Wie sicher ist die elektronische Patientenakte?
Nach der Digitalisierungsstrategie des Bundesministeriums für Gesundheit erhalten zukünftig alle gesetzlich Versicherten, die nicht aktiv widersprechen, eine elektronische Patientenakte. Wer kann dann auf die persönlichen Patientendaten zugreifen und wie gut sind die Daten gegen unberechtigten Zugriff geschützt?
Anfang März 2023 hat Bundesgesundheitsminister Prof. Karl Lauterbach in einer Pressekonferenz die neue Digitalisierungsstrategie des Bundesministeriums für Gesundheit (BMG) vorgestellt. Ein zentrales Thema der Digitalisierungsstrategie ist die elektronische Patientenakte (ePA). Diese wird den 73 Millionen gesetzlich Versicherten seit Januar 2021 auf Wunsch (Opt-In) durch die Krankenkassen bereitgestellt. Laut Karl Lauterbach haben bis heute allerdings weniger als ein Prozent der gesetzlich Versicherten eine ePA beantragt. Dies hat sich offenbar schon länger angedeutet, denn bereits im Koalitionsvertrag von November 2021 wurde vereinbart, die Einführung der ePA zu beschleunigen und allen Versicherten, die nicht aktiv widersprechen, eine ePA zur Verfügung zu stellen (Opt-Out). Im Rahmen der Digitalisierungsstrategie erfolgt nun die Umsetzung. Das BMG hat bereits zwei neue Gesetze angekündigt: das Digitalgesetz und das Gesundheitsdatennutzungsgesetz (GDNG). Damit sollen bis zum Jahr 2025 80 Prozent der gesetzlich Versicherten über eine ePA verfügen und die Patientendaten pseudonymisiert für die Forschung nutzbar werden.
Für die Versicherten bedeutet dies, eine Entscheidung treffen zu müssen. Keine ePA zu beantragen war einfach und bequem, aber sollte der Einrichtung jetzt widersprochen werden? Wie sind die persönlichen Patientendaten in einer ePA geschützt? Wer kann auf die Patientendaten zugreifen? Dieser Artikel vermittelt Hintergrundinformationen zur Funktionsweise der ePA und über den Schutz der in der ePA gespeicherten Patientendaten.
Die elektronische Patientenakte
Die elektronische Patientenakte ist im Wesentlichen ein sicherer cloudbasierter Dokumentenspeicher mit einem komplexen Berechtigungssystem. Versicherte können ihre Patientendaten jederzeit einsehen und die Berechtigung für den Zugriff durch Ärzte oder andere Personen selber steuern. Dies wird durch das Zusammenspiel verschiedener Komponenten erreicht:
- Das ePA-Aktensystem (ePA-AS) ist die zentrale Backend-Komponente, in der die Patientendaten gespeichert werden. Hier erfolgen außerdem die Nutzerauthentifizierung und die Durchsetzung der Zugriffsrechte.
- Das ePA-Frontend des Versicherten (ePA-FdV) ist der dezentrale Zugangspunkt für die Versicherten. Das ePA-FdV gibt es als mobile App wie auch als Desktopanwendung. Über das ePA-FdV können Versicherte die eigene Akte verwalten sowie Inhalte hochladen, einsehen, herunterladen oder löschen.
- Über das Fachmodul ePA auf den Konnektoren greifen Ärzte und andere Leistungserbringer auf die ePA der Patienten zu.
- Zwei unabhängige Schlüsselgenerierungsdienste (SGD) stellen nutzerindividuelle Schlüssel für die Verschlüsselung der Akteninhalte bereit.
Verschlüsselung der Akteninhalte
Die in der ePA gespeicherten Patientendaten sind personenbezogene Gesundheitsdaten gemäß Artikel 9 Datenschutzgrundverordnung (DSGVO) und somit besonders schützenswert. Der Schutz wird durch zahlreiche Maßnahmen umgesetzt. Besondere Relevanz hat die Verschlüsselung der Akteninhalte. Beim potenziellen Zugriff auf Akteninhalte durch eine unberechtigte Person erhält diese nur verschlüsselte Daten. Das Gesamt-Verschlüsselungsverfahren setzt sich aus mehreren Verschlüsselungen mit unterschiedlichen Schlüsseln zusammen:
- Der Dokumentenschlüssel wird zur Verschlüsselung eines bestimmten Akteninhalts verwendet. Im Weiteren wird vereinfacht angenommen, dass es sich bei Akteninhalten um Dokumente (zum Beispiel PDF-Dokumente) handelt. Jedes in der ePA gespeicherte Dokument wird mit einem individuellen Schlüssel verschlüsselt.
- Der Kontextschlüssel wird zur Verschlüsselung der Meta- und Protokolldaten verwendet. Die Metadaten enthalten Klartextinformationen und erlauben, trotz der verschlüsselten Ablage der medizinischen Dokumente, einen Überblick der Akteninhalte und eine serverseitige Suche in der Akte.
- Der Aktenschlüssel wird für die Verschlüsselung der Akteninhalte verwendet. Dazu gehören die bereits genannten Dokumentenschlüssel wie die Dokumente selbst.
- Die Berechtigtenschlüssel 1 und 2 werden für die Verschlüsselung des Kontext- und des Aktenschlüssels verwendet. Sie sind nutzerindividuell.
Der Zugriff auf und die Entschlüsselung von Patientendaten aus der ePA läuft wie folgt ab: eine berechtigte Person, zum Beispiel der oder die Versicherte, authentisiert sich über das ePA-FdV gegenüber dem ePA-Aktensystem und den Schlüsselgenerierungsdiensten. Von den Schlüsselgenerierungsdiensten erhält das ePA-FdV die individuellen Berechtigtenschlüssel 1 und 2, vom ePA Aktensystem erhält das ePA-FdV den Akten- und Kontextschlüssel in verschlüsselter Form. Mithilfe der Berechtigtenschlüssel werden Akten- und Kontextschlüssel im Zwiebelschalenprinzip entschlüsselt. Der Kontextschlüssel wird im Klartext über ein speziell gesichertes Protokoll an das ePA-Aktensystem übertragen. Im ePA-Aktensystem gibt es eine sogenannte Vertrauenswürdige Ausführungsumgebung, die technisch Zugriffe des Betreibers verhindert und damit sicherstellt, dass der Betreiber keine Akteninhalte einsehen kann. In dieser Vertrauenswürdigen Ausführungsumgebung wird der sogenannte Aktenkontext mit dem Kontextschlüssel entschlüsselt. Es handelt sich um Metadaten, die zum Beispiel eine Inhaltsangabe der in der ePA gespeicherten Dokumente enthält. Über den Aktenkontext kann am ePA-FdV das gewünschte Dokument ausgewählt und auf das Endgerät geladen werden. Dort wird das Dokument zunächst mit dem Aktenschlüssel entschlüsselt. Das Ergebnis ist ein Dokumentenschlüssel und das damit verschlüsselte Dokument. Mit dem Dokumentenschlüssel wird das Dokument entschlüsselt und liegt letztlich im Klartext vor. Wird das Dokument außerhalb des ePA-FdV gespeichert, kann die Sicherheit nicht mehr durch die ePA gewährleistet werden.
Berechtigungsmanagement
Gibt eine versicherte Person einer anderen Person (zum Beispiel einem Arzt) die Berechtigung, auf Akteninhalte zuzugreifen, werden der Akten- und Kontextschlüssel mit Berechtigtenschlüsseln dieser anderen Person verschlüsselt und im Aktensystem für den Abruf durch diese gespeichert. Nicht berechtigte Personen, wie der Betreiber des ePA-Aktensystems, sind somit kryptografisch vom Aktenzugriff ausgeschlossen. Ist eine Person generell berechtigt und es liegen die notwendigen Schlüssel vor, kann der Zugriff weiterhin auf Dokumenten-Ebene eingeschränkt werden. So können Versicherte für jedes Dokument einzeln festlegen, wer darauf zugreifen darf.
Fazit
Die ePA setzt verschiedene Sicherheitsmechanismen für den Schutz der Patientendaten um. Für den Zugriff müssen sich Versicherte grundsätzlich authentisieren. Für die Entschlüsselung der Inhalte müssen weiterhin verschiedene Schlüssel zusammengebracht werden. Die Sicherheit der Verschlüsselung liegt maßgeblich in den Berechtigtenschlüsseln. Aus diesem Grund gibt es hiervon zwei, die von unabhängigen Schlüsselgenerierungsdiensten bereitgestellt werden. So ist sichergestellt, dass immer verschiedene Instanzen bei der Entschlüsselung involviert sind. Weder der Betreiber des Aktensystems, noch die Betreiber der Schlüsselgenerierungsdienste sind technisch dazu in der Lage, Akteninhalte zu entschlüsseln. Die Berechtigung zum Zugriff auf Akteninhalte wird durch die Versicherten selbst gesteuert. Nur berechtigte Personen können die notwendigen kryptografischen Schlüssel entschlüsseln, alle anderen sind kryptografisch ausgeschlossen. Die Berechtigung zum Zugriff kann feingranular für jedes Dokument einzeln vergeben werden.
Vor einem unberechtigten Zugriff sind die Patientendaten in der ePA gut geschützt. Für die Berechtigungssteuerung und die Sicherheit heruntergeladener Patientendaten sind die Versicherten selbst verantwortlich. Datensouveränität erfordert Eigenverantwortung.
Autor: Nico Martens, Berater SRC Security Research & Consulting GmbH
