Fallstudie: ePA – Elektronische Patientenakte
Die elektronische Patientenakte (ePA) ist ein bundesweit einheitliches System auf Basis der Telematikinfrastruktur. Im Auftrag des Gesetzgebers legt die gematik GmbH Standards fest, betreibt zentrale Dienste wie Identitäts- und Zugriffsmanagement und zertifiziert die Anwendungen. Die gesetzlichen Krankenkassen stellen ihren Versicherten darauf basierende Apps und Portale bereit, die von IT-Dienstleistern umgesetzt werden. Patientinnen und Patienten entscheiden selbst, welche Ärztinnen, Ärzte oder Apotheken Dokumente einstellen oder einsehen dürfen, sodass Gesundheitsinformationen sicher und einrichtungsübergreifend verfügbar sind.
Die elektronische Patientenakte (ePA) ist ein Schlüsselprojekt der digitalen Gesundheitsversorgung in Deutschland. Ihr Betrieb unterliegt strengen datenschutzrechtlichen und technischen Anforderungen. Besonders herausfordernd ist der von der Gematik geforderte technische Betreiberausschluss mittels “vertrauenswürdiger Ausführungsumgebung” (VAU): Der Betreiber der Infrastruktur und des Backend-Systems darf nachweisbar keine Zugriffsmöglichkeit auf Gesundheitsdaten haben. Gleichzeitig muss die Infrastruktur Millionen von Versicherten zuverlässig und performant bedienen.
Edgeless Systems stellt Confidential-Computing-Software bereit, die genau diese Anforderungen erfüllt. In Zusammenarbeit mit IBM kommt die Software von Edgeless Systems in der ePA zum Einsatz, um sensible Anwendungen in isolierten, hardware-geschützten Umgebungen auf Basis von Intel Confidential-Computing-CPUs auszuführen. Dadurch wird sichergestellt, dass selbst der Infrastrukturbetreiber keinen Zugriff auf vertrauliche Daten hat. Die Software von Edgeless Systems kommt mit transparentem Quellcode, ermöglicht eine ganzheitliche Attestierung der Anwendung und ermöglicht das einfache Skalieren auf Kubernetes.
Die Gesamtlösung, inklusive der Confidential-Computing-Software von Edgeless Systems, ist von der gematik zugelassen und ermöglicht eine sichere, skalierbare ePatientenakte für bis zu 50 Millionen Versicherten, darunter AOK, Barmer und Techniker Krankenkasse. Die Lösung zeigt, wie regulatorische Datenschutzanforderungen und technischer Betreiberausschluss mit Confidential Computing zuverlässig und effizient realisiert werden können.
Thorsten Gau, CTO von IBM Consulting, stellte das Projekt auf der Open Confidential Computing Conference (OC3) von Edgeless Systems vor.
