Wie steht es um den Datenschutz bei der neuen Gesundheitsapp Well?

Mit der App werden sensible Daten zwischen Patienten und Ärzten ausgetauscht. Die Betreiber erklären uns ihre Bestrebungen zur Datensicherheit. Auch der Edöb nimmt Stellung.

, 15. Juni 2022 um 12:08
image
  • e-health
  • datenschutz
  • ärzte
Anfang Mai 2022 wurde die neue Gesundheitsapp Well national ausgerollt. Hinter der Betreiberfirma Well Gesundheit AG steht ein Joint Venture der Krankenkassen CSS und Visana, dem Digital-Health-Anbieter Medi24 sowie der Versandapotheke Zur Rose. Die App bietet unter anderem einen 24/7-Chat für den direkten Austausch mit einem Arzt oder einer Ärztin und die Möglichkeit, einen Termin mit einem Telemediziner zu vereinbaren oder Medikamente zu bestellen.
Die Plattform werde höchsten Anforderungen an Datenschutz und Datensicherheit gerecht, versprachen die Betreiber anlässlich des Rollouts. Doch wie sehen diese Bestrebungen um Datenschutz und -sicherheit konkret aus? Wir haben nachgefragt.

Technologie kommt von PXL Vision

Sind die Daten bei Well End-to-End verschlüsselt, wie es beispielsweise in der EU die DSGVO für Medical Devices vorschreibt? «Well hat verschiedene Sicherheitsmassnahmen ergriffen», erklärt die Medienstelle. «Über die detaillierte Sicherheitsarchitektur geben wir aus nachvollziehbaren Gründen keine Auskunft.» Well sei sich der Verantwortung bezüglich Cybersecurity, Datenschutz und Datensicherheit bewusst und lege höchsten Wert auf diese Punkte. «Zur Mitigation dieser Risiken haben wir organisatorische, operationelle und technische Massnahmen ergriffen.»
Die App verlangt für gewisse Funktionen den Zugriff auf biometrische Daten, wie auch die Hinterlegung einer Ausweiskopie. Für deren Übermittlung setzte man auf den «Know your Customer»-Prozess von PXL Vision, heisst es bei Well. Die Schweizer Technologie wird unter anderem auch bei SwissSign für den Identifikationsprozess eingesetzt. «Mit der Technologie können wir bei Well Angaben des Benutzers verifizieren und ihm darauf basierend Dienstleistungen anbieten.»

Nur beschränkter Kreis von Admins hat Daten-Einsicht

Bei Gesundheitsdaten handelt es sich um sehr sensible Daten. Können bei Well auch Dritte, zum Beispiel die am Joint Venture beteiligten Krankenkassen und Unternehmen, darauf zugreifen? «Daten können von Dritten oder beteiligten Unternehmen nicht verwendet oder eingesehen werden, es sei denn, wir verwenden deren Funktionalitäten», erklärt die Medienstelle. «Dabei wird die Datenübergabe auf das Notwendigste beschränkt. Alle Datenflüsse zu Partnern werden in den AGBs und den Datenschutzerklärungen explizit ausgewiesen. Auch wird jeweils das explizite Einverständnis des Benutzers abgefragt, um Klarheit zu schaffen, wohin Daten übermittelt werden. Anderweitig gibt es keine Zugriffe auf unsere Daten für Partner oder beteiligte Unternehmen.»
Der Benutzer habe stets die Kontrolle über seine Daten. In sensible Patientendaten hätten nur der Benutzer sowie ein sehr eingeschränkter Kreis von Administratoren Einsicht. «Für die Administratoren haben wir einerseits Sicherheitsmechanismen und eine Nachvollziehbarkeit implementiert und zum anderen eine klare Richtlinie erarbeitet, welche einen solchen Zugriff regelt.»

Mit dem Edöb in Kontakt

Well Gesundheit erklärt weiter, während der Ausarbeitung der App sei der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) über die Sicherheitsarchitektur und die Datenschutzbestimmungen der App informiert worden. Dort bestätigt man auf unsere Anfrage: «Wir waren im vergangenen Jahr mit Vertretern von Well in Kontakt, jedoch haben wir noch keine Prüfung der App Well vorgenommen.»
Die Edöb-Kommunikationsverantwortliche Silvia Böhlen betont, dass mit Gesundheitsapps regelmässig besonders schützenswerte Daten bearbeitet würden, «weshalb besonders hohe datenschutzrechtliche Anforderungen an die damit verbundenen Datenbearbeitungen gestellt werden». Vorausgesetzt werde etwa eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer, was eine umfassende und verständliche Information voraussetze. «Im Sinne des Transparenzprinzips müssen insbesondere auch Umfang und Zweck der Datenbearbeitung für die betroffene Person erkennbar sein. Je sensibler und umfangreicher die bearbeitenden Daten, umso höhere Anforderungen werden an die Transparenz gestellt. Besonders heikle Datenbearbeitungen, wie beispielsweise die Bekanntgabe von Gesundheitsdaten an Dritte, sollten für die Betroffenen auf einen Blick erkennbar sein.» 
Well Gesundheit gibt an, diesen Vorgaben Rechnung zu tragen und verweist auf die entsprechenden Datenschutzbestimmungen. «Wir sind sehr an einer Beratung durch den Edöb interessiert, da wir den Themen Datenschutz und Datensicherheit oberste Priorität geben», heisst es bei der Medienstelle von Well.
Neben einer transparenten Bearbeitung ist auch die Sicherheit dieser Daten zentral. «Wir führen regelmässige Pen-Tests, Security-Audits und Security-Scans durch und haben eine Secure-Coding-Richtlinie erarbeitet. Wir erwägen, in Zukunft Bug-Bounty-Programme durchzuführen und gegebenenfalls in gewisse Teile der Software öffentlich Einsicht zu geben», erklärt dazu Well. Weiter habe man auch eine spezifische Versicherung für Cyber-Vorfälle abgeschlossen.
  • Dieser Beitrag ist zuerst auf dem IT-Portal «Inside IT» erschienen
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Das verdienen Chefärzte und Leitende Ärzte am Kantonsspital Aarau

Die Gehälter der KSA-Kaderärzte sind in den letzten Jahren deutlich gesunken.

image

Thierry Carrel: «Für Kranke ist Hoffnung zentral»

Der Herzchirurg findet, neben dem Skalpell sei die Hoffnung eines seiner wichtigsten Instrumente.

image

Vom Spital ins All: Auch eine Perspektive für Ärzte

Der Berner Mediziner Marco Sieber wird der zweite Schweizer Astronaut nach Claude Nicollier.

image

Ein Walliser wird Chefarzt am Inselspital

Der Nachfolger von Klaus Siebenrock als Chefarzt Orthopädische Chirurgie und Traumatologie heisst Moritz Tannast.

image

In der Schweiz sind 1100 Ärzte mehr tätig

Die Arztzahlen in der Schweiz haben ein neues Rekord-Niveau erreicht: Es gibt nun 41'100 Berufstätige.

image

Der Erfinder des Ledermann-Implantats ist tot

Er war ein bekannter Implantologe, später auch Hotelier und Schriftsteller. Nun ist Philippe Daniel Ledermann 80-jährig gestorben.

Vom gleichen Autor

image

SVAR: Neu kann der Rettungsdienst innert zwei Minuten ausrücken

Vom neuen Standort in Hundwil ist das Appenzeller Rettungsteam fünf Prozent schneller vor Ort als früher von Herisau.

image

Kantonsspital Glarus ermuntert Patienten zu 900 Schritten

Von der Physiotherapie «verschrieben»: In Glarus sollen Patienten mindestens 500 Meter pro Tag zurücklegen.

image

Notfall des See-Spitals war stark ausgelastet

Die Schliessung des Spitals in Kilchberg zeigt Wirkung: Nun hat das Spital in Horgen mehr Patienten, macht aber doch ein Defizit.