Das Bundesamt für Sicherheit in der Informationstechnik betrachtet das für Smartphones vorgesehene Authentifizierungsverfahren für die elektronische Patientenakte (ePA) als „neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette“. Würde der Schlüsselgenerierungsdienst überwunden, könne sowohl auf die kryptografischen Mittel als auch die Inhalte der Patientenakte zugegriffen werden. Weiterhin sei durch das alternative Authentifizierungsverfahren „al.vi“, welches einen Zugriff auf die Gesundheitsdaten ohne die elektronische Gesundheitskarte vorsieht, eine „starke Authentifizierung der elektronischen Gesundheitskarte“ nicht mehr vorgesehen, sodass die Gesamtsicherheit des Systems deutlich verringert wird. Experten kritisieren, dass sich die Sicherheitsleistungen in die Implementierungsverantwortung der Hersteller verlagert und die exklusive Datenhoheit des Versicherten auf seinen medizinischen Daten aufgelöst werden würde.
Datenschützer sehen außerdem ein juristisches Problem. Durch eine fehlende rechtliche Klarstellung würde die Möglichkeit eröffnet werden, dass strafrechtliche Ermittlungen Gesundheitsdaten erheben dürfen, weil sich die ePA nicht im Gewahrsam des zeugnisverweigerungsberechtigten Arztes befinde.
Das BMG weist darauf hin, dass es neben dem „al.vi“ noch drei weitere Zugriffsmöglichkeiten für die ePA geben soll. Beispielsweise soll es einen Zugriff am Smartphone mittels elektronischer Gesundheitskarte über die NFC-Schnittstelle geben.
Quelle: https://www.aerzteblatt.de/nachrichten/102771/Behoerde-sieht-Sicherheitsluecken-bei-mobilem-Authentifizierungsverfahren-fuer-elektronische-Patientenakte, 7. Mai 2019
Schreibe einen Kommentar