Wie steht es um den Datenschutz bei der neuen Gesundheitsapp Well?

Mit der App werden sensible Daten zwischen Patienten und Ärzten ausgetauscht. Die Betreiber erklären uns ihre Bestrebungen zur Datensicherheit. Auch der Edöb nimmt Stellung.

, 15. Juni 2022, 12:08
image
  • e-health
  • datenschutz
  • ärzte
Anfang Mai 2022 wurde die neue Gesundheitsapp Well national ausgerollt. Hinter der Betreiberfirma Well Gesundheit AG steht ein Joint Venture der Krankenkassen CSS und Visana, dem Digital-Health-Anbieter Medi24 sowie der Versandapotheke Zur Rose. Die App bietet unter anderem einen 24/7-Chat für den direkten Austausch mit einem Arzt oder einer Ärztin und die Möglichkeit, einen Termin mit einem Telemediziner zu vereinbaren oder Medikamente zu bestellen.
Die Plattform werde höchsten Anforderungen an Datenschutz und Datensicherheit gerecht, versprachen die Betreiber anlässlich des Rollouts. Doch wie sehen diese Bestrebungen um Datenschutz und -sicherheit konkret aus? Wir haben nachgefragt.

Technologie kommt von PXL Vision

Sind die Daten bei Well End-to-End verschlüsselt, wie es beispielsweise in der EU die DSGVO für Medical Devices vorschreibt? «Well hat verschiedene Sicherheitsmassnahmen ergriffen», erklärt die Medienstelle. «Über die detaillierte Sicherheitsarchitektur geben wir aus nachvollziehbaren Gründen keine Auskunft.» Well sei sich der Verantwortung bezüglich Cybersecurity, Datenschutz und Datensicherheit bewusst und lege höchsten Wert auf diese Punkte. «Zur Mitigation dieser Risiken haben wir organisatorische, operationelle und technische Massnahmen ergriffen.»
Die App verlangt für gewisse Funktionen den Zugriff auf biometrische Daten, wie auch die Hinterlegung einer Ausweiskopie. Für deren Übermittlung setzte man auf den «Know your Customer»-Prozess von PXL Vision, heisst es bei Well. Die Schweizer Technologie wird unter anderem auch bei SwissSign für den Identifikationsprozess eingesetzt. «Mit der Technologie können wir bei Well Angaben des Benutzers verifizieren und ihm darauf basierend Dienstleistungen anbieten.»

Nur beschränkter Kreis von Admins hat Daten-Einsicht

Bei Gesundheitsdaten handelt es sich um sehr sensible Daten. Können bei Well auch Dritte, zum Beispiel die am Joint Venture beteiligten Krankenkassen und Unternehmen, darauf zugreifen? «Daten können von Dritten oder beteiligten Unternehmen nicht verwendet oder eingesehen werden, es sei denn, wir verwenden deren Funktionalitäten», erklärt die Medienstelle. «Dabei wird die Datenübergabe auf das Notwendigste beschränkt. Alle Datenflüsse zu Partnern werden in den AGBs und den Datenschutzerklärungen explizit ausgewiesen. Auch wird jeweils das explizite Einverständnis des Benutzers abgefragt, um Klarheit zu schaffen, wohin Daten übermittelt werden. Anderweitig gibt es keine Zugriffe auf unsere Daten für Partner oder beteiligte Unternehmen.»
Der Benutzer habe stets die Kontrolle über seine Daten. In sensible Patientendaten hätten nur der Benutzer sowie ein sehr eingeschränkter Kreis von Administratoren Einsicht. «Für die Administratoren haben wir einerseits Sicherheitsmechanismen und eine Nachvollziehbarkeit implementiert und zum anderen eine klare Richtlinie erarbeitet, welche einen solchen Zugriff regelt.»

Mit dem Edöb in Kontakt

Well Gesundheit erklärt weiter, während der Ausarbeitung der App sei der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) über die Sicherheitsarchitektur und die Datenschutzbestimmungen der App informiert worden. Dort bestätigt man auf unsere Anfrage: «Wir waren im vergangenen Jahr mit Vertretern von Well in Kontakt, jedoch haben wir noch keine Prüfung der App Well vorgenommen.»
Die Edöb-Kommunikationsverantwortliche Silvia Böhlen betont, dass mit Gesundheitsapps regelmässig besonders schützenswerte Daten bearbeitet würden, «weshalb besonders hohe datenschutzrechtliche Anforderungen an die damit verbundenen Datenbearbeitungen gestellt werden». Vorausgesetzt werde etwa eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer, was eine umfassende und verständliche Information voraussetze. «Im Sinne des Transparenzprinzips müssen insbesondere auch Umfang und Zweck der Datenbearbeitung für die betroffene Person erkennbar sein. Je sensibler und umfangreicher die bearbeitenden Daten, umso höhere Anforderungen werden an die Transparenz gestellt. Besonders heikle Datenbearbeitungen, wie beispielsweise die Bekanntgabe von Gesundheitsdaten an Dritte, sollten für die Betroffenen auf einen Blick erkennbar sein.» 
Well Gesundheit gibt an, diesen Vorgaben Rechnung zu tragen und verweist auf die entsprechenden Datenschutzbestimmungen. «Wir sind sehr an einer Beratung durch den Edöb interessiert, da wir den Themen Datenschutz und Datensicherheit oberste Priorität geben», heisst es bei der Medienstelle von Well.
Neben einer transparenten Bearbeitung ist auch die Sicherheit dieser Daten zentral. «Wir führen regelmässige Pen-Tests, Security-Audits und Security-Scans durch und haben eine Secure-Coding-Richtlinie erarbeitet. Wir erwägen, in Zukunft Bug-Bounty-Programme durchzuführen und gegebenenfalls in gewisse Teile der Software öffentlich Einsicht zu geben», erklärt dazu Well. Weiter habe man auch eine spezifische Versicherung für Cyber-Vorfälle abgeschlossen.
  • Dieser Beitrag ist zuerst auf dem IT-Portal «Inside IT» erschienen
Artikel teilen

Loading

Comment

Home Delivery
2 x pro Woche. Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Bundesamt für Gesundheit hat neuen Digitalisierungschef

Die Stelle von Sang-Il Kim konnte wieder besetzt werden. Zudem sucht das BAG im Rahmen einer neuen Strategie weitere Führungskräfte für Cybersecurity und IT-Projekte.

image

Synlab – offene Türen zwischen Forschung und Genetik

Synlab ist eines der führenden Labore im Bereich der genetischen Diagnostik. Die Leiterin Genetik Tessin, Dr. Giuditta Filippini, gilt als eine Pionierin in der Präimplantationsdiagnostik in der Schweiz.

image

Begrüssung per Handschlag: Fast zwei Drittel der Ärzte würden verzichten

Beim Händeschütteln sind ärztliche Fachpersonen und medizinische Praxisassistentinnen (MPA) zurückhaltender als ­ihre Patienten. Dies geht aus einer aktuellen Umfrage aus dem Kanton Bern hervor.

image

Medizinischer Rat für Freunde? Besser nicht!

Oft stecken Ärzte oder Pflegefachleute im Zwiespalt: Verwandte oder Bekannte möchten medizinischen Rat. Medinside zeigt, wie man professionell damit umgeht.

image

Diese fünf Behandlungen in der Gynäkologie sind unnötig

Nun gibt es auch in der Gynäkologie eine Top-5-Liste der unnötigen, wenn nicht gar schädlichen Routinebehandlungen. Unter anderem bei Blasenentzündungen.

image

Ärzte greifen während Arbeit zu Alkohol und Drogen

Da die Belastung im Gesundheitswesen hoch ist, erscheinen offenbar Ärzte sogar betrunken oder high zur Arbeit. Dies zumindest geht aus einer Umfrage aus den USA hervor.

Vom gleichen Autor

image

Privatspitäler beklagen sich über «13. Monatsprämie»

Neuste Zahlen zeigen: Die Kantone subventionieren ihre öffentlichen Spitäler mit 350 Franken pro Kopf und Jahr.

image

Spital kann Genesene nicht entlassen

Das Freiburger Spital ist am Anschlag. 40 Patienten belegen Betten, die sie eigentlich nicht mehr bräuchten.

image

Hirslanden plant Spitalneubau in Aarau

In fünf Jahren soll die neue Hirslanden-Klinik Aarau fertig sein. Der Neubau kommt auf dem Parkplatz zwischen Klinik und Kernareal zu stehen.