Wie steht es um den Datenschutz bei der neuen Gesundheitsapp Well?

Mit der App werden sensible Daten zwischen Patienten und Ärzten ausgetauscht. Die Betreiber erklären uns ihre Bestrebungen zur Datensicherheit. Auch der Edöb nimmt Stellung.

, 15. Juni 2022 um 12:08
image
  • e-health
  • datenschutz
  • ärzte
Anfang Mai 2022 wurde die neue Gesundheitsapp Well national ausgerollt. Hinter der Betreiberfirma Well Gesundheit AG steht ein Joint Venture der Krankenkassen CSS und Visana, dem Digital-Health-Anbieter Medi24 sowie der Versandapotheke Zur Rose. Die App bietet unter anderem einen 24/7-Chat für den direkten Austausch mit einem Arzt oder einer Ärztin und die Möglichkeit, einen Termin mit einem Telemediziner zu vereinbaren oder Medikamente zu bestellen.
Die Plattform werde höchsten Anforderungen an Datenschutz und Datensicherheit gerecht, versprachen die Betreiber anlässlich des Rollouts. Doch wie sehen diese Bestrebungen um Datenschutz und -sicherheit konkret aus? Wir haben nachgefragt.

Technologie kommt von PXL Vision

Sind die Daten bei Well End-to-End verschlüsselt, wie es beispielsweise in der EU die DSGVO für Medical Devices vorschreibt? «Well hat verschiedene Sicherheitsmassnahmen ergriffen», erklärt die Medienstelle. «Über die detaillierte Sicherheitsarchitektur geben wir aus nachvollziehbaren Gründen keine Auskunft.» Well sei sich der Verantwortung bezüglich Cybersecurity, Datenschutz und Datensicherheit bewusst und lege höchsten Wert auf diese Punkte. «Zur Mitigation dieser Risiken haben wir organisatorische, operationelle und technische Massnahmen ergriffen.»
Die App verlangt für gewisse Funktionen den Zugriff auf biometrische Daten, wie auch die Hinterlegung einer Ausweiskopie. Für deren Übermittlung setzte man auf den «Know your Customer»-Prozess von PXL Vision, heisst es bei Well. Die Schweizer Technologie wird unter anderem auch bei SwissSign für den Identifikationsprozess eingesetzt. «Mit der Technologie können wir bei Well Angaben des Benutzers verifizieren und ihm darauf basierend Dienstleistungen anbieten.»

Nur beschränkter Kreis von Admins hat Daten-Einsicht

Bei Gesundheitsdaten handelt es sich um sehr sensible Daten. Können bei Well auch Dritte, zum Beispiel die am Joint Venture beteiligten Krankenkassen und Unternehmen, darauf zugreifen? «Daten können von Dritten oder beteiligten Unternehmen nicht verwendet oder eingesehen werden, es sei denn, wir verwenden deren Funktionalitäten», erklärt die Medienstelle. «Dabei wird die Datenübergabe auf das Notwendigste beschränkt. Alle Datenflüsse zu Partnern werden in den AGBs und den Datenschutzerklärungen explizit ausgewiesen. Auch wird jeweils das explizite Einverständnis des Benutzers abgefragt, um Klarheit zu schaffen, wohin Daten übermittelt werden. Anderweitig gibt es keine Zugriffe auf unsere Daten für Partner oder beteiligte Unternehmen.»
Der Benutzer habe stets die Kontrolle über seine Daten. In sensible Patientendaten hätten nur der Benutzer sowie ein sehr eingeschränkter Kreis von Administratoren Einsicht. «Für die Administratoren haben wir einerseits Sicherheitsmechanismen und eine Nachvollziehbarkeit implementiert und zum anderen eine klare Richtlinie erarbeitet, welche einen solchen Zugriff regelt.»

Mit dem Edöb in Kontakt

Well Gesundheit erklärt weiter, während der Ausarbeitung der App sei der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) über die Sicherheitsarchitektur und die Datenschutzbestimmungen der App informiert worden. Dort bestätigt man auf unsere Anfrage: «Wir waren im vergangenen Jahr mit Vertretern von Well in Kontakt, jedoch haben wir noch keine Prüfung der App Well vorgenommen.»
Die Edöb-Kommunikationsverantwortliche Silvia Böhlen betont, dass mit Gesundheitsapps regelmässig besonders schützenswerte Daten bearbeitet würden, «weshalb besonders hohe datenschutzrechtliche Anforderungen an die damit verbundenen Datenbearbeitungen gestellt werden». Vorausgesetzt werde etwa eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer, was eine umfassende und verständliche Information voraussetze. «Im Sinne des Transparenzprinzips müssen insbesondere auch Umfang und Zweck der Datenbearbeitung für die betroffene Person erkennbar sein. Je sensibler und umfangreicher die bearbeitenden Daten, umso höhere Anforderungen werden an die Transparenz gestellt. Besonders heikle Datenbearbeitungen, wie beispielsweise die Bekanntgabe von Gesundheitsdaten an Dritte, sollten für die Betroffenen auf einen Blick erkennbar sein.» 
Well Gesundheit gibt an, diesen Vorgaben Rechnung zu tragen und verweist auf die entsprechenden Datenschutzbestimmungen. «Wir sind sehr an einer Beratung durch den Edöb interessiert, da wir den Themen Datenschutz und Datensicherheit oberste Priorität geben», heisst es bei der Medienstelle von Well.
Neben einer transparenten Bearbeitung ist auch die Sicherheit dieser Daten zentral. «Wir führen regelmässige Pen-Tests, Security-Audits und Security-Scans durch und haben eine Secure-Coding-Richtlinie erarbeitet. Wir erwägen, in Zukunft Bug-Bounty-Programme durchzuführen und gegebenenfalls in gewisse Teile der Software öffentlich Einsicht zu geben», erklärt dazu Well. Weiter habe man auch eine spezifische Versicherung für Cyber-Vorfälle abgeschlossen.
  • Dieser Beitrag ist zuerst auf dem IT-Portal «Inside IT» erschienen
Artikel teilen

Loading

Comment

Mehr zum Thema

image

Darum ist der Kanton Uri für junge Ärzte interessant

Lange war Uri bei der Ärztedichte das Schlusslicht. Heute zieht es immer mehr junge Ärzte in den Innerschweizer Kanton - dank verschiedenen Förderinitiativen.

image

In Deutschland droht der nächste Ärzte-Streik

60'000 Spitalärzte prüfen den Ausstand. Womit die Streikwelle in Europas Gesundheitswesen bald den nächsten Höhepunkt erreichen könnte.

image

Einstimmig: Zürich soll Medizin-Studienplätze massiv ausbauen

Der Kantonsrat beauftragt die Regierung, zu berechnen, wie 500 zusätzliche Plätze geschaffen werden könnten.

image

Kein Geld und keine Zusammenarbeit mehr mit Tabakindustrie

Deutsche Ärzte wollen sich nicht mehr von Tabakherstellern beeinflussen lassen. Sie haben deshalb einen neuen Kodex vereinbart.

image

Britischer Arzt wollte mit falscher Covid-Impfung morden

Ein Arzt ist zu mehr als 31 Jahren Gefängnis verurteilt worden. Er wollte den Partner seiner Mutter mit einer Gift-Injektion umbringen.

image

Bilden Sie sich mit aktuellem Wissen in der Suizidprävention weiter

Ziel des neuen CAS Suizidprävention am Departement Gesundheit der ZHAW ist es, Suizidgedanken frühzeitig zu erkennen und Interventionen einzuleiten. Teilnehmende lernen dies in interprofessioneller Weiterbildung mit Fachpersonen aus Gesundheits-, Bildungs- und Sozialberufen.

Vom gleichen Autor

image

«Hausarzt ist kein Beruf, den man subventionieren muss»

Ein Arzt macht vor, wie eine Berggemeinde zu medizinischer Versorgung kommt. Und er kritisiert Kollegen, die einfach ihre Praxis schliessen.

image

Pflegefachleute verschreiben so sachkundig wie Ärzte

Das dürfte das Pflegepersonal freuen: Es stellt laut einer US-Studie genauso kompetent Arzneimittel-Rezepte aus wie Ärzte.

image

Temporär-Arbeit in der Pflege: Ein Angebot mit Haken

Es gibt gute Gründe für Pflegefachleute, sich nur noch temporär anstellen zu lassen. Aber es gibt auch ein paar gute Argumente dagegen.