Das IHE APPC-Profil – alles andere als „Basic“

Ein neues IHE-Profil ermöglicht Patienten, detaillierte Regeln für den Umgang mit ihren Gesundheitsdaten festzulegen.

Elektronische Gesundheitsakten werden immer umfangreicher. Das liegt zum einen an der zunehmend nativ-elektronischen Dokumentation sowie der nachträglichen Digitalisierung von Papierakten und zum anderen am wachsenden elektronischen Datenaustausch zwischen Behandlern. Deshalb benötigen Patienten bessere Lösungen, um selbst zu bestimmen, wer welche Dokumente einsehen darf. Solange die eigene elektronische Patientenakte nur Röntgenbilder enthält und diese nur vom Hausarzt und vom Radiologen eingesehen werden können, reicht ein einfaches Ja oder Nein, damit der Datenaustausch erfolgen kann. Wenn die Akte aber die gesamte Krankengeschichte, Familienanamnese, Fotos vom Hautausschlag, HIV-Tests, genetische Analysen und psychiatrische Gutachten enthält und unterschiedliche Teile der Akte von einer Heerschar von Ärzten, Therapeuten und Zahnhygienikern genutzt werden, wird eine feingranulare Patientenzustimmung benötigt.

Die Vorgaben des Patienten zum Umgang mit seinen Gesundheitsdaten werden üblicherweise in einem Patientenzustimmungsdokument festgehalten. Für solche Zustimmungsdokumente definiert das IHE-Profil BPPC („Basic Patient Privacy Consents“) ein einheitliches Format. Es wird häufig eingesetzt, wenn unterschiedliche Einrichtungen medizinische Dokumente austauschen. BPPC wurde für Situationen entworfen, in denen der Patient nur einer von wenigen Datenaustauschregeln zustimmt. Zum Beispiel könnte sich ein Patient für eine unbeschränkte Teilnahme oder für eine aufArztbriefe beschränkte Teilnahme entscheiden. Oder er könnte einen Teilnehmer vom Datenaustausch ausschließen. Das BPPC-Profil macht keinerlei Vorgaben, welche Regelungen der Patient zur Auswahl hat, solange jede Regelung einen eindeutigen Identifikator („Privacy Policy Identifier“) hat und es ein Sicherheitssystem gibt, das weiß, wie es die Regelung für jeden Identifikator umsetzen muss. Die Patientenzustimmung verweist immer nur über den Identifikator auf die anzuwendende Regelung (ohne dass die Regeln in einem maschinenlesbaren Format
ausgedrückt werden) und verlässt sich darauf, dass der Empfänger den Identifikator kennt. BPPC wurde nicht für feingranulare Zugriffsregeln (wie z.B. personenbezogene Zugriffsregeln für Laborergebnisse) entwickelt.

Um den Bedarf nach komplexeren Patientenzustimmungen zu adressieren, hat die „IT Infrastruktur“ Domäne der IHE sich für ein neues Profil – IHE APPC (Advanced Patient Privacy Consents) – entschieden. Es ergänzt BPPC und berücksichtigt dabei zusätzliche Anwendungsfälle. Das neue Profil wurde seit Ende 2015 mit internationaler Unterstützung entwickelt. Im August 2016 wurde es als neues „Supplement for Trial Implementation“ veröffentlicht.

Das APPC-Profil will eine automatische Durchsetzung der Regelungen einer Patientenzustimmung ermöglichen. Wenn zum Beispiel eine Patienteneinwilligung den Zugriff auf die einrichtungsübergreifende Akte des Patienten durch Einrichtung X verbietet, sollte die Datenaustauschplattform jede Anfrage dieser Einrichtung nach den Daten des Patienten ablehnen. Damit dies möglich wird, beinhaltet APPC eine detaillierte, maschinenlesbare, strukturierte Repräsentation der Regelungen der Patientenzustimmung. Im Gegensatz zu BPPC, das nur auf Regeln verweist, nutzt APPC die eXtensible Access Control Markup Language (XACML) von OASIS, um die Regelungen der Patientenzustimmung voll auszuformulieren. XACML ist eine XML-basierte, domänenspezifische Sprache, um Zugriffsregeln unzweideutig zu beschreiben. Dadurch können Hersteller zwischen verschiedenen kommerziellen und Open-Source-Komponenten wählen, die die XACML-Zugriffsregeln interpretieren können, um eine automatische Durchsetzung  von Patientenzustimmung zu implementieren.

Mit dem IHE APPC-Profil wollen wir sowohl Patienten als auch Leistungserbringern mehr Möglichkeiten bieten. Eine flexible Sprache, um projektspezifische Zugriffsregeln auszudrücken,  erhindert, dass Hersteller den kleinsten gemeinsamen Nenner für alle Leistungserbringer verwenden, ohne deren spezifische Bedürfnisse zu adressieren. Mit Hilfe des IHE APPC-Profils können Leistungserbringer Zugriffsregeln definieren, die zu ihren Prozessen und Patienten passen. So können zum Beispiel die Gesundheitsdaten von pädiatrischen Onkologie-Patienten, bei denen eine regelmäßige Nachsorge nötig ist, über einen längeren Zeitraum verfügbar gehalten werden, wohingegen chirurgische Daten aus der Notaufnahme eher nur über kurze Zeit zugänglich sein sollten.

Der Vorteil für Patienten liegt in der stärkeren Berücksichtigung ihrer individuellen Bedürfnisse. Auch wenn vollkommen frei individualisierbaren Zugriffsregeln Grenzen gesetzt sind, gibt es doch eine endliche Liste an üblichen Sonderfällen, die mittels IHE APPC einfach abgedeckt werden können. Eine häufige patientenspezifische Anpassung ist es, spezifischen Leistungserbringern (z.B. Arbeitskollegen, Verwandten, ehemaligen Partnern, …) den Zugriff auf die Patientenakte zu verweigern. Ebenso besteht häufig der Wunsch, den Zugriff auf einzelne Dokumente zu sperren, z.B. auf einen spezifischen Drogentest oder auf einen bestimmten psychiatrischen Befund.

„Der Vorteil für Patienten liegt in der stärkeren Berücksichtigung ihrer individuellen Bedürfnisse.“ 

Natürlich muss man berücksichtigen, dass Technologien, Standards und Produkte nur einen begrenzten Einfluss darauf haben, wie patientenfreundlich und effizient die Datenschutzregelungen sind. Gesetzgebung und Umsetzungsvorschriften, Gesundheitspolitik und Wettbewerbsbedenken sowie Haftungsfragen hingegen beeinflussen die Auswahlmöglichkeiten des Patienten bezüglich der Zugriffsregeln stärker. Aber wenn es darum geht, abgestimmte Zugriffsregeln in den konkreten IT-Systemen umzusetzen, ist es entscheidend, Spezifikationen wie IHE APPC zur Verfügung zu haben, um die Regelungen einfach und kosteneffizient implementieren zu können.