Health&Care -

Interview mit Pierre Gronau "Wir brauchen eine Wertediskussion über IT-Sicherheit im Gesundheitswesen"

Der Zukunftsberater und Innovationsmanager aus Berlin gibt eine Einschätzung dazu ab, was passieren muss, damit Patientendaten sicher sind und nicht an Dritte weitergegeben werden.

Themenseite: Digitalisierung

Herr Gronau, wie steht es aus Ihrer Erfahrung um die Digitalisierung im Gesundheitssektor?

Gronau: Wir erleben aktuell unterschiedliche Szenarien: Konsumenten nutzen immer mehr Fitness-Apps, um Gesundheitsdaten wie Herzfrequenz oder Essverhalten auf ihren Smartphones zu speichern. Ärzte hingegen verharren eher im digitalen Jetzt: Sie rechnen gegenüber Patienten und Krankenversicherungen zwar digital ab und verwalten Gesundheitsdaten elektronisch, begegnen weitergehender Digitalisierung jedoch mit Vorbehalten. Das mag daran liegen, dass sie ihren Berufseid vor Augen haben und IT sowie die digitale Transformation nicht als Helfer, sondern als unberechtigten Mitwisser sehen. Schließlich ist die ärztliche Schweigepflicht die älteste bekannte Datenschutzregelung, die wir kennen. Außerdem verwendet laut Eigenangaben nur ein Drittel der Krankenhäuser, die als kritische Infrastruktur eingestuft wurden, eine IT, die dem „Stand der Technik“ entspricht. Im Umkehrschluss bedeutet dies, dass Zweidrittel aller Krankenhäuser durch die Anbindung an das Internet Cyber-Angriffen via unzureichender IT-Sicherheit ausgesetzt sind.

Die zentrale Verfügbarkeit von Behandlungsdaten in digitalen Patientenakten soll Betreuung effektiver machen. Was bringt dies den Patienten konkret?

Gronau: Von zentraler Verfügbarkeit kann momentan nicht die Rede sein und aus meinem Wissenstand heraus wird sich dies auch in den nächsten Jahren nicht ändern. Die Gesundheitskarte richtet sich ausschließlich an gesetzlich Krankenversicherte, 25 Millionen Privatversicherte sind hiervon ausgenommen. Aus Patientensicht ergibt die lückenlose und gesicherte Aufzeichnung aller Medizingerätedaten für die Behandlung Sinn, da sie Fehlbehandlungen aufgrund von Allergien oder Wechselwirkungen vermeiden können. Diese Vorteile sind aber auch in diversen Szenarien ohne IT-Einsatz, wie dem Allergiepass, möglich. Selbst wenn eine Patientenakte vorliegt, kann IT-Nutzung scheitern. So ist es in Unfallsituationen zum Teil unmöglich, die Identität des Patienten festzustellen ─ keine Identitätszuordnung bedeutet keinen Zugriff auf gespeicherte Patientendaten mit Allergiehinweisen. Mit Haustier-Kennzeichnung vergleichbare RFID-Chips, wie sie sich als Trend in US-Staaten etablieren, oder aber datentragende Tattoos aller Gliedmaßen wird hier wohl niemand wünschen.

Was muss passieren, damit Patientendaten sicher sind und nicht etwa an Dritte weitergegeben werden?

Gronau: Hier müssen wir unterscheiden, ob wir eine Patientenakte im Krankenhaus oder in der Arztpraxis haben, und ob die Daten später zentral zur Verfügung stehen sollen. Die lokale Patientenakte ist durch die Vernetzung mit dem Internet und der Telematik-Infrastruktur (TI) zusätzlichen Angriffsszenarien ausgesetzt. War früher für eine Weitergabe von Patienteninformationen das physische Erscheinen vor Ort notwendig, können Angriffe jetzt auch aus der Ferne, z.B. aus Russland oder China, erfolgen. Es ist auch bedenklich, dass der Datenschutz gemäß EU-DSGVO und die IT-Sicherheit nicht von unabhängigen Dritten geprüft werden, sondern dies weitestgehend durch eine Selbsteinschätzung sichergestellt wird. Mein vergleichender Vorschlag, sarkastisch für Autoliebhaber: Wir schaffen den TÜV ab und alle drei Jahre schickt der Fahrzeughalter seine Selbsteinschätzung zum KBA.

IT-Strukturen in Kliniken weisen Defizite auf und Milliardenbeträge sind notwendig, um medizinische Geräte und die IT-Infrastruktur zu modernisieren und zu sichern. Dazu brauchen wir eine Wertediskussion. Unsere Gesellschaft sollte bereit sein, für die bessere und geschützte Versorgung mehrere Milliarden Euro zusätzlich auszugeben. Inzwischen haben uns Einzelfälle in USA und Großbritannien gezeigt, dass auch Herzschrittmacher über das Internet angreifbar sein können. Das will niemand! Auf Basis besagter Wertediskussion müssen also Prozesse für Datenschutz und IT-Sicherheit etabliert werden, während unabhängige Experten mindestens jährlich auditieren. Hierbei erachte ich sogenannte Penetrations-Tests als wesentlich, um Sicherheitslücken zu entdecken und zu schließen. IT-Sicherheit sollte auf Stand der Technik und Wissenschaft gehoben werden, was bei den Datenansammlungen im Gesundheitswesen Pflicht sein muss. Zu guter Letzt fordere ich auf, dass jeglicher Code, der hier eingesetzt wird, veröffentlicht wird, um Vertrauen und Sicherheit aufzubauen.

Das Interview führte Tanja Deilecke, Borgmeier Public Relations.

Über Pierre Gronau
Pierre Gronau ist Gründer und Inhaber der Gronau IT Cloud Computing GmbH mit Firmensitz in Berlin. Seit 20 Jahren arbeitet er für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, moderne Cloud- und Automationslösungen sowie Datensicherheit und Datenschutz. Sein Weitblick, gekoppelt an klare Analyse- und Lösungskompetenz, dient Wirtschaftsbranchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Banken und Versicherungen als Orientierung für zukunftsgewandte, nachhaltige Unternehmensentwicklung in puncto Digitalisierungsstrategien, IT-Sicherheitskonzepte, Strukturen und konkrete Lösungen. Gronau studierte zunächst Betriebswirtschaftslehre, arbeitete dann aber im Bereich der Informationstechnologie weiter. Bis 2011 erlangte er seine branchenweite Reputation als externer Experte für die Implementierung virtueller Infrastrukturen mit VMware-Produkten.
© hcm-magazin.de 2018 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen