ePA: gefährliches Halbwissen bei vielen Beteiligten

Die elektronische Patientenakte steht gesetzlich Versicherten in Deutschland seit Januar 2021 zur Verfügung. Trotzdem wird sie bislang kaum genutzt. Forschende der Ruhr-Universität Bochum, der Leibniz Universität Hannover und des Helmholtz-Zentrums für Informationssicherheit CISPA zeigen anhand einer Interviewstudie, dass es viele Missverständnisse rund um die digitale Infrastruktur gibt, auf der die Akte basiert – beispielsweise darüber, wer welche Daten einsehen kann. Vor allem die Rolle der Krankenkassen sorgt für Skepsis. 

Die Ergebnisse stellten Prof. Dr. Karola Marky und Doktorandin Rebecca Panskus von der Ruhr-Universität Bochum auf dem Symposium on Usable Privacy and Security in den USA vor. Sie kooperierten für die Arbeiten mit Prof. Dr. Sascha Fahl, Leibniz Universität Hannover und CISPA, und dem Hannoveraner Studenten Max Ninow. „Die digitale Infrastruktur der elektronischen Patientenakte könnte deutlich verbessert werden“, folgert Karola Marky aus der Studie, „beispielsweise sollten Krankenkassen nicht die Apps bereitstellen, mit denen Versicherte den Zugriff auf ihre Daten festlegen können. Und es ist insgesamt deutlich mehr Aufklärung zu dem Thema erforderlich, die man nicht allein den Arztpraxen und Apotheken aufbürden kann.“

Für die Studie baten die Forschenden im ersten Schritt 21 gesetzliche Versicherte aufzumalen, wie sie sich die digitale Infrastruktur hinter der Patientenakte vorstellen. Zur Orientierung bekamen sie dabei folgendes Szenario an die Hand: Stellen Sie sich vor, Sie gehen zum Arzt und wollen diesem Zugriff auf Ihre Patientenakte gewähren. Wie stellen Sie sich den Datenfluss vor? 

Als Unterstützung erhielten die Befragten ein Set von ausgedruckten Icons, die beispielsweise eine Ärztin, ein Smartphone, die Krankenkasse oder ein Krankenhaus symbolisierten. Im Set enthalten waren auch Icons von Einrichtungen, die in die digitale Infrastruktur nicht einbezogen sind. Die Probanden wählten die ihrer Meinung nach passenden Icons aus und zeichneten handschriftlich die Verbindungen zwischen den ausgewählten Elementen ein. Parallel wurden sie zu ihren Entscheidungen befragt. Keine der 21 Personen vermutete die Struktur so, wie sie tatsächlich ist. Die Darstellungen der verschiedenen Leute wichen zudem deutlich voneinander ab. 

Die Studie zeigte einige Missverständnisse auf. So gingen Leute beispielsweise davon aus, dass alle Arztpraxen automatisch die Daten in ihrer Akte einsehen können. Tatsächlich müssen die Versicherten Ärzten den Zugriff aber einzeln freischalten – über eine App oder mithilfe der Krankenkassenkarte und einer PIN. 

Im nächsten Schritt bekamen die Teilnehmenden die tatsächliche digitale Infrastruktur präsentiert und konnten äußern, was sie daran gut oder schlecht fanden. Hauptkritikpunkt war die Rolle der Krankenkassen. 85 Krankenkassen stellen ihren Versicherten derzeit Apps bereit, mit der sie Arztpraxen Zugriff freischalten oder die Daten in ihrer Akte bearbeiten können, beispielsweise um Einträge zu löschen. 

„Es ist gesetzlich geregelt, welche Daten Krankenkassen einsehen dürfen“, erklärt Karola Marky. Die Tatsache, dass die Kassen den Versicherten Apps zur Verfügung stellen, suggeriere vielen, dass Krankenkassen mehr Daten sehen könnten als ohne digitale Akte. Ob das tatsächlich stimmt, haben die Forschenden in der aktuellen Studie nicht untersucht. Aber: „Aus Sicherheitsperspektive wäre es besser, eine zentrale Open-Source-App in Deutschland anzubieten, die alle Versicherten nutzen können“, so Marky. „Das würde für mehr Vertrauen sorgen, einen einheitlichen Sicherheitsstandard garantieren und auch den Wartungsaufwand reduzieren.“ 

Außerdem fordern die Forschenden, dass es unterschiedliche Zugriffsmöglichkeiten auf die Akte geben sollte, beispielsweise auch über Desktop-Anwendungen, sodass Menschen ohne Smartphone die Dienste ebenfalls nutzen können. 

Die Tatsache, dass Versicherte Einträge aus ihrer Akte löschen können, sorgte für gemischte Gefühle unter den Befragten. Zum einen begrüßten sie die Kontrolle über die eigenen Daten. Zum anderen sahen sie auch Missbrauchspotenzial: Beispielsweise könne sich jemand dasselbe Medikament von zwei Ärzten verschreiben lassen und die Informationen darüber löschen. Die Bundesärztekammer empfiehlt aus diesem Grund bereits, dass Arztpraxen mit Zugriff auf die elektronische Patientenakte automatisch eine lokale Kopie von dieser speichern sollten. 

Zuletzt schlägt das Forschungsteam vor, dass die elektronische Patientenakte in einem medizinischen Notfall leichten Zugriff auf die Daten ermöglichen sollte, da Patienten selbst dann nicht mehr in der Lage sein könnten, Zugriff zu gewähren. 

Quelle: Ruhr-Universität Bochum

09.08.2023

• Datenmanagement (329)
• Digitalisierung (191)
• ePA/eGA (69)
• Studien (573)