Datenschutz ganzheitlich denken

Beim Thema Patienten- und Gesundheitsdaten haben Informationssicherheit und Datenschutz oberste Priorität.

Bei Patientenakten-Projekten treffen unterschiedliche Organisationen aufeinander – und damit auch potenziell widersprüchliche Voraussetzungen. Dies macht das Einrichten einer Patientenakte zu einer besonderen Herausforderung. Neben den Vorteilen, die eine digitale Verarbeitung von Gesundheitsdaten und die zunehmende Vernetzung bringen, steigt auch das Bedrohungspotenzial, etwa durch Ransomware, Social-Engineering- Angriffe oder Denial-of-Service- Attacken.

Auf Standards gebaut

Bei organisationsübergreifenden Patientenakten-Projekten ist eine Frage besonders relevant: Welche Technologien werden eingesetzt? Internationale Standards, wie Integrating the Healthcare Enterprise (IHE), schaffen eine gemeinsame technologische und semantische Basis für den Datenaustausch und stellen einen implementierbaren Rahmen sicher. Moderne Patientenakten basieren technisch auf IHE-Standards. Durch die Kopplung von Policies (XACML), Einwilligungsdokumenten (APPC, BPPC) und dem Access Control System erfüllen sie alle datenschutzrechtlichen Voraussetzungen.

Zudem ist zum Beispiel bei der Elektronischen Gesundheitsakte (ELGA) in Österreich jegliche Kommunikation zwischen den ELGA-Bereichen TLS-verschlüsselt und wird zentral durch das österreichische Bundesrechenzentrum vorgegeben.

Bei modernen Patientenakten sind persönliche Schutzrechte, organisatorische Anforderungen sowie Rechte und Normen fein aufeinander abgestimmt. Die zahlreichen Erfahrungen der international gut vernetzten IHE-Community steuern eine Vielzahl an Best-Practice-Beispielen bei, die mit vertretbarem Aufwand an nationale Gegebenheiten angepasst werden können.

Technik im Spannungsfeld

Wie bei Projekten europäische Datenschutzvorgaben, nationale Gesetzgebungen und konkrete Patientenakten unter einen Hut zu bringen sind, zeigt beispielhaft die ELGA-Einführung in Österreich. Das letztlich gewählte Modell der Regelung mit situativem Opt-Out spiegelt das grundlegende Datenschutz-Spannungsverhältnis auf folgenden Ebenen wieder:

• Auf der Ebene der europäischen Gesetzgebung zum Thema Datenschutz und der darin geforderten individuellen Entscheidungshoheit des Betroffenen.

• Auf der Ebene des nationalen Gesundheitssystems, das auf die Solidarität aller Beteiligten setzt und daraus eine inhärente Verpflichtung zur Teilnahme ableitet (auch an technischen Systemen wie der ELGA). Auf der Ebene der Praxis im Gesundheitswesen mit Vertretungsbefugnissen und dem schützenswerten Arzt-Patienten-Verhältnis.

Alle Ebenen müssen beachtet werden und in der Technik eines überregionalen Aktenprojekts ihren Niederschlag finden. Im Rahmen der ELGA wurden dafür klare Verantwortlichkeiten der sogenannten Bereichsbetreiber festgelegt. Jeder Teilnehmer (Affinity Domain) der organisationsübergreifenden Patientenakte hat definierte Betriebsvorgaben einzuhalten und muss sich durch eine unabhängige Stelle auditieren lassen. Auch hier helfen internationale Standards und Vorgaben wie ISO/IEC 27001, ein Mindestlevel an Betriebssicherheit und Datenschutz einzuhalten.

Das Zusammenspiel von Technologie, Organisation, Gesetzen und Menschen hinsichtlich Informationssicherheit und Datenschutz ist komplex und verlangt von allen Akteuren entsprechendes Know- how.

Gelebte Prozesse

Informationssicherheit und Datenschutz müssen immer ganzheitlich betrachtet werden. Einzelmaßnahmen greifen nicht. Vielmehr geht es um ein harmonisches Zusammenspiel rechtlicher, organisatorischer und technischer Komponenten. Dazu ist das Management gefordert, entsprechende Vorgaben und Prozesse zu etablieren (z.B. eine Sicherheits- und Datenschutzrichtlinie). Es muss klar sein, wer für was zuständig ist. Hierfür sind Rollen und klare Verantwortlichkeiten zu schaffen und Prozesse einzuhalten.

Der Mensch im Fokus

Egal, wieviel Technologie eingesetzt wird und welche organisatorischen Vorgaben gelten: Letztlich müssen all die Maßnahmen auch akzeptiert werden. Deshalb steht die Sensibilisierung der Patienten, aber auch der beteiligten Ärzte und Mitarbeiter, an oberster Stelle. Wenn alle Beteiligten verstehen, welche Vorgaben es gibt und warum diese eingehalten werden müssen, werden viele Sicherheitsprobleme erst gar nicht entstehen oder schon im Keim erstickt.