sbk.org Magazin Arbeitgeberservice Leistungserbringende Karriere Unternehmen Presse & Politik Suche
EnglishLogin
Übersicht Themen Themen Nachhaltigkeit im Gesundheitswesen Qualität Digitalisierung Versorgung Kassenfinanzen & Morbi-RSA Politische Positionen Expertinnen & Experten Kontakt zu Presse & Politik
EnglishSuche
Kontakt Menü Übersicht Themen Politische Positionen Expertinnen & Experten Kontakt zu Presse & Politik Themen Nachhaltigkeit im Gesundheitswesen Qualität Digitalisierung Versorgung Kassenfinanzen & Morbi-RSA sbk.org Magazin Arbeitgeberservice Leistungserbringende Karriere Unternehmen Presse & Politik EnglishLogin

Im Fokus: Großbritannien und der Datenschutz - aus Fehlern gelernt

In Großbritannien beschäftigen wir uns mit dem Datenschutz. Die Briten haben eine landesweite Cyber-Security-Strategie initiiert.

Die britischen Inseln haben schon einige Skandale um Datenlecks im Gesundheitssystem durchlitten. Aber das Gesundheitssystem hat aus den Fehlern beim Datenschutz gelernt. In Arbeit ist inzwischen eine einheitliche Cybersicherheitsstrategie, die ab 2030 alle Sektoren der Gesundheitsversorgung erfassen soll. Davon ist Deutschland weit entfernt. Deshalb machen wir auf dieser virtuellen Reise nun Halt in Großbritannien.

Auch wenn die Platzierung auf Rang sechs im Digital Health Index anderes suggeriert, gibt es im Vereinigten Königreich weiter Akzeptanzprobleme im Umgang mit digitaler Technologie im Gesundheitswesen. Ein Grund dafür könnten laut Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen unter anderem die Nachwirkungen eines Big-Data-Projekts aus dem Jahr 2014 sein. 80 Prozent der Bevölkerung hatten damals die Kontrolle über ihre Daten verloren, denn die sensiblen personenbezogenen Daten wurden an Dritte weitergegeben, ohne dass die Betroffenen davon wussten.

Zentrale Steuerung für sichere Netzwerke

So wie Gesundheitseinrichtungen in anderen Ländern auch sehen sich britische Institutionen heutzutage mehr denn je Attacken von Hackern ausgesetzt. Zum Beispiel griffen Kriminelle im Sommer 2023 das IT-System des Bart Health NHS Trusts an, eines Krankenhausbetreibers in London mit über 2,5 Millionen Patientinnen und Patienten Die Eindringlinge forderten ein Lösegeld. 70 Terabyte an sensiblen Daten wie vertrauliche E-Mails hatten sie widerrechtlich an sich gebracht.

„Im internationalen Vergleich hat Großbritannien verhältnismäßig strenge Datenschutzstandards“, erklärt Professor Kipker. „Datenlecks lassen sich nie ausschließen, aber zumindest die Risiken können minimiert werden.“ Und das Land hat umfassend Konsequenzen gezogen und zentrale Institutionen für eine verbesserte Cybersicherheit eingerichtet. Das NHS Cyber Security Operations Centre (NHS CSOC) hat die Aufgabe, den Akteuren im Gesundheitswesen in Echtzeit Schutz vor verdächtigen Aktivitäten zu bieten und Maßnahmen für das Cybersicherheitsmanagement zu definieren.11 2030 soll eine neue, umfassende Cyberstrategie fertig sein, die die Sicherheitsstandards weiter erhöht.

SBK-IT-Experte Christian Ullrich ist überzeugt, dass auch wir in Deutschland entsprechende Maßnahmen brauchen: „Unser Gesundheitswesen hat eine enorme gesellschaftliche Bedeutung. Es sorgt dafür, dass wir im Krankheitsfall bestmöglich versorgt und finanziell abgesichert sind. Das ist von unschätzbarem Wert und muss bestmöglich geschützt werden.“ Wofür auch Großbritannien allerdings aus seiner Sicht kein Patentrezept hat, sind die analogen Notfallprozesse. „Beispielsweise können im Falle von Cyberangriffen digitale Prozesse in Gesundheitseinrichtungen nicht einfach analog abgewickelt werden“, so Ullrich. „Hier haben beide Länder noch Entwicklungspotenzial.“

Sanktionen bei fehlender Datenfreigabe

Trotz der Skandale rund um die Cybersicherheit ist die digitale Patientenakte mittlerweile die am häufigsten genutzte, verifizierte Datenbank für die Primärversorgung in Großbritannien.12 Denn für Briten wie den ebenfalls 54-jährigen Peter aus London überwiegen letztlich die Vorteile einer zentralen Datensammelstelle. Er hat keinen Gebrauch von der Opt-out-Option seiner Gesundheitsakte gemacht. Bei sämtlichen Terminen sind so seine Ärztinnen und Ärzte umfassend über seine Krankengeschichte informiert. Sollte er ein Rezept oder einen Termin benötigen, kann er dies unkompliziert online beantragen.

„Der Gebrauch von digitalen Gesundheitstechnologien ist im Vereinigten Königreich freiwillig. Das muss immer wieder betont werden“, sagt der Bremer Wissenschaftler. „Versicherte können eigenständig entscheiden, welche Daten sie teilen wollen und mit wem.“ Hausarztpraxen und medizinische Fachkräfte können bei Einwilligung in den Summary Care Record (SCR) auf Basisinformationen wie Allergien und Medikamente zugreifen. Wer will, kann auch sensiblere Informationen wie die medizinische Vorgeschichte oder Gründe für die Einnahme bestimmter Medikamente speichern. Auch was die Datenfreigabe zu Forschungs- und Planungszwecken angeht, können die Briten selbst entscheiden, ob sie dieser zustimmen. Es gibt nur wenige Ausnahmen, die die persönliche Entscheidung außer Kraft setzen können – wie zum Beispiel ein übergeordnetes öffentliches Interesse. Andererseits gibt es ebenfalls die Option, sich komplett gegen eine Freigabe seiner persönlichen Gesundheitsdaten auszusprechen. Der Widerspruch wird aber vom Gesundheitssystem sanktioniert. Man kann dann weder den elektronischen Rezeptdienst noch die elektronische Überweisung nutzen.

Fortschritt durch Daten

Für Briten wie Peter, dessen Mutter an Multipler Sklerose verstarb, ist es eine Herzensangelegenheit, dass er mit seinen Gesundheitsdaten einen Beitrag zur aktuellen Erforschung von Krankheiten leisten kann. Das britische Reglement gibt den Forscherinnen und Forschern hier ausreichend Spielraum, um die gesammelten Daten auszuwerten. Das Land gehörte während der Corona-Pandemie zu den Vorreitern, als es um die Analyse des Infektionsgeschehens und die Ableitung zielgerichteter Maßnahmen ging. In Deutschland tut man sich mit der Datennutzung in allen Bereichen, auch in der Forschung, schwer, die Vorgaben des Gesetzgebers sind rigide. Doch die Situation dürfte sich auch hierzulande allmählich ändern. „Durch das Digitalgesetz in Verbindung mit dem Gesundheitsdatennutzungsgesetz und der ePA können Forschende in Zukunft auf mehr Gesundheitsdaten zugreifen“, so Kipker.

"Uns fehlt eine übergeordnete Security-Strategie für das ganze Gesundheitswesen“

Dr. Christian Ullrich im Interview über die IT-Sicherheitsstrategien in Deutschland

Das deutsche Gesundheitswesen unterscheidet sich deutlich vom britischen National Health Service. Warum lohnt sich dennoch ein Vergleich?

Es lohnt sich vor allem ein Blick auf Datennutzung und Datenschutz. Der NHS hat uns einiges voraus, was große Datenprojekte angeht. Auch wenn nicht immer alles glatt gelaufen ist, so haben die Briten daraus gelernt. Der NHS verfügt über ein eigenes Cyber Security Operations Centre, das verdächtige Aktivitäten in Echtzeit überwacht, auf Sicherheitsvorfälle reagiert und Beratung sowie Unterstützung in der Informationssicherheit anbietet.

Cybersicherheit ist auch bei uns ein zentraler Faktor. Wie weit sind wir in Deutschland?

Wir haben noch einen langen Weg zu gehen, in allen Sektoren des Gesundheitssystems. Bei den Krankenkassen machen wir erste Schritte mit dem Digitalgesetz und den darin verabschiedeten Regelungen. Bisher galten nur sehr große Krankenkassen als kritische Infrastruktur, die Auflagen in Richtung IT-Sicherheit zu erfüllen haben. Ab 2024 gelten diese Regelungen bereits für Kassen mit 500.000 Versicherten und mehr. Mit dem Digitalgesetz werden zudem auch Vorgaben für kleine Krankenkassen gemacht. Diese sind zwar weniger umfangreich, aber immerhin.

Und in den anderen Sektoren?

Krankenhäuser, Arztpraxen, Apotheken und viele andere Leistungserbringende arbeiten ebenfalls digital. In Großbritannien soll bis 2030 eine übergeordnete Security-Strategie definiert werden. Auch wir brauchen ein breit angelegtes Konzept – dafür müssen Rahmenbedingungen in der Politik geschaffen werden. Wir brauchen Systeme und Datenströme, die unabhängig voneinander funktionieren. Dann wäre bei einem Ausfall der IT nicht gleich die gesamte Infrastruktur betroffen. Das Wichtigste dabei: Die Versorgung der Menschen muss sichergestellt sein. Und wir brauchen auch im Kleinen – bei jedem Leistungserbringenden, jeder Krankenkasse, jeder Apotheke – das Bewusstsein und das Wissen darüber, wie wichtig IT-Security ist. Nicht jede Ärztin oder jeder Arzt kann IT-Experte sein. Aber die Verantwortlichkeiten und Prozesse für die Sicherheitsinfrastruktur müssen klar geregelt sein.

Kann es denn vollkommene Sicherheit geben?

Es gibt jedenfalls keine Alternative dazu, sich bestmöglich für den Ernstfall vorzubereiten. Kleinere, kürzere Ausfälle hat das Gesundheitssystem bereits erlebt und auch überstanden. Auf die Eventualität einer groß angelegten Betriebsunterbrechung müssen wir uns noch besser vorbereiten. Wann dürfen die IT-Systeme wieder hochgefahren werden? Wie gehen wir mit den Folgen um, zum Beispiel, wenn Meldefristen betroffen sind? Klar ist: Betriebsunterbrechungen sollten möglichst kurz sein. Die Versorgung muss auch unabhängig davon sichergestellt sein. Und die Bürokratie rund um Notfallprozesse muss so gestaltet sein, dass sie zur Lösung beiträgt. Auch das Risikomanagement und die bereits angeführte Trennung der Systeme und Datenströme müssen wir gesetzlich regeln. Uns Krankenkassen sehe ich hier unter anderem in einer tragenden Rolle, weil wir die Zahlungsströme verantworten und damit die Handlungsfähigkeit der einzelnen Akteure sicherstellen.

Die hier zur Verfügung gestellten Inhalte dürfen, unter Angabe der Quelle SBK Siemens-Betriebskrankenkasse, veröffentlicht werden.

Ich bin Ihre persönliche Ansprechpartnerin und freue mich auf Ihre Presseanfragen.

Tel.: 089 62700-710

Mobil: 0160 95332422

E-Mail: franziska.herrmann@sbk.org

LinkedIn

Folgen Sie uns auf

Facebook
Instagram
YouTube
X
LinkedIn
XING
TikTok
Cookie Einstellungen Datenschutz Impressum Barrierefreiheit & Leichte Sprache

Wir verwenden erforderliche Cookies, die für den Betrieb der Webseite notwendig sind, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Zusätzliche Cookies und Technologien werden nur verwendet, wenn Sie Ihnen zustimmen. Diese Cookies und Technologien werden für statistische Zwecke und für weitere Funktionen auf der Webseite genutzt:

  • Erforderliche Cookies
  • Statistik-Cookies
  • Externe Dienste
  • Mit Klick auf "Zustimmen" und anschließend auf "Speichern" akzeptieren Sie diese und auch die Weitergabe Ihrer Daten an Drittanbieter.

    Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie in den Einstellungen sowie in unseren Datenschutzhinweisen. Sie können die Verwendung von Cookies ablehnen oder jederzeit über Ihre Einstellungen anpassen.

    Zu den Einstellungen Zustimmen

    Sie haben die Wahl, welche Cookies und externe Dienste Sie zulassen:

    Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

    Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen.

    Auf dieser Seite werden Dienste eingebunden, die durch Drittanbieter bereitgestellt werden. Diese erbringen ihre Services eigenverantwortlich. In Einzelfällen müssen für diese Funktionen Cookies gesetzt werden.

    Datenschutzhinweise

    Einstellungen speichern