ELGA: Ärztecomputer nicht sicher genug?

Die Elektronische Gesundheitsakte ELGA, die alle medizinischen Daten der Österreicher speichern soll, wird von Experten zwar als gut geschützt gegen Datendiebstahl eingestuft. Nicht so aber die Computer der Ärzte, die auf ELGA zugreifen. Hier ist von einem möglichen Sicherheitsrisiko die Rede.

Mit einem Schlüssel konnte man bisher den Aktenschrank aufsperren, in dem Patientenakten aufbewahrt worden sind. Im Prinzip wird das auch künftig bei ELGA, der elektronischen Gesundheitsakte, so sein.

Doch in Hausarztpraxen wird - anders als beim Aktenschrank - die Tür nicht gleich zugemacht - sondern sie bleibt offen: 28 Tage lang ist der Kanal zu Elga offen - dies auf jedem Arzt-PC, der die ELGA nutzt. Ärzte warnen nun vor einem Sicherheitsrisiko.

„Arztpraxis größtes Loch in der Sicherheitsstruktur“

„In dem Moment, wo ein Patient seine E-Card in der Praxis steckt, und er kein ‚opt out‘ gemacht hat, ist für den Arzt der Zugang zu ELGA freigeschalten. Das heißt, der Arzt hat vollen Zugriff auf sämtliche Befunde und die E-Medikation und kann diese downloaden für den Zeitraum von 28 Tagen. Und solange er freigeschalten ist, so lange kann eine Software, ein Arzt, oder auch ein Schadprogramm auf ELGA zugreifen“, sagt Harald Kornfeil, EDV-Referent der Salzburger Ärztekammer.

„Wenn man ELGA als Gesamtkonstrukt betrachtet, dann ist die Arztpraxis wahrscheinlich das größte Loch in der Sicherheitsstruktur, weil es keine vorgegebenen Strukturen gibt, die einem Arzt helfen, seine Praxis wirklich gut abzusichern“, ergänzt Christian Gonzales, Arzt aus Niederalm.

„Standardkonzept für Arztpraxen notwendig“

Die meisten Ärzte haben keine Zusatzqualifikation als IT-Experte. Jede Praxis hat daher andere Sicherheitsstandards, oft auch mangelhafte. Viele Ärzte wünschen sich von ihrer Kammer eine Vorgabe zum Thema Sicherheits-Standards.

„Es wäre - so denke ich - ganz wichtig, ein Standardkonzept zu entwickeln, wo man Arztpraxen im Rahmen von ELGA bzw. einer Gesamtsicherheitsstruktur absichert“, bekräftigt Arzt Christian Gonzales.

ELGA GmbH verweist auf Ärztekammer

Bei der ELGA GmbH verweist man auf die Zuständigkeit der Ärztekammer, ihre Mitglieder zu unterstützen. In anderen Branchen, die mit Gesundheitsdaten arbeiten, wurden die Datensicherheitsbestimmungen seit Einführung der Datenschutzgrundverordnung radikal verschärft, zum Beispiel bei Optikern. IT-Sicherheitsexperten wie Martin Schober fordern dies auch für niedergelassene Ärzte.

„Das Sicherheitssystem eines Arztes sollte so sicher sein wie andere Systeme, die das selbe Produkt nutzen - zum Beispiel im Krankenhaus. Und Spitäler haben sehr wohl Vorgaben, die eingehalten werden müssen. Und genau so etwas müsste die Kammer - in diesem Fall also die Ärztekammer - für die Ärzte definieren“, sagt Schober.

Kammer räumt ein, spät dran zu sein

Seitens der Kammer räumt man ein, mit der Unterstützung in IT-Sicherheitsfragen spät dran zu sein. Ein Projekt, damit niedergelassene Ärzte ihr IT-Sicherheitskonzept selbst überprüfen können, sei in Arbeit. Datum für die Fertigstellung gebe es allerdings noch keines, heißt es.

Links:

• Warnung vor Lücken bei Krankendaten (salzburg.ORF.at; 9.11.2018)
• ELGA in ersten Salzburger Spitälern (salzburg.ORF.at; 1.12.2016)
• Ärzte melden sich von ELGA ab (salzburg.ORF.at; 11.5.2014)