Austausch von vertraulichen Patientendaten per Email

Aus Endopedia
Wechseln zu: Navigation, Suche

Um sich mit dem Thema auseinanderzusetzen, ist es nicht unbedingt notwendig den ganzen Artikel zu lesen. Je nach Vorkenntnissen und Interesse kann man sich mit den einzelnen Themen beschäftigen, oder anhand der Weblinks sogar vertiefen.


Vorwort

Mit der zunehmenden Zahl der digitalen Verarbeitung von Patientendaten in der zahnärztlichen Praxis wächst auch der Daten- und Informationsaustausch über das Internet zwischen den korrespondierenden Praxen. Gerade mit der zunehmenden Zahl der digitalen Röntgensystem, liegt es nahe, Daten über das Internet auszutauschen. Dabei werden in der Regel auch gleichzeitig die Überweisungsdaten und Arztbriefe übermittelt. Vielfach wird davon ausgegangen, dass die Datensicherheit und Vertraulichkeit einer Email einem gewöhnlichen Brief gleichzusetzen ist.
Dies ist falsch!

Eine Email ist eher einer Postkarte gleichzusetzen!

Im vorliegenden Artikel werde ich von einem Szenario ausgehen, dass ein Kollege die Patientendaten für eine Überweisung übermitteln will, und später die Überweisungspraxis einen Abschlussbericht an den Kollegen schicken möchte. Dabei werde ich auf unterschiedliche Möglichkeiten eingehen, die in Ihrer Umsetzung die unterschiedlichen technischen Voraussetzungen und Kenntnisse berücksichtigen.

Das Problem

Daten im Internet laufen nie direkt von dem sendenden Computer direkt zum empfangenden Computer, sondern werden über verschiedene Serverstation geleitet. Mit bestimmten Methoden lassen sich solche Datenströme lesen. Aus diesem Grunde werden vertrauliche Daten, zum Beispiel Kreditkartennummern und Onlinebanking, verschlüsselt.

Auch bei Emails besteht die Gefahr, dass Unbefugte vom Inhalt Kenntnis erhalten. Für private Emails ist das zunächst ärgerlich. Für Emails mit Patientendaten kann das auch juristische Folgen haben, da die Schweigepflicht verletzt wurde!

Auch wenn für das Lesen von unbefugten Emails eine gewisse kriminelle Energie notwendig ist, so ist es doch die Pflicht des Arztes für eine optimale Datensicherheit zu sorgen. Vergleichbar wäre dies mit alten Patientenbriefen, die auch nicht so einfach in das Altpapier gegeben werden dürfen, sondern vorher durch den Shredder müssen.

Bei Verletzung von Privatgeheimnissen nach StGB §203 drohen Freiheitsstrafe oder Geldstrafe!

Grundsatz: Verschlüsselung der Daten

Die einzige Möglichkeit Patienteninformationen sicher auszutauschen, ist die Verschlüsselung der Daten. Nur so ist gewährleistet, dass die Patientendaten vertraulich bleiben.

Es gibt mehrer Möglichkeiten Daten in verschlüsselter Form zu versenden.
Zu unterscheiden ist insbesondere die symmetrische und die asymmetrische Verschlüsselung.

Symmetrische Verschlüsselung

Bei der symmetrische Verschlüsselung werden Daten (oder aber Nachrichten Bsp. Enigma) mit Hilfe eines einzigen Schlüssels verschlüsselt und mit dem selben Schlüssel auch wieder entschlüsselt. Dafür ist nach heutigem Kenntnisstand eine 128-Bit-Verschlüsselung ausreichend.
Da mit dem Schlüssel die Daten sofort entschlüsselt werden kann, muss der Schlüssel auf einem sicheren Weg (Postweg oder persönlich) übergeben werden, und darf auf keinen Fall an die Öffentlichkeit gelangen! Das bedeutet auch, dass für den verschlüsselten Datenaustausch mit weiteren weiteren Partnern auch jeweils neue verschiedene Schlüssel erzeugt und auf sicherem Wege ausgetauscht werden müssen!

Asymmetrische Verschlüsselung

Die asymmetrische Verschlüsselung beruht auf dem Prinzip, dass es einen öffentlichen Schlüssel und einen privaten-geheimen Schlüssel gibt. Man bezeichnet es deswegen auch als Public-Key-Verfahren.

Um eine verschlüsselte Nachricht zu erhalten, erzeugt man einen privaten-geheimen Schlüssel und einen öffentlichen Schlüssel.
Der öffentliche Schlüssel kann jedem zur Verfügung gestellt werden, der einem eine verschlüsselte Nachricht oder verschlüsselte Dateien zukommen lassen will. Die Verschlüsselung erfolgt dann nach einem mathematischen Algorithmus, der auch mit dem öffentlichen Schlüssel nicht mir entschlüsselt werden kann (Falltürfunktion engl. trap door one-way function).
Nur mit dem eigenenprivaten Schlüssel lassen sich die Nachrichten und Daten entschlüsseln.

Dieses Verfahren hat, gerade für die standardmäßige Emailverschlüsselung, entscheidende Vorteile:

  • Der öffentliche Schlüssel kann auf einem unsicheren Weg übermittelt werden, z. Bsp. auch durch unverschlüsselte Email oder als Download von der Homepage.
  • Man muss nur noch ein Schlüsselpaar für den gesamten Emailverkehr erzeugen, und nur noch für die Geheimhaltung eines Schlüssels sorgen.
  • Mit den selben Schlüsseln können Nachrichten auch signiert werden.

Kommunizierte man mit mehreren Praxen verschlüsselt, muss man allerdings mehrere öffentliche Schlüssel der anderen Partner verwalten. Dies erledigt in aller Regel aber die Software, die einer Mailadresse einen Schlüssel zuordnet.

Eine Gefahr besteht allerdings dann, wenn in Zukunft doch ein Algorithmus für das einfache zurückrechnen gefunden werden sollte, oder falls die Entwicklung einer extrem schnelleren Rechenleistung gelingen sollte.
Heute ist jedoch eine 1024-Bit-Verschlüsselung bei dem asymmetrischen Verfahren empfohlen, da man davon ausgehen kann, dass eine 1024-Bit-Verschlüsselung selbst bei Zusammenschaltung aller heutigen Computer nicht in Lebenszeit zu entschlüsseln wäre.

Verschlüsselung in der Praxis

Verschlüsselte Email

Die Emails direkt als solche mit dem asymmetrischen Verfahren zu verschlüsseln und beim Empfänger direkt zu entschlüsseln, ist insbesondere für den dauernden Informationsaustausch das einfachste und komfortabelste Verfahren. Allerdings verlangt es auf beiden Seiten, sowohl auf der des Schreiber als auch auf der des Empfängers, eine Erweiterung und Einrichtung im Emailprogramm.

Ist allerdings alles einmal eingerichtet können Email inklusive Anhänge leicht und sicher verschlüsselt werden, ohne dass man dabei Passwörter austauschen müsste. Ein weiterer Vorteil ist, dass dabei auch gleich die Email signiert werden kann, d.h. durch die elektronische Unterschrift kann der Empfänger sicher sein, dass die Email auch wirklich vom Absender in dieser Form kommt, und auch nicht auf dem "Weg" verändert wurde.

Heute gibt es 2 gängige Verfahren um Emails zu Verschlüsseln:

PGP / GnuPG

Pretty Good Privacy (PGP) wurde 1991 von der Firma PGP Corporation entwickelt. Seit Version 9 ist PGP nicht mehr Freeware.
GnuPG oder GPG (GNU Privacy Guard) wurde als freie Alternative durch ein Open source Projekt programmiert. Da das vorgestellte Szenario mit freier Software aufgebaut und gelöst werden soll, wird hier nur GnuPG weiter erwähnt.

Das Hauptproblem bei GnuPG ist die Installation und Bedienung der blanken GnuPG-Software, da sie eigentlich zeilenbasiert ist, und ohne grafische Benutzeroberfläche daherkommt. Allerdings gibt es inzwischen viele Lösungen, die die Installation und Bedienung, auch für Einsteiger, erheblich vereinfachen. Das bekannteste und umfassendste für Windows ist GPG4Win. Für den Mac gibt es MacGPG.

Auch für fast alle Emailprogramme gibt es Plug-Ins, die das Verwalten der Schlüssel, das automatische ver- und entschlüsseln und vieles mehr komfortabel übernehmen.
Eine empfehlenswerte Installationsanleitung auf zeitform.info bietet Hilfe für die meisten Kombinationsmöglichkeiten.

GnuPG arbeitet nach dem asymmetrischen Verfahren. Wie oben schon erwähnt, werden dafür ein private und ein öffentlicher Schlüssel generiert. Die überweisende Praxis kann mit dem öffentlichen Schlüssel die Nachricht und ggf. auch Bilder im Anhang verschlüsseln. Nur die Endodontiepraxis kann nun mit dem geheimen Schlüssel die Nachricht wieder entschlüsseln. Dabei ist zu beachten, dass selbst die Überweisungspraxis die Nachricht nicht entschlüsseln kann, da ihr der geheime Schlüssel fehlt. Aus diesem Grunde sollte eine unverschlüsselte Kopie der Nachricht in einem lokalen Ordner gespeichert werden!
Für die Übermittlung eines Arztbriefes der Endodontiepraxis an die Überweisungspraxis ist nun der umgekehrte Weg notwendig: Hier muss nun die Überweisungspraxis ein Schlüsselpaar erzeugen. Mit dem öffentlichen Schlüssel der Überweiungspraxis verschlüsselt nun die Endodontiepraxis die Nachricht. In eigentlich allen Emailprogrammen lassen sich öffentlich Schlüssel im Adressbuch Emailadressen zuweisen, so dass die Auswahl recht einfach automatisch oder halbautomatisch erfolgen kann.

Für einen vollständigen Emailverkehr in beide Richtungen muss somit jeder der beiden Kommunikationspartner ein Schlüsselpaar erzeugen. Dies macht auch noch aus einem anderen Grunde Sinn: Die Emails können signiert werden!
Dafür wird die Email zusätzlich zur Verschlüsselung noch mit dem geheimen Schlüssel signiert, also praktisch "unterschrieben". Der Empfänger kann dann mit dem öffentlichen Schlüssel des Absenders überprüfen, ob die Email wirklich vom Absender kommt, und dass die Email auf dem Weg nicht verändert wurde.

S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist weniger verbreitet, aber genauso sicher. S/MIME arbeitet allerdings etwas anders, so dass S/MIME mit PGP bzw. GnuPG untereinander nicht kompatibel sind.

Bei S/MIME kann man die Schlüssel also nicht selber erstellen, sondern muss sie bei einer Zertifizierungsstelle beantragen. Dies ist in der Regel mit Kosten verbunden; es gibt aber auch einige Stellen, die sich nur aus Spenden finanzieren. Die Grundidee ist ein erstelltes Zertifikat (und damit auch die dazugehörige Signatur) so definitiv zu machen, wie eine Unterschrift im Personalausweis. Damit dies für das gesamte Internet gilt, muss dies von einer übergeordneten Stelle erfolgen. Somit können auch elektronische Dokumente und Emails im Geschäftsbereich sicher auf ihre Herkunft überprüft werden.

Für die Verschlüsselung hält dieses Verfahren einen großen Nachteil bereit: Man benötigt zusätzlich zu dem eigenen Zertifikat und Schlüsseln noch das Zertifikat des Empfängers!

Da überweisende Praxen nicht als öffentliche Institution im Internet agieren, sondern nur im kleinen Netzwerk untereinander die Daten austauschen, ist ein Zertifikat von einer übergeordneten Stelle auch nicht notwendig. Trotzdem sollten natürlich die Emails signiert werden.



Verschlüsselung der Formulareingaben auf der Homepage

Oft gibt es auf einer Homepage eine Kontaktformular. Auch diese eingegebenen Daten sind zunächst nicht sicher. Jedoch mit Hilfe des HTTPS-Protokolls kann die Verbindung zwischen dem Rechner, auf dem die Eingabe erfolgt, und dem Rechner, der die Daten empfängt, verschlüsselt werden[1]. Bekannt ist dieses Verfahren inbesondere beim Onlinebanking und Onlineshoping. Erkennbar für den Benutzer ist das zum einen an der Internetadresse, die mit "HTTPS" anfängt, zum anderen zeigt es auch der Browser an (je nach Browser z. Bsp. mit einem Schloss oder Schlüssel).

Der Vorteil für den Überweiser liegt eindeutig darin, dass er sich um nichts kümmern muss: Er muss weder etwas installieren, noch muss er selber daran denken die Daten zu verschlüssel. Als dies wird automatisch erledigt, wenn er die Webseite aufruft.

Der Nachteil liegt darin, dass diese sichere Verbindung nur in eine Richtung funktioniert. D.h. will man dem Überweiser vertrauliche Informationen zukommen lassen, benötigt man wieder eine zusätzliche Lösung, z. Bsp. Verschlüsselung der Email, was nicht mehr automatisch erfolgt.

Ein weiterer Nachteil ist die weitere Datenverarbeitung: Mit der Eingabe auf dem Kontaktformular wurden die Daten nur zum Server übermittelt, und der eigentliche Empfänger hat sie noch nicht bei sich auf dem Rechner. Sollen die Daten wie oben dann verschlüsselt als Email verschickt werden, ist in der Regel ein teurer Internetserver nötig, da nicht nur die üblichen Internetapplikation laufen müssen, sondern auch die Verschlüsselungssoftware, die erst installiert werden muss.

Außerdem muss das Formular erst programmiert, und die Internetseite über die Fähigkeit der Verschlüsselung mittels HTTPS verfügen, was beides zu zusätzlichen Kosten führt. Damit auch die Bilder auf diesem Wege an die Praxis übermittelt werden können, muss auch der Upload (das Hochladen) auf den Server möglich sein. Dies stellt ein potentielles Risiko für den Server dar, so dass erweiterte Sicherheitsvorkehrungen getroffen werden müssen.

Wer jedoch den Programmieraufwand und die Sicherheitsaspekte gelöst hat, ggf. durch ein externes EDV-Unternehmen, der hat damit einen sehr guten Einstieg für Kollegen, die Patientendaten ohne Vorkenntnisse überweisen wollen.

Verschlüsselung von PDF-Dateien

PDF ist ein inzwischen weit verbreitetes Format zum Austausch von Dokumenten. Die Verbreitung ist inzwischen so hoch, da der Adobe Reader praktisch Standard auf jedem Computer ist bzw. kostenlos heruntergeladen werden kann. Ein weiterer Vorteil ist auch die Verschlüsselung PDF-Dokumenten mit bis zu 128-Bit.

Zum Entschlüsseln wird dann nur noch ein Passwort benötigt. Um die Sicherheitskette einzuhalten, darf dies dann allerdings nicht per Email erst recht nicht in derselben Email! ;-) verschickt werden, sondern per Fax, telefonisch, mündlich oder per Brief.

Für das Erstellen des elektronischen Patientenbriefes benötigt man ein Programm mit dem sich Bilder einbetten lassen. Dies kann mit mancher Zahnarztsoftware schon funktionieren, oder aber man nimmt einfach ein Textverarbeitungsprogramm wie Word oder OpenOffice

Aus diesem Dokument lässt sich recht einfach ein PDF Dokument erstellen. Dafür gibt es verschiedene Programme, die man als Drucker installiert, und dann statt einem Drucker auswählt.

Neben kommerziellen Programmen gibt es auch gute kostenlose Programme, insbesondere PDF Creator und FreePDFXP/FreePDF haben sich bewährt.
Wichtig: Die Verschlüsslung ist nicht Standard, sondern muss erst eingestellt werden!

Nachteil: Bilder können nur im eingebetteten Dokument übermittelt werden. Außerdem muss für jeden Empfänger ein unterschiedliches Passwort verwaltet werden und manuell eingetragen werden.
Außerdem müssen, wie oben schon erwähnt, die Passwörter auf einem sicheren Weg ausgetauscht werden, da es sich um eine symmetrische Verschlüsselung handelt!

Verschlüsselung von ZIP-Dateien

Wenn Dateien im ZIP-Format komprimiert werden, lässt sich das erstellt Archiv ähnlich wie bei PDF verschlüsseln. Auch hier ist zum Entschlüsseln wieder nur ein Passwort notwendig. Zum Komprimieren wird ein Programm benötigt, was sich auch auf Verschlüsselung versteht. Als kostenlose Programme gibt es z.Bsp. Filzip oder IZArc.

Auch ist wieder der Nachteil, dass für jeden Empfänger ein unterschiedliches Passwort verwaltet werden muss und manuell eingetragen werden muss. Außerdem müssen die Passwörter auf einem sicheren Weg ausgetauscht werden ( Symmetrische Verschlüsselung !)
Bilder können zwar einzeln geschickt werden, müssen also nicht mehr eingebettet sein. Trotzdem benötigt man noch ein Programm, in dem man den Arztbrief schreibt. Hier muss man sicher gehen, dass der Empfänger dann auch das Dokument lesen kann. Das Wordformat ist dafür keine gute Wahl!
Besser ist wieder das PDF-Format oder RTF-Format!



Elektronische Signatur - den Absender verifizieren

Der Begriff Signatur im Bereich von Emails muss etwas diffenrenziert betrachtet werden:

Eine Email-Signatur wird inzwischen vom Gesetzgeber bei geschäftlich Emails genauso strikt gefordert wie ein Impressum bei einer Homepage. Ist die Signatur in der Email nicht vorhanden, kann dies auch zu Abmahnungen führen, die ähnlich kostspielig sind, wie die Abmahnungen bein fehlendem Impressum.
Jedoch ist in diesem Zusammenhang zunächst nur gemeint, dass aus der Email der Absender hervorgehen muss, so wie bei einem Geschäftsbriefbogen.

Die Elektronische Signatur ist dagegen praktisch die Unterschrift bei elektronischen Dokumenten.

Warum ist das so wichtig, wenn man doch den Absender an der Emailadresse erkennen kann?

1. kann eine falsche Absenderemailadresse sehr leicht erzeugt werden. Dies wird sich z.Bsp. bei SPAM, Phishing und beim Versand von Viren zu nutze gemachte, um dem Empfänger einen vertrauenswürdigen Absender vorzugaukeln.
2. genauso wie eine Email beim Weg vom Absender zum Empfänger im Internet gelesen werden könnte, könnte auch der Inhalt verändert werden!

Siehe auch hier: Warum man Absenderadressen nicht vertrauen kann

Eine elektronische Signatur sichert also, dass die Email wirklich vom ausgewiesen Absender kommt, und dass die Email auch unverändert beim Empfänger angekommen ist.

Fazit

Das verschlüsseln der Email direkt im Emailprogramm ist sicherlich die beste Lösung. Wenn auf beiden Seite alles installiert und eingerichtet ist, können die Daten automatisch verschlüsselt und signiert werden, so dass man in gewohnter Weise per Email kommunizieren kann. Gerade wenn es nicht nur um die Überweisungsdaten und den Abschlussbericht geht, sondern um Rückfragen auf die man direkt antworten will, ist dies die schnellste und unkomplizierteste Lösung.

Da sich aber nicht jeder gleich mit einer Installation und Konfiguration von neuen Komponenten beschäftigen will, stellt dieses Verfahren für manchen eine zu große Hürde dar - nicht jeder bezeichnet seinen Computer als Freund! ;-)

Hier ist mE die Überweisung per verschlüsseltem Kontaktformular eine optimale Lösung. Ein weiterer Vorteil ist, dass man mit dem Kontaktformular auch direkt Informationen abfragen kann, die man unbedingt für die Behandlung des überwiesenen Patienten braucht. Für den Abschlussbericht kann man dann auf verschlüsselte ZIP- oder PDF-Dateien zurückgreifen. Die Kommunikation bei Rückfragen wird allerdings etwas komplizierter, so dass man trotzdem noch die Verschlüsselung im Emailprogramm für entsprechend interessierte Kollegen bereit halten sollte.

Weblinks

Arbeitsgruppe Kryptografie des Arbeitskreises für technische und organisatorische Fragen des Datenschutzes der Konferenz der Datenschutzbeauftragten des Bundes und der Länder - Wer die Wichtigkeit von offizieller Stelle bestätigt braucht, findet in dem PDF-Dokument eine gute Übersicht; Kapitel 2.2.1 Gesundheitsdaten

Homepage von GnuPG

Kurzanleitungen, Handbücher, Benutzeranleitungen, FAQ, etc. zu GnuPG

GnuPG für den Mac

Anleitung zur Installation von GnuPG auf Windows und Mac

Verschlüsselung elektronischer Post - Rechenzentrum Erlangen

Verschlüsselung im WWW - WARUM?

Gpg4Win - Komplettes Paket zur Einfachen Installation und Verwaltung unter Windows

Enigmail - Plugin zur einfachen Verschlüsselung mit dem Emailpprogramm Thunderbird

GnuPG - Erklärt auf Self-Linux allgemein und Installation für Linux

Wikibooks zu GnuPG

Typo3 mit einem Artikel zum Verschlüsseln von Emails inkl. praktischer Anleitung

Ausführlicher Artikel zur Emailsicherheit auf tecchannel

Computerbildartikel zum Thema Guter Einstieg für das "Warum verschlüsseln", geht aber leider nicht auf GnuPG ein, und favorisiert aborange Crypter, was aber laut dem Bericht schwächer verschlüsselt

"Der große Bruder" Infos zu Open PGP

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein zum Thema Emailverschlüsselung

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein Anleitung Emailverschlüsselung

Orientierungshilfe Verschlüsselung & Signatur - PDF

Virtuelles Datenschutzbüro

ct'-Artikel zu Verschlüsselungsverfahren

Verschlüsselung mit S/MIME - PDF Artikel

Anleitung für PGP und S/MIME

About Security #85: Sichere E-Mails mit S/MIME

eBooks Security

Bundesamt für Sicherheit in der Informationstechnik - Verfahren zur Absicherung des Datentransports

Mathematikwettbewerb: Kryptologie - Sicherheit für alle