Die Datenschutzbeauftragte des Landes Schleswig-Holstein, Marit Hansen, hat besorgt auf die bekanntgewordenen Sicherheitslücken im digitalen Gesundheitsnetzwerk für Ärzte, Kliniken und Krankenkassen reagiert.
„Für besonders kritisch halte ich es, wenn ein Identitätsdiebstahl leicht möglich ist“, sagte Hansen dem Handelsblatt. Etwa, wenn im Namen eines Arztes Ausweise mit seinen Daten an andere Adressen zugestellt und so unberechtigte Zugriffe auf Patientendaten ermöglicht würden. „In allen Fällen erwarte ich angemessene Sicherheitsmaßnahmen, die das Risiko ausreichend eindämmen – sonst drohen Bußgelder“, sagte Hansen.
Hansen plädierte dafür, die Verantwortung für die Sicherheit der sogenannten Telematikinfrastruktur (TI), die das Gesundheitssystem vernetzen und demnächst auch Zugriff auf elektronische Patientenakten ermöglichen soll, zu „zentr alisieren“. Sie schloss sich damit einer Empfehlung von Experten an, wonach künftig zum Beispiel das Bundesgesundheitsministerium als einzige Stelle für die Gesamtsicherheit der TI befugt und verantwortlich sei. Gleichzeitig trügen aber auch die Besitzer von Praxis- und Arztausweisen eine Verantwortung in ihrem Bereich, fügte die Datenschützerin hinzu. „Denn natürlich muss jeder weiterhin gut auf seinen Ausweis achten und Unregelmäßigkeiten melden.“
Am Freitag hatten „Spiegel“ und NDR über die Sicherheitslücke berichtet. Demnach war es IT-Experten des CCC gelungen, sich einen Arztausweis, einen Praxisausweis und eine elektronische Gesundheitskarte jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Hansen sagte dazu: „Man kann nur froh sein, dass die IT-Experten frühzeitig über ihre erschreckenden Ergebnisse informiert haben – denn nun können die nötigen Gegenmaßnahmen getroffen werden, bevo r unbefugt auf die besonders sensiblen Patientendaten zugegriffen wird.“ Denn es gebe Komponenten in der Telematikinfrastruktur, „die so grundlegend sind, dass hier nichts schiefgehen darf und man besonders sorgfältig die Prozesse kontrollieren muss“. Dazu gehört laut Hansen etwa das Identitätsmanagement, also das Ausgeben der Ausweise nur an Berechtigte und die damit zusammenhängende Verwaltung.
Und wieder ein Versagen aus dem Hause Spahn, der Minister mit den Reformblähungen, der Widerspruchslösung will, der IT und noch mehr IT, den gläsernen Patienten will und anscheinend auch Identitätsdiebstahl und Abrechnungsbetrug… kann man sich demnächst die GKV im deep web bestellen? Traurig. Aber gut, dass die Landesdatensschutzbeauftragten ihren Job immer häufiger immer ernster nehmen. Nicht nur besorgt sein, Bußgelder verhängen!