gms | German Medical Science

49. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds)
19. Jahrestagung der Schweizerischen Gesellschaft für Medizinische Informatik (SGMI)
Jahrestagung 2004 des Arbeitskreises Medizinische Informatik (ÖAKMI)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie
Schweizerische Gesellschaft für Medizinische Informatik (SGMI)

26. bis 30.09.2004, Innsbruck/Tirol

Überlegungen zum Datenschutz und Datensicherheit: Umsetzung nationaler Rechtssprechung zu Gunsten der Patienten

Meeting Abstract (gmds2004)

Suche in Medline nach

Kooperative Versorgung - Vernetzte Forschung - Ubiquitäre Information. 49. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds), 19. Jahrestagung der Schweizerischen Gesellschaft für Medizinische Informatik (SGMI) und Jahrestagung 2004 des Arbeitskreises Medizinische Informatik (ÖAKMI) der Österreichischen Computer Gesellschaft (OCG) und der Österreichischen Gesellschaft für Biomedizinische Technik (ÖGBMT). Innsbruck, 26.-30.09.2004. Düsseldorf, Köln: German Medical Science; 2004. Doc04gmds024

Die elektronische Version dieses Artikels ist vollständig und ist verfügbar unter: http://www.egms.de/de/meetings/gmds2004/04gmds024.shtml

Veröffentlicht: 14. September 2004

© 2004 Hölzer.
Dieser Artikel ist ein Open Access-Artikel und steht unter den Creative Commons Lizenzbedingungen (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de). Er darf vervielfältigt, verbreitet und öffentlich zugänglich gemacht werden, vorausgesetzt dass Autor und Quelle genannt werden.


Gliederung

Text

Einleitung

Der Schutz persönlicher Daten und der Erhalt der informationellen Selbstbestimmung des Einzelnen ist zweifelsfrei als ein sehr hohes Gut anzusehen. Entsprechende gesetzliche Auflagen regeln den Datenschutz und die Datensicherheit vertrauenswürdiger Informationen [1]. Gerade im Bereich des Gesundheitswesens ergeben sich Probleme dadurch, dass vertrauliche Informationen an unterschiedliche Stellen anfallen und unterschiedliche Akteure Zugang zu diesen Daten erhalten.

Um eine effiziente und medizinisch bedarfs- und zeitgerechte Versorgung des Einzelpatienten zu gewährleisten, erhalten unterschiedliche Berufsgruppen spitalintern selektiven Zugriff auf schützenswerte Daten. Ohne diese Informationsbereitstellung, die teilweise vertrauliche und sehr intime Informationen enthalten kann, ist eine zielgerichtete Behandlung nicht möglich.

Die elektronische Verarbeitung bringt Vorteile, indem Informationen einmal gesammelt und eingegeben an unterschiedlichen Punkten der Versorgung bereitgestellt werden können. Diese elektronisch verfügbaren Daten von Personen, respektive Patienten, sind grundsätzlich als sicherer, das heisst vor fremden Augen beziehungsweise Zugriff geschützter, anzusehen als zum Beispiel das Papiermedium. Dies bedeutet, dass ein gezielter Angriff auf, mit der entsprechenden Infrastruktur, geschützte elektronische Daten eines bestimmten Patienten schwieriger sein dürfte als der „manuelle Datenklau", bei dem die Krankengeschichte von einer Abteilung oder aus einem Archiv gestohlen werden.

Datensicherheit

Problematisch ist die elektronische Datenhaltung dadurch, dass, wenn einmal Fremdzugriff erfolgt ist, eine Massenverarbeitung dieser Informationen und ein systematisches Auskundschaften grösserer Datenbestände möglich ist. Bei einer digitalen Krankengeschichte, die zentral oder verteilt gelagert ist, hat dies zur Folge, dass zum Beispiel eine komplexe Behandlungshistorie einer Person eingesehen werden kann. Darüber hinaus ist es natürlich möglich, gezielt innerhalb dieser Daten nach bestimmten Personen zu suchen und deren vertrauliche Daten, in welcher Form auch immer, gezielt einzusetzen. Was diesen gezielten Einsatz anbelangt, bewegt man sich jedoch sehr häufig auf der Ebene hypothetischer Vorstellungen, d.h. konkrete Fälle dieser Art sind bislang (glücklicherweise) im deutschsprachigen Raum ausgeblieben.

Im Klinikbetrieb wird allgemein nach strengen internen Richtlinien dafür gesorgt, dass Patientendaten nicht an Personen gegeben werden, welche kein Anrecht darauf haben und dass die Bestimmungen des Datenschutzgesetzes eingehalten werden. Eine wichtige Voraussetzung hierfür die Schulung des Personals im Umgang mit vertrauenswürdig eingestuften Daten. Dies auch im Hinblick auf die wichtige Schnittstelle zwischen Mensch und Maschine. Für die eigentliche technische Umsetzung von Anforderungen an die Datensicherheit (Speicherung, Verschlüsselung, Signatur etc.) sind Standardprodukte am Markt behauptet, die sich auch in anderen Geschäftsbereichen (zum Beispiel dem Bankenwesen) etabliert und bewährt haben. Der Endbenutzer hat im Laufe der letzten Jahre gelernt mit diesen Anwendungen (d.h. mit Benutzerkennwort, Passwort, Transaktionsnummer etc.) umzugehen. Die verschlüsselte Übertragung von Daten oder die Verschlüsselung von E-Mails ist bei entsprechendem Wissen um deren Bedeutung kein Problem. Trotzdem kann im Gegensatz zum Datenschutz (Wer darf grundsätzlich welche Informationen einsehen?) die Datensicherheit immer als Problem dargestellt werden. Es gibt keine 100%-ige Sicherheit und nicht legitimierte Personen können illegal an vertrauliche Patientendaten gelangen, wenn sie dies unbedingt wollen. Einen entsprechenden Schutz kann man immer verbessern (z.B. polizeiliche Bewachung rund um die Uhr, höchste elektronische Sicherheit, etc.). Dabei müssen aber Kosten gegenüber Nutzen resp. Risiken abgewogen werden.

Jeder Bürger und Patient hat ein Recht, dass nur von ihm selbst autorisierte Personen über den Gesundheits- beziehungsweise Krankheitszustand erfahren. Dies gehört sich sowohl im sozialen Umfeld als auch im Geschäftsleben. Lücken in einer komplexen Ablauforganisation, wie in einem Krankenhaus, sind niemals vollständig auszuschliessen. Tritt hier ein fahrlässiger Umgang mit der Datensicherheit in Einzelfällen zu Tage, müssen bestehende Mängel aufgedeckt und beseitigt werden.

Wenn die notwendige Sicherheit technisch noch nicht gegeben ist, sollte auf deren Einsatz verzichtet werden. Dies kann z.B. beim Einsatz neuerer Technologien (Wireless LAN, bluetooth etc.) teilweise noch der Fall sein. Grundsätzlich ist der Versand von E-Mails mit Patientendaten an private E-Mail-Adressen beziehungsweise in einen ungeschützten Bereich gesetzeswidrig und werden entsprechend, wie auch früher der Umgang mit konventionellen „Papierkrankenakten", reglementiert.

Datenweitergabe / Datenschutz

Eine anonymisierte Datenweiterleitung von Behandlungsepisoden aus dem stationären Bereich ist z.B. in der Schweiz, wie auch in anderen Ländern, teilweise gesetzlich vorgeschrieben (Medizinische Bundesstatistiken, Todesursachenstatistik, Gesundheitsberichterstattung etc.). Bei dieser Art der systematischen Weitergabe von Patientendaten werden diese anonymisiert, so dass eine direkte Zuordnung von Patientennamen zu Diagnosen bzw. Diagnosekodes nicht möglich ist.

Eine Transparenz nach aussen ist auch bei der Rechnungsstellung an den Patienten oder Kostenträger notwendig. Hier regeln die entsprechenden Tarifverträge den Datenumfang dieser Informationsweitergabe. Hier ist konkret zu klären, welcher Informationsgehalt mit welchem Detaillierungsgrad für die entsprechenden Zielsetzungen notwendig ist und inwiefern ein Missbrauchsrisiko besteht. Zu beachten ist, dass neben der direkten Einsichtnahme von Diagnosecodes auch aus Leistungspositionen (abrechenbare Einheiten) Rückschlüsse auf die Erkrankung eines Patienten gezogen werden können. Diese Informationen ermöglichen es ohne weiteres, ein umfassendes Bild über den Gesundheitszustand des Versicherten zu gewinnen, was zu einem Persönlichkeitsprofil gemäss Art. 3 lit. d des Schweizerischen Bundesgesetzes über den Datenschutz {DSG; SR 235.1) führen kann. Für eine datenschutzrechtliche Begründung dieser Art von systematischer Übermittlung muss Eignung, Notwendigkeit und Zweck-Mittelrelation der verwendeten Personendaten nachgewiesen werden. Wenn diese wichtige Frage der Verhältnismässigkeit der Datenbearbeitung offen bleibt, sollte auf die Weitergabe von personenbezogenen Daten verzichtet werden und mit pseudonymen oder anonymen Daten gearbeitet werden. Das kann beispielsweise mittels pseudonymer Zahlungs- und/oder Kontrollmechanismen geschehen.

Diskussion

Der Markt mit Sicherheitstechnologie ist ein wachsender und sich teilweise selbst-unterhaltender. Die Ziele von Hackern entbehren jedoch häufig jeglicher Systematik. Das gezielte Ausspionieren und der Missbrauch durch Dritte ist bislang mit vertrauenswürdigen Patientendaten eine Ausnahme. Hier muss man vor übertriebener Vorsicht und Panikmache mit den entsprechenden gesetzgeberischen Auflagen warnen [2]. So ist jeder Einzelne sicherlich daran interessiert, dass lebensnotwendige Informationen (Allergien, Implantate, Bluterkrankheit etc.) über seinen Gesundheitszustand in Notfallsituationen verfügbar sind. Auf der anderen Seite darf es natürlich nicht sein, dass bestimmte Patientengruppen identifizierbar und entsprechend öffentlich diskreditierbar werden. Den direkt Beteiligten ist diese Gesamtproblematik sehr wohl bewusst. Nur wenn es gelingt, eine adäquate „Kultur" im Umgang mit dem Medium „elektronische Information" aufzubauen, kann der informationellen Selbstbestimmung in einer mehr und mehr technisierten Welt Rechnung zu tragen.


Literatur

1.
Schweizerisches Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 (Stand am 3. Oktober 2000) http://www.admin.ch/ch/d/sr/2/235.1.de.pdf
2.
NZZ am Sonntag vom 10. August 2003 http://intranet.shift-think.net/relation/doc/doc1063381147.pdf
3.
Medizinische Statistik der Krankenhäuser http://www.statistik.admin.ch/stat_ch/ber14/gewe/dtfr14k.htm