Brauchen wir ein "Patient-IAM"?

Und jetzt schafft das Coronavirus ganz neue Use Cases, über die bislang kaum nachgedacht wurde: Anonyme Tracing Apps werden entwickelt, die nur im Infektionsfall Daten preisgeben, die Überwachung von Quarantänemaßnahmen, die Durchführung groß angelegter Studien ohne den sonst üblichen Vorlauf von Monaten etc.. Daher steht jetzt die Frage im Raum: Welche IAM-Technologien können helfen?

1. Die klassischen – bereits ausgerollten – Chipkarten helfen als Zugangsmedium auf jeden Fall nicht: Selbst bei weitgehend „digitalisierten“ Bevölkerungsgruppen findet man nur selten zuhause ein Lesegerät. Auch in der Schweiz ist man noch weit davon entfernt, das EPD ausgerollt zu haben – in Deutschland hat man noch nicht einmal richtig angefangen.
2. Die Paradigmen der klassischen Enterprise-IAM-Technologien greifen nicht, da sie primär die geschlossene Zielgruppe von Mitarbeitenden in Unternehmen adressieren und nur bedingt für viele Millionen „externe“ User geeignet sind.
3. Die Grundregeln der C-IAM-Lösungen für den Customer bzw. Consumer Markt stehen im Widerspruch zu den patientenzentrischen Anforderungen: C-IAM-Systeme sind zumeist marketing- und vertriebsgetrieben. Etablierte IT-Securitymechanismen sind eher transaktionsbezogen und sichern z.B. den Bezahlvorgang ab. Granulare Berechtigungen im Sinne von „wer darf wann auf welche personenbezogenen Daten zugreifen?“ sind diesen Lösungen zumeist fremd.

Vor nur wenigen Jahren wurde der Begriff „C-IAM“ erfunden und eingeführt, um die historisch gewachsene Welt von Insellösungen im Online-Banking und den Internetshops mit den neuen Herausforderungen derDigitalisierung auf eine neue Basis zu stellen. Vielleicht brauchen wir heute ein neues Paradigma für das Gesundheitswesen, nennen wir es doch „P-IAM“ für Patient-IAM, hilfsweise auch H-IAM (Health-IAM) was sich
aber schwieriger aussprechen lässt. Grundsätze sollten dafür sein:

1. Patientenzentriertheit: Der Patient/die Patientin hat die volle Kontrolle über alle Daten und Zugriffsrechte, hilfsweise eine Stellvertretung (z.B. Angehörige von Betagten).
2. Risk Based Authentication: Es muss niederschwellige Einstiegsmöglichkeiten geben für einfache
   Dienste. Das könnten z.B. auch Patientencommunities sein, für die man keine Gesundheitskarte (o.ä.) 
   benötigt. Der Zugang zu sensiblen Gesundheitsdaten muss allerdings durch die Signaturkarte und
   weitere Faktoren abgesichert sein.
3. Federationtechnologien können helfen, Mehrfachdatenerfassung zu vermeiden.

Ein derartig integriertes Denken könnte helfen zu verhindern, dass wieder viele neue Insellösungen entstehen in denen jede(r) sich immer neu registrieren und erfassen muss. Wir sind sehr gespannt, ob das gelingen
kann. Denn gerade die Krankenhäuser haben derzeit einen großen Rückstau an nicht abgearbeiteten Themen:

• Viele haben noch kein zentrales Identitäts- und Berechtigungsmanagement (IdM)eingeführt.
• Viele haben (immer) noch kein Management-System für administrative und andere privilegierte Benutzer (PAM) eingeführt.
• Das Personal wünscht sich sehnlich die Einführung von Single Sign-On Lösungen, um die vielen LoginVorgänge zu vereinfachen.

Gerade IdM und PAM gelten dabei als notwendige Voraussetzung, um in einem nächsten Schritt P-IAM-Systeme zu implementieren. Denn anders als im C-IAM-Umfeld sind die „Patienten-Kunden“ darauf angewiesen, dass die internen Berechtigungskonzepte auch zuverlässig funktionieren.

In diesem Sinne: Es gibt viel zu tun, nicht zuletzt für die IPG, die ja bereits viele Kunden im Gesundheitssystem
hat.