Die Frage der Ermächtigungspolitik hinsichtlich des Zugriffs auf Patientenakten ist ein weitläufiges Thema. Die Antwort ist vielschichtig und muss, aufgrund der Komplexität der Einrichtungen und der Vielzahl von beteiligten Berufsgruppen, zahlreiche Faktoren berücksichtigen.
Im Folgenden geht es darum, einige Grundsätze zusammenzufassen und bestimmte Verwendungsweisen zu beschreiben, die durch die erweiterten Funktionen bestimmter Softwarehersteller, wie beispielsweise EVOLUCARE, möglich gemacht wurden. Ziel ist es, Überlegungen zu Sicherheitsmaßnahmen und deren notwendige Anpassung an die Weiterentwicklung der Verfahrensweisen und Vorschriften zu ermöglichen.
Von Nadou Yeo, CISO Evolucare, Lân Guichot, Berater und Romain Le Guilcher, Stellvertretender Generaldirektor und Kommunikationsleiter Evolucare.
Die Verwaltung der Zugriffsrechte für die Patientenakte steht der Entwicklung der klinischen und medizinischen Verfahrensweisen und der Behandlung der Patienten gegenüber:
- Wir sind nach und nach von einer minimalistischen Patientenakte hin zu einer möglichst umfangreichen Akte übergegangen, die ein Höchstmaß an Fachgebieten abdeckt;
- Die Behandlungen entwickeln sich hin in Richtung eines Behandlungspfads, der darauf abzielt, die Unterbrechungen zwischen den Behandlungsetappen bzw. Behandlungsereignissen zu beseitigen, ganz im Sinne einer kontinuierlichen, gebietsübergreifenden Pflege. Die Koordination, die die Zusammenarbeit zwischen den Berufsgruppen fördert, führt also zwangsläufig zur Weitergabe der Informationen, die jeder Einzelne erstellt;
- Diese Behandlungspfade sind zusehends polypathologisch und erfordern einen Informationsaustausch, der für die Sicherheit des Patienten zwischen den verschiedenen Behandlungsereignissen oft maßgeblich ist;
- Der Patient ist zu einem „Patienten/Bürger“ geworden, der von einer ganzheitlichen Perspektive aus betrachtet werden muss, das heißt unter Berücksichtigung sowohl der Gesundheitskomponente als auch seiner sozialmedizinischen Situation;
- Die medizinischen Einrichtungen, die zunächst eigene Einheiten waren, werden zu Mehrfacheinrichtungen, wie Krankenhausverbünde, Klinikkonzerne usw.
Angesichts dieser grundlegenden Trends müssen sich die aktuellen Konzepte zur Rechteverwaltung anpassen. Man kann heute von 2 großen Konzepten der Rechteverwaltung ausgehen:
- Eine chronologische Sichtweise, die einer bestimmten Fachkraft den Zugriff auf die Krankengeschichte bis zum Zeitpunkt der Behandlung durch diese Fachkraft erlaubt. Bei einem Konzept des Behandlungspfads und der langfristigen Patientennachsorge muss sich dieses Paradigma ändern, damit der Arzt seinen Patienten über den Zeitpunkt der Konsultation hinaus überwachen kann.
- Eine Sichtweise der Unterkunft, die den Patienten an den physischen Ort seiner Behandlung bindet. Der Durchbruch der Telemedizin erfordert notwendigerweise eine Anpassung dieses Kriteriums der Unterkunft.
Eine Sichtweise der Verknüpfung würde es eventuell erlauben, die neuen Erfordernisse bei der Patientenbehandlung in Einklang zu bringen. Diese Sichtweise würde einen Patienten mit einem Behandlungsteam verknüpfen, das sich aus Fachkräften verschiedener Bereiche zusammensetzt und sich um einen Patienten auf einem Patientenpfad mit einer Beständigkeit in der Behandlung kümmert.
Allerdings stehen wir noch vor zwei Gegebenheiten, die die Frage noch ein wenig komplexer werden lassen:
- Die des „fliegenden“ Personals – immer häufiger anzutreffen im Rahmen von Überlastungen der Dienste oder einer Pandemie wie wir sie zurzeit erleben –, das wir auch nicht jedem Team zuordnen können, um ihnen Zugangsrechte für alle Patientenakten zu verschaffen. Für diese Fälle könnten Lösungen interessant sein, welche den Rahmen berücksichtigen, in dem sich die Fachkraft mit dem Informationssystem verbindet und auf die Patientenakte zugreift, indem ein Arbeitsplatz mit einem Ort und Sonderrechten für die Akten verbunden wird.
- Die DSGVO, die vom Patienten die Einwilligung nach Aufklärung für die Weitergabe seiner Daten erfordert und die die Einführung digitaler Tools bremsen und den Patienten sogar um die Möglichkeit einer besseren Behandlung bringen kann. Hierfür hat sich Frankreich beispielsweise bei der elektronischen Patientenakte (Dossier Médical Partagé – DMP) eher für „opt out“ als für „opt in“ entschieden. Dadurch wird dieses Risiko der verpassten Möglichkeit verringert, wobei zu bemerken ist, dass allgemein nur 2 % der Patienten den Willen äußern, ihre Daten nicht weiterzugeben oder gar zu löschen.
Der Vollständigkeit halber müssen wir die Frage der Nachverfolgung und Protokollierung ansprechen – dies sind Sicherheitsmaßnahmen gegen Missbrauch, die jedoch nur selten eingesetzt werden. Durch die Einführung einer nachgelagerten intensiven Überwachung dieser Aktivitätenprotokolle, um Missbrauch und unrechtmäßige Zugriffe festzustellen, könnten die Einrichtungen eine offenere Datenzugriffspolitik betreiben. Den Fachkräften würde Verantwortung übertragen, indem sie auf die Daten zugreifen, die sie für die Behandlung der Patienten als nützlich erachten, und die Fachkräfte könnten bei nachgewiesenem Missbrauch bestraft werden.
Der letzte Faktor, den wir erwähnen möchten, ist die Konvergenz. Der Gesundheitsbereich befindet sich in vollem Umbruch und die Konvergenz ist in allen Köpfen. Sie wird häufig aus dem Winkel der Konvergenz der Informationssysteme betrachtet. Vor dem Hintergrund jedoch, dass die Behandlungseinrichtungen nicht fusionieren, sondern eigene Einheiten mit einer jeweils eigenen Sicherheitspolitik bleiben werden, kann man die Stichhaltigkeit einer Konvergenz der Informationssysteme hinterfragen und versuchen, die Frage aus einem anderen Blickwinkel zu betrachten: dem der Konvergenz der Daten.