rating service  security service privacy service
2012/01/17 ELGA-Leitlinien zeigen völlige Konzeptlosigkeit
Hans G. Zeger
ELGA (die Elektronische Gesundheitsakte) kommt mittlerweile ins zehnte Jahr - ELGA-Leitlinien offenbaren völlige Konzeptlosigkeit - außer einem Sammelsurium an Stilblüten und einigen verbratenen Millionen Euro liegt bisher wenig vor

ELGA - Gesundheitsakte oder doch Wirtschaftsförderung und Versorgungsposten?

Vordergründig wird ELGA als ultimative Informationslösung für Patienten verkauft. Ärzte sollen ständig alle bisherigen Befunde, Gesundheitsdaten, Verschreibungen und Unverträglichkeiten auf Knopfdruck abrufen können, Notfallsdaten sollen genauso verfügbar sein, wie ein Überblick über die angelaufenen Kosten.

"Die Leistungen, die mit Hilfe von ELGA erbracht werden können, sind patientengerecht, effizient und effektiv gestaltet." lautet die Werbeaussage der ELGA GmbH. Niemand kann ernsthaft gegen ein derartiges System auftreten, auch der Autor würde ein derartiges System begrüßen.

Doch kommen wir weg aus der Welt der Phantasien und des Wunschdenkens, bei ELGA handelt es sich um ein extrem komplexes IT-System, vermutlich das größte IT-Projekt, das jemals in Österreich in Angriff genommen wurde. Es ist daher nicht an den Werbebotschaften des Betreibers, sondern an den konkreten Realisierungsschritten zu messen.

Der Gesetzesentwurf formuliert es deutlich: "Die Implementierung von ELGA und in weiterer Folge anderer e-Health-Anwendungen stärkt die technologische Wettbewerbsfähigkeit des Wirtschaftsstandortes Österreich im internationalen
Umfeld. Es sind positive Beschäftigungseffekte in der IT-Industrie sowohl bei den
Gesundheitsdiensteanbietern als auch bei einschlägigen IKT-Unternehmen zu erwarten." Offenbar soll die IT-Industrie auf Kosten des Gesundheitsbudgets gesunden, auch eine Art von Gesundheitsvorsorge.


ELGA als eierlegende Wollmilchsau?

In der IT-Branche spricht man bei derartigen Ideal-Systemen von der eierlegenden Wollmilchsau, wenn eine Lösung alles kann und optimalerweise fast nichts kostet. Spätestens in den 80er-Jahren verabschiedeten sich Unternehmen von dieser Illusion, IT wird für bestimmte Prozesse entwickelt und dafür optimiert, die "billigen Alleskönner" kamen - zu recht - rasch in Verruf als teure Nichtskönner.

Diese Erfahrungen werden im Gesundheitsbereich ignoriert, naive Patientenvertreter, Bürokraten, Statistiker und Beamte bekommen beim Kürzel "ELGA" leuchtende Augen und glauben damit alle gesundheitspolitischen Probleme lösen zu können. Das Gegenteil ist der Fall, die konzeptlose Vorgangsweise wird noch zusätzliche hunderte Millionen Euro kosten.


Kurze ELGA-Geschichte

2000:
Die STRING-KOMMISSION des BMAGS legt Standards und Richtlinien für den Informatikeinsatz im Österreichischen Gesundheitswesen vor (das sogenannte „MAGDA-LENA“-Papier). Mangels Bundeskompetenzen hat dieses Papier bloß Empfehlungscharakter, die Bundesländer als Spitalsbetreiber ignorieren es.

2002:
Vorlage eines Gesundheitsdokumentationsgesetzes durch Bundesminister Haupt
Der Entwurf versank im Zuge der FP-Querelen um Knittelfeld sang und klanglos, Haupt verlor die Gesundheitsagenden.

2004:
Vorlage eines Gesundheitsreformgesetzes inkl. Gesundheitstelematikgesetz (GTelG) durch Bundesministerin Rauch-Kallat, das Gesetz wird unter größter Eile trotz erheblicher Bedenken zu Datenschutz und Datensicherheit verabschiedet.

2005:
Das Gesundheitstelematikgesetz (GTelG) tritt in Kraft, es wird jedoch mangels Verordnung nicht umgesetzt.

2006:
IBM erklärt in einer "Machbarkeitsstudie" ELGA für technisch machbar, aber unter den bestehenden Datenschutzbedingungen als nicht umsetzbar.

2007:
In Salzburg startet, ohne gesetzliche Grundlage das Projekt Arzneimittelgurt, der Vorläufer zu E-Medikation. In Wien wird, ebenfalls ohne gesetzliche Grundlage die ARGE ELGA offiziell gegründet. Ziel ist die Umsetzung der IBM-Studie.

2008:
Bundesministerin Andrea Kdolsky verabschiedet an ihrem letzten Arbeitstag die Gesundheitstelematik-Verordnung, deren wesentlicher Kern das Ignorieren der Sicherheitsbestimmungen des GTelG ist, die Nichtumsetzung wird bis Ende 2010 verlängert.

2009:
Die ARGE ELGA wird in eine ELGA GmbH umgewandelt, eine gesetzliche Grundlage fehlt weiterhin.

2010:
Unter Bundesminister Stöger wird auf Grund eines SP/VP-Initiativantrags das Gesundheitstelematikgesetz geändert, die vollständige Umsetzung der Sicherheitsmaßnahmen im Gesundheitsbereich wird auf unbestimmte Zeit verschoben.

2011:
Nach jahrelangen Verzögerungen startet das Pilotprojekt E-Medikation in Wien, Tirol und Oberösterreich. Die Beteiligung erreicht nicht einmal 10% der sowieso niedrigen Erwartungen.

2011:
Eine Neufassung des Gesundheitstelematikgesetzes, jetzt ELGA-Gesetz, soll den Weg zum gläsernen Patienten freimachen. Der Entwurf wartet seit zahlreichen ablehnenden und kritischen Stellungnahmen auf eine Überarbeitung.


ELGA GmbH legt ELGA-Sicherheitsleitlinien vor

In den letzten Monaten produzierte die ELGA GmbH zahllose sogenannte Sicherheits-Leitlinien. Bei oberflächlicher Betrachtung klingen die angestrebten Ziele durchaus sinnvoll, tatsächlich erschöpfen sich die Leitlinien durchgängig in Allgemeinplätze und Plattitüden.

Aus den zahllosen Stilblüten sollen nur einige Beispiele zitiert werden, einen umfassenderen Überblick bietet der Artikel "Anmerkungen zu den IT-Sicherheitsleitlinien von ELGA" (http://ftp.freenet.at/ges/elga-sicherheit-leitlinien-kommenta...).

Als Ziel der Sicherheitspolitik wird beispielsweise genannt "LL01_Z1 Die Verfügbarkeit und Kontinuität von ELGA ist, unter Berücksichtigung der jeweiligen Rahmenbedingungen, bestmöglich erfüllt."

Diese Formulierung ist kein Ziel sondern ein nichtssagender Allgemeinplatz. Niemand, weder ein Auftraggeber, noch Patienten oder Ärzte könnten daraus irgendwelche Hinweise über die Verfügbarkeit von ELGA ableiten oder Rechte bezüglich der Verfügbarkeit in Anspruch nehmen.

Sinnvolle Ziele im Sinne einer funktionsfähigen IT-Lösung müssten quantitativ determiniert sein, etwa eine garantierte Verfügbarkeit von ELGA-Dokumenten zu mindestens 99,9% der Zeit, wobei die tägliche Ausfallszeit nicht mehr als 10 Minuten und die Maximaldauer eines Ausfalls nicht mehr als 5 Minuten beträgt. Erst zu derartigen Vorgaben könnten seriöse Aufwands- und Kostenschätzungen erfolgen und es wäre möglich die Konsequenzen für die Gesundheitsversorgung abzuschätzen.

Gleiches gilt für alle anderen "Ziele", wobei LL01_Z2 als besondere Stilblüte hervorsticht: "Die Vertraulichkeit und Integrität der durch ELGA verfügbaren Informationen und Daten ist sichergestellt."

Hier werden Ziele quasi dekretiert "ist sichergestellt". Sollte damit gemeint sein, dass die gesetzliche Anforderung des DSG 2000 § 14 (Datensicherheit) erfüllt wird, ist das Ziel überflüssig, gesetzliche Bestimmungen sind einfach einzuhalten, das muss nicht extra in einer Leitlinie formuliert werden.

Ansonsten müsste als Ziel angegeben werden, in welcher Art Vertraulichkeit und Integrität erfüllt werden. Ein entsprechendes Ziel wäre etwa: Die Vertraulichkeit wird durch durchgängige Verschlüsselung aller Dokumente, sowohl während der Übertragung, als auch bei Speicherung auf Datenträgern gesichert. Die Integrität wird durch ein digitales Signier- und Vidierverfahren sichergestellt, das zumindest dem Standard der fortgeschrittenen Signatur gemäß SigG entspricht und bei dem fälschungssicher jene Organisation feststellbar ist, die für die Ausgabe des Dokuments verantwortlich ist. Weiters erhält jedes Dokument durch eine unabhängige Organisation einen fälschungssicheren Zeitstempel zur Feststellung des Erzeugungsdatums des Dokuments.


Resümee zu den vorliegenden ELGA ISMS-Leitlinien

Wie die Informationssicherheitspolitik (ELGA ISMS Leitlinie 001) richtig wiedergibt, geht jedes Sicherheitskonzept (und im übrigen auch das europäische und das österreichische Datenschutzrecht) von der Verantwortlichkeit EINES Auftraggebers aus, der letztlich auch den Schutz der Grundrechte und der Privatsphäre der Patienten zu garantieren hat.

Doch statt die einzig sinnvolle Konsequenz zu ziehen und an dieser Stelle ein Konzept vorzulegen, wie EIN Auftraggeber ausgestattet sein müsste, um die notwendigen rechtlichen und technischen Vorgaben zu erfüllen, schwindelt sich das Papier um diese zentrale Frage herum und konstruiert ein kollektives Vertrags- und Kommissionsmodell.

Die vorliegenden Leitlinien enthalten ein Sammelsurium von Allgemeinplätzen und Standardtextbausteinen wie sie in zahllosen IT-Security-Fachbüchern zu finden sind. Die umfangreichen allgemeinen Ausführungen, etwa zu PDCA-Zyklen, Risikoanalysen und/oder IT-Sicherheit sind jedenfalls entbehrlich, sie sind in Fachbüchern besser dargestellt.

Die Papiere sind sogar in den allgemeinen Formulierungen fachlich schwach. Sie befinden sich nicht einmal am letzten Stand der Technik, u.a. wurden die spezifischen eHealth-Sicherheitsrichtlinien von ISO (=ISO 27799) ignoriert, die sich besonders mit den Sicherheitsanforderungen des Gesundheitsbereiches beschäftigen.


ELGA - falsch aufgezäumt

Offensichtlich kann sich das Gesundheitsministerium nicht gegen die Geschäftsinteressen der großen Gesundheitsplayer (Sozialversicherungen, Bundesländer, Industrie) durchsetzen.

Statt eines ordentlichen ELGA-Gesetzes wird versucht mit Hilfe der ELGA GmbH faktische Tatsachen zu schaffen, die man dann später in ein Gesetz formuliert.

Wozu die ELGA GmbH diese Leitlinien erstellt, ist völlig unklar, das Pferd wird quasi von hinten aufgezäumt. Soll die ELGA GmbH die hoheitlichen Aufgaben übernehmen? Wenn ja, welche? Sollen operative Aufgaben übernommen werden? Marktregulierungsaufgaben, analog der RTR bzw. der E-Control? Oder soll die ELGA GmbH mit Verordnungsermächtigung ausgestattet werden?

Bei Großprojekten ist es üblich Teilprozesse, wie (a) Definition der Zielvorgaben, (b) Definition eines Pflichtenheftes, (c) Ausschreibung und Angebotsprüfung, (d) Projektumsetzung, (e) Projektbetrieb und (f) laufende Kontrolle rechtlich, organisatorisch und personell völlig zu trennen, das passiert nicht. Es erfolgt eine Verquickung verschiedenster Teilprozesse, die alle der ELGA GmbH übertragen werden sollen.

Im wohlmeinendsten Fall wurde mit der ELGA GmbH eine Schulungsfirma für herangehende IT-Referenten geschaffen, in der Datenverarbeitung auf Steuerkosten geübt wird.


ELGA bisher ein Millionengrab

Wieviel Millionen Euro ELGA bisher schon kostete kann seriöserweise niemand abschätzen. Große Summen werden in anderen Projekten, wie E-Medikation, Arzneimittel-Sicherheitsgurt, E-CARD, Gesundheit Östereich usw. versteckt.

Zuletzt stürzte das Pilotprojekt E-Medikation ab. Statt der erwarteten 100.000 Teilnehmer waren es weniger als 10.000. Bloß 25.000 der jährlich 160 Millionen verschriebenen Medikamente wurden im Zuge des Projekts "geprüft", ein verschwindend geringer Anteil. Jeder ordentliche Arzt wird öfter auf Nebenwirkungen und Unvereinbarkeiten hinweisen, als es das ganze Projekt erreichte.

Wie schon im Frühjahr 2011 vorhergesagt wird das Projekt nicht wegen Erfolglosigkeit beendet, sondern weitergeführt, "evaluiert" um im Newspeak der Betreiber zu bleiben.

Sicher ist jedoch, egal welches Mascherl das Projekt bekommt, es wird von den österreichischen Patienten - direkt oder indirekt über überhöhte Medikamentengebühren, Steuern oder Sozialversicherungsbeiträge - bezahlt. Jeder Euro im ELGA-Grab fehlt bei der Gesundheitsversorgung.

Informationstechnische Unterstützung in der Gesundheitsversorgung wird kommen. Telemedizin, Internetordinationen, Online-Arzneimittelbestellung, Online-Gesundheitsforen und elektronische Patientenaktenarchive sind längst weltweit im Einsatz. Aber nur auf freiwilliger Basis, nur als Unterstützung im Arzt-Patientenverhältnis und nicht als flächendeckende Kontrollmaßnahme.

Das jetztige ELGA-Projekt zu stoppen bedeutet, mehrere Millionen Euro abschreiben zu müssen. Viel Geld, ein Klacks jedoch gegenüber den Beträgen, die das Weiterwursteln der Proponenten rund um die ELGA GmbH in den nächsten Jahren verursachen würden.

mehr --> Artikel zum Thema Gesundheit
mehr --> Entwurf ELGA-Gesetz
mehr --> http://ftp.freenet.at/ges/elga-sicherheit-leitlinien-kommentar.pdf

- DSR - DVR - DSK - privacyday.at - Cloud Computing - Vorratsspeicherung - hacker - RFID - Web 2.0 - Web2.0 - Österreichisches Datenschutzgesetz - e-government - data protection - data safety - data protection officer - Austria
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster