Auf dem 35c3 gab es einen recht sueffisanten Vortrag, wie die Gesundheits-App Vivy aufgemacht und alle dort versammelten Sicherheitsluecken vorgefuehrt wurden.
Ich habe mich zu Studienzeiten recht viel mit widerspenstigen Mediziner*innen herumgetrieben, die mittlerweile im Berufsleben angekommen sind (witzigerweise vorwiegend in der [Unfall/Notfall]chirurgie), und die auch die Congress-Talks ansehen, egal ob vor Ort oder die Aufzeichnungen. Der Vivy-Vortrag hat mindestens eine Person aus dem Umfeld recht zornig gemacht, weil hier sehr viel Augenmerk darauf gelegt wird, wie IT-Sicherheit „sein muesste“, ohne aber den Status Quo zu beruecksichtigen. Auf Nachfrage hier der Aufschrieb, warum.
Du hast vorgestern mit den Augen gerollt, als es um den Vivy-Vortrag auf dem Congress ging. Was siehst du da als Aerzt*in, was dich bei so einem Vortrag mit den Schultern zucken laesst?
Klar, bin ich einigermaßen entsetzt auf welchem Niveau sich hier die Anbieter bewegen. Wenn ich auch nicht viel erwartet hätte, so kann ich da ja fast nur Bosheit unterstellen. Wenn mir mein Fahrradhändler zu meinem neuen Custombike eine Spiralschloss aufschwätzen wollte, würde ich mir auch verarscht vorkommen.
Aber?
Aber du musst dir auch mal vor Augen halten, wo wir momentan stehen. Aktuell führt mein einziger Weg zu medizinischen Informationen über das mir unbekannte Patient selbst; das ich vielleicht jetzt gleich operieren soll. Aus Datenschutzperspektive natürlich optimal, führt aber im Normalfall zu unvollständigen und nicht selten zu falschen Informationen. Standardsituation: „Haben sie irgendwelche Erkrankungen?“ – „Nein.“ – „Nehmen sie regelmäßig Medikamente?“ – „Ja, jede Menge. Aber die kann ich nicht alle auswendig. Morgens nehme ich immer so einen gelbe und eine ganz kleine weiße Tablette.“ – „…“
Das klingt jetzt aber nicht nach dem typischen Congresspublikum, oder? Oder Bleeding-Edge-Smartphonenutzer*innen?
Der Normalfall ist ja nicht, dass gesunde 20–30Jährige mit Smartphone samt überschaubarer medizinischer Vorgeschichte daherkommen, sondern dein/e ältere/r multipel vorerkrankte/r Oma/Opa. Und was mache ich wenn es dement, bewusstlos oder ein Kind ist? Für den Fall, dass ich das Hausarzt ermitteln kann – aktuell zentraler Datenserver und -hub – kann ich es natürlich kontaktieren; Montag bis Freitag zwischen 08:30 und 12:00 Uhr. Und das faxt (!) mir dann hoffentlich die relevanten Unterlagen. Das ist momentan die einzige (offizielle) Datenübermittlung zwischen medizinischem Personal. Btw: Wie authentifiziere ich mich eigentlich am Telefon? Das hat witzigerweise bisher noch niemanden interessiert.
Wie laeuft denn das sonst normalerweise im Gesundheitswesen, wenn es um Datenhaltung und -uebertragung geht?
Das mit den Medikamenten macht mich übrigens am allergrantigsten. Im Optimalfall hat das Patient einen – mehr oder weniger aktuellen, aber immerhin inzwischen standardisierten – ausgedruckten Medikamentenplan dabei, auch über einen handgeschriebenen Zettel freu ich mich schon, aber meistens kramt der Mensch in seinem Kopf. Und was mache ich damit? Ich tippe die Liste in unser Patientenmanagementsystem, damit es die Pflegekraft auf Station dann handschriftlich in das papierene [System] (= Dokumentation„system“ während des stationären Aufenthaltes) übermittelt, wo es dann Woche für Woche neu übertragen wird, bis ich das Patient entlasse und dann wiederum alles in den Entlassbrief abtippe. Wenn bei dieser Art von Datenübertragung KEIN Fehler passiert, ist das reine Glückssache.
Da kann ich mich nur schwer mit dem Gedanken anfreunden, ALLES sei besser als DAS. Hier geht es nicht um hypothetische soziale Gefahren sondern ganz konkrete medizinische.
Zum Beispiel eben darum, wie Patient IM KRANKENHAUS an die RICHTIGEN Medikamente in der RICHTIGEN Dosierung kommt. Und das regelhaft.
Achso, frohes neues Jahr übrigens. 2019!!!11
Was mich im Zusammenhang mit dem Vivy-Votrag noch mit den Augen rollen lässt ist die Aussage „Die sichere spezifizierte Akte wird niemand nutzen.“, weil das mit der elektronischen Gesundheitskarte zu umständlich sei. Dazu kann ich dann nur sagen: Selbst schuld. Meiner Meinung nach wäre es völlig ausreichend wenn es ENDLICH ein sichere Lösung zum Informationsaustausch mit der gematik gäbe. Vor allem weil wir alle jetzt schon die Karte haben! Wer es weniger umständlich möchte, der nimmt halt Abstriche bei der Sicherheit in Kauf. Ist doch dann selbst gewählt.
Ist das jetzt die Medizin-Variante des beliebten Nerdspruchs „Kein Backup? Kein Mitleid!“?
Kurz gesagt: Ja.
Wo ich schon gar nicht mehr mit den Augen rollen kann, ist bei der Frage, warum wir bei der gematik seit 2 Jahren auf dem Niveau der Versichertenstammdaten festhängen. https://www.gematik.de/telematikinfrastruktur
https://www.gematik.de/ausblick/roadmap
Dabei bietet die Idee dahinter alles, was ich mir als „LeistungserbringerIn“ wünsche.
Kann man nicht daran weiterarbeiten statt irgendwelche fancy Apps zu unterstützen?
Wer sich übrigens dafür interessiert:
https://fachportal.gematik.de/
Okay, das heisst, der Jetzt-Zustand ist einfach Kommunikation per Fax… Telefon… abschreiben? Oder noch was schlimmeres?
Innerhalb eines Krankenhauses oder einer Praxis gibt es ein Patientenmanagementsystem, wo jeder für sich Daten sammelt. (Der Nutzer loggt sich hier übrigens mit seinem standardisierten Nutzernamen und seinem Wunschpasswort – meist ohne jegliche Anforderung bezüglich der Stärke – ein.)
Immerhin eine dezentrale Lösung. Leider sind diese Systeme weder vernetzt noch vernetzbar, da völlig inkompatibel, weil nicht standardisiert. Wie wird also übertragen? Ausdruck, Scan, Ausdruck, Fax, Scan, Ausdruck… die Qualität kannst du dir vorstellen. Aber hey, ganz hinterm Mond leben ÄrztInnen auch nicht; es gibt ja noch Whatsapp…
Funfact, ich arbeite in einem Klinikverbund, indem die einzelnen Kliniken immerhin schonmal die selbe Software verwenden. Bisher jedoch jeder für sich auf einer eigenen Datenbank; das heißt, dass ich bisher nich mal auf Daten meines eigenen Klinikverbundes zugreifen konnte. Die Datenbanken werden 2019 jetzt endlich zusammengeführt… haben sie gesagt… In Wirklichkeit wurden alle Kliniken auf die Datenbank der größten geschalten. Mit der Konsequenz, dass zum Jahreswechsel die Patientenakten der bisher von mir Behandelten leer waren. Eine Zusammenführung ging nämlich nicht, da die einzelnen Kliniken random Patienten- und Fall-IDs in ihren Datenbanken vergeben haben. Natürlich sind die ganzen alten Daten nicht verloren. Ich kann mich während einer Frist auch noch in das alte System einloggen. Und irgendwann wird es mal ein Archiv geben, das in die Patientenakte eingebunden wird, wo zumindest die exportierbaren (?) Informationen liegen werden. Ich vermute ja als Bilddatei :-p
Das gute Argument der Vortragenden war, dass der Status quo immer noch *dezentral* ist.
Da müsste man Fax & Telefon überwachen, und das an viele Stellen.
Ganz anders bei diesen großen Datenbanken, wo schnell mal ein größerer Datensatz hops geht oder sich Kriminelle schnell mal mit Take All die Daten zu tausenden rausladen.
Das Problem mit der zentralen Datenhaltung wäre also ein viel größeres als der aktuelle Mist.
Aus der Sicht, dass „Daten gehen verloren“ das groessere Problem ist als „Menschen erleiden gesundheitliche Probleme oder sterben“: Ja.
In der Qualitätssicherung habe ich erlebt, dass Kliniken auch schon mal über 40 verschiedene EDV-Systeme im Einsatz haben. Der ltd. Oberarzt kam mit seinem privaten Laptop, denn darauf waren die zuverlässigen Daten für uns. Also freu‘ Dich über „nur“ ein oder zwei Systeme und Migration.
Die Daten sind ja alle schon bei KVen und GKV-Kassen gespeichert. Ich habe seit Jahren nichts von einem Einbruch und Leak in dem Umfang gehört oder gelesen, der immer als „Schreckensszenario“ gegen die eGK und Telematik insgesamt angeführt wird. Ein Schweigekartell aller Medien, inklusive der Medien, die den Lobbyverbänden der Ärzteschaft gehören, oder ist da einfach die Sicherheit den aktuellen Anforderungen entsprechend aufgestellt?