Wer garantiert uns eigentlich in Zukunft, dass die elektronischen Patientenakten, denen wir unsere Daten anvertrauen, sicher sind? Der TÜV natürlich, wer sonst. Die Plakette gibt's TÜV-üblich nach einer Prüfung auf Herz und Nieren. Nur beim Preis kam die Inspiration nicht aus der Kfz-Sparte...
Gesundheit und elektronische Netze, diese Kombination ruft nicht zum ersten Mal Wächter auf den Plan. Lange Jahre wurden erbitterte Diskussionen darüber geführt, wie sich im medizinischen Internet am besten die Spreu des Wissens vom Weizen der Quacksalberei trennen lasse. Die Sache ist noch immer ein Thema, doch die Anhänger hochfliegender Visionen von mehr oder weniger basisdemokratischen Rating-Systemen sind doch deutlich leiser geworden. Das stark auf freiwillige Selbstkontrolle setzende Health-on-the-net-Siegel und ähnliche, etwas ambitionslosere Initiativen setzen den Quasistandard, an dem sich auf absehbare Zeit wohl nichts ändern wird.
Neutrale Beurteilung statt interessengeleiteter Schönrederei
Am anderen Ende, dort, wo nicht mit allgemeinen medizinischen Informationen, sondern mit patientenindividuellen Daten hantiert wird, ist der Datenschutz das Thema, das die Gemüter erhitzt und die Wächter alarmiert. Der Datenschutz ist aber auch das Feigenblatt, mit dem Verbände im Gesundheitswesen knallhart eigene Interessen durchsetzen. Für Außenstehende ist dieses Taktieren extrem schwer zu durchschauen. Zu beurteilen, ob eine Anwendung wirklich den Anforderungen der Datenschützer genügt oder ob das nur behauptet wird, ist selbst für regelmäßige Computernutzer praktisch nicht möglich. Genau hier setzt die TÜV Informationstechnik GmbH (TÜVIT) an. Es handelt sich um eine Tochter der TÜV Nord-Gruppe, die jetzt mit der richtigen Idee zur richtigen Zeit kommt. Das kombinierte Zertifikat Trusted Site Security für Datenschutz und Datensicherheit von IT-Anwendungen im Gesundheitswesen ist speziell für all jene Programme gedacht, die mit sensiblen Patientendaten hantieren. Das können elektronische Patientenakten sein, aber natürlich auch EDV-Systeme für den Umgang mit elektronischen Rezepten oder andere Softwarelösungen aus diesem Bereich. Das besondere an "Trusted Site Security", das kürzlich auf einem Workshop der Tübinger Firma Careon.de vorgestellt wurde, ist die Kombination aus technischen und organisatorischen Anforderungen, die speziell medizinische Webanwendungen erfüllen müssen. Es interessiert also nicht nur der technische Datenschutz, sondern auch die Regelungen zur Zugriffskontrolle auf die Patientendaten durch berechtigte oder scheinbar berechtigte Dritte.
Datensicherheit ist keine Blickdiagnose.
Ansprechen will die TÜVIT mit ihrem Siegel all jene, die in Zukunft Anwendungen wie etwa elektronische Patientenakten anbieten. Wenn wir mal von dem derzeitigen Berliner Gerangel um die Datenhoheit abstrahieren, dann könnten das zum Beispiel Krankenkassen sein, ohne Einblick in die Daten natürlich, aber auch Patientenverbände oder ärztegesteuerte Versorgungsnetze. Diese Betreiber könnten das TÜV-Siegel beantragen und hätten damit eine Möglichkeit in der Hand, die Akzeptanz für ihre jeweilige Lösung zu erhöhen beziehungsweise mit deren Datensicherheit zu werben. Damit das funktioniert, müssen Programme, die ein Siegel erwerben wollen, aufwendig geprüft werden. Es ist außerdem erforderlich, dass das Siegel analog zur TÜV-Plakette bei Kraftfahrzeugen befristet ist, denn eine Website oder eine Software, die heute sicher ist, muss das morgen längst nicht mehr sein. Mit einer Beschränkung der Gültigkeit auf zwei Jahre und einer Testphase, für die nach Aussagen einer Sprecherin der TÜVIT rund 30 Tagessätze berechnet werden, versuchen die Essener Tester dem gerecht zu werden. Der Haken deutet sich freilich schon an, denn dass ein Siegel, in dem 30 Arbeitstage stecken, nicht zum Preis einer Kfz-Plakette zu haben ist, leuchtet ein. Bei der Prüfung werden sowohl organisatorische als auch technische Aspekte berücksichtigt. Falls es verschiedene Nutzer der Patientendaten gibt, müssen insbesondere die Zugriffsrechte klar festgeschrieben werden. Diese Vorabfestlegung muss dann technisch angemessen umgesetzt werden. Nur wenn beides erfüllt ist, gibt es das Siegel. Von rein technischer Seite werden unter anderem die Server überprüft, auf denen die Daten liegen. Außerdem werden Hackertests durchgeführt.
Auch der TÜV braucht eine Plakette.
Die Tatsache, dass sich die TÜVIT um ein solches IT-Siegel kümmert, bedeutet, dass es eingebettet ist in ein einigermaßen erprobtes Sicherheitsnetz. So ist das Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert, was alleine schon eine Rarität ist bei den Einrichtungen, die sonst medizinische IT-Lösungen zertifizieren. Es gibt außerdem eine enge Zusammenarbeit mit den wohl wachsamsten Datenschützern der Republik, nämlich mit dem Unabhängigen Landeszentrum für Datenschutz (ULD)in Schleswig-Holstein. Die TÜVIT kooperiert mit dem ULD bereits bei der Datenschutzbewertung behördlicher IT-Lösungen und wird auch bei dem neuen Siegel für Gesundheitsanwendungen auf das KnowHow der Kieler zurückgreifen.