SwissDRG: Zertifizierung der neuen Datenannahmestellen

Für die Entgegennahme von DRG-Rechnungen müssen die Krankenversicherer sogenannte Datenannahmestellen einrichten. Diese müssen zwingend über eine Datenschutzzertifizierung verfügen. Damit wird in der Schweiz erstmals das Obligatorium einer Datenschutzzertifizierung eingeführt.

Kernstück der neuen Spitalfinanzierung bilden die Fallpauschalen («Diagnoses Related Groups», kurz DRG). Die Leistungen der Spitäler im akutsomatischen Bereich werden nach qualifizierten Kriterien wie Hauptdiagnose, Nebendiagnosen und Behandlungen (Prozeduren) sowie weiteren Aspekten abgegolten. Damit die Leistungen durch die Krankenversicherer korrekt vergütet werden können, sind spezielle Rechnungen notwendig. Sie beinhalten neben den administrativen Daten auch die notwendigen medizinischen Angaben in codierter Form. Mit jeder DRG-Rechnung erhalten die Krankenversicherer also sehr detaillierte Gesundheitsdaten über die versicherten Personen.

Gleichzeitig ist aber klar, dass nur ein kleiner Anteil der Rechnungen durch die Versicherer tatsächlich detailliert geprüft wird. Deshalb musste zur Wahrung der Verhältnismässigkeit ein Prozess installiert werden, der sicherstellt, dass die Versicherer nur dann Zugang zu den Gesundheitsdaten auf der DRG-Rechnung erhalten, wenn sie diese tatsächlich einer vertieften Überprüfung unterziehen. Um dies zu erreichen hat der Bundesrat in der Krankenversicherungsverordnung (KVV) festgehalten, dass die Krankenversicherer für die Entgegennahme von DRG-Rechnungen über eine nach Datenschutzgesetz zertifizierte Datenannahmestelle verfügen müssen. Sie ist dem Versicherer vorgelagert und hat die automatisierte Triage der eingehenden DRG-Rechnungen zur Aufgabe.

Nach einem definierten Regelwerk werden die Rechnungen plausibilisiert. Je nach Resultat wird die Rechnung durch die Datenannahmestelle an die zuständige Stelle des Versicherers übermittelt. Eine unauffällige Rechnung wird ohne Weiteres zur Zahlung freigegeben. Der Versicherer erhält keine Kenntnis der codierten Gesundheitsdaten. Eine für den Vertrauensarzt bestimmte Rechnung wird durch die Datenannahmestelle direkt an diesen übermittelt. Auch hier bearbeitet die Stelle die codierten Gesundheitsdaten nicht; sie stellt lediglich fest, dass die Rechnung für den Vertrauensarzt bestimmt ist, und leitet sie unverzüglich weiter. Der Versicherer erhält selbstverständlich ebenfalls keine Kenntnis über Gesundheitsdaten. Eine auffällige Rechnung wird durch die Datenannahmestelle an den Versicherer übermittelt und dort detailliert geprüft. Der Versicherer erhält den ganzen medizinischen Datensatz und kann, falls das zur Prüfung der Rechnung notwendig ist, vom Leistungserbringer zusätzliche Informationen einfordern. Konkret handelt es sich dabei um Austritts- und Operationsberichte. Nur so kann eine DRG-Rechnung wirklich überprüft und nicht nur plausibilisiert werden. Auch eine Überprüfung der Codierung ist nur so möglich. Fordert der Versicherer zusätzliche Informationen ein, so hat er zwingend die versicherte Person darüber zu informieren. Diese kann dann die Übermittlung der zusätzlichen Informationen an den Vertrauensarzt verlangen.

Zusammenfassend kann also festgehalten werden, dass die Datenannahmestelle eine automatisierte Triage der DRG-Rechnungen vornimmt, nur die auffälligen Rechnungen an den Versicherer übermittelt und damit die Wahrung des Grundsatzes der Verhältnismässigkeit garantiert. Damit diese wichtige Aufgabe durch die Datenannahmestelle tatsächlich wahrgenommen wird und nicht übermässig Rechnungen an den Versicherer übermittelt werden, und auch aufgrund des Umstands, dass die Stelle durch den Versicherer oder in dessen Auftrag betrieben wird, kam der Bundesrat zum Schluss, die Datenannahmestelle müsse zwingend gemäss Datenschutzgesetz zertifiziert sein. Da der Aufbau einer solchen Stelle und deren Zertifizierung eine gewisse Zeit beanspruchen, hat der Bundesrat eine Übergangslösung vorgesehen. Solange der Versicherer über keine zertifizierte Datenannahmestelle verfügt, dürfen DRG-Rechnungen von den Spitälern nur an den Vertrauensarzt übermittelt werden. Ab dem 1. Januar 2014 müssen dann aber alle Krankenversicherer über eine zertifizierte Datenannahmestelle verfügen. Die Übermittlung an den Vertrauensarzt ist ab dann nicht mehr zulässig.

Aus der Sicht des Datenschutzes bedeutet diese Lösung einen wichtigen Schritt. Einerseits konnten wir bei der Ausarbeitung der Verordnungsregelung massgeblich mitarbeiten und so die Datenschutzmassnahmen der Krankenversicherer konkret mitgestalten. Andererseits hat die Datenschutzzertifizierung durch das Obligatorium einen neuen Stellenwert erhalten. In einem Bereich, in dem riesige Mengen von besonders schützenswerten Personendaten bearbeitet werden, müssen die Datenbearbeiter zwingend über ein Zertifikat gemäss Datenschutzgesetz verfügen. Wie genau die Datenannahmestelle aufgebaut wird, liegt in der Verantwortung der Versicherer und ist auch von deren bestehenden Struktur abhängig. Zweifellos werden sich zahlreiche Versicherer eines Dienstleisters bedienen, da sich der Betrieb einer eigenen Datenannahmestelle für sie nicht lohnt oder weil schon bisher Datenbearbeitungen im Bereich der Leistungsabrechnungen ausgelagert durchgeführt worden sind. Schon jetzt zeigt sich, dass die grossen Krankenversicherer die Übergangsfrist nicht beanspruchen werden. Sie verfügen schon seit dem 1. Januar 2013 über eine zertifizierte Datenannahmestelle.

Für uns wird durch die neue Regelung ein erheblicher Mehraufwand entstehen. Wir müssen die Datenannahmestellen und ihre Zertifizierungen kontrollieren. Da diese Stellen entsprechend den tatsächlichen Verhältnissen durchaus unterschiedlich aufgebaut sein können, werden auch die Zertifizierungsprozesse variieren. Wir werden auch die Dienstleister, welche sich als Datenannahmestelle haben zertifizieren lassen, kontrollieren, wobei hier die durch die Auftragsdatenbearbeitung entstehenden spezifischen Ansprüche an die Zertifizierungen von grosser Bedeutung sein werden. Diese komplexe Aufgabe wird der EDÖB nur mit zusätzlichen Personalressourcen erfüllen können.

Im Sinne der Transparenz für die versicherten Personen und für die Branche publizieren wir, wie in der KVV vorgegeben, seit dem 1. Januar 2013 das Verzeichnis der nach Datenschutzgesetz zertifizierten Datenannahmestellen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/20--taetigkeitsbericht-2012-2013/swissdrg--zertifizierung-der-neuen-datenannahmestellen.html