gms | German Medical Science

50. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds)
12. Jahrestagung der Deutschen Arbeitsgemeinschaft für Epidemiologie (dae)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie
Deutsche Arbeitsgemeinschaft für Epidemiologie

12. bis 15.09.2005, Freiburg im Breisgau

Karten im deutschen Gesundheitswesen und der Einfluss der internationalen Standardisierung

Meeting Abstract

Suche in Medline nach

  • Peter Pharow - Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  • Bernd Blobel - Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  • Christoph Goetz - Kassenärztliche Vereinigung Bayerns, München
  • Kjeld Engel - Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. Deutsche Arbeitsgemeinschaft für Epidemiologie. 50. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (gmds), 12. Jahrestagung der Deutschen Arbeitsgemeinschaft für Epidemiologie. Freiburg im Breisgau, 12.-15.09.2005. Düsseldorf, Köln: German Medical Science; 2005. Doc05gmds367

Die elektronische Version dieses Artikels ist vollständig und ist verfügbar unter: http://www.egms.de/de/meetings/gmds2005/05gmds455.shtml

Veröffentlicht: 8. September 2005

© 2005 Pharow et al.
Dieser Artikel ist ein Open Access-Artikel und steht unter den Creative Commons Lizenzbedingungen (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de). Er darf vervielfältigt, verbreitet und öffentlich zugänglich gemacht werden, vorausgesetzt dass Autor und Quelle genannt werden.


Gliederung

Text

Einleitung und Fragestellung

Im März 2002 beschloss der Europäische Rat auf seiner Sitzung in Barcelona die Einführung einer europäischen Krankenversichertenkarte, die die derzeit für die medizinische Versorgung in einem Mitgliedsstaat erforderlichen Papierformulare einschließlich E111 ersetzen und bestimmte Verfahren vereinfachen sollte. Hingegen sollten bestehende Rechte und Pflichten von Medizinern und Patienten sowie deren Interaktion auf der Basis eines Vertrauensverhältnisses unverändert bleiben.

Der „Aktionsplan eEurope 2005“ sieht die Schaffung einer Informationsgesellschaft für alle Bürger vor [1]. Inzwischen ist klar, dass es eine europäische Krankenversichertenkarte (EHIC) nicht vor 2008 geben wird; selbst die Technologie (Chipkarte oder Pappkarte) ist noch nicht geklärt. Die Harmonisierung, Standardisierung und Interoperabilität der in mehreren europäischen Staaten in der Vorbereitung befindlichen Gesundheitskarten sowie deren Infrastrukturen ist dabei eine Grundvoraussetzung zur Erfüllung der genannten Zielstellung. Elektronische Gesundheitskarte (eGK) und Heilberufeausweis (HBA) in Deutschland machen da keine Ausnahme [2], [3]. Das betrifft die Karten und ihre Infrastruktur, die Identifikation und Authentifizierung der Nutzer, die Integrität und Vertraulichkeit der Daten und ihrer Übermittlung. Das betrifft ebenso die Nutzung der Funktionalität der Karten, der Zugriff auf die Daten und die Interpretation der Daten in harmonisierte Art und Weise.

Methoden und Strategie

Standardisierung und Harmonisierung sind stets bidirektional zu sehen. Was national entwickelt wird, fließt in die Arbeit der internationalen Standardisierungsgremien ein und umgekehrt. In Deutschland spiegelt das Deutsche Institut für Normung (DIN) die Arbeit der europäischen (CEN) und internationalen (ISO) Gremien. Dabei spielen für eGK und HBA vor allem ISO TC 215 „Health Informatics“ und CEN TC 251 „Health Informatics“ eine wichtige Rolle. Innerhalb des ISO-Gremiums gibt es Arbeitsgruppen, die sich mit den Karten selbst (Daten und Inhalte) als auch mit der Sicherheit des Umgangs mit Karten und deren Anwendungen im Sinne von Datenschutz, Datensicherheit, Zugriffssteuerung, Rollenmanagement usw. befassen.

Sowohl die Karten selbst als auch die zu ihrer Nutzung erforderliche Infrastruktur werden vorrangig auf internationaler (ISO) standardisiert und dadurch harmonisiert. Die dreiteilige technische Spezifikation zur Public Key Infrastruktur (ISO/TS 17090) existiert seit 2002 und wurde gerade in einen Standard überführt, wobei die Erfahrungen vieler Länder innerhalb einer mehrjährigen „Erprobungsphase“ eingeflossen sind [4]. Gleiches trifft auf die europäische Health Professional Card (HPC) zu, die in der Funktion der HBA einspricht und bereits vor einigen Jahren in Europa standardisiert worden ist (CEN ENV 13729 bzw. EN 13729). Auch dieser existierende Standard befindet sich in der Überarbeitung, wird als gemeinsamer Standard von CEN und ISO neu aufgelegt und beinhaltet die harmonisierten Ansätze mehrerer europäischer, amerikanischer und asiatischer Staaten [5].

Im Hinblick auf die Realisierung des Aktionsplans eEurope 2005 existieren einige Aspekte, die die Spezifikation des deutschen HBA charakterisieren und die auf internationaler Ebene verallgemeinerbar sind. Diese Strukturen beinhalten:

  • die Funktion des Sichtausweises (mehrsprachig und damit auch ohne technische Infrastruktur aussagefähig),
  • die Verwendung von drei verschiedenen Schlüsselpaaren (für die Authentifizierung, die elektronische Signatur und die Transportverschlüsselung),
  • die Nutzung von Trusted Channels z.B. für Plug-In-Karten (Secure Module Card, SMC) sowie
  • den Einsatz von Zertifikaten, die durch die Karte selbst verifizierbar sind (Card Verifiable Certificates, CVC), von Zertifikaten mit öffentlichem Schlüssel (Public Key Certificates, X.509 Certificates) und von Attribut-Zertifikaten ohne Schlüssel [2].

Weiteres Potenzial zur Akzeptanz und zum breiten Einsatz ergibt sich aus der Nutzung des HBA als standardisierte und gesetzeskonforme Signaturkarte [2], [6].

Obwohl die Funktion der HPC bzw. des HBA in Europa deutlich weiter verbreitet ist als die Patientendatenkarte, ist auch bei letzterer bereits jetzt ein hohes Potenzial an verallgemeinerbaren Strukturen zu erkennen. Im Sinne einer europäischen Krankenversichertenkarte (EHIC) betreffen mögliche Standardisierungsaktivitäten:

  • die Speicherung und die Struktur der Versichertendaten,
  • den EU-Behandlungsschein E111 sowie
  • den Notfalldatensatz.

Gewisse Chancen zur strukturellen und inhaltlichen Harmonisierung unabhängig von der Kartentechnologie haben zumindest auf europäischem Level auch das elektronische Rezept und die Arzneimitteldokumentation. Hingegen sind Aspekte wie Zuzahlungsstatus und Kostenquittung, elektronischer Arztbrief, elektronische Patientenakte und auch persönliche Patienteneintragungen (noch immer) sehr stark von nationalen Prozessen und Prozeduren geprägt [3].

Ergebnisse und Aktivitäten

Ziel aller heutigen Standardisierungsbemühungen auf dem Gebiet des Datenschutzes und der Datensicherheit im Gesundheitswesen (eHealth) ist auf lange Sicht die Spezifizierung einer elektronischen Gesundheitsakte (Electronic Health Record, EHR). Gesundheitskarten wie die eGK und der HBA stellen dabei Zugangs- bzw. Zugriffsmittel (Token) dar, indem sie den Karteninhaber authentifizieren (identifizieren und verifizieren) und über die auf den Karten gespeicherten geheimen Schlüssel und die Zertifikate mit den öffentlichen Schlüsseln die Sicherheit durch kryptographische Algorithmen garantieren. Alle Zugriffsberechtigten auf Daten (Patienten, Mediziner, Einrichtungen, Apotheker usw.) authentifizieren sich mit ihrer jeweiligen Karte (eGK bzw. HBA) und signieren elektronisch alle neu erfassten Daten. Auf diese Weise können patientenbezogene medizinische und administrative Daten sicher und verlässlich erfasst, gespeichert, bearbeitet und übertragen werden. Standard-basiert und harmonisiert soll in den kommenden Jahre jeder deutsche Bürger im europäischen Ausland Zugang zu seinen Daten erhalten bzw. den betreffenden Arzt im Notfall eine Zugangsmöglichkeit eröffnen können.

Im Vortrag wird auf den aktuellen Stand der Standardisierung in den betreffenden Domänen, vor allem bei der Sicherheit und bei den Karten in ISO und, wo angesprochen, in CEN eingegangen und der Einfluss der Spezifikationen in Deutschland auf die Arbeit der Gremien und umgekehrt dargestellt.

Diskussion

Die in der Einführung befindliche elektronische Gesundheitskarte (eGK) und der elektronische Heilberufeausweis (HBA) stellen den ersten Schritt zu einer Telematikinfrastruktur und damit zu einer Plattform für alle Anwendungen des Gesundheitswesens dar. Die elektronische Gesundheitsakte (EPA, EHR) ist dabei die Kernanwendung, auf der alle anderen Anwendungen aufbauen. Dabei erfüllen die Karten vor allem eine Tokenfunktion, indem sie einen definierten, rollenabhängigen Zugang zu den Anwendungen und Zugriff auf die Daten erlauben. Architektur und Infrastruktur für diese Dienste können in einem immer größer werdenden Europa und im Hinblick auf die Globalisierung in der Welt nicht als deutsche (Insel-)Lösung verstanden werden, sondern müssen sich in ein größeres Konzept einfügen. Die Standardisierung und Harmonisierung der verschiedenen Ansätze in Europa und darüber hinaus ist von eminenter Bedeutung. Der bidirektionale Austausch von Informationen und Spezifikationen auf nationaler und internationaler Ebene setzt die Kenntnis existierender Standards von ISO, CEN, HL7, ETSI usw. sowie die aktive Mitarbeit in den internationalen Gremien voraus. Hier ist in den kommenden Jahren eine erhebliche Steigerung der Effizienz erforderlich, um deutsche Insellösungen in einer globalen Welt zu verhindern und damit auch der deutschen Industrie – die sich generell global orientieren muss – die internationalen Pfade zu öffnen. Hier sei jedoch darauf verwiesen, dass zur Sicherung der Nachhaltigkeit und internationalen Harmonisierung neue Standards und Spezifikationen der Gesundheitstelematik stets serviceorientiert und folglich technologie-unabhängig sein sollten, besser: müssen.


Literatur

1.
Action Plan eEurope 2005, Ministerial Declaration, Brussels, May 22, 2003; http://europa.eu.int/information_society/eeurope/2005/all_about/ehealth/index_en.htm
2.
Spezifikation des elektronischen Heilberufeausweises; http://www.heilberufeausweis.de/
3.
Spezifikation der elektronischen Gesundheitskarte, Teil 1 v1.1 und Teil 2 v0.8; http://www.dimdi.de/de/ehealth/karte/technik/kartenspezifikation/index.htm
4.
ISO/TS 17090 Health Informatics - Public Key Infrastructure - Part 1 to 3; http://www.iso.org
5.
CEN EN 13729 "Health informatics - Secure user identification of healthcare - Strong authentica-tion using microprocessor cards"; http://www.centc251.org
6.
Gesetz über Rahmenbedingungen für elektronische Signaturen, Signaturgesetz, 2001; http://bundesrecht.juris.de/bundesrecht/sigg_2001/index.html