Mitunterzeichnung offener Brief der INOEG - Fünf Schritte zu mehr Vertrauen in die ePA
Fünf Schritte zu mehr Vertrauen in die ePA
Die LV Selbsthilfe hat den offenen Brief des Innovationsverbunds Öffentliche Gesundheit e.V. (INOEG) mitunterzeichnet.
Der Schutz der Daten von Patientinnen und Patienten ist im derzeitigen Sicherheitskonzept der ePA nicht gewährleistet. Die ePA wäre eine tolle Chance, um die gesundheitliche Versorgung zu verbessern, aber im Augenblick vermissen wir an vielen Stellen den Nutzen für Patienten und Patientinnen. Die ePA könnte so viel besser sein, wenn die Vorschläge der Patientenorganisationen umgesetzt würden.
Die Vorsitzende der Landesvereinigung Selbsthilfe Berlin e.V., Sonja Arens
"Fünf Schritte zu mehr Vertrauen in die ePA
Sehr geehrter Herr Bundesminister Lauterbach,
wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.
Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.
Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.
Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.
Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:
- Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
- Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
- Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
- Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
- Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.
In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.
Mit freundlichen Grüßen"