In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Balance zwischen Erforderlichkeit und - Medizin-EDV

Werbung 
Ausgabe 3/2011
Titelthema
Balance zwischen Erforderlichkeit
und Angemessenheit finden
Orientierungshilfe „Technische Anforderungen an die Gestaltung
und den Betrieb von Krankenhausinformationssystemen“
Für KIS bzw. KIS- Komponenten bedarf es
einer Konfiguration des Systems, die im Betrieb die datenschutzrechtlichen Anforderungen berücksichtigt. Orientierungshilfe
dazu wollen die Maßnahmen „Technische
Anforderungen an die Gestaltung und den
Betrieb von Krankenhausinformationssystemen“ geben. Experten aus Wissenschaft,
Krankenhaus-Anwendung und Industrie erörtern sie konstruktiv-kritisch.
Die Orientierungshilfe „Technische Anforderungen an die Gestaltung und den Betrieb
von Krankenhausinformationssystemen“
haben die Arbeitskreise „Technik“ sowie
„Gesundheit und Soziales“ der Konferenz
der Datenschutzbeauftragten des Bundes
und der Länder erarbeitet. Sie beschreibt
Maßnahmen zur technischen Umsetzung
der bestehenden datenschutzrechtlichen
Regelungen und der Vorgaben zur ärztlichen Schweigepflicht beim Einsatz von
Krankenhausinformationssystemen.
Der datenschutzkonforme Einsatz eines
Krankenhausinformationssystems erfordert
in erster Linie bestimmte Funktionalitäten in
den eingesetzten Produkten. In diesem Zusammenhang sind vor allem die Hersteller
entsprechender Produkte angesprochen. Deren Verantwortung erstreckt sich darauf, dass
ein KIS bzw. einzelne KIS-Komponenten so
gestaltet sind, dass zur Umsetzung datenschutzrechtlicher Vorgaben geeignete Funktionen und Mechanismen zur Verfügung stehen. Ergänzend bedarf es einer Konfiguration
des Systems, die im Betrieb die datenschutzrechtlichen Anforderungen berücksichtigt.
Dies liegt in der Verantwortung der Betreiber
der Systeme als die datenschutzrechtlich verantwortlichen Stellen.
Die Anforderungen werden daher nach
drei Kategorien unterschieden:
● Anforderungen, die Konzeption und Gestaltung der Produkte durch die Hersteller betreffen (H),
● Anforderungen, die den Einsatz der Produkte im Krankenhaus betreffen und auf
die Konfiguration und Nutzung durch
den Anwender/Betreiber zielen (B) und
20
● Anforderungen, die sich an Hersteller und
Betreiber gemeinsam richten, da eingeschätzt wird, dass sie eine krankenhausindividuelle Anpassung in Zusammenarbeit des Herstellers und des Betreibers
erfordern (HB).
Weiterhin wird differenziert zwischen
zwingenden Anforderungen („muss“),
Anforderungen ohne deren Einhaltung
ein datenschutzgerechter Betrieb eines
KIS wesentlich erschwert wird („soll“)
und Anforderungen die allgemein einen
datenschutzfreundlichen Einsatz unterstützen („sollte“). Die Maßnahmen nehmen
auf die in Teil I der Orientierungshilfe „Krankenhaus-Informationssysteme (KIS) datenschutzgerecht gestalten und betreiben“ dargestellten normativen Eckpunkte zur
Zulässigkeit von Zugriffen auf elektronische
Patientendaten im Krankenhaus Bezug und
geben Hinweise zu einer datenschutzkonformen Gestaltung und einem datenschutzgerechten Betrieb von Krankenhausinfor mationssystemen.
Die Autoren wollen Wissenschaftler,
Krankenhaus-IT-Anwender und IndustrieVertreter zur Diskussion über die Empfehlungen der Datenschutzbeauftragten des
Bundes, der Länder und der Kirchen zur Gestaltung und zum Betrieb von Krankenhausinformationssystemen einladen.
Zu wenige Antworten auf zentrale
Fragen aus der Praxis
Professor Dr. Paul
Schmücker, Hochschule Mannheim,
Institut für Medizi nische Informatik
([email protected])
Die Empfehlungen
der Datenschutzbeauftragten des Bundes, der Länder und
Kirchen sind grundsätzlich zu begrüßen.
Sie bieten für die Patienten einen umfangreichen Schutz ihrer persönlichen medizinischen Daten und den Mitarbeitern
der Krankenhäuser, den Beratern und den
Entwicklern von Krankenhaus-Software
detaillierte Empfehlungen zur Umsetzung
des Datenschutzes bei der Gestaltung und
dem Betrieb von Krankenhausinformationssystemen.
Die Leser fragen sich allerdings, warum
die Empfehlungen nicht für alle Einrichtungen des Gesundheitswesens mit patientenorientierten Informationssystemen erarbeitet wurden. Von den Datenschutzbeauftragten
wurden die normativen Eckpunkte zur Zulässigkeit von Zugriffen auf elektronische Patientendaten im Krankenhaus und die technischen Anforderungen an die Gestaltung
und den Betrieb von Krankenhausinformationssystemen erarbeitet. Die neuen Datenschutzempfehlungen gehen weit über die bisherigen Anforderungen und Realisierungen
hinaus. Bisher hat man sich bei der Rechtevergabe für den Zugriff auf und die Arbeit
mit elektronischen Patientenakten im Wesentlichen auf Benutzerkategorien (z.B. Ärzte, Pflegekräfte, Sekretärinnen) und Fachabteilungen begrenzt. In den neuen
Datenschutzempfehlungen betrachtet man
den Datenschutz bis auf die Ebene der funktionsbezogenen Organisationseinheiten. Bei
diesen handelt es sich um die kleinsten organisatorischen Behandlungseinheiten innerhalb eines Krankenhauses, in denen Patienten von einer oder interdisziplinär von
mehreren Fachrichtungen (z.B. Fachabteilung, Klinik, Station, Gruppe von Konsiliarärzten) behandelt werden. Patienten und
Krankenhausmitarbeiter können mehreren
funktionsbezogenen Organisationseinheiten
zugeordnet werden.
Außerdem wird zwischen aktuellen Behandlungsdaten und abgeschlossenen Behandlungsfällen (Archivdaten) differenziert.
Teilweise neu werden in den Empfehlungen
Verarbeitungskontexte (z.B. Patientenaufnahme, Behandlung, Pflege, Qualitätsmanagement), Rollen (z.B. administrative Aufnahmekraft, Bereitschaftsdienst, Anästhesist,
Belegarzt, Pflegekraft, Konsiliar, Anwen-
Titelthema
dungsadministration, Berechtigungsadministration), Datenarten (z.B. Stammdaten, medizinische oder pflegerische Daten) und der
Status der Behandlung (z.B. in Behandlung,
Behandlung abgeschlossen, Abrechnung noch
nicht abgeschlossen) eingeführt. Der Patient
kann der Hinzuziehung von Vorbehandlungsdaten widersprechen. In heterogenen
Krankenhausinformationssystemen sollen redundante Datenhaltungen möglichst vermieden werden, in diesem Falle werden Referenzen auf die zuerst gespeicherten Daten
empfohlen. Auf elektronischen Speichermedien sollten die Patientendaten möglichst
verschlüsselt abgelegt werden. Ein weiterer
Punkt ist die vollständige Protokollierung aller DV-Aktivitäten in den patientenorientierten DV-Anwendungssystemen.
Während die Zugriffe auf Patientendaten bisher häufig durch die Dokumentation
von Aufnahmen, Verlegungen oder Entlassungen gesteuert wurden, sollen künftig die
Zugriffe verstärkt durch diagnostische, therapeutische, pflegerische und konsiliarische
Maßnahmen geregelt werden. Somit müssen
in den Krankenhausinformationssystemen
demnächst auch vermehrt diagnostische, therapeutische, pflegerische und konsiliarische
Maßnahmen elektronisch angefordert werden. Zur Regelung der Zugriffsrechte und
partiellen automatischen Aktivierung dieser
sollen Behandlungspfade und administrative
Geschäftsprozesse in der Fallakte hinterlegt
und Dienst- und Behandlungspläne berücksichtigt werden.
Nun stellt sich die Frage, ob die vorgelegten sehr differenzierten Empfehlungen, u.
a. ein sehr umfangreiches Rollen- und Berechtigungsmanagement, eine Historienverwaltung der Rechte, eine umfangreiche Protokollierung der Aktivitäten der Benutzer und
des administrativen Personals, in den patientenorientierten Software-Komponenten
und in den DV-Anwendungssystemen vor
Ort abbildbar sind. Diese Frage kann mit Sicherheit erst die Zukunft endgültig beantworten. Die bisherigen Erfahrungen zeigen,
dass die Datenschutzkonzepte in der Vergangenheit nur schwer komplett mit der eingesetzten Software realisiert werden konnten und Anpassungswünsche bezüglich der
Datenschutzanforderungen nur sehr langsam
von den Firmen realisiert wurden.
Umfangreiche Erweiterung
der KIS-Komponenten
Die Forderungen der Datenschutzbeauftragten werden zwangsläufig zu einer um-
fangreichen Erweiterung der rechnerunterstützten Komponenten der Krankenhausinformationssysteme führen und zahlreiche Konsequenzen für die lokale
Adaption der Anwendungssysteme haben.
In heterogenen Systemarchitekturen werden die systemübergreifende Bereitstellung,
Übergabe und Übernahme von Zugriffsrechten zu einer immensen Herausforderung werden.
Ein Punkt aus den Empfehlungen sollte
besonders erwähnt werden: Die lebenslange
Krankenversicherungsnummer darf nicht als
Ordnungskriterium von Datenbanken oder
als universelle Patientennummer im MasterPatient-Index verwendet werden, um eine
umfassende Verknüpfbarkeit von Datenbeständen zu verhindern. Damit ist die Illusion dahin, die fehlerbehaftete und aufwendige Patientenidentifikation abzulösen, die an
zahlreichen Quellen entstehenden Patientendaten sicher und fehlerfrei zusammenzuführen und dafür die lebenslange Krankenversicherungsnummer zu übernehmen.
Leider gehen die vorgelegten Konzepte
zu wenig auf den einrichtungsübergreifenden Informationsaustausch ein. Auch wird
der Datenschutz bei klinischen Studien nicht
ausführlich behandelt. Ferner berücksichtigen die Empfehlungen zu wenig zentrale
Fragen aus der Praxis. So findet man beispielsweise keine Aussage, ob ein Arztbrief
automatisch ohne ausdrückliche Zustimmung des Patienten an den Einweiser und
Nachbehandler gesendet werden darf, wie
das Alter der Patientenakte bestimmt wird
oder wie lange die einzelnen Benutzergruppen auf die elektronischen Patientendaten zugreifen dürfen.
Leider fehlen in der technischen Konzeption auch standardisierte Datensatzbeschreibungen für die Protokollierung der DVAktivitäten. In diesem Fall könnte man
Standard-Software für die vielfältigen Auswertewünsche der Protokolldaten entwickeln.
Hierdurch könnte man sicherlich hohe Aufwände und Kosten sparen, wenn nicht jede
Firma und jedes Krankenhaus Eigenentwicklungen für die Auswertungen der Protokollierungen durchführen muss.
Aus den vorgelegten Konzepten ist leider nicht eindeutig erkennbar, ob es sich dabei lediglich um Empfehlungen handelt oder
ob den Nutzern von klinischen Informationssystemen Strafen oder andersartige Sanktionen bei Nichtbeachtung der Datenschutzanforderungen drohen.
www.hs-mannheim.de
Ausgabe 3/2011
Initiative mit einer
gewissen normativen Kraft
Prof. Dr. Klaus Pommerening, Institut für Medizinische Biometrie, Epidemiologie und Informatik Universitätsmedizin der JohannesGutenberg-Universität, Mainz; GMDS-AG
„Datenschutz“ ([email protected];
[email protected])
Welche Chancen bieten die „Technischen
Anforderungen an
den KIS-Betrieb für
Krankenhäuser“
hauptsächlich?
Die gegenwärtigen
KIS bilden die rechtlichen Anforderungen der ärztlichen
Schweigepflicht und
die daraus resultierenden besonders
strikten Datenschutz-Anforderungen bisher nicht ausreichend ab. Das wissen Hersteller und Betreiber sehr gut und äußern
auch immer wieder ihren prinzipiellen guten Willen, die Defizite zu beheben. Wenn
es aber konkret wird, schieben Hersteller
und Betreiber sich oft gegenseitig den
schwarzen Peter zu: „Die Hersteller bieten
die nötigen Funktionen ja gar nicht an!“
– „Die Betreiber fragen die nötigen Funktionen ja gar nicht nach!“ Als dahinter liegende Motive kann man bei Herstellern erkennen, dass der Einbau dieser Funktionen
in ihr KIS Kosten verursachen würde, aber
ein Wettbewerbsvorteil nicht unmittelbar
erwartet wird. Die Weichen für die Systemauswahl sind ja langfristig gestellt, das
Krankenhaus kann nicht mal eben schnell
zu einem anderen Anbieter wechseln. Bei
den Betreibern – den Krankenhaus-IT-Abteilungen – besteht die Furcht, dass die nur
mit Mühe beherrschte Komplexität des KIS
durch die Berücksichtigung weiterer restriktiver Rahmenbedingungen noch wachsen würde, und das bei chronisch unzureichender Ressourcenausstattung. Ein
gerade mal funktionierendes System umzukrempeln, könnte Harakiri bedeuten. Darüber hinaus haben Sicherheitsmaßnahmen
im KIS wie überall im Leben keine attraktiven Auswirkungen, man bemerkt sie nicht
positiv, wenn sie funktionieren, und sie
sind daher nicht geeignet, Begeisterung
zu wecken. Vor diesem Hintergrund kann
eine externe Initiative, die allen Betei-
21
Zugehörige Unterlagen
Senior Applikationsentwickler/in Klinische
Senior Applikationsentwickler/in Klinische
SichereS PatientenPortal - Telekom Healthcare Solutions
SichereS PatientenPortal - Telekom Healthcare Solutions
Sicheres Patientenportal - Telekom Healthcare Solutions
Sicheres Patientenportal - Telekom Healthcare Solutions
Künstliche Intelligenz für Snake
Künstliche Intelligenz für Snake
PDF - Leibniz Gemeinschaft
PDF - Leibniz Gemeinschaft
Krankenhaus-Informationssysteme (KIS)
Krankenhaus-Informationssysteme (KIS)
KIS Prospekt (Jahr 2012) - Kiepenheuer
KIS Prospekt (Jahr 2012) - Kiepenheuer
Tablets und Smartphones im Klinikalltag - Medizin-EDV
Tablets und Smartphones im Klinikalltag - Medizin-EDV
Thema zwei: KIS – Kaum Informationen Sichtbar
Thema zwei: KIS – Kaum Informationen Sichtbar
IMPRESSUM Verantwortlich für den Inhalt der Seite
IMPRESSUM Verantwortlich für den Inhalt der Seite
IT-Mitarbeiter/innen - Universitätsklinikum Bonn
IT-Mitarbeiter/innen - Universitätsklinikum Bonn
Projektskizze
Projektskizze
Herunterladen
Werbung