Smart oder Sicher? Healthcare IT im Spannungsfeld von User Experience und Datenschutz.
Die Digitalisierung im Gesundheitswesen steht für schnell fortschreitende, technische Innovationen, die auch auf unterschiedliche Weise sehr wesentlich mit dem Thema der Informationssicherheit verknüpft sind. Im privaten Umfeld sind Tracking Devices und Wearables wie Fitnessarmbänder und Pulsuhren für Fitnessbewusste bereits heute schon Standard in der Vernetzung der physischen und der digitalen Welt. Gesundheits-Apps gibt es wie Sand am Meer – Tausende davon sind bereits verfügbar; manche erinnern an Medikamenteneinnahme, es gibt Migränetagebücher, Schnarchgeräuscheaufzeichner und Fruchtbarkeitskalender. Die Bereitschaft persönliche Daten aufzuzeichnen ist außerordentlich hoch und wird seitens der Benutzer nur selten hinterfragt. Gesamt gesehen steht diese Entwicklung im Gesundheitswesen noch relativ am Anfang. Datenvernetzung und effiziente digitalisierte Kommunikation sind jedoch Grundvoraussetzungen für die Medizin der Zukunft. Diese Session versucht eine Antwort auf Frage zu finden, ob Smart und Sicher ein Gegensatzpaar darstellen.
Mag. Franz Öller MBA, MPH
Geschäftsführer Tauernkliniken GmbH
Dr. Waltraut Kotschy
Data Protection Compliance Consulting Wien
Gesundheits-Apps sind wertvolle Hilfen für ein gesundheitsbewusstes Leben. Die Bereitstellung von Gesundheitsdaten für die Verarbeitung in Apps ist jedoch nicht frei von datenschutzrechtlichen Risiken. Die datenschutzrechtliche Stellung der Betroffenen gegenüber den App-Betreibern ist nicht wirklich in einer den heutigen Erfordernissen entsprechenden Weise geregelt ist – ein neuer Ansatz ist allerdings das „Recht auf Datenübertragbarkeit“, das in der DSGVO zum ersten Mal geregelt ist.
Es ist vorhersehbar, dass in Zukunft immer öfter unterschiedliche Behandler und medizinische Service-Erbringer auf Daten aus Apps zugreifen werden, was die Missbrauchsgefahr bei Vernetzung von Gesundheitsinformationen aus unterschiedlichen Apps erhöht – welche Mittel und welche Garantien gibt es dagegen? Forcierung von Pseudonymisierung? Wäre die umfangreichere Einholung von Einwilligungserklärungen eine praktikable Lösung? Sie müssten an sich ausdrücklich gegeben werden, was mit der täglichen Praxis nicht übereinstimmt. Wäre es sinnvoller und sicherer, einen Code of Conduct zu entwickeln, wie in Zukunft mit Daten aus der Selbst-Beobachtung von Patienten mit elektronsicher Datenaufzeichnung umzugehen ist? Die neuen hohen Strafen für Datenschutzverletzungen könnten einer solchen Regelung den notwendigen Nachdruck verleihen.
Dr. Karsten Neumann
Senior Advisor, Roland Berger GmbH Berlin
FH-Prof. DI Alexander Mense
Technikum Wien
Security im medizinischen IoT Zeitalter …
Mobile Devices und Apps, Sensoren, Systemkomponenten – über (mobile) Netzwerke ständig „connected“. Das „Internet of Things“ hält nicht nur Einzug in unser tägliches Leben sondern auch in unsere Gesundheitsversorgung und –vorsorge. Smarte Systeme erleichtern uns scheinbar das Leben und stellen auch im Gesundheitsbereich eine große Hoffnung dar – zum Beispiel sollen solche Systeme gerade im Bereich der Versorgung chronischer Krankheiten demnächst einen großen Vorteil für Betroffene bringen. Blickt man bei solchen Systemen jedoch näher hin, so gibt es sehr oft Probleme mit der IT-Security und im privaten Umfeld bezahlen wir oft Bequemlichkeit mit unseren Daten. Gehackte Insulinpumpen, ungesicherte Datenübertragung, Klartextpasswörter im Quelltext mobiler Apps, mangelnde Überprüfung der Identitäten sind dabei nur ein paar Beispiele von Fauxpas‘ im Bereich unserer „smarten Systeme“. Auch wird der Benutzer gerne aus „Usabilitygründen“ vor komplexen Sicherheitsfunktionen geschont. Dass in solchen Fällen durch mangelnde IT-Security nicht nur die Daten, sondern auch die Safety der BürgerInnen gefährdet wird, wird oft „übersehen“.
Dabei gelten Gesundheitsdaten seit jeher sensibel und in Österreich gibt es nicht erst seit der DSGVO die gesetzliche Verpflichtung diese Daten durch geeignete Security-Maßnahmen entsprechend zu schützen. Aber Security- Probleme mit der Vernetzung von Devices und Systemkomponenten sind nicht neu und man kann diese mangelnden Sicherheitsmaßnahmen sehr gut z.B. bei vernetzten Medizingeräten sehen, für welche wir letztendlich auch schon Malwarebefall gesehen haben. Nun kann man gut argumentieren, dass diese Systeme vor 10 Jahren entworfen wurden und aufgrund regulatorischer Vorgänge und der langen Lebensdauer eben nicht ersetzt werden können – allerdings zeigen zahlreiche Untersuchungen, dass wir aus der Vergangenheit leider nichts für die Entwicklung unserer neuen „smarten“ Komponenten gelernt haben und die gleichen Fehler wieder – nur von anderen Personen – gemacht werden! Apps wie moderne Devices zeigen grobe Sicherheitslücken. Security wird als ein aufwendiges, komplexes „Add-On“ gesehen, das von Entwicklern nur zu gerne mangelhaft umgesetzt wird … von „Security by Design“ sind wir weit weg und selbst wenn wir heute damit starten würden, dann hätten wir erst in einigen Jahren tatsächlich sichere Systeme … eigentlich hätten wir schon vor Jahren beginnen müssen …
Der Impulsvortrag zeigt Beispiele für Sicherheitsschwachstellen durch die Vernetzung unserer bestehenden Systemkomponenten auf und zieht Parallelen zu der Entwicklung heutiger Systeme. Es werden notwenige Maßnahmen und mögliche nachhaltige Ansätze für smarte UND sichere Systeme dargestellt und diskutiert.
Mag. (FH) Gerhard Vysocan
Key Accountmanager, Meierhofer AG
Vernetzung und Optimierung von Patientenservice – Bedürfnisse und Anforderungen an smarte Lösungen der intersektoralen Vernetzung
• Welche Bedürfnisse aller, an einer Behandlungskette Beteiligten können im Zeitalter von Smartphone, Google-Recherche und 7×24 Verfügbarkeit können durch smarte eHealth Lösungen realisiert werden?
• Welchen Nutzen können solche Lösungen bringen?
• Wie wirken Sie sich auf den Behandlungsprozess in Bezug auf Verfügbarkeit, Kosten-Effizienz und Qualitätssteigerung aus?
Eine Darstellung der evaluierten Anforderungen und durch Studien und Praxisbeispiele verifizierte Ergebnisse einer Lösung durch ein Patientenportal.