Sichere Alternative zu ELGA??

Kommentar zur Veranstaltung von gestern:

ORF KulturCafe, Wien: Mit der Patientenakte maxiDOC präsentiert Dr. Franz Tenbrock eine Alternative zur Elektronischen Gesundheitsakte (ELGA). maxiDoc ist eine Patientenakte, die immer in den Händen des/der betroffenen Patienten/Patientin bleibt. Sie [...] entspricht höchsten Sicherheits- und einfachsten Bedienungsstandards. Eine Veranstaltung des Österreichischen Hausärzteverbandes.

Dr. Tenbrock präsentierte die Patientenakte und Arztsoftware maxiDOC als sicheres System, das Vorteile zu ELGA haben soll.

Mit diesem Anspruch muss sich das präsentierte System aber auch der Kritik stellen, dass es die selbst gestellten und allgemein üblichen Sicherheitsanforderungen nicht erfüllen kann.
Die Patientendaten werden von dem Produkt - zusätzlich zum Arztsystem - auf einem USB-Memorystick verschlüsselt gespeichert, wobei für die meisten Daten kein PIN des Patienten erforderlich ist. Damit auch Patienten und Ärzte, die nicht maxiDOC-Kunden sind, auf die Daten zugreifen können, ist dafür auf dem Stick ein ausführbares Windowsprogramm gespeichert. Ärzte-PCs mit installierter maxiDOC-Software verifizieren die Echtheit der Objekte auf dem Stick über eine Prüfsumme, und werden selbst (über das Netz?) vom SW-Hersteller aktualisiert.

Folgende Argumente wurden implizit oder explizit für diese Lösung vorgebracht:

1. offline ist sicherer als online
2. der Patient kontrolliert, wer seine Daten sieht
3. Mit 60€ pro Stick ist die Lösung billiger als ELGA
4. Mit PDF/JPEG und TIFF werden universell verständliche Formate verwendet

Kritikpunkte:

1. offline ist sicherer als online: Dieser Ansatz wurde schon in der Debatte um die kryptografische Verschlüsselung widerlegt. Sicher sind Daten nur, wenn sie entweder physisch unzugänglich verwahrt werden, oder verschlüsselt sind und das Schlüsselmaterial nicht physisch zugänglich ist. Kurz gesagt sind diese Daten dann sicher, wenn sie nicht verwendet werden. Der Schwachpunkt liegt dort, wo die Daten verwendet werden, und dort wird ein guter Schutz durch professionell organisierte Sicherheitsmaßnahmen erreicht.
Das Argument, dass der schwache Schutz der Daten auf dem einzelnen USB-Stick reicht, weil ein Angreifer, der den Stick in Besitz bekommt, dann nur die eines einzelnen Patienten lesen kann, gilt dann nicht mehr, wenn das System mehr als eine marginale Verbreitung erfährt und Bot-Netzwerke die Patientendaten systematisch sammeln.
Die grundlegenden Fehler in der Sicherheitsarchitektur sind, (prima vista, ohne tiefergehende Analyse) wie folgt:
a) Am PC des Patienten sind die Daten gegenüber Malware nicht verlässlich geschützt.
b) Am PC von Ärzten ohne maxiDOC ist das Executeable am Stick ein potentielles Einfallstor für Schadsoftware.
c) PCs mit installierten maxiDOC werden wohl auch über das Netzwerk gewartet - hier besteht eine Vertrauensstellung zum SW-Lieferanten. Das ist also nicht besser als bei einer online-Lösung. Oder die SW-Updates werden off-line verteilt, was aber keine Lösung für das 21. Jahrhundert mehr ist. Und die System des SW-Lieferanten werden wohl auch eine Internetverbindung haben.
d) Das Schlüsselmaterial besteht aus shared Secrets, was bedeutet, dass ein Kompromittierung an einer Stelle das ganze Sicherheitssystem ruiniert.
e) Zugang und Kontrolle passieren nicht elektronisch: Ob die Zuordnung zu USB-Stick und Patientenakt des Arztes stimmt, oder die Überprüfung wer was auf den USB-Stick schreibt. Das mag in kleinen Arztpraxen am Land OK sein, wo man sich kennt; In Systemen nationaler Größenordnung ist das unzureichend.

2.Datenhoheit
Trotz USB-Stick entscheidet nach wie vor der Arzt/die Klinik, wer von ihm Daten erhält. Die Aufzeichnungs-, Mitteilungs- und Meldepflichten sind ja davon unberührt, ob der Patient die Daten selbst übermittelt. Dabei ist es egal, ob die Daten per Brief, Fax, gerichteter Befundübermittlung oder ELGA übermittelt werden: die Rechtsgrundlagen sind im wesentlichen die gleichen.
Nachteil von maxiDOC ist, dass (etwa im Gegensatz zu ELGA) keine differenzierte, zwangsweise Zugriffsregelung für besonders heikle Daten existiert. Bei ELGA ist eine mandatory access control mit differenzierten Möglichkeiten vorgesehen; während es bei maxiDOC nur eine Sicherheitsstufe gibt, deren Verwendung im Ermessen des Patienten liegt.

3.Kosten
60€ pro Stick sind für 10 Mio. Versicherte in Österreich immerhin 600 Mio.€. Selbst wenn man Economics of Scale in einer Größenordnung einrechnet und ein Stick nur mehr 6€ kosten würde, ist das noch immer viel teuerer als die äquivalente Funktion in ELGA. Teuer an ELGA ist nämlich, dass hier ein standardisiertes Rahmenwerk für eHealth-Anwendungen geschaffen wird, das der Vielzahl von Produkten im Gesundheitsbereich die Integration über internationale Standards mit strukturierten Daten. Billig dagegen ist es innerhalb dieser Infrastruktur Patientendaten zu speichern, das erfolgt nämlich zu Grenzkosten, also wohl deutlich niedriger als auf USB-Sticks.

4.Datenformate
maxiDOC verwendet keine strukturierten Daten und Metadaten. Damit können Dokumente nicht gut eingeordnet und Labordaten und Messergebnisse nicht gemeinsam ausgewertet werden, etwa als Perzentilen; Ärzte haben daher einen Zeit- oder Informationsverlust. Normierung in diesem Bereich ist Knochenarbeit und kostet auch Geld, und benötigt große Projekte, die die Normierung weiter treiben. Dafür ist maxiDOC zu klein.

5.Nachteile der Offline-Speicherung
Allgemein kann noch angemerkt werden, dass offline-Lösungen mit manchen Prozessen inkompatibel sind. Z.B. ist es im Allgemeinen nicht praktikabel, dass der Patient das Röntgenlabor erst verlässt, wenn das Bild befundet wurde; dazu müssten die Wartezimmer erheblich ausgebaut werden. Auch das Verschicken von zurückgelassenen Sticks per Post ist wenig geeignet. Die Speicherung von Verordnungen würde wiederum bedeutet, dass der Patient den Stick demjenigen mitgeben muss, der in die Apotheke geht.

6.Fehlende Offenheit und Plattformneutralität
Schnittstellen und Speicherverfahren am USB-Stick sind nicht offen gelegt. Die Kontrolle liegt bei einer Firma und nicht bei einem öffentlichen Normungsgremium. Die Software läuft nur unter Windows.
Das maxiDOC auch Pharmawerbung einblendet, ist auch ein Nachteil, weil dadurch Ärzte beeinflusst werden sollen, nicht das fachlich beste, sondern das bestbeworbene Medikament zu verschreiben.

Zusammenfassung zu maxiDOC

Die maxiDOC-Patientenakte ist von gravierenden Sicherheitsmängeln geplagt und kann für einen breiten Einsatz nicht empfohlen werden.

Mittels besserer technischer Verfahren, funktionellen Einschränkungen und dem Aufbau einer Identity-Management-Infrastruktur wäre ein Reduktion der Sicherheitsprobleme möglich.

Eine Integration in den Austausch strukturierter Daten im Kontext einer nationalen Lösung ist auch nicht ansatzweise vorhanden. Im Vergleich mit ELGA ist also weder sicherheitstechnisch noch funktionell ein Vorteil zu erkennen.

Die Offline-Speicherung von Patientendaten ist nicht grundsätzlich abzulehnen. Als Ergänzung zu einer online-Speicherung wäre es etwa denkbar, dass Patienten, die einer Übermittlung ihrer Daten im ELGA nicht zustimmen, diese auf einem off-line Medium speichern. Oder auch auf einem online-Medium, und die Daten mit einer Chipkarte kryptographisch geschützt sind. Aus Prozesssicht sind diese Methoden ähnlich. Für den breiten Einsatz ist eine Nutzung der dezentralen, bereits vorhandenen Patientendaten und einem notwendigerweise strengen, und professionell gemangten Sicherheitsregime günstiger.

Allgemein zur Diskussion möchte ich anmerken, dass wie oft in diesem Diskurs Äpfel mit Birnen verglichen und unbelegte oder falsche Aussagen getroffen werden, wie z.B.

ELGA = Datensammelwut der Bürokraten

Für ELGA werden keine zusätzlichen Patientendaten erhoben, sondern nur aus vorhandenen Daten eine validierte Teilmenge und Zusammenfassung erstellt, wie es auch derzeit praktiziert wird.

ELGA entsteht aus der Gewinnabsicht der Industrie

Das ist schwer zu widerlegen. Auch ich weiß nicht, wer hinter den Kulissen welche Eigeninteressen verfolgt - Hauptverband, Länder, Bund, IT-Industrie, Pharma, Ärztekammern, Apotheker, ..
Nur bei Aktienunternehmen (wie IBM und Siemens) ist die Gewinnabsicht klar vorgegeben. Für die anderen Stakeholder ist es leicht auf diese mit dem Finger zu zeigen. Es ist aber im ganzen System nicht transparent, wer fair spielt. Aber jeder kann das System verbessern, indem der selber fair ist.
(Wunsch an den Weihnachtsmann:)

Schön wäre es, wenn die Firmen nicht mit dem Standortargument drohen, die Ärzte nicht gleich mit dem Leichentuch winken, und die Interessensvertreter sachlich und korrekt argumentieren.

ELGA = freier Zugriff auf Gesundheitsdaten

Regelmäßig wird behauptet (bei dieser Veranstaltung etwa von Mag. Georg Kainz), dass Schulärzte (Arbeitgeber, Lehrer und Behörden) Zugriff auf die Gesundheitsdaten im ELGA bekommen würden. Das ist so gesagt schlicht und einfach falsch, weil eben diese Benutzergruppen vom Zugriff auf ELGA ausgeschlossen sind.

Die Bedrohung liegt - wie auch schon heute - beim Social Engineering. Hier unterscheidet sich ELGA nur dadurch, dass der Zugriff erleichtert wird, weil berechtigte Personen sehen können, wo Daten freigegeben sind. Das heißt, dass im Fall einer illegalen Weitergabe von Daten durch einen Insider dieser leichter an die Daten herankommt.

Als Gegenmaßnahmen sind die Einsicht des Patienten in die Protokolle und empfindliche Strafen für Missbrauch vorgesehen. Ich persönlich sehe hier den Bedarf, dass diese Maßnahmen ausreichend umgesetzt werden, etwa durch eine automatische Nachricht an den Patienten (z.B. verständliche monatliche Zusammenfassung alle Zugriffe per EMail, oder mit der Leistungsabrechnung der SV zugesendet.). In Kombination mit der Sperre der heikleren Daten und tatsächlich umgesetzten Sanktionen kann dann das Logfile ein effizienter Schutz gegen den Missbrauch durch Insider werden.