9879/J XXV. GP
Eingelangt am 08.07.2016
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Eva Mückstein, Albert Steinhauser, Freundinnen und Freunde an die Bundesministerin für Gesundheit und Frauen
betreffend ELGA - Daten von PatientInnen sind schlecht gesichert
Die elektronische Gesundheitsakte ELGA ist noch lange nicht in Vollbetrieb, aber manche Spitäler sind schon jetzt nicht in der Lage zu garantieren, dass PatientInnendaten nicht in falsche Hände gelangen. Aus einem Papier der Datenschutzbehörde geht hervor, dass bestehende EDV-Systeme schlecht gesichert sind. Es heißt unter anderem, "dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt". Heikle Informationen sind also für Unbefugte zu leicht einsichtig. Es ist zu befürchten, dass durch ELGA die Sicherheit sensibler PatientInnendaten nicht mehr gegeben ist.
Seit Ende 2015 wird die elektronische Gesundheitsakte ELGA schrittweise umgesetzt. Zunächst wurden in öffentlichen Krankenhäusern in Wien und der Steiermark elektronische Befunde verfügbar gemacht. Erfasst werden dabei Entlassungsbriefe, Labor- und Radiologiebefunde. Insgesamt wurden bis dato bereits mehr als 600.000 Befunde in beiden Bundesländern registriert.
Am 25. Mai 2016 startete zudem der Probebetrieb von "e-Medikation" – die Erfassung verschriebener Arzneien – im Bezirk Deutschlandsberg in der Steiermark. ELGA wird in der Folge schrittweise im niedergelassenen Bereich und in Apotheken ausgerollt. Es folgen Ambulatorien, private Krankenhäuser sowie Zahnärzte. ELGA soll im Vollausbau alle Versicherten erfassen, die sich nicht abgemeldet haben.
Mit ELGA soll sichergestellt werden, dass der jeweils behandelnde Arzt rasch und unkompliziert alle für die Behandlung relevanten Daten abrufen kann. Doppelbefundungen sollen auf diese Weise hintangehalten werden.
Obwohl ELGA noch nicht flächendecken zum Einsatz kommt, sind schon jetzt massive Mängel im Bereich des Datenschutzes bekannt.
Deshalb empfiehlt die Datenschutzbehörde die Sicherstellung einer effektiven Zugriffskontrolle. Bereits umgesetzt ist die Empfehlung, die Zugriffsberechtigung so zu gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind.
"Es entspricht dem Amtswissen der Datenschutzbehörde, dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt", heißt es in einer weiteren Stellungnahme der Behörde, im Zusammenhang mit einer Prüfung im Burgenland. Derartige Zugriffe träten oft dann auf, wenn etwa eigene MitarbeiterInnen oder öffentlich bekannte Personen sich einer Behandlung in einer Krankenanstalt unterziehen.
Die Grünen haben bei Einführung der ELGA derartige Datenschutzprobleme vorhergesehen und davor gewarnt. Elektronische Systeme können nie 100%ige Sicherheit garantieren. Darin unterscheidet sich ELGA nicht von anderen Systemen. Bei ELGA geht es aber erstmals um sehr persönliche und sensible Daten, die einem besonderen Schutz bedürfen.
Alternativ zum ELGA-System haben die Grünen dafür plädiert, die Gesundheitsdaten in die Hände der PatientInnen zu geben. Aus unserer Sicht müssen die PatientInnen allein darüber entscheiden können, wo ihre Daten gespeichert oder aufbewahrt werden und wer dazu Zugang erhalten soll. ELGA sollte dabei nur eine Möglichkeit sein. Es müsste aber auch die Option geben, die eigenen Daten selbst zu speichern (etwa auf einem USB-Stick, eigenem Webspace etc.) oder weiterhin physisch auf Papier in einem Aktenordner. PatientInnen müssten ohne großen Aufwand selbst entscheiden können, wem sie ihre Daten wie zugänglich oder nutzbar machen wollen.
Die unterfertigenden Abgeordneten stellen daher folgende
1) Wie viele Fälle von missbräuchlichen Zugriffen auf PatientInnendaten sind mittlerweile bekannt?
2) Wo ist es zu derartigen Vorfällen gekommen?
3) Werden Sie die Zugriffsberechtigung so gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind?
4) Werden Sie Zugriffskontrollen einführen, so dass sichtbar wird, wer aus einem Personenkreis von nicht weniger als 1000 Personen auf die Krankenakte zugegriffen hat?
5) Gibt es technische Lösungen für Zugriffseinschränkungen und -kontrollen? Wenn ja, welche?
6) Wie werden Sie sicherstellen, dass Personen von missbräuchlichen Zugriffen auf ihre Krankenakte erfahren, die nicht selbst Einsicht in ihre Krankenakte nehmen (können)?
7) Mit welchen sonstigen Mitteln werden Sie sicherstellen, dass persönliche Gesundheitsdaten nicht aus Neugier oder anderen Gründen in die falschen Hände kommen?
8) Wird das System ELGA aufgrund dieser alarmierenden Vorfälle grundlegend überarbeitet und werden die Empfehlungen von Datenschutz-ExpertInnen berücksichtigt, wonach die elektronische Gesundheitsakte bzw. persönliche Gesundheitsdaten ausschließlich in die Hände der PatientInnen zu legen sind?