Berufsverband Deutscher Psychologinnen und Psychologen e. V.

Elektronische Patientenakte (ePA) - weiterhin Bedenken

Die elektronische Patientenakte (ePA) und ihre Implementierung werden weiterhin mit großem Druck vorangetrieben. Aber Bedenken und Kritik verstummen nicht. Ob ePA-Resolution des VPP und BDP oder erfolgreiche, vom VPP unterstützte Petition der KV Bayern, das Thema bleibt in der Diskussion. Die Zeitschrift "c’t" berichtet von einer technischen Schwachstelle der ePA. Wichtig werden wird das von der Ampel-Koalition angekündigte Gesundheitsdatennutzungsgesetz.

Einerseits sollen alle Kassenbehandlerinnen und -behandler „ePA-ready“ sein, sonst droht ein empfindlicher Honorarabzug, andererseits gibt es weiterhin nennenswerte Kritik an der ePA. Die Einwände sind unterschiedlich. Die KV Bayern hat eine Petition zum Bundestag gestartet und das Quorum von 50.000 Unterzeichnerinnen und Unterzeichner erreicht, sodass die KV im Petitionsausschuss angehört werden muss. In dieser Petition geht es allerdings fokussiert um die Eile, mit der die ePA aktuell auf Seiten der Behandlerinnen und Behandler durchgesetzt wird, hier wird eine Testphase vorgeschlagen.

Der VPP unterstützt und befürwortet diese Petition. Die Kritik an der ePA ist allerdings vielgestaltiger und reicht von fundamentaler Ablehnung bis zu eher marginalem Ärger zur Usability. Sie reicht von rechtlicher Skepsis bis hin zu Bedenken der technischen Sicherheit. Nicht alle Kritikerinnen und Kritiker sind sich in diesem Spektrum einer Meinung.

Die Zeitschrift „c’t“ berichtete kürzlich, dass es ihr gelang, die ePA mit einem Dateiformat (.zip) zu befüllen, das eigentlich wegen Malwaregefahren ausgeschlossen ist. Das gelang anscheinend, in dem einer ZIP-Datei die an sich zulässige Endung .txt angefügt wurde. Die betroffene TK-App habe die Schwachstelle inzwischen geschlossen. Die gematik merkte an, dass solche Missbräuche von Patienten oder Behandlern ausgingen. Im Implentierungsleitfaden der gematik heißt es nun, dass die Praxisverwaltungssoftware Maßnahmen zur Absicherung gegen möglicher Schadsoftware in heruntergeladenen Dokumenten ergreifen soll, falls das Format nicht stimmt. Verantwortlich sind also ggf. Behandlerinnen und Behandler oder Patientinnen oder Patienten. Das wirft nicht nur Fragen nach der Versicherung auf.

Der Bericht zeigt die Grenzen der ePA-Sicherheit auf. Absoluten Datenschutz kann es nicht geben. Kritisch ist anzumerken: Ein "in Kauf nehmen" dieser Sicherheitsgrenzen macht nur Sinn, wenn die Zwecke der ePA diese Unsicherheiten rechtfertigen. Eben dies erscheint aber fraglich und es ist zu fordern, dass die bislang eher wenig diskutierte Verhältnismäßigkeit der ePA-Zwecke im angekündigten Gesundheitsdatennutzungsgesetz ausführlich nachgeholt werden wird.

Jan Frederichs