle besonders an

Tatort Gesundheit: Sicherheitsanalyse zu Chancen und Risiken der Vernetzung im Gesundheitswesen

Das Gesundheitswesen der Zukunft: Das IoT prägt die Branche schon jetzt

Weitere Artikel zu