gms | German Medical Science

1. Einleitung: Vor dem Hintergrund, dass sich alle Potenziale in der Wertschöpfungskette nur dann entfalten können, wenn eine starke, regionale Vernetzung aller beteiligter Akteure vorhanden ist, startete das Bundesministerium für Bildung und Forschung (BMBF) [01KQ1003C], im Jahr 2009 die Initiative „Gesundheitsregion der Zukunft“. Eine von insgesamt fünf ausgewählten Gesundheitsregionen ist die Metropolregion Rhein-Neckar, für die das Projekt INFOPAT ins Leben gerufen wurde. INFOPAT steht für „Informationstechnologie für patientenorientierte Gesundheitsversorgung in der Metropolregion Rhein-Neckar“.

Dieses Projekt ist in verschiedenartige Teilprojekte gegliedert; Teilprojekt P2 befasst sich unter anderem mit der persönlichen, einrichtungsübergreifenden, elektronischen Patientenakte (PEPA) [1].

Die Einhaltung der Vorschriften zum Datenschutz sowie die Berücksichtigung der gesellschaftlichen Sensibilität dieses Themas sind bei der PEPA-Infrastruktur von zentraler Bedeutung.

Die Orientierungshilfen, die zur Umsetzung der datenschutzrechtlichen Anforderungen im Gesundheitssektor dienen, fordern eine Dokumentation aller getätigten Zugriffe auf die sensiblen Patientendaten [2].

Zum vereinfachten Informationsaustausch sowie zur vereinfachten Kooperationsmöglichkeit werden in der Gesundheits-IT vermehrt Standards eingesetzt. Die „Integrating the Healthcare Enterprise“ (IHE), eine Initiative von Anwendern und Herstellern im Gesundheitswesen, beschreibt dazu in sogenannten Profilen die einzelnen Prozesse im Gesundheitswesen und definiert die Kommunikationsabläufe der unterschiedlichen Akteure mit Hilfe von Standards [3].

Um den beschriebenen datenschutzrechtlichen Anforderungen zu entsprechen, kann das IHE-Profil ATNA (Audit Trail and Node Authentication) verwendet werden.

Dieses Profil beschreibt zum einen den Aufbau von vertrauenswürdigen Verbindungen zwischen unterschiedlichsten Systemen, zum anderen das Erfassen der durchgeführten Zugriffe auf die Patientendaten [3]. Auf dem Markt existieren bereits Open Source Lösungen wie z.B. OpenATNA, die dieses IHE Profil umsetzen. Empfehlungen zur Auswertung der Daten werden in diesem Profil jedoch nicht behandelt.

2. Material: OpenATNA setzt, im Gegensatz zu anderen Lösungen, das IHE Profil ATNA vollumfänglich um. Die durchgeführte Evaluation soll zeigen, dass die projektspezifischen Datenschutz-Anforderungen von OpenATNA abgedeckt werden können.

2.1 Evaluation OpenATNA

Die durchgeführte Evaluation beruht auf dem „Logic of Sequence“ Prinzip von Peter Baumgartner.

1. Formulierung von Wertekriterien: In der ersten Phase werden jene Kriterien ausgewählt und definiert, die die Anwendung erfüllen muss, um für den Projektkontext geeignet zu sein [4]. Folgende Wertekriterien wurden, basierend auf Quelle [4], entwickelt:

2. Formulierung von Leistungsstandards: Für jedes einzelne Kriterium wird eine Norm definiert, die die Anwendung erreichen muss, damit das Kriterium als erfüllt angesehen werden kann. Des Weiteren wurde in diesem Schritt eine Gewichtung der einzelnen Kriterien absteigend von Level 1 bis 3 durchgeführt [4]. Für die Wertekriterien werden im Folgenden Leistungsstandards definiert.

• Wertekriterium: 1
  Leistungsstandard: eine sichere Verbindung zu anderen Systemen aufgebaut ist.
  Level: 2
• Wertekriterium: 2
  Leistungsstandard: eine Protokollierungsnachricht das Audit-Repositorium erreicht.
  Level: 1
• Wertekriterium: 3
  Leistungsstandard: das Audit-Repositorium nur Audit-Nachrichten akzeptiert die standardkonform aufgebaut bzw. strukturiert sind.
  Level: 1
• Wertekriterium: 4
  Leistungsstandard: die Informationen einer Audit-Nachricht vollständig in einer Datenbank gespeichert ist.
  Level: 1

3. Messung: Im nächsten Schritt wird jedes Kriterium untersucht, gemessen und mit den jeweils vorgegebenen Leistungsstandards verglichen. Die Toleranzgrenze, inwieweit das Kriterium unterhalb des Leistungsstandards liegen darf, ist vorgegeben [4]. Folgende Messmethoden werden für die definierten Wertekriterien eingesetzt:

• Wertekriterium: 1
  Messung: Erfassung der Anzahl erfolgreich versendeter Nachrichten.
• Wertekriterium: 2
  Messung: Erfassung der Anzahl der vom Repositorium empfangenen Nachrichten.
• Wertekriterium: 3
  Messung: Erfassung der Anzahl der validierten Audit-Nachrichten.
• Wertekriterium: 4
  Messung: Erfassung der Anzahl der gespeicherten Informationen der Audit-Nachrichten.

4. Werturteil (Synthese): In dieser letzten Phase der Evaluation werden die verschiedenen Ergebnisse zu einem einheitlichen Werturteil zusammengefasst. Dabei wird insbesondere die Gewichtung der Kriterien berücksichtigt [4].

2.2 User Centered Design Prozess

Die evaluierte Software bietet keine geeignete Anwenderunterstützung zur Prüfung der erfassten Zugriffe auf sensible Patientendaten. Daher wird eine eigenständige Anwendung mit Hilfe des User Centered Design Prozess konzipiert und entwickelt. Der User Centered Design Prozess beschreibt ein Vorgehen, das den Nutzer kontinuierlich in den Entwicklungsprozess einbezieht [5]. Folgende Methoden wurden innerhalb des User Centered Design verwendet:

• Befragung: Spezifikation des Benutzerkontextes.
• Simulationen: Prototypen.
• Usability Tests: Evaluation der Nutzungsqualität anhand zuvor definierter Usability Kriterien.
• Interviews: Erfassen von qualitativen Daten im Hinblick auf die Nutzerzufriedenheit mit dem Produkt.

3. Ergebnisse:

Evaluation: Die Evaluation von OpenATNA ergab, dass jedes vorgegebene Kriterium für eine erfolgreiche Zugriffserfassung und -speicherung erfüllt wird. Das heißt es wurden alle Level 1-Kriterien sowie das Level 2-Kriterium einer Systemkommunikation über TLS (Transport Layer Security) erfüllt.

Während der Evaluation traten Probleme mit der Kommunikation über UDP (User Datagram Protocol) auf, jedoch wird dieses Netzwerkprotokoll nicht seitens des Projekts eingesetzt. Letztendlich ergab sich aus der Evaluation, dass OpenATNA für den Einsatz im INFOPAT-Projekt geeignet ist.

User Centered Design: In Zusammenarbeit mit den Anwendern der Anwendung, in diesem Falle dem Datenschutzbeauftragten, sind folgende Anforderungen und die daraus resultierenden Anwendungsfälle entwickelt worden:

• Suche über eine vorgegebene Suchmaske nach Zugriffen auf gesundheitsrelevante Daten (z.B. über Datum, Zeitspanne, Gesundheitseinrichtung).
• Erstellung einer eigenen Suchanfrage aus verschiedenen Suchkriterien. Zusätzlich soll die Möglichkeit eingeräumt werden, wiederkehrende Suchmuster speichern zu können.
• Durchführung von gesetzlich vorgeschriebenen Stichprobenprüfungen der Zugriffe gemäß § 10 Abs. 4 S. 3 Bundesdatenschutzgesetz (BDSG).
• Ermittlung von Zugriffsdaten zur Auswertung (z.B. häufigsten Zugriffe auf ein Dokument, Notfallzugriffe).
• Implementierung des Akteur Secure Node um, wie im IHE Profil spezifiziert, Nutzeraktionen auf der Benutzeroberfläche zu dokumentieren.

Um den Entwicklungsaufwand der Anwendung möglichst gering zu halten, wurde auf bereits existierende Portallösungen zurückgegriffen. Die Open-Source Portallösung Liferay wurde zur Entwicklung der Anwendung verwendet. Liferay bietet ein umfang-reiches Framework, welches auf einer Reihe von Java-Technologien basiert.

4. Diskussion: Erst im Produktivbetrieb kann abschließend festgestellt werden, inwieweit OpenATNA zur Erfassung der Datenzugriffe geeignet ist. Durch die beschriebene und durchgeführte Evaluation kann jedoch angenommen werden, dass größere Probleme auch im Produktivbetrieb ausgeschlossen sind. Auch die Anwendung zur Prüfung der erfassten Zugriffe auf sensible Patientendaten wird ihr Potential erst im alltäglichen Einsatz zeigen. Es ist daher abzuwarten, wie hoch die Akzeptanz der Anwendung durch die Datenschutzbeauftragten ist. Zusätzlich zur hier beschriebenen Anwendung kann eine weitere Lösung für Patienten angedacht werden, damit diesen eine eigene Kontrolle über die Zugriffe auf Ihre Daten ermöglicht wird.