Dezentrale, resiliente und datenschutzfreundliche eHealth-Konzepte

Fussnoten

1

Davon ist das Video des 22C3-Vortrags ist unter https://media.ccc.de/v/22C3-546-de-gesundheitskarte, der Foliensatz unter https://events.ccc.de/congress/2005/fahrplan/attachments/640-Gesundheitstelematik22C3v1.0.pdf verfügbar und - leider - immer noch aktuell.
Sehr aufschlußreich ist der Vergleich des 21C3-Vortrags des Autors über die Sicherheitsanalyse einer Gesundheitsakte von 2003 (https://media.ccc.de/v/307_Gesundheitskarte, https://events.ccc.de/congress/2005/fahrplan/attachments/605-SicherheitsanalyseApplimGesundheitswesen_v1.1.sxi) mit Martin Tschirsichs Analyse der Gesundheitsakten in 2018: Trotz 15 Jahren Abstand sind die Ähnlichkeiten bei System- und Sicherheitsarchitektur, sowie den entdeckten Sicherheitsmängeln frappierend.
Diesen und anderen eHealth-Security-Desastern spürt der Artikel "Die Bomben ticken" aus der c't 26/2019, S. 166 nach.
Bekannte Schwachstellen in Open-Source-Komponenten von Konnektoren und Kartenterminals schildert der Artikel "Sicher wie die TI-tanic" (c't 3/2020, S. 14). Die TI-Havarie ab Mai 2020 beleuchtet der Artikel "Vertrauen entzogen" in c't 16/2020 S. 28.
Eine kleine Artikelserie in der FDZ zur gleichzeitigen Stärkung des medizinischen Datenschutzes und Schaffung eines attraktiven Alleinstellungsmerkmals für europäische IT-Lösungen im Weltmarkt steht ebenfalls online zur Verfügung

2

Mitschnitte der gesamten Vorlesungsreihe sind unter https://www.tele-task.de/series/982/ abrufbar - auch die beiden Teile zur Gesundheitstelematik (entgegen der Kennzeichnung sind beide in Deutsch).

3

Bei einem verbreiteten Modell der Informationsverarbeitung kommen die Informationen aus einer Quelle, werden dann übertragen oder verarbeitet, um schließlich von einer Senke aufgenommen zu werden. Das führt zu folgendem Schema:
Informationsquelle ➜ Informationsverarbeitung oder -übertragung ➜ Informationssenke
Es leitet sich aus dem klassischen Schema der Nachrichtentechnik ab: Sender ➜ Übertragung ➜ Empfänger

4

Siehe auch "Eliza-Effekt"

5

Der Begriff "e-Iatrogenesis" wurde 2006 in JAMIA (Journal of the American Medical Informatics Association) geprägt, um solche Behandlungsfehler zu bezeichnen, die durch den Einsatz von eHealth-Systemen verursacht werden. Anlaß waren verschiedene Vorfälle, insbesondere zwei Beinahe-Todesfälle, die nur durch die Kompetenz und Sorgfalt eines Arztes und einer Krankenschwester verhindert wurden, weil diese mutig genug waren, die Computerdaten anzuzweifeln und den Fehler aufklärten.
Siehe:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2244888/
https://www.acpjournals.org/doi/10.7326/0003-4819-144-7-200604040-00010?url_ver=Z39.88-2003&rfr_id=ori%3Arid%3Acrossref.org&rfr_dat=cr_pub++0pubmed&
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2244295/pdf/procamiasymp00001-0271.pdf
https://pubmed.ncbi.nlm.nih.gov/12892029/
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2710605/pdf/amia-0100-s2007.pdf
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC353015/pdf/104.pdf
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC1561794/pdf/547.06001101.pdf

6

Wenn natürlich zum Zeitpunkt der Rezeptausstellung der Strom oder die notwendigen Geräte nicht zur Verfügung stehen - wegen Technikausfalls, aber auch wenn ein Arzt als Nothelfer agiert - wird ein "klassisches" Papierrezept per Hand ausgestellt. Dies muss als universeller Ersatzmechanismus und Rückfallebene möglich und gültig bleiben.

7

Optical Character Recognition - automatische Texterkennung

8

Eine Nonce - abgeleitet von der kryptographischen Schreibweise Nonce - bezeichnet eine Zufallszahl aus einem astronomisch großen Zahlenraum. Die Nonce dient der Identifikation eines pseudonymen Objekts, wobei die Größe des Zahlenraums Rateangriffe aussichtslos machen soll.

9

Ein Beispiel: Hinter einzelnen Messwerten findet sich das Kürzel "(sg)" - welcher wichtige Aspekt wird signalisiert? Ist es das Namenskürzel des erfassenden MTA oder des Praktikanten? Vielleicht heißt es auch "sui generis" und markiert Ausreißer? Im weiteren Verlauf finden wir "(selbst gemessen)". Können wir schließen, dass dies die Bedeutung von "(sg)" ist? Bedeutet es vom Arzt oder vom Patienten selbst gemessen?

10

Die Übersichtsseite findet sich unter https://www.fvdz.de/datenschutz.html, die Artikelserie selbst, gebündelt in einem PDF-Dokument

11

Die De-Pseudonymisierung ist immer durch den Arzt möglich. Sie kann durch öffentlichen Aufruf des Pseudonyms auch dezentral durch den jeweiligen Patienten erfolgen. Darüber hinaus können - falls gewünscht - über kryptographische Mehr-Parteien-Systeme auch multilaterale Lösungen gebaut werden, die unter einem öffentlich kontrollierbaren Mehr-Augen-Prinzip Notfall-De-Pseudonymisierungen erlauben.

zurück zum Beitrag