• Keine Ergebnisse gefunden

Archiv "Elektronische Patientenakte: Schlüsselrolle für den Datenschutz" (14.03.2008)

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Archiv "Elektronische Patientenakte: Schlüsselrolle für den Datenschutz" (14.03.2008)"

Copied!
3
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 3 Seite )

Volltext

(1)

Deutsches ÄrzteblattJg. 105Heft 1114. März 2008 A571

TELEMATIK

ELEKTRONISCHE PATIENTENAKTE

Schlüsselrolle für den Datenschutz

Ein hohes Maß an Sicherheit ist immer mit Einschränkungen

der Praktikabilität verbunden. Es bedarf einer vernünftigen Abwägung zwischen beiden Anforderungen.

Jürgen H. Müller

D

ie elektronische Gesund- heitskarte (eGK) wird in den nächsten Jahren die Krankenversi- chertenkarte ablösen. Sie soll die bisherigen Funktionen dieser Karte übernehmen und zusätzlich „tele- matische Anwendungen“ unterstüt- zen, angefangen vom elektroni- schen Rezept bis hin zur elektroni- schen Patientenakte. Ziel des Auf- baus der Telematikinfrastruktur ist es, Gesundheitsdaten sektorüber- greifend zum Zeitpunkt und am Ort der Behandlung verfügbar zu ma- chen. Hierbei dient die eGK als Steuerungsinstrument in der Hand der Patienten. Natürlich stellen sich bei einem derart ambitionierten Vor- haben viele Fragen, vor allem: Wer bestimmt, welche Angaben gespei- chert werden, und wer wird auf die Informationen zugreifen können?

Sind die sensiblen medizinischen Daten vor Missbrauch geschützt?

Von Anfang an war allen Betei- ligten an diesem Projekt klar, dass bei der Einführung der eGK den Belangen des Datenschutzes eine Schlüsselrolle zukommt. Das Recht auf informationelle Selbstbestim- mung gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu be- stimmen. In Ausübung dieses Rechts müssen die Patienten selbst darüber entscheiden können, wann sie wem welche Gesundheitsdaten zugäng- lich machen möchten. Dieser Maxi- me folgen auch die gesetzlichen Re- gelungen zur eGK, die zwischen Pflicht- und freiwilligen Anwen- dungen unterscheiden. Die Verar- beitung administrativer Daten zählt zu den Pflichtanwendungen, wohin- gegen die elektronische Patienten-

akte zu den freiwilligen Anwendun- gen gehört.

Nach § 291 a Abs. 3 Nr. 4 SGB V (Sozialgesetzbuch) kann die elek- tronische Patientenakte Daten über Befunde, Diagnosen, Therapiemaß- nahmen, Behandlungsberichte so- wie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten enthalten. Wie gelangen diese Daten in die elektronische Patien- tenakte? Da es sich um eine freiwillige Anwen- dung handelt, muss der Pati- ent zunächst seine Einwilligung gegenüber einem Leistungserbrin- ger erklären, dass er die elektroni- sche Patientenakte überhaupt nut- zen will.

Freiwillige Entscheidung der Patienten

Diese Einwilligung des Patienten ist eine für den Umgang mit seinen Gesundheitsdaten sehr weitreichen- de Entscheidung, sodass ihr ein aus- führliches Gespräch mit einem Arzt vorausgehen sollte. In diesem Ge- spräch sollte der Arzt dem Patienten verdeutlichen, dass es mit der eGK gelingen kann, einerseits die Be- handlungs- und Lebensqualität der Betroffenen zu verbessern und an- dererseits die Patientenrechte zu stärken. Sofern Patienten in die Speicherung ihrer Gesundheitsda- ten einwilligen, können wichtige Gesundheitsdaten künftig schneller verfügbar sein, was zum Beispiel im Notfall und beim Arztwechsel eine bessere medizinische Versor- gung ermöglicht. Nach der Doku- mentation dieser Einwilligung muss sodann die Krankenkasse als kar-

tenausgebende Stelle die Anwen- dung „elektronische Patientenakte“

freischalten.

Nachdem diese Anwendung frei- geschaltet ist, ist zu fragen, wie die Daten in die elektronische Patien- tenakte gelangen und wer später auf sie zugreifen darf. Die Antworten hierauf findet man in § 291 a Abs. 4 und 5 SGB V. Diese beiden Absätze stehen in engem Zusammenhang:

Während Absatz 4 den Kreis der zugriffsberechtigten Personen be- stimmt, also regelt, wer zugreifen darf, stellt Absatz 5 nähere Anforde- rungen an die technischen Voraus- setzungen, also an das „Wie“ des Zugriffs. Der berechtigte Personen- kreis der Leistungserbringer (wie zum Beispiel der Arzt oder Apothe- ker) ist im Gesetz exakt beschrie- ben; zusätzlich ist der Zugriff auf die Daten an die Bedingung ge- knüpft, dass er zur Versorgung der Patienten erforderlich ist. Das „Zu- greifen“ bezieht sich auf jeden da- tenschutzrechtlich relevanten Um- gang mit den Daten, wobei eine Un- terscheidung zwischen den aus dem Datenschutzrecht bekannten Begrif-

T H E M E N D E R Z E I T

Foto:Caro

(2)

A572 Deutsches ÄrzteblattJg. 105Heft 1114. März 2008

T H E M E N D E R Z E I T

fen des Erhebens, Verarbeitens und Nutzens, die konkrete Formen des Zugriffs darstellen, bewusst nicht getroffen wurde.

Die Regelung bietet jedem Pati- enten die Möglichkeit, differenzier- te Zugriffsrechte festzulegen. So können Patienten festlegen, dass je- der Leistungserbringer auf die elek- tronische Patientenakte zugreifen darf. Sie können dieses Recht aber auch begrenzen auf bestimmte Rol- len (zum Beispiel nur Ärzte), auf bestimmte Fachgruppen (zum Bei- spiel nur Orthopäden) oder auf be- stimmte Einzelpersonen (nur ein Arzt). Ausgehend von diesen Zu- griffsberechtigungen können nur diejenigen Leistungserbringer, de- nen der Zugriff und damit Schreib- rechte erlaubt sind, Gesundheitsda- ten in die elektronische Patientenak- te übertragen. Diese differenzierten Zugriffsrechte können die Patienten jederzeit beliebig wieder verändern.

Über die Vergabe der Zugriffs- rechte und über die erforderliche ge- nerelle Einwilligung der Patienten zur Nutzung bestimmter Anwen- dungen hinaus müssen die Patienten in jeden Zugriff auf einzelne Einträ- ge einer Anwendung einwilligen.

Dies wird in der Praxis dadurch um- gesetzt, dass der Zugriff durch ein geeignetes technisches Verfahren von den Patienten autorisiert wer-

den muss, nämlich die Eingabe ei- ner PIN. Das Überreichen der eGK und die Eingabe der PIN ist dann als konkludente Einwilligung des Pati- enten zu bewerten.

Wie erfolgt der Eintrag der Daten in die Patientenakte?

Damit der Arzt die vom Patienten zum Eintrag in die elektronische Pa- tientenakte freigegebenen Gesund- heitsdaten eintragen kann, benötigt er einen elektronischen Heilberufs- ausweis, der über eine sichere Mög- lichkeit zur Authentifizierung und eine qualifizierte elektronische Si- gnatur verfügt. Damit sind sowohl der schreibende als auch der lesende Zugriff auf die freiwilligen medizi- nischen Daten der eGK gesetzlich nur mittels zweier Karten – der eGK aufseiten der Patienten und dem elektronischen Heilberufsausweis aufseiten der Leistungserbringer – möglich. Dieses „2-Schlüssel-Prin- zip“ ist zentraler Bestandteil der gesetzlich geregelten Sicherheits- maßnahmen zum Schutz der Daten vor missbräuchlicher Verwendung.

Der Kreis derjenigen, die unberech- tigt auf Gesundheitsdaten zugreifen können, wird technisch auf Perso- nen reduziert, die einen Heilberufs- ausweis besitzen.

Durch die Verbindung der auf dem Heilberufsausweis befindli-

chen qualifizierten Signatur mit den gesetzlich vorgeschriebenen Proto- kollierungspflichten kann die Iden- tität des zugreifenden Heilberuflers zweifelsfrei festgestellt werden, so- dass Missbrauchsfälle nachvollzo- gen werden können. Sichere Mög- lichkeiten zur Authentifizierung, über die der elektronische Heilbe- rufsausweis verfügen muss, ge- währleisten den vertrauenswürdi- gen Zugriff auf Daten der eGK. Mit kryptografischen Verfahren zur Au- thentifizierung kann sich der elek- tronische Heilberufsausweis sicher gegenüber der eGK ausweisen.

Wichtig ist die Klarstellung, dass es sich bei den Daten der elektroni- schen Patientenakte nicht um ein Abbild der ärztlichen Dokumentati- on handelt, wie sie sich auf dem Pra- xisrechner des einzelnen Arztes be- findet. Da die Speicherung von me- dizinischen Informationen in der elektronischen Patientenakte eine in der Verfügungsgewalt des Patienten stehende freiwillige Anwendung ist, kann sie auch nicht die Dokumenta- tionspflichten des Arztes ersetzen.

Die mittels der elektronischen Pati- entenakte bereitgestellten Daten sind daher im Regelfall Kopien aus- gewählter Daten. Es besteht keine Garantie auf eine Vollständigkeit der mit der elektronischen Patien- tenakte verfügbaren Informationen.

Noch lange nicht papierfrei:Arztpra- xen und Krankenhäu- ser arbeiten weitge- hend noch papierba- siert. Bis zur elektro- nischen Patientenak- te ist es daher noch ein weiter Weg – nicht zuletzt aufgrund der hohen Sicher- heitsanforderungen.

Foto:Deutscher Infografikdienst

(3)

Deutsches ÄrzteblattJg. 105Heft 1114. März 2008 A573

T H E M E N D E R Z E I T

Sie enthält nur die Daten, die ge- trennt von der ärztlichen Dokumen- tation gespeichert werden und den Leistungserbringern zur Verfügung stehen, denen der Patient die Be- rechtigung dazu erteilt.

Im Haftungsfall wird sich ein in Anspruch genommener Arzt nicht mit dem Hinweis auf eine unvoll- ständige elektronische Patientenak- te entlasten können. Allerdings kann sich jeder Arzt auf die Integrität der medizinischen Daten verlassen, denn diese müssen von dem zu- griffsberechtigten Arzt mit seinem Heilberufsausweis signiert werden.

Änderungen an diesem Datensatz können nur von Ärzten vorgenom- men werden, niemals aber eigen- ständig von Patienten.

Einsichtsrecht der Patienten in ihre eigenen Daten

Noch nicht endgültig entschieden ist die Frage, wie Patienten ihr Ein- sichtsrecht in die elektronische Pa- tientenakte wahrnehmen können.

Zunächst gilt wieder das oben ge- nannte „2-Schlüssel-Prinzip“, so- dass Patienten nur zusammen mit ei- nem elektronischen Heilberufsaus- weis auf ihre Daten zugreifen kön- nen. Die Gegenwart eines elektroni- schen Heilberufsausweises bedeutet allerdings nicht, dass der Arzt oder Apotheker physisch am Ort der Ein- sichtnahme anwesend sein muss.

Denkbar ist auch, dass das Einsichts- recht an Terminals ausgeübt wird, die im Wartezimmer der Arztpraxis oder in der Apotheke stehen und in die ein Heilberufsausweis gesteckt ist. Technische Lösungen, bei denen der Patient an seinem eigenen PC im häuslichen Bereich seine eGK mit einem Lesegerät ausliest und gleich- zeitig über einen sicheren Kanal eine Onlineverbindung mit einem Heil- berufler besteht, der an einem ent- fernten Ort seinen Heilberufsaus- weis als „zweiten Schlüssel“ ein- setzt, sind mit dem „2-Schlüssel- Prinzip“ nicht vereinbar.

Die Geltung des „2-Schlüssel- Prinzips“ auch bei der Wahrneh- mung des Einsichtsrechts durch die Patienten reduziert die Gefahr, diese in Zwangssituationen zu bringen, in denen sie zur Preisgabe ihrer Daten genötigt werden. Vorstellbar wäre

dann ein Szenario im Rahmen eines Bewerbungsgesprächs, dass ein Ar- beitgeber den Bewerber auffordert, seine Gesundheitsdaten zu offenba- ren. Da in diesem Fall der Arbeit- geber keinen eigenen Zugriff (auch nicht durch seinen Betriebsarzt) vornimmt, würde auch die Zu- griffsprotokollierung keinen Nach- weis über einen missbräuchlichen Zugriff belegen. Nach außen hin sähe es wie ein freiwilliger, eigen- ständiger Zugriff durch den Patien- ten aus. Da der Gesetzgeber gerade diese Missbrauchsmöglichkeiten einschränken wollte, ist ein Ein- sichtsrecht am eigenen PC auf die elektronische Patientenakte auf der Grundlage der geltenden gesetzli- chen Regelungen nicht zulässig.

Auch wenn das „2-Schlüssel- Prinzip“ bei der Einsichtnahme durch die Patienten einige Hürden aufstellt, wird die Einsichtnahme dennoch im Vergleich mit der heuti- gen Situation, in der Patienten den Arzt direkt um Einsichtnahme oder Kopien ihrer Behandlungsunterla- gen ersuchen müssen, erleichtert.

Denn nicht selten scheuen Patienten die Frage nach den Behandlungsun- terlagen, um das Verhältnis zu ihren Ärzten nicht zu belasten. Einerseits haben Patienten künftig mit der eGK die Möglichkeit, mithilfe anderer Leistungserbringer als derjenigen, die die Eintragungen vorgenommen haben, ihr Einsichtsrecht zu realisie- ren. Andererseits hat der Gesetzge- ber die Möglichkeit vorgesehen, sich ein elektronisches Patienten- fach (§ 291 a Absatz 3 Satz 1 Nr. 5 SGB V) einrichten zu lassen. In die- ses Patientenfach können alle Daten der eGK, also auch die in der Patien- tenakte enthaltenen, kopiert werden.

Auf dieses Fach kann der Patient oh- ne Anwesenheit eines elektroni- schen Heilberufsausweises zugrei- fen. Damit allerdings auch beim Zu- griff auf das Patientenfach eine Zu- griffsprotokollierung möglich ist, wird der Einsatz einer Signaturkarte mit qualifizierter Signatur als zwei- ter Zugriffsschlüssel verlangt. Statt einer eigenen Signaturkarte ist auch denkbar, dass die eGK mit integrier- ter Signatur genutzt wird. Da es sich bei dem Patientenfach um eine frei- willige Anwendung handelt, besteht

hier auch eine geringere Miss- brauchsgefahr etwa bei Bewer- bungsgesprächen, denn Patienten können behaupten, überhaupt kein Patientenfach zu besitzen, oder vor dem entsprechenden Termin alle dort vorhandenen Dokumente lö- schen.

Fazit

Letztlich ist ein hohes Maß an Si- cherheit immer mit Einschränkun- gen bei der Praktikabilität verbun- den. Es bedarf einer vernünftigen Abwägung zwischen dem Daten- schutz und der Datensicherheit auf der einen und der praktischen Hand- habbarkeit auf der anderen Seite.

Mit den Regelungen zur Wahrneh- mung des Einsichtsrechts der Pati- enten ist die Abwägung sicherlich zugunsten des Datenschutzes und der Datensicherheit ausgefallen.

Gerade in der Einführungsphase der elektronischen Gesundheitskarte können diese Aspekte nicht hoch genug bewertet werden, um die Ak- zeptanz zu einem neuen Kommuni- kationsmittel herzustellen.

❚Zitierweise dieses Beitrags:

Dtsch Arztebl 2008; 105(11): A 571-3

Anschrift des Verfassers Jürgen H. Müller

Leiter Projektgruppe Elektronische

Gesundheitskarte, Referat IV, Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Husarenstraße 30, 53117 Bonn

E-Mail: pg-egk@bfdi.bund.de

SERIE TELEMATIK

Bisher erschienene Beiträge im DÄ:

Heft 45/2007:Interview zum Projekt Gesundheitskarte mit Dr. med.

Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der Bundesärztekammer und Präsident der Ärztekammer Schles- wig-Holstein: „Neue Karte, neuer Schlitz – sonst passiert nichts“

Heft 49/2007:Kommentar von Wilfried Deiß, Facharzt für Innere Medizin, Hausarzt: Projekt elektronische Gesundheitskarte – Fuchs statt Monster

Heft 51–52/2007:Heike E. Krüger-Brand: Gesundheitstelematik – Sanfter Ausbau statt „Big Bang“

Heft 3/2008: Ulrike Hein-Rusinek, Christiane Groß: Projekt elektro- nische Gesundheitskarte – Notfalldaten – Mehr Schein als Sein?

Heft 5/2008:Philipp Stachwitz: Telematik im Gesundheitswesen – Positionsbestimmung der Ärzte

Heft 6/2008:Lukas Gundermann: Telematikinfrastruktur der elek- tronischen Gesundheitskarte – Basis für sichere Datenspeicherung Heft 8/2008: Heike E. Krüger-Brand: Telematik im Gesundheitswe- sen – „Zu Risiken und Nebenwirkungen fragen Sie . . .“

Heft 9/2008:Uwe K. Preusker: Gesundheitstelematik in Nordeuropa – Unabhängig von Raum und Zeit

Heft 10/2008: Heike E. Krüger-Brand: Elektronische Gesundheits- karte im Krankenhaus – Erst allmählich im Fokus

Referenzen

Jetzt herunterladen ( PDF - 3 Seite - 201.04 KB )

ÄHNLICHE DOKUMENTE

Elektronische Patientenakte > Überblick - ePA - Datenschutz - Zugriff - betanet

Bei Arztpraxen können sie dann mit ihrer elektronischen Gesundheitskarte und der PIN die ePA freigeben und das Praxispersonal kann Daten in die ePA hochladen oder Daten in der

„An die Spitze eines medizinischen Betriebes gehört ein Arzt“

Es ist meiner Meinung nach immer noch ganz wesentlich, dass an der Spitze eines medizinischen Betriebes ein Arzt steht und eben kein primärer Verwaltungslei- ter.. Denn diese

Archiv "Aktion „Von Arzt zu Arzt“" (10.05.1990)

Internist seit 17 Jahren tätig — Fragen zur freien Niederlassung 21 Berufsjahre als FA — Fragen zur Niederlassung Wunsch: Praxisgründung — Kontakt zu

Archiv "Elektronische Gesundheitskarte: Anforderungen an die medizinischen Daten" (23.07.2004)

Qualität und Sicherheit der Behand- lung verbessern sich nicht zwangsläufig durch die Gesundheitskarte: Wenn der Patient es nicht wünscht, kann und darf der Arzt keine

Archiv "Psychisch Kranke: Irrweg von Arzt zu Arzt" (23.01.2004)

A ls Dienstleister für Ärzte und Psychotherapeuten im Rheinland stellt sich die Kassenärztliche Vereinigung Nordrhein (KVNo) in ihrer Broschüre „Qualität und Effi- zienz in

Archiv "Gutachten: Patient und Arzt müssen zustimmen" (08.10.1999)

Es dürfte inzwischen auch den Schlichtungsstellen nicht verborgen geblieben sein, daß Rechtsanwälte den Weg über die Schlichtungsstellen immer dann empfehlen, wenn die

Die elektronische Patientenakte

• Verneint der Versicherte die Frage nach der Existenz einer elektronischen Patientenakte, besteht keine. Pflicht des Leistungserbringers, ihn von sich aus auf die Möglichkeiten

Die elektronische Patientenakte und das europäische Datenschutzrecht

Die elektronische Patientenakte und das europäische Datenschutzrecht Möglichkeiten zur datenschutzkonformen Ausgestaltung elektronischer Patientenakten im