Technische Grundanforderungen an das elektronische Patientendossier

Im Zuge der Digitalisierung von Patientendossiers haben wir versucht, für diese offenbar unausweichliche Entwicklung einige Grundanforderungen bzw. Empfehlungen zu formulieren, ganz gleich, welches Verfahren für die physische Speicherung der Dossiers (zentral, dezentral, Patient, Karte ...) verwendet wird. Dabei kann es durchaus sein, dass angesichts der zahlreichen Modelle und Projekte, die derzeit in unserem Land entwickelt werden, manche unserer Aussagen aufgrund der Erfahrungen in diesem Bereich anzupassen oder zu nuancieren sein werden.

Um einen klaren Rahmen abzustecken, ist es wichtig, die verschiedenen Modelle für die Aufbewahrung von elektronischen Patientendossiers zu beschreiben:

1. Dezentralisierte oder verteilte Aufbewahrung, d.h. die medizinischen Daten bleiben bei den Anbietern von Gesundheitsdiensten und es wird ein virtuelles Dossier mit dem «öffentlichen Teil jeder Episode» erstellt, falls notwendig über ein gemeinsames Netzwerk aller Beteiligten. Für ein solches virtuelles Dossier stellt sich natürlich in erster Linie die Frage, ob dieses in seinem vollen Umfang zur Verfügung stehen soll, und ob nicht trotz allem bestimmte Personendaten zentral aufbewahrt werden müssen.

2. Zentrale Speicherung bei einem Dritten, d.h. alle oder ein Teil der von einem Anbieter von Gesundheitsdiensten erstellten medizinischen Daten werden in ein von einer staatlichen (Kanton, Bund) oder privaten Einrichtung (Dienstanbieter) verwaltetes Zentralregister kopiert. Die mit diesem Modell einhergehenden Fragen betreffen das Vertrauen in das Zentralorgan sowie dessen Angreifbarkeit.

3. Zentrale Speicherung beim Patienten selbst, d.h. alle oder ein Teil der von einem Anbieter von Gesundheitsdiensten erstellten medizinischen Daten werden auf einen von der betroffenen Person verwahrten Datenträger (Chipkarte, CD…) kopiert. Die betroffene Person hätte somit die alleinige Kontrolle über ihre Daten, wobei eine Sicherheitskopie des Datenträgers bei einem Vertrauensarzt hinterlegt werden könnte.

Diese drei theoretischen Modelle lassen sich in der Praxis unterschiedlich kombinieren. So könnte man sich die Patientenkarte als reines Identifikationsmittel vorstellen (Versichertennummer, Name, ...), als Speichermedium für administrative Daten und/oder Angaben für den Notfall, als kryptographischen Zugangschlüssel zu den eigentlichen medizinischen Daten oder schliesslich als Speichermedium für das gesamte Patientendossier.

Unabhängig davon, welches Speicherungsmodell verwendet wird, sind zur Zeit folgende Vorkehrungen bezüglich des Datenschutzes vorstellbar:

  • Unterscheidung zwischen administrativen und medizinischen Daten. Unter den medizinischen Daten eine feinere Unterscheidung zwischen objektiven Daten (Untersuchungen, …) und subjektiven Daten (Diagnose,…), Medikation und Angaben für Notfälle. Für letztere ist der Zugriff gesondert zu regeln, da es sich immer um kritische Situationen handelt.
  • Speicherungs- und Codierungsformat sämtlicher Daten, um den langfristigen Bestand und die nationale oder gar internationale Interoperabilität sicherzustellen (Erfassung/Konvertierung gegenwärtiger Daten).
  • Vorrangige Verwendung von Pseudonymisierungs- und Anonymisierungsverfahren (siehe 9. Tätigkeitsbericht, Abschnitt 2.2.1), um die Gefahr von Datenlecks so weit wie möglich zu begrenzen, jedoch die Nutzung der gesammelten medizinischen Daten zu epidemiologischen oder statistischen Zwecken so weit wie möglich zu erlauben.
  • Verschlüsselte Speicherung besonders schützenswerter Personendaten: die Episoden im Dossier können nur von Personen gelesen und/oder bearbeitet werden, die einen gültigen Dechiffrierungsschlüssel besitzen. Dabei kann jede medizinische Episode jeweils unabhängig verschlüsselt werden, und der Patient (oder eventuell sein Vertrauensarzt) sollte grundsätzlich in der Lage sein, die betreffenden Daten zu entschlüsseln. Dazu muss allerdings eine nicht ganz unkomplizierte Public Key Infrastucture (PKI) eingerichtet werden.
  • Mögliche provisorische Abdeckung jener medizinischer Daten, die einer mündlichen Erläuterung durch den betreffenden spezialisierten Anbieter von Gesundheitsdiensten bedürfen.
  • Systematische Identifizierung und starke Authentifizierung sämtlicher Beteiligter des Gesundheitswesens mit Zugang zum System.
  • Ausführliche und von der betroffenen Person jederzeit abrufbare Protokollierung über sämtliche Zugriffe und sämtliche Änderungen von schützenswerten Daten.
  • Gewährleistung und regelmässige Überprüfung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
  • Digitale Signatur aller Dateneingaben, um ihre Integrität und Unabstreitbarkeit sicherzustellen.
  • Unterschiedliche Sichtbarkeit der Daten (logische Ansicht) je nach Berechtigtem.
  • Gesonderter und den jeweiligen Bedürfnissen angepasster Informationskanal zu den Versicherungen, welche die Angaben zu Rechnungen möglicherweise in einer vereinbarten verschlüsselten Form erhalten (siehe Abschnitt 5.1.2 des vorliegenden Berichts).
  • Ebenfalls getrennte Lösung für Rezepte und Zugang der Apotheker.

[Juli 2003]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/10--taetigkeitsbericht-2002-2003/technische-grundanforderungen-an-das-elektronische-patientendoss.html