gms | German Medical Science

Einleitung und Fragestellung: Im März 2011 wurde die „Orientierungshilfe Krankenhausinformationssysteme“ in der aktuell gültigen Fassung veröffentlicht und dient seitdem zunehmend als Bewertungsmaßstab für die datenschutzkonforme Gestaltung und Verwendung von KIS-Systemen. Nicht alle ihrer Empfehlungen bieten genug Inhalt für die technische Konzeption. Eine spezielle Herausforderung ist der als technisch-organisatorische Datensicherheitsmaßnahme geforderte „Pseudonymisierungsdienst“ zum Schutze der Identität besonders schutzwürdiger Personen, für die eine Pseudonymisierung schon während der Behandlung im Krankenhaus zu gewährleisten ist. Diese soll auch mit einem fiktiven Namen möglich sein. Nur besonders privilegierte Nutzer sollen das Recht zur Re-Identifikation erhalten. „Standardnutzer“ sollen nicht gewahr werden, dass es sich um fiktive Personendaten handelt, d.h. ein Krankenhausinformationssystem soll in der Lage sein, anstelle der Echtdaten die Pseudonymdaten anzuzeigen [1]. Damit erfolgt primär organisatorisch begründet eine Aufspaltung ansonsten völlig homogener Benutzergruppen, welche als Folge im klinischen Alltag mit unterschiedlichen Identifikationsdaten für individuelle Patienten umgehen sollen. Kann die Wahrung des Identitätsgeheimnisses unter Verwendung eines Pseudonyms während des andauernden Krankenhausaufenthalts des Patienten konsequent gewährleistet werden?

Material und Methoden: Die Verwendung eines Pseudonyms wurde deshalb auf vorhandene Standards und ausgewählte Krankenhaus-Szenarien projiziert:

• ISO/TS25237:2008 Health Informatics – Pseudonymization
• Drittsysteme
• Korrespondenz
• rechtssichere Archivierung (Signaturgesetz) [2]

Ergebnisse: ISO/TS25237:2008: Die Spezifikationen des Standards bilden die Verwendung eines Pseudonyms im Hauptsystem während der andauernden Krankenhausbehandlung eines Patienten nicht ab. Es existiert schlichtweg kein verbindlicher Standard, an dem sich die KIS-Hersteller bei der technischen Konzeption orientieren können.

• Drittsysteme: Krankenhäuser betreiben heterogene KIS-Kompositionen und sind mit Dritten über vereinbarte Kommunikationswege vernetzt (z.B. §301, DaleUV, PKV, intersektorale Partner). Bei bidirektionalen Szenarien müssten alle vernetzten Systeme standardisiert die Echtdaten und Pseudonyme verwalten, darstellen und inklusive der patientenindividuell definierten Zugriffsberechtigungen austauschen können. Dies gilt insbesondere für personenbezogene (Meta-) Informationen der Datenobjekte (z.B. Arztbriefe, Befunddaten, Bilddaten, Aufträge, Archivdaten). In letzter Konsequenz muss eine vollständige Standardisierung des digitalen Informationsaustauschs, des Patienten-Identitätsmanagements und der Berechtigungsadministration aller patientenbezogen agierenden Organisationen im Gesundheitswesen erfolgen. Dieses optimale Szenario ist in naher Zukunft nicht zu erwarten.
• Korrespondenz: Ein signifikanter Anteil der patientenbezogenen Korrespondenz vom Krankenhaus mit Dritten erfolgt auch heute noch papierbasiert (bzw. Dokumentenscan). Die damit verbundenen klinischen sowie administrativen Prozesse sind abteilungs-/fachbereichsübergreifend und vollkommen dezentralisiert organisiert, zusätzlich sind Verwendungszweck bzw. Verarbeitungskontext breit gefächert (z.B. Einweiserbriefe, KV-Formulare, Rechnungen, Entlassbriefe). Abhängig vom jeweiligen Verwendungszweck und der entsprechenden konkurrierenden Gesetzgebung kommt die Benutzung eines Pseudonyms teilweise nicht in Betracht. Die konsistente Wahrung des Identitätsgeheimnisses entzieht sich damit jedweden technischen Möglichkeiten.
• Rechtssichere Archivierung: Im Kontext der rechtssicheren digitalen Archivierung stellt die benutzer-abhängige Darstellung der Pseudonym- bzw. Echtdaten bei der Präsentation revisionssicherer Dokumente im Hinblick auf das Identitätsgeheimnis eine aktuell technisch nicht umsetzbare Herausforderung dar. Diese Anforderung steht im krassen Gegensatz zum Signaturgesetz.

Diskussion: Im Gesamtgefüge der Krankenhauskommunikation ist es aus technischer Sicht unvermeidbar, dass auch „Standardnutzer“ ohne Autorisierung zur Re-Identifikation schutzwürdiger Patienten in Kontakt mit deren echten Identifikationsdaten kommen. Indirekt ergibt sich dadurch zusätzlich das Risiko diverser Verwechslungsszenarien patientenbezogener klinischer Daten, die im Extremfall letale Folgen hätten. Für die konsequente und patientensichere Integration eines „Pseudonymisierungsdienstes“ ist eine weitergehende Beschreibung insbesondere der organisatorischen Komponente notwendig, sowie das Aufzeigen klar umschriebener und abgeschlossener Anwendungsszenarien.