IT & Kommunikation

KIS: Dilemma zwischen Datenschutz und Datenverfügbarkeit

02.08.2012 -

Datenschützer nehmen das KIS ins Visier - für die Branche ein Drahtseilakt zwischen dem Schutz persönlicher Daten und dem Vorteil von Informationsverfügbarkeit in Sachen Behandlungsqualität und Effizienz.

Der Schutz persönlicher Daten hat gerade, wenn es um die Gesundheit geht, besondere Bedeutung. Deshalb verwundert es nicht, dass das Thema im Fokus der staatlichen Stellen stellt, die allerdings einerseits selbst die breitere Verfügbarkeit der Informationen fördern und andererseits Wildwüchse und nicht autorisierte Verwendung verhindern wollen. Kein einfacher Anspruch.

Die Datenverfügbarkeit ist eher ein technisches Problem, das sich durch zunehmende Vernetzung, Schnittstellen- und Protokollstandards ständig verbessert. Mobile Geräte wie Touch-Pads, Smartphones etc. haben große Fortschritte gebracht und die Daten dahin, wo sie gebraucht werden: direkt ans Krankenbett, in den Operationssaal oder in dezentrale Einrichtungen. Derartige Bestrebungen werden weithin gefördert und sind gewünscht. Die Gründe dafür sind allseits bekannt: kürzere Behandlungszeiten durch abteilungsübergreifenden Informationsfluss, höherer Behandlungserfolg durch schnellere und umfassendere Informa­tio­nen über Vorerkrankungen, geringere Administrationskosten durch straffere Prozesse etc.

Während die einen also die Errungenschaften des Internet-Zeitalters loben, heben andere warnend den Zeigefinger. Nicht nur Branchenkenner sagen, das sei auch gut so. Beispiele über missbräuchlichen Datenabruf gibt es genügend. Einfach ist es nicht, den Stein Datenverfügbarkeit, ins Rollen gebracht, in die richtigen Bahnen zu lenken. Ein Augenmerk der Datenschützer liegt jetzt auf den Krankenhausinformationssystemen, dem Herzstück und der administrativen Datenzentrale eines Krankenhauses also. Den Systemen, die gerade große Fortschritte in Sachen Integration und dezentrale Datenverfügbarkeit machen. „In Sachen Datenschutz ist es wichtig, die richtige Balance zwischen Datenschutz, Usabil­ity und Patientensicherheit zu finden", bringt es Dr. Christian Wache, Leiter des Produktmanagements bei Meierhofer, in seinem Vortrag auf der conhiT 2012 auf den Punkt.

Orientierungshilfe als Handlungsleitfaden

Mit der Orientierungshilfe Krankenhausinformationssysteme haben die Datenschutzbeauftragten des Bundes und der Länder unter Mitarbeit der Datenschutzbeauftragten der evangelischen und katholischen Kirchen einen Leitfaden erarbeitet, der Maßnahmen aufzeigen soll, wie sich die gesetzlichen Vorgaben umsetzen lassen. Es gilt das „Need to know"-Prinzip, schreibt etwa das Universitätsklinikum Schleswig-Holstein auf seiner Internetseite und gibt darin auch offenkundig zu, dass einst 5.500 Mitarbeiter unbeschränkten Zugriff auf sämtliche Patientendaten hatten. Man hatte reagiert, bei einer Überprüfung im September 2010 waren es nur noch 300. Es zeigt sich aber, wie wichtig eine Kontrolle ist, wer wann welche Daten zu sehen bekommt. Auch die KIS-Hersteller stehen dem Vorstoß in Sachen Datenschutz positiv gegenüber. „Als Softwareanbieter begrüßen wir es natürlich, dass mit einer konzertierten Orientierungshilfe ein bundesweit einheitlicher und klarer Konsens geschaffen wird. Im Interesse der Patienten ist allerdings nicht nur der Schutz seiner Daten, sondern auch seine bestmögliche medizinische Versorgung. Das bedingt schnelle Abläufe und einfachen Zugriff auf relevante medizinische Daten durch das behandelnde Personal. Hier eine Balance zu finden zwischen Datenschutz, Patientensicherheit und Praktikabilität ist eine Herausforderung, der wir uns im Dialog mit den Datenschützern stellen werden", urteilt Bernhard Calmer, Leiter IT-Vertrieb des Healthcare Sektors von Siemens.

Ob Datenschutz und optimale Patientenversorgung im Widerspruch zueinander stehen, haben das Landeskrankenhaus und der Landesbeauftragte für den Datenschutz und die Informationssicherheit in Rheinland-Pfalz in einem Referenzprojekt von April 2011 bis August 2012 untersucht. Das Landeskrankenhaus verfügt über vier Kliniken mit Einrichtungen an insgesamt 18 Standorten. Applikationen, Datenbanken und die Benutzerprofile werden zentral verwaltet. Jeder Standort verfügt zudem über Domänencontroller und lokale Dateiserver. Insgesamt sind 1.430 Arbeitsplätze und rund 3.000 Mitarbeiter und Mitarbeiterinnen angeschlossen. Im seit 2005 eingesetzten Krankenhausinformationssystem seien 430.000 Fälle gespeichert. Großteile der in der Orientierungshilfe vorgegebenen Muss-Anforderungen seien abgedeckt, heißt es. Nachbesserungsbedarf gab es beim Rollen- und Berechtigungskonzept, das zwar vorhanden, aber als zu grob eingeschätzt worden war und sich stärker an den konkreten Aufgaben eines Mitarbeiters ausrichten sollte. Konzeptionell ungelöst war die Frage, in welchem Umfang und in welcher Weise die vorhandenen Protokolldaten ausgewertet werden. Offene Punkte gab es zudem bei der Archivierung und Löschung von Daten und dem Datenschutz besonderer Patientengruppen. Im abschließenden Fazit äußerten sich die Beteiligten positiv. „Es hat sich bestätigt, dass der Datenschutz einer optimalen Patientenversorgung im Krankenhaus nicht entgegensteht. Ein datenschutzgerechter Einsatz von IT-Systemen im Krankenhausbetrieb ist möglich und notwendig", so der rheinland-pfälzische Landesdatenschutzbeauftragte Edgar Wagner.

Funktion kann gelebten Datenschutz nicht ersetzen

Gefordert sind dabei sowohl die Krankenhäuser als auch die Hersteller von Krankenhaus-Informationssystemen. „Software kann zur Umsetzung von Datenschutzanforderungen beitragen, indem sie neben Berechtigungskonzepten mit Gruppen und Rollen die Möglichkeit des fallbezogenen Zugriffs auf Patientendaten und Mechanismen zur Konsil- und Notfallsteuerung bietet. Solche Mechanismen sind beispielsweise die zeitliche Begrenzung von Rechten und die Möglichkeit der automatischen Rechtevergabe nach definierten Regeln. So lassen sich auch Daten von VIP-Patienten oder Klinik-Mitarbeitern wirkungsvoll und einfach vor unbefugtem Zugriff schützen", so Dr. Wache.

Die von Dr. Wache erwähnten VIPs sollen auch in dem KIS des Landeskrankenhauses von Rheinland-Pfalz künftig softwareseitig funktionell besser geschützt werden. Die Funktion sei in einem kommenden Release angekündigt und soll dann auch genutzt werden. Auf der Wunschliste stehen dagegen noch eine automatisierte Funktion der Archivierung von Patientenakten nach Behandlungsabschluss und eine Löschfunktion, welche es erlaubt, zeitgesteuert einzelne Datenkategorien oder vollständige Fälle zu löschen. „Wir werden auch den Hersteller unseres Krankenhaus-Informationssystems in die Pflicht nehmen, um einen guten Datenschutz praktikabel umzusetzen", hebt Dr. Gerald Gaß, Geschäftsführer des Landeskrankenhauses (AöR), bei der Projektpräsentation hervor.

Funktionelle Anpassungen im KIS und ein kritischer Umgang mit den sensiblen Daten im Krankenhaus müssen dabei Hand in Hand gehen. Dr. Wache: „Das beste Datenschutzkonzept in einem KIS ist jedoch nutzlos, wenn Datenschutz nicht konsequent organisatorisch gelebt wird. Oft sind es nicht die technischen Voraussetzungen, die einem datenschutzkonformen Umgang mit sensiblen Informationen im Wege stehen, sondern Gewohnheiten wie stationsbezogene Sammel-Accounts, über die sich mehrere Mitarbeiter einloggen, oder Passwörter, die deutlich sichtbar an der Pinnwand hängen."

 

Folgen Sie der
Management & Krankenhaus

 

 

MICROSITE Gesundheits-technologie

Lesen Sie hier

MICROSITE Digitale Identität

Lesen Sie hier

Folgen Sie der
Management & Krankenhaus

 

 

MICROSITE Gesundheits-technologie

Lesen Sie hier

MICROSITE Digitale Identität

Lesen Sie hier