Ist das ELGA-System sicher? Mythen und Fakten
Hans G. Zeger
Gebetsmühlenartig beschwören die ELGA-Befürworter die Sicherheit von ELGA - Zeit einen differenzierten Blick auf die ELGA-Sicherheit zu werfen - die ARGE DATEN analysiert die wesentlichsten Sicherheitsaspekte von ELGA - derzeit sichert nur ein ELGA-OptOut die sensiblen Gesundheitsdaten http://www.argedaten.at/elga-optout/
Was ist ELGA?
ELGA, der elektronische Gesundheitsakt ist ein hochkomplexes System aus hunderten dezentralen Computern, Millionen einzelnen Aktenteilen und mehr als hunderttausend Zugriffsberechtigten. Es besteht aus zentralen Listen, wie Patienten- und Ärzte-(GDA-)index, dem Medikationsregister, einem Verweisregister, dem Berechtigungssystem, einem Protokollierungssystem, einem Zugangsportal und hunderten dezentralen Servern. Die Einführung von ELGA wird mindestens acht Jahre dauern, das ELGA Gesetz erlaubt jedoch dem Bundesminister die Einführung beliebig lang hinauszuzögern.
ELGA funktioniert über ein kompliziertes Linksystem, vergleichbar den bekannten Internetlinks bei Google und Co.
Wenn Google eine Website aus seinem Suchsystem ausschließt, wird diese Website über Google nicht mehr gefunden, sie bleibt aber weiter bestehen. Genauso funktioniert ELGA. Werden ELGA-Links gesperrt oder wegen Störungen nicht angezeigt, dann können die richtigen Gesundheitsdaten nicht abgerufen werden, bleiben aber weiterhin gespeichert.
Das ELGA-System ist ein Tresorschlüsselsystem. In den zentralen Teilen sind keine direkten Gesundheitsdaten gespeichert, aber zentral werden alle Zugangsschlüssel zu den Gesundheitsdaten verwaltet. Wer Zugang zu den zentralen Teilen hat, hat daher Zugang zu allen Gesundheitsdaten.
Am einfachsten ist ELGA daher mit einem gigantischen Schlüsselkastensystem vergleichbar. Über einen Hauptschlüssel kommt man in den "Schlüsselkasten", genannt Patientenindex. Dieser "Schlüsselkasten" enthält dann für jedem Patienten die Zugangsschlüssel zu den verteilten Gesundheitsdaten, die bei Spitälern, Ärzten, Labors, Ambulanzen usw. lagern.
Über diese Hauptschlüssel verfügen die ELGA-Systembetreiber, aber auch Wartungsfirmen oder die ELGA-Ombudsstellen. Daran sollte man immer denken, wenn man die Sicherheit von ELGA bewertet.
(1) Ist ELGA betriebs"sicher"?
ELGA ist NICHT betriebssicher. Das ELGA-System besteht aus mehreren hundert Servern, die über ganz Österreich verstreut und mit Datenleitungen verbunden sind. Für den Betrieb gibt es KEINE Alleinverantwortung einer Stelle, jeder Standort kann seine IT-Infrastruktur selbst gestalten. Damit ein Arzt sicher sein kann, dass alle Daten zu einem bestimmten Patienten verfügbar sind, müssen alle Systeme und alle Datenleitungen zur gleichen Zeit funktionieren. Ein Idealzustand, der nicht mit vertretbaren Mitteln erreichbar ist.
Selbst Systeme, bei denen die gesamte Infrastruktur durch eine verantwortliche Stelle betreut wird, verzeichnen immer wieder Störungen und Ausfälle, Beispiele sind das Bankomat-Netz, die Mobilfunk-Netze oder die Banken-Netze inklusive Onlinebanking. Diese Netze sind wesentlich kleiner und wesentlich einfacher strukturiert als das geplante ELGA-Netz.
Selbst bei primitiven Datenanwendungen wie die Bildungsdokumentation bei BIFIE (http://diepresse.com/home/bildung/schule/1567203/Datenleck_40...) gelingt es nicht vertrauliche Daten unter Kontrolle zu halten. Das derzeit geplante ELGA-System ist zumindest um den Faktor 1000 komplexer.
Weiters begünstigt ELGA die Entstehung von Schatten-EDV. Eifrige Benutzer können bei ELGA für ihre (berechtigten) Zwecke Kopien von Befunden und ganzen Gesundheitsakten anlegen und weiter verarbeiten. Diese Kopien könnten auf lokalen Computern, USB-Sticks oder rumänischen Servern landen (wie zuletzt mit Bildungsdaten des BIFIE geschehen). Das hochgerühmte Protokollierungssystem von ELGA, das als Killerargument für die Sicherheit herhalten muss, würde zwar den Kopiervorgang aufzeichnen, der wäre sogar rechtlich gedeckt. Was danach mit den Daten passiert, wäre aber durch das ELGA-System nicht feststellbar. Laut Gesundheitsminister ist das auch "wurscht", da er dafür sowieso nicht zuständig ist.
Derartige Schatten-Bestände könnten ohne weitere Kontrolle verkauft werden oder an die Öffentlichkeit gelangen, es wäre nicht mehr möglich die Täter zu finden.
ELGA könnte betriebssicherer gemacht werden, wenn alle Gesundheitsdaten durch einen Verantwortlichen in einem redundanten, geschlossenen Netz verwaltet werden und jede Verwendung der Daten nur innerhalb dieses Systems möglich ist. Das Erzeugen von Kopien, von Schattenbeständen oder das Weitergeben außerhalb des Systems müsste technisch unterbunden werden. Eine hochkomplexe und teure Vorgabe, aber sie ist technisch möglich.
Fallen einzelne Server in einem derartigen System aus, würden andere "Mirror"-Server innherhalb von ELGA, die die Gesundheitsdaten in Kopie verwalten, deren Funktion übernehmen. Dieses Konzept würde jedoch eine Kompetenzverlagerung über die Organisation von Gesundheitsdaten von Ländern und Sozialversicherungen an eine Bundesstelle verlangen. Eine echte Gesundheitsreform also, die in Österreich nicht gewünscht ist.
(2) Ist ELGA "sicher" im Sinne eines transparenten Systems?
ELGA ist NICHT transparent. Die ELGA-Betreiber versprechen zwar, dass jeder ELGA-Zugriff protokolliert wird und jeder Patient nachschauen kann, wer auf seine ELGA-Daten zugegriffen hat. Dies ist aus drei Gründen irreführend.
a) In der Informationstechnik wird nicht "alles" protokolliert: Protokolliert wird nur das, was in einem Protokoll- oder Monitor-Programm als "protokollierwürdig" definiert ist. Systemadministratoren, Wartungstechniker usw. können auch ohne Protokollierung auf einzelne Daten zugreifen. Weiters kann zwar protokolliert werden, dass eine Patienteninfomation abgerufen oder kopiert wurde, aber nicht mehr, was mit der Kopie in weiterer Folge passiert. Kein Computersystem kann verhindern, dass im Zuge eines Backups von diesen Daten eine weitere Kopie abgezweigt wird und damit schwunghafter Handel betrieben wird. Das ist zuletzt dem Justizministerium jahrelang mit Häftlings- und Exekutionsdaten passiert. Das ELGA-Protokollierungssystem ist auch nur für die zentralen Zugriffe konzipiert, also jene Zugriffe, die über Patienten- und Arztindex erfolgen. Nicht protokolliert wird was über die dezentralen Server an Gesundheitsdaten abgerufen wird.
b) Patienten können die Sinnhaftigkeit einzelner Zugriffe gar nicht beurteilen: Im Zuge einer komplexen medizinischen Behandlung, ganz besonders im Spital müssen viele verschiedene Ärzte, Pflegepersonen, Labors, Konsularärzte usw. auf die Patientendaten zugreifen. Holt ein Facharzt die Meinung eines anderen Arztes ein oder hat er die Vermutung, dass ein bestimmtes physisches Symptom eigentlich psychische Ursachen hat, dann kann es rasch zu einem Zugriff durch Neurologen, Psychiater usw. kommen. Das ist auch grundsätzlich sinnvoll und dazu hat der Patient auch seine Zustimmung gegeben. Es führt rasch dazu, dass der Patient nicht mehr beurteilen kann, ob ein bestimmter Zugriff im Zuge der Behandlung erforderlich war oder aus einem Schnüffelinteresse erfolgte. Es ist besonders schäbig die Verantwortung für sichere Gesundheitsinformationen auf die Kontroll- und Überwachtungsfähigkeiten von notleidenden Patienten abzuschieben.
c) Patienten werden mit Überwachung überfordert: Krank werden in den weitaus überwiegenden Fällen ältere Menschen. Wer krank ist, in Not ist und unter Schmerzen leidet hat wenig Interesse sich mit Computerprogrammen, Zutrittsregeln, Bürgerkartenfreischaltung und einer überforderten ELGA-Hotline zu beschäftigen. Er möchte rasch geheilt werden und darauf vertrauen können, dass das Ärztegeheimnis gewahrt bleibt. Das komplizierte Widerspruchs- und Protokollierungssystem verlangt vom Patienten medizinische Entscheidungen, die eigentlich der Arzt zu treffen hat. Es ist zynisch als gesunder Beamter vom Schreibtisch aus hunderttausende notleidende Menschen zu Administratoren eines unübersichtlichen Gesundheitssystems zu machen. Es ist nicht Aufgabe des Patienten zu entscheiden, welcher Gesundheitsdaten für welche Spitäler und Ärzte wichtig sind, welche Daten zu sperren sind. Es ist nicht Aufgabe des Patienten zu überwachen, ob ein Arzt eine verrechnete Leistung tatsächlich erbracht hat oder nicht, wie das zuletzt vom Hauptverband unter Hinweis auf eine betrügerische Ärztin verlangt wurde.
Transparent wäre das System, wenn alle Gesundheitsinformationen eines Patienten von einem fachkundigen Administrator gesammelt und gesichtet werden und alle wichtigen und validierten Daten im Einzelfall (im Fall der Behandlung) einem Spital oder Arzt freigegeben werden. Voraussetzung ist dabei immer, dass der Patient eine derartige Betreuung wünscht, also ein echtes OptIn.
(3) Ist ELGA "sicher" im Sinne eindeutiger Verantwortlichkeit bei System-Fehlern?
NEIN, das ELGA-Gesetz versteckt die Verantwortung für die hochsensiblen Gesundheitsdaten hinter den sogenannten ELGA-Systempartnern. Eine rechtlich völlig undefinierte Gruppe von "Zuständigen" aus den Ländern und den Sozialversicherungen. Interessanterweise nicht aus der Ärzteschaft oder anderen medizinischen Berufen. Diese nebulose Gruppe ist zwar für ELGA zuständig, aber ausdrücklich nicht dafür verantwortlich.
Verantwortlich ist jeder Systempartner nur für "seine" Gesundheitsdaten. Geraten Gesundheitsdaten in falsche Hände, dann muss der Patient beweisen wer "Mist gebaut" hat. Das wird er in der Regel nicht können, da er die technischen Details des gesamten ELGA-Computernetzwerkes nicht kennt.
Schon in der Vergangenheit gab es Entscheidungen der Datenschutzkommission (jetzt: Datenschutzbehörde) in denen zwar festgestellt wurde, dass Daten aus dem Spitalbereich missbraucht wurden, aber mangels Nachweis wer der Täter war, niemand zur Verantwortung gezogen wurde.
Der Europäische Gerichtshof für Menschenrechte (EGMR) hat in einer richtungweisenden Entscheidung festgestellt, dass Finnland seine Verpflichtungen verletzt hat, weil kein geeignetes Gesetz zum Schutz medizinischer Daten bestand. Das ELGA-Gesetz könnte im Lichte dieser Entscheidung letztlich ebenfalls grundrechts- und damit verfassungswidrig sein.
Der sichere Betrieb eines Gesundheitsinformationssystems wäre nur durch einen alleinverantwortlichen Betreiber und wirkungsvolle Aufsicht möglich. Dazu wäre jedoch eine umfassende Gesundheitsreform notwendig.
(4) Ist ELGA "sicher" vor Zugriffen durch Kriminelle und Hacker?
Diese Frage kann derzeit (Stand März 2014) noch nicht abschließend beantwortet werden. ELGA ist derzeit nur eine Werbe- und Ankündigungsplattform. Gebetsmühlenartig behaupten der Gesundheitsminister und die ELGA GmbH, ELGA sei das sicherste System der Welt. Analysiert man jedoch die bisher bekannt gewordenen Sicherheitskonzepte, dann entsprechen sie nicht dem Stand der Technik. Mangels klarer Verantwortlichkeiten ist auch kein integriertes Sicherheitskonzept - beginnend mit der Datenerhebung bis zur Datenvernichtung - zu erwarten.
Bisher sind über ELGA noch keine Patientendaten abrufbar. Für Kriminelle interessant wird das System erst, wenn große Mengen an Gesundheitsdaten verfügbar sind. Pharmakonzerne könnten sich dann für bestimmte Diagnosegruppen interessieren, Versicherungen für bestimmte Patientengruppen, Arbeitgeber für bestimmte Bewerber, Geheimdienste für den Gesundheitszustand politisch exponierter Personen (PEPs), Firmen für den Gesundheitszustand der Geschäftsführer ihrer Mitbewerber oder Erpresser schlicht für vermögende Personen.
Mit dem Wissen, wer welche Krankheiten hat, wer welche Medikamente nimmt oder wer von wem betreut wird, kann einerseits direkt erpresst werden (z.B. mit dem Wissen über psychische Erkrankungen, Geschlechtserkrankungen, ...), andererseits kann der Zugang zum Patienten erschlichen werden. Der kriminellen Phantasie sind keine Grenzen gesetzt.
Ebensogut ist aber auch ein Szenario, wie im Justizministerium jahrelang üblich, vorstellbar. Untergeordnete Beamte hatten sich dort durch den massenhaften Ausdruck von Daten schlicht ein Körberlgeld verdient. Gerade im Administrationsbereich ist es nicht möglich ein vollständiges technisches Sicherheitskonzept zu installieren. Und bei etwa 100.000 ELGA-Zugriffsberechtigten gibt es immer einige die in Geldnot sind.
Eine wesentliche Verbesserung der technischen Sicherheit wäre erreichbar, wenn es nur einen Systemverantwortlichen gibt. Weiters sollte jedem Patienten freigestellt werden, ob er dem System vertraut. Das würde ein echtes OptIn, statt dem jetzigen OptOut bedeuten.
(5) Ist ELGA "sicher" vor behördlichem Datenhunger?
Hier gilt ein klares NEIN! Schon das bestehende ELGA-Gesetz erlaubt praktisch unbeschränkte Behördenzugriffe auf die personenbezogenen Gesundheitsdaten. Gut versteckt findet sich dieses behördliche Zugriffsrecht hinter der Formulierung der Verwendung personenbezogener ELGA-Daten zum Zwecke der "Gesundheitsvorsorge" (§ 14 Abs. 2 Z 1 ELGA-G iVm § 9 Z 12 DSG 2000).
"Gesundheitsvorsorge" kann alles bedeuten und umschließt auch die Planung von Spitalsbetten, Apothekenstandorten, Ambulanzen usw. Beamte, die diese Aufgaben übertragen bekommen, haben - per ELGA-Gesetz - das Recht auf personenbezogenen (!!) Zugriff auf Patientendaten.
Weiters kann jedes gesundheitsbezogene Forschungsvorhaben als Beitrag zur "Gesundheitsvorsorge" dargestellt werden. Das ELGA-Gesetz schließt nicht einmal den personenbezogenen Zugriff von Pharma-Unternehmen auf die ELGA-Daten aus, wenn dies zur Erforschung eines neuen Medikaments "notwendig" ist. Gleiches gilt für beliebige andere universitäre und private Forschungseinrichtungen.
So könnten Privatversicherungen oder Pharmaunternehmen eine "Arbeitsgemeinschaft zur Gesundheitsvorsorge" gründen, die das Ziel hat, die Ausbreitung von Krankenheiten zu analysieren und Vorsorgemaßnahmen zu treffen. Unter Berufung auf das ELGA-Gesetz hätten Sie Anspruch auf alle personenbezogenen ELGA-Gesundheitsdaten.
Weiters gibt es nicht einmal eine verfassungsrechtliche Absicherung der wenigen bestehenden Zugriffseinschränkungen. Der Nationalrat kann jederzeit ein einfaches Gesetz für beliebige weitere Zugriffe auf die Patientendaten beschließen. Etwa um "teure" Behandlungen, "teure" Patienten oder "teure" Ärzte herauszufiltern oder um den Zugriff von Arbeitgebern, Amtsärzten, Privatversicherungen zur "Verbesserung der Gesundheitsversorgung", zur "Verhinderung des Missbrauchs des Gesundheitswesens" usw. zu ermöglichen.
(6) Erhöht ELGA die Behandlungs"sicherheit"?
Leider NEIN. Die Verbesserung der medizinischen Behandlung ist das häufigst gebrauchte Killer-Argument der ELGA-Befürworter. Durch das Zusammentragen unzähliger Befunde würde ein behandelnder Arzt einen besseren Überblick über einen Patienten bekommen, man würde Doppelbefunde vermeiden und unnötige Untersuchungen einsparen.
Diese Argumentation zeigt, dass ELGA aus dem Blickwinkel von Bürokraten und Administratoren entwickelt wurde und die Behandlungspraxis ignoriert.
Menschen sind keine Betriebsanlagen über die man einen Akt anlegt und dann nach Wochen und Monaten entscheidet. Oder auch Entscheidungen immer wieder verschiebt und verzögert.
Stoffwechsel-, Blut- und Harnwerte sowie zahllose andere medizinische Daten unterliegen ständigen Veränderungen. Historische Gesundheitsdaten haben, wenn sie überhaupt diagnostischen Wert haben, höchstens Bedeutung um Tendenzen und Entwicklungen zu erkennen, keinesfalls geben sie Auskunft über die aktuelle Befindlichkeit eines Patienten. Weiters sind die meisten medizinischen Laborwerte nicht absolute Werte sondern können, abhängig von der persönlichen Konstitution eines Patienten unterschiedliche Bedeutung haben. Was bei einem Patienten ein abnorm hoher Fettwert sein kann, kann unter anderen Bedingungen noch "normal" sein. Es ist eben Aufgabe des Mediziners als Experten sich aus der Vielzahl der Einzeldaten ein Gesamtbild über den Patienten zu machen.
In der alltäglichen Behandlungspraxis erwartet sich ein Patient rasche und wirksame Hilfe zu einem akuten Leiden, Abhilfe von akuten Schmerzen. Zu diesem Zweck versucht der Mediziner mit konkreten Fragen zu einer Diagnose zu kommen. Auf Basis dieser Diagnose folgen Medikation und Behandlung. Tatsächlich sind jedoch derartige Diagnosen nicht abgesichert (validiert) sondern sogenannte "Verdachts"diagnosen. Führt eine Behandlung zur Verbesserung des Wohlbefindens (im Sinne der WHO-Definition von Gesundheit), dann war die Behandlung "erfolgreich", die Diagnose "richtig". Kommt es zu keiner Verbesserung, dann werden weitere Erhebungen gemacht und Diagnose und Behandlung abgewandelt.
Erfolgreich ist - im Gegensatz zu Verwaltungsentscheidungen - nicht jener Arzt, der am längsten über einen Gesundheitsakt brütet und eine rechtlich völlig korrekte Entscheidung trifft, sondern der Arzt, der rasch ein Leiden erkennt und möglichst nachhaltig lindern oder beseitigen kann. Auch um den Preis, vor dem "richtigen" Behandlungsschritt auch die eine oder andere Fehleinschätzung korrigieren zu müssen.
Bei ELGA werden jedoch alle Daten, alle Befunde, alle Diagnosen unterschiedslos gesammelt und gespeichert. Wechselt ein Patient den Arzt oder das Spital, kann der neue Arzt nur mit großem Aufwand erkennen, welche der historischen Daten wichtig sind und welche irrelevant sind. Aus einer raschen Gesundheitshilfe wird zuerst ein bürokratisches Bewerten eines Aktes.
Ein System, das jedoch jede Fehleinschätzung unterschiedslos mit richtigen Therapien für lange Zeit dokumentiert und für andere Stellen einsehbar macht, führt zwangsläufig zu einer Absicherungsmedizin. Um spätere Fehlinterpretationen und mögliche Schadenersatzklagen zu vermeiden, ist jeder Mediziner im ELGA-System gut beraten seine Verdachtsdiagnosen zu verifizieren und abzusichern. Dem Weniger an "Doppel"-Befunden steht ein mehr an Absicherungsbefunden gegenüber.
Menschen die unter Beobachtung stehen tendieren - das zeigen zahlreiche Studien - zu angepasstem Verhalten. Im Medizinbereich bedeutet dies, dass weniger ein individuelles Eingehen auf einen notleidenden Menschen im Vordergrund steht, sondern die Anwendung "optimaler", standardisierter Behandlungsverfahren.
Am Ende stehen mehr Erhebungen und Befunde, längere Zeit bis zum Beginn einer Behandlung und die Tendenz zur Standardbehandlung. Das freut Patientenanwälte, Sozialversicherungen und Behörden. Sie können leichter Abweichungen und "Kunstfehler" erkennen und Gesundheitsausgaben planen. Dafür ist ELGA tatsächlich ein gutes Hilfsmittel. Auf der Strecke bleibt die individuelle Behandlung der Patienten.
Resümee
In keinem der zentralen Sicherheitsaspekte kann ELGA überzeugen. "ELGA ist sicher", ist ein Märchen an das nur ein naiver ELGA-Fan glauben kann, der meint die bunten ELGA-Diagramme der ELGA GmbH sind auch schon ein funktionierendes Gesundheitssystem. Wer heute vor ELGA-Datenmissbrauch sicher sein möchte muss aus ELGA hinausoptieren http://www.argedaten.at/elga-optout/ + Formular http://ftp.freenet.at/privacy/muster/elga-optout.pdf
Unterrichtsministerin Heinisch-Hosek meinte zum BIFIE-Datenskandal (http://diepresse.com/home/bildung/schule/1567203/Datenleck_40...) am 27.2.2014 im Ö1-Morgenjournal lapidar: "Im Bereich Cyber kann glaube ich, niemand etwas garantieren. Das sage ich in dieser Offenheit." (O-Ton) Klingt angesichts der ELGA-Pläne der Bundesregierung wie eine gefährliche Drohung.
mehr --> Datenleck: 400.000 vertrauliche Schülertests im Internet aufgetaucht
|
