Der lange, lange Weg in mein Patientendossier

Was passiert, wenn man seine Daten von meineimpfungen.ch zurück holt – um sie dann ins EPD einzupflegen? Ein Selbstversuch.

, 10. Mai 2024 um 20:10
image
Autor Reto Vogt
Um zu verstehen, worum es beim Fall meineimfpungen.ch geht, kommen wir um eine kurze chronologische Abhandlung nicht herum. Spoiler: Es ist eine (kleine) Horrorshow. Wer sie bereits kennt, kann zum «Selbstversuch» weiter unten springen.
Reto Vogt ist Chefredaktor und Geschäftsführer von «Inside-IT». Dort erschien dieser Beitrag zuerst – unter dem Titel «Die unendliche Geschichte».

Die Horrorshow in fünf Akten

2015: Die Plattform meineimfpungen.ch soll das Impfbüechli digitalisieren und ersetzen. Hinter der Idee steckt das Bundesamt für Gesundheit, verwaltet wird die Plattform von einer Stiftung. Wirklich dafür interessieren tut sich knapp fünf Jahre lang fast niemand.
2020: Wegen Covid verfünffacht sich die Anzahl registrierter Nutzerinnen und Nutzer von 100'000 auf 450'000. Auch ich lege ein Konto an und speichere meine Impfdaten. Diese werden bei einer privaten Firma gehostet; Datenschutz wird kleingeschrieben. «Wir sind nicht gewinnorientiert», heisst es damals. Das kann problemlos als «wir müssen uns keine Mühe geben» interpretiert werden.
2021: Unabhängige Security-Berater finden 59 Schwachstellen. Jede und jeder konnte sich als medizinische Fachperson registrieren. Adressen, Telefonnummern, Geburtsdaten, Krankenkasseninformationen, Impfstatus waren einsehbar und veränderbar. Im gleichen Jahr wird die Plattform offline genommen, der Betrieb eingestellt und die Stiftung liquidiert. Später erhalten Nutzerinnen und Nutzer ihre Daten zurück (finanziert durch eine anonyme Spende), allerdings in einer unverschlüsselten ZIP-Datei.
2022: Der Datenschutzbeauftragte will die Daten zunächst löschen lassen, tut das aber dann doch nicht. Das Parlament lanciert ein Nachfolgeprojekt.
2023: Der Kanton Aargau beziehungsweise dessen Stammgemeinschaft für das elektronische Patientendossier sichert sich die Daten und die Geschäftsprüfungskommission des Nationalrats findet alles zuvor Beschriebene irgendwie nur halb so wild. Im Mai startet die Datenrettung der Impfdaten, was 700'000 Franken kostet. Dabei werden die ehemaligen Nutzerinnen und Nutzer von meineimpfungen.ch nie gefragt, ob sie möchten, dass der Kanton Aargau Zugriff auf die Daten erhält.

Und nun – im Jahr 2024?

Ende April hat die Datenrückgabe begonnen. Ehemalige Nutzerinnen und Nutzer der Plattform können ihre Impfdaten herunterladen, vernichten oder in ein E-Patientendossier übertragen. Die Stammgemeinschaft eHealth Aargau (Stehag) hat begonnen, entsprechende Informationen per E-Mail zu verschicken.
Auf meine Anfrage hin schreibt Michel Hassler, Kommunikationschef beim Departement Gesundheit und Soziales des Kantons Aargau, dass Stehag und sein Departement die Impfdaten retten wollten. Das Projekt habe 530'000 Franken gekostet, finanziert von Bund und Kantonen. Es sei aber nicht darum gegangen, so Hassler, eine Promoaktion für die Stammgemeinschaft eHealth Aargau zu starten. Sondern eben um die Datenrettung. Naja.

Selbstversuch: Datenrettung von Meineimpfungen.ch

Als ehemaliger Nutzer von meineimpfungen.ch habe auch ich eine E-Mail der Stehag erhalten, wobei das nicht auf den ersten Blick ersichtlich ist. Ganz oben prangt ein «Emedo-Logo», das nicht klickbar ist. Google verrät mir dann, dass «Emedo» die EPD-Lösung für den Kanton Aargau ist. Das dürften viele komisch finden, denen die Vorgeschichte fremd ist und die ausserhalb des Kantons Aargau zu Hause sind. Also viele.
image
Darüber hinaus erinnert die E-Mail optisch eher an einen Phishing-Versuch denn an ein offizielles Anschreiben. Aber dies nur am Rande.
Ich hätte diese E-Mail ignoriert, würde ich nicht darüber schreiben wollen. Wer das auch tut (also ignorieren), dem wird versprochen, dass seine Daten am 30. Juni 2024 nun endgültig gelöscht werden. Alle anderen haben die Wahl, die Daten herunterzuladen, in ein EPD zu überführen oder ebenfalls zu löschen. Wer Letzteres will, kann sich den nun folgenden, nicht ganz unkomplizierten Prozess eigentlich sparen – einen Unterschied macht es nämlich nicht.
Nach dem Klick auf den Link für die Datenrückgabe musste ich zuerst meine E-Mail-Adresse bestätigen, anschliessend einen Account eröffnen (mit einem 16-stelligen Passwort), 2-Faktor-Authentifizierung einrichten und meine demografischen Daten (inklusive AHV-Nummer) angeben. Dies ist offenbar nötig, um die Daten im System zu matchen. Bei mir war dieser Abgleich erfolgreich und nach erneutem Einloggen erhielt ich Zugriff auf die App und konnte nun eben wählen, was ich mit meinen Impfdaten machen wollte: Downloaden, ins EPD transferieren oder löschen. Insgesamt halte ich diesen Prozess für stringent, durchdacht und, soweit ich das beurteilen kann, auch für sicher.

Datentransfer ins EPD klappt

Anschliessend probierte ich alle möglichen Schritte aus:
image
  • Download: Ich lud die Impfdaten herunter. Auf dem PC landete eine ZIP-Datei mit einem elektronischen Impfausweis in PDF-Form und zwei JSON-Dateien, welche dieselben Daten in strukturierter Form enthalten.
  • Transfer ins EPD: Ein Klick genügte, um den Datentransfer ins EPD zu starten. Ohne weiteres Login startet der Prozess und tatsächlich landet dasselbe PDF automatisch in meinem EPD, obwohl dieses nicht beim Kanton Aargau, sondern bei der Post domiziliert ist. Ich bin erstaunt.
  • Löschung: Nach dem Download und dem Transfer der Daten lösche ich diese wieder. Dabei verschwinden nicht nur die Impfdaten, sondern auch das erstellte Benutzerkonto. Vorbildlich.
image
In meinem EPD finden sich also seitdem zwei Dateien. Eine davon lässt sich öffnen und zeigt dasselbe PDF, das ich auch heruntergeladen hatte. Die andere ist kaputt (¯\_(ツ)_/¯). Funfact: Im Zugriffsprotokoll ist ersichtlich, dass die Dateien von der «Gesundheitsfachperson: Nicolai Lütschg» erstellt worden sind. Lütschg ist Geschäftsführer bei der Stammgemeinschaft eHealth Aargau.
image
Beim elektronischen Impfausweis wird darauf hingewiesen, dass «diese Impfung aus myvaccines.ch importiert» wurde. Sie solle von einem Arzt validiert werden. Daten, Impfstoffe und die Validierung fehlen. Das kann aber daran liegen, dass ich sie damals nicht bei Meineimpfungen.ch hinterlegt hatte.
So ist mein elektronischer Impfausweis jedenfalls nichts wert. Und das dürfte vielen anderen genauso ergehen.

Ist die Geschichte auserzählt?

Ist damit das letzte Kapitel in dieser Geschichte geschrieben? Ist sie nicht unendlich, sondern tatsächlich zu Ende erzählt? Dafür würde ich meine Hand nicht ins Feuer legen. Etwas daraus lernen sollten die Verantwortlichen dennoch:
  • Wer Datenschutz und Cybersicherheit von Anfang an mitdenkt, zahlt zwar zu Beginn mehr, unterm Strich aber weniger.
  • Intransparente Kommunikation zu den Gründen, weshalb die Daten nicht gelöscht, sondern in den Aargau transferiert worden sind, hilft nicht.
  • Dass das elektronische Patientendossier bis dato ein Misserfolg ist, hat auch mit dem Fall meineimpfungen.ch zu tun. Diesen Vertrauensverlust zu reparieren, ist enorm schwierig.

  • EPD
  • Digitalisierung
  • Impfung
  • Gastbeitrag
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image
Gastbeitrag von Tristan Struja und Alexander Kutz

Doch, Privatversicherte beanspruchen mehr Leistungen

Wir sollten nicht bestreiten, dass Zusatzversicherungen eher zu Überversorgung führen. Vielmehr sollten wir das Bewusstsein dafür schärfen.

image

HFR Freiburg: Fürs EPD bitte rasch an den Schalter

Eine Beratungsbox beim Haupteingang des Freiburger Spitals soll das Elektronische Patientendossier mehr unter die Leute bringen.

image
Gastbeitrag von Heinz Locher

Liebe Spitäler: Die Lage darf nicht fatalistisch akzeptiert werden

Hier Krankenkassen, da Spitäler: Das heutige Verhältnis zwischen den Tarifvertrags-Parteien in einem Kernprozess des KVG ist unhaltbar. Und es gäbe auch Alternativen.

image
Gastbeitrag von Enea Martinelli

Wir verlieren wichtige Medikamente – für immer

Dass es bei Heilmitteln zu Lieferengpässen kommt, ist bekannt. Doch das Problem ist viel ernster. Zwei Beispiele.

image

Universitätsspital Basel bricht KIS-Beschaffung teilweise ab

Im besten Fall verzögert sich die Einführung einer offenen Datenplattform im USB. Im schlechtesten Fall muss eine neue Lösung her.

image
Der KI-Ticker

Wo Künstliche Intelligenz das Gesundheitswesen verändert

KI am Kantonsspital Baden ++ Jüngere Ärzte sind skeptischer als ältere ++ Durchbruch in der Sepsis-Erkennung ++ Neuer Rollstuhl ++ KI in der Anamnese ++

Vom gleichen Autor

image

Auch IPW Winterthur sucht neues Klinik-Informationssystem

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem. Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

image

EPD: «…schlimmer noch, die Probleme haben sich verschärft»

Die Finanzkontrolle des Bundes veröffentlicht einen herben Bericht zum E-Patientendossier. Sie plädiert für eine Abkehr vom heutigen Modell – hin zu einer Zentralisierung.

image

Cyber-Sicherheit: Spital STS liess sich hacken – und fand Lücken

Ethische Hacker entdeckten im Auftrag der Thuner Spital-Gruppe Sicherheitslücken, die andernorts schon für Ransomware-Angriffe ausgenutzt worden waren.