Warum sind unsere Gesundheitsdaten so begehrt?


Medizinische Daten sind sowohl für Forscher als auch für Cyberkriminelle zum "schwarzen Gold" geworden. Die Journalistin Coralie Lemke glaubt, dass ihre Nutzung zu medizinischen Fortschritten führen kann, sofern sie richtig gehandhabt werden.

Massiver Diebstahl

Die Assistance publique-Hôpitaux de Paris (AP-HP) teilte am Mittwoch, 15. September, mit, dass bei einem Computerangriff im Sommer die persönlichen Daten von rund 1,4 Millionen Patienten gestohlen wurden.

Im Februar wurden 500.000 medizinische Daten gehackt. Immer mehr Einrichtungen des Gesundheitswesens geraten ins Visier von Cyber-Kriminellen. Warum sind unsere Gesundheitsdaten so begehrt und wer ist daran interessiert? Müssen wir uns Sorgen machen, dass sie sowohl für Forscher als auch für Hacker immer zugänglicher werden?

 

Diese Fragen wurden Coralie Lemke, Gesundheitsjournalistin bei Sciences et Avenir und Autorin von Ma Santé, Mes données (Premier Parallèle), gestellt.

F: Wenn wir von "Gesundheitsdaten" sprechen, was genau meinen wir dann?

Coralie Lemke: In Frankreich gibt es eine sehr genaue Definition von Gesundheitsdaten, die von der Nationalen Kommission für Information und Freiheitsrechte (CNIL) formuliert wurde. Es handelt sich um alle Informationen, die im Rahmen einer Behandlung, eines Tests oder einer Untersuchung erhoben werden, sowie um alle Informationen über den physiologischen und biomedizinischen Zustand einer Person.

"Im Klartext: Es handelt sich um Informationen über den vergangenen, gegenwärtigen oder zukünftigen Gesundheitszustand einer Person.

Informationen, die von vernetzten Objekten (Schrittzähler, vernetzte Uhren und Waagen, Schlafüberwachungs-Apps usw.) erfasst werden, gelten nur dann als Gesundheitsdaten, wenn sie mit anderen medizinischen Informationen kombiniert werden. Wenn ich also von einer App weiß, dass ich drei Stunden pro Nacht schlafe, sagt das nicht viel über meine Gesundheit aus. Wenn jedoch auch bekannt ist, dass ich ein Rezept für Antidepressiva habe, kann daraus geschlossen werden, dass ich an einer psychischen Krankheit leide. Dies ist der Fall, wenn die CNIL diese Informationen als Gesundheitsdaten im engeren Sinne betrachtet.

Unsere Gesundheitsüberwachung wird zunehmend von Computern durchgeführt.

Wie hat sich die Digitalisierung auf die Gesundheitsdaten ausgewirkt?

Sie hat die Pflege und Überwachung der Patienten wesentlich erleichtert. Heute ist alles im Krankenhaus und in der Arztpraxis auf einem Computer gespeichert. Unsere Röntgenbilder und MRTs sind digitalisiert, und jedes Mal, wenn Sie Ihre Gesundheitskarte scannen, erzeugen Sie Gesundheitsdaten.

Die Digitalisierung hat auch die Forschung erheblich vorangebracht, da sie die Analyse von "Gesundheitsdatenstapeln" [Datensätze von mehreren hundert oder tausend Patienten] ermöglicht. Als diese Informationen noch auf Papier vorlagen, war es schwierig, auf sie zuzugreifen.

Der Nachteil ist, dass diese Daten angreifbarer sind. Sie sind für die Leistungserbringer des Gesundheitswesens, aber auch für eine Reihe von interessierten Akteuren leichter zugänglich geworden.

Warum sind diese Gesundheitsdaten heute so begehrt?

Erstens ist es wichtig, daran zu denken, dass eine einzelne Information für viele Menschen von geringem Interesse ist: Die Kenntnis der Blutgruppe einer Person ist von geringem Nutzen. Aggregierte Gesundheitsdaten über mehrere Tausend oder Millionen von Personen werden dagegen als echtes "schwarzes Gold" betrachtet, da ihre Untersuchung Fortschritte in der Forschung ermöglicht.

Diese Informationen sind für drei Arten von Akteuren von Interesse. Die erste sind Pharmaunternehmen, die zahlreiche Phasen und klinische Studien durchlaufen müssen, um Therapien zu entwickeln. Dieser Prozess ist sehr zeit- und kostenaufwändig, geht aber viel schneller, wenn man mit der Analyse von Datenpaketen beginnt. Um diese Daten zu erhalten, wenden sich die Labors an "Datenmakler", die sich auf die Datenrecherche spezialisiert haben. Diese Makler haben die Aufgabe, mit Einrichtungen des Gesundheitswesens in Kontakt zu treten und Partnerschaften mit ihnen einzugehen, um anonymisierte Daten zu erhalten.

Die zweite Art von Akteuren sind die Gafams (Google, Apple, Facebook, Amazon und Microsoft), die aus kommerziellen Gründen an diesem Bereich interessiert sind. Sie bieten ihr technologisches Know-how Universitäten oder Forschungszentren an, die nach Algorithmen zur Verarbeitung dieser Daten suchen. Eine Studie hat gezeigt, dass die von Google entwickelte künstliche Intelligenz bei der Erkennung von Brustkrebs präziser ist als Radiologen.

Die letzte Art von Akteuren sind natürlich Cyber-Kriminelle. Ihr Ziel ist es, sich in Gesundheitseinrichtungen einzuhacken, um Gesundheitsdaten abzurufen und diese dann im Dark Web zu verkaufen oder Lösegeld zu erpressen. Im Oktober 2020 erhielten mindestens 2.000 finnische Patienten eine E-Mail, in der ihnen gedroht wurde, Einzelheiten ihrer psychologischen Behandlung im Internet zu veröffentlichen, wenn sie nicht mehrere hundert Euro zahlen würden, nachdem Daten aus einem Netzwerk von Psychotherapiezentren gehackt worden waren.

Unsere Gesundheitsdaten sind also ein Hauptziel für Cyberkriminelle geworden?

Ja, und dieses Phänomen hat sich durch die Covid 19-Pandemie noch verschärft: Zwischen Februar und März 2020 gab es in Frankreich einen Anstieg der Angriffe auf Krankenhäuser um 475%, so das Cybersicherheitsunternehmen Bitdefender. Einige Cyberkriminelle hatten zu Beginn der Gesundheitskrise einen Waffenstillstand versprochen, der jedoch nicht lange anhielt: Sie erkannten bald, dass die Gesundheitseinrichtungen in dieser Zeit noch anfälliger waren.

"Insgesamt gab es im Jahr 2020 in Frankreich 192 Cyberangriffe auf Krankenhäuser, gegenüber 54 im Jahr zuvor."

Einrichtungen des Gesundheitswesens sind besonders im Visier von Cyberkriminellen, weil sie computerabhängig sind. Die Ausrüstung ist oft veraltet und der Computerschutz ist nicht auf dem neuesten Stand. Daher sind sie ein leichtes Ziel, und die Folgen können katastrophal sein. Im Jahr 2017 legte die Ransomware WannaCry [ein bösartiger Virus, der den Zugriff auf Dateien im Austausch gegen ein Lösegeld blockiert] den britischen National Health Service (NHS) lahm. Infolgedessen mussten Millionen von Arztterminen und Operationen abgesagt werden, was für einige Patienten den Verlust ihres Lebens bedeutete.

Gesundheitsdaten sind für diese Cyberkriminellen ein großer finanzieller Gewinn. EY schätzt, dass die 55 Millionen Krankenakten britischer Bürger einen Wert von 9,6 Milliarden Pfund oder mehr als 11 Milliarden Euro haben. Der Wert eines einzigen Dossiers kann auf bis zu 5.600 Euro ansteigen, wenn es die Sequenzierung der DNA der betreffenden Person enthält. (Siehe Anhang am Ende)

Warum sind genetische Daten besonders begehrt?

Nicht alle Gesundheitsdaten sind gleich wertvoll: Die Genetik ist der heilige Gral. Unsere DNA ist der Schlüssel zu unserer Identität und enthält entscheidende Informationen über unser Aussehen, unsere Veranlagung für bestimmte Krankheiten usw. Deshalb sind diese Daten so wertvoll.

Die Unternehmen, die der Öffentlichkeit genetische Speicheltests anbieten, um mehr über ihre Abstammung herauszufinden, wissen das. Die meisten Menschen lesen nicht das Kleingedruckte, das besagt, dass diese Daten weiterverkauft werden können. Im Jahr 2018 unterzeichnete die 23andme-Gruppe einen $300-Millionen-Vertrag mit dem GSK-Labor für 5 Millionen anonymisierte genetische Profile. Ziel dieser Partnerschaft ist es, an der Entwicklung von Behandlungen für die Parkinson-Krankheit zu arbeiten, aber dies wirft Fragen zur Sicherheit und zum Datenschutz auf.

Wie werden Gesundheitsdaten in Frankreich geschützt?

Sie unterliegen der Allgemeinen Datenschutzverordnung (GDPR), die seit 2018 den Umgang mit personenbezogenen Daten in Frankreich und Europa regelt. Für die Erhebung und Verarbeitung von Gesundheitsdaten ist die ausdrückliche Zustimmung der betroffenen Person erforderlich. Die RGPD verbietet auch die Übermittlung von Daten außerhalb der Europäischen Union. Dies sind Schutzmaßnahmen, die es in anderen Ländern, wie den USA, nicht gibt und die verhindern, dass beispielsweise Google in unseren E-Mails Daten über unsere Arzttermine sammelt und diese dann an Dritte weiterverkauft.

Ist es möglich, diese Schutzmaßnahmen zu verstärken?

Als Einzelpersonen können wir nicht viel tun. Man kann versuchen, nicht zu viele persönliche Informationen online zu stellen, aber das ist nur ein Tropfen im Ozean der Daten. In der heutigen Welt ist es besonders kompliziert. So haben beispielsweise schätzungsweise zwei Drittel der Franzosen ein Konto bei Doctolib, was logisch ist, denn es ist ein praktisches Instrument zur Vereinbarung von Arztterminen. Solange wir keine Kostenerstattung erhalten, müssen wir bei jeder Behandlung unsere "carte vitale" ausfüllen (und damit Daten über unsere Gesundheit angeben).

"Um unsere Gesundheitsdaten zu schützen, brauchen wir daher ein System umfassender und solider Gesetze, die die Erhebung und Verwendung dieser Daten regeln, wie die RGPD."

Aber diese Gesetze müssen durchgesetzt werden. Beschwerden über die RGPD werden alle von der irischen CNIL bearbeitet, die die Gafam auf europäischer Ebene reguliert. Bei dieser Stelle gehen jedoch so viele Beschwerden ein, dass 99,93% davon nicht bearbeitet werden. Dies ist äußerst entmutigend. Hier können wir den Schutz von Gesundheitsdaten noch verbessern.

Ein weiteres Beispiel für die Wachsamkeit, die wir in diesen Fragen an den Tag legen müssen, ist der Health Data Hub. Ende 2019 hat die französische Regierung beschlossen, eine riesige Bibliothek mit Gesundheitsdaten zu schaffen. Die Idee ist, alle bereits vorhandenen Daten - Krankenhausdaten, Krankenversicherungsdaten - auf einer einzigen Plattform zusammenzuführen, damit Forschungsteams darauf zugreifen und neue therapeutische Wege oder neue Behandlungen finden können.

Als es darum ging, einen zugelassenen Hoster für Gesundheitsdaten zu finden, der bestimmte technologische und sicherheitstechnische Anforderungen für die Verwaltung dieser Datenbank, die eine der größten der Welt ist, erfüllt, fiel die Wahl auf Microsoft. Das Problem ist, dass es sich um ein Unternehmen handelt, das dem amerikanischen Recht unterliegt. Insbesondere gibt es in den Vereinigten Staaten ein Gesetz, das Cloud-Gesetz, das die Übertragung von Daten aus ausländischen Tochtergesellschaften eines Unternehmens im Rahmen von Gerichtsverfahren erlaubt. Kurz gesagt, Microsoft kann theoretisch die Gesundheitsdaten französischer Bürger abrufen und über den Atlantik übertragen, was absolut gegen die RGPD verstößt. Frankreich ist dabei, das Projekt umzurüsten, und es ist wahrscheinlich, dass es bis Ende 2022 an einen anderen Akteur vergeben wird.

Müssen wir uns also Sorgen machen, dass unsere Gesundheitsdaten zunehmend ausgebeutet werden?

Gesundheitsdaten sind ziemlich paradox: Sie sind sehr intim und gehören in den privaten Bereich, aber wenn sie zusammengeführt werden, können sie dem Gemeinwohl dienen. Die Medizin wird bereits durch die Nutzung von Gesundheitsdaten revolutioniert. Die US-Arzneimittelbehörde (FDA) hat den Einsatz künstlicher Intelligenz zur Diagnose der diabetischen Retinopathie, einer der häufigsten Ursachen für Erblindung bei Erwachsenen, genehmigt. Zur Erkennung genügt ein Foto, was durch die Analyse von Gesundheitsdaten möglich wurde.

Die Untersuchung dieser Daten kann uns auch dabei helfen, besser zu verstehen, warum bestimmte Krebsarten auf bestimmte Behandlungen ansprechen und andere nicht, die Erforschung neurodegenerativer Krankheiten wie Alzheimer voranzutreiben oder sogar Behandlungen für seltene Krankheiten zu finden, die nur wenige Menschen in jedem Land betreffen. Ohne die Digitalisierung und Untersuchung dieser medizinischen Informationen wäre es unmöglich, Informationen über einige tausend Patienten zu sammeln, die über die ganze Welt verstreut sind. Die Nutzung von Gesundheitsdaten kann also sehr nützlich sein, vorausgesetzt, sie ist gesetzlich angemessen geregelt.

Anhang

Den Wert von Gesundheitsdaten erkennen