[Erschienen (in leicht redigierter Form) in f&w 2/97, 133-138.]
Mit den gegenwärtigen und längst noch nicht abgeschlossenen dramatischen strukturellen Veränderungen entwickelt sich das Gesundheitswesen zu einer offenen und verteilten Struktur im Sinne des »Shared Care«. Zur Steigerung der Effizienz trägt entscheidend die elektronische Informationsverarbeitung bei. Die hohen Ansprüche an Datenschutz und Datensicherheit in der Medizin erfordern dabei effektive und sorgfältig geplante Maßnahmen.
Dieser Artikel richtet sich an die Verantwortlichen im Management und in den Anwendungsbereichen der Informationstechnologie in Einrichtungen des Gesundheitswesens. Er soll ihnen einen Überblick über die in diesem Rahmen bestehenden Anforderungen, Probleme und Lösungskonzepte geben und Entscheidungsgrundlagen liefern. Insbesondere werden Empfehlungen für die organisatorischen und technischen Maßnahmen formuliert, die zur Umsetzung solcher Konzepte geeignet sind.3
Fazit: Vollständige Sicherheit kann es auch in einem Gesundheitsinformationssystem nicht geben. Mit dem Stand der Technik läßt sich aber prinzipiell ein angemessenes Sicherheitsniveau erreichen, ohne die Arbeitsabläufe im Gesundheitswesen unzumutbar zu beeinträchtigen.
Die Bemühungen um Sicherung des sich qualitativ und quantitativ ausweitenden Versorgungsauftrages bei gleichzeitiger Dämpfung der Kostenexplosion werden nur durch eine straffe, auf Effizienz und Qualität ausgerichtete Gestaltung der Betreuungsprozesse erfolgreich sein können. Die Arbeitsteiligkeit im Gesundheitswesen und die Verzahnung seiner Strukturen nehmen zu. Das erfordert eine entwickelte Kommunikation und Kooperation innerhalb der sowie zwischen den Einrichtungen des Gesundheits- und Sozialwesens im Sinne des »Shared Care« [7, 8, 13, 14]. Unter Shared Care verstehen wir nach [19] die »fortlaufende und koordinierte Tätigkeit von verschiedenen Personen in verschiedenen Institutionen unter Einsatz verschiedener Methoden zu verschiedenen Zeiten, um Patienten in medizinischer, psychologischer und sozialer Hinsicht optimal helfen zu können«.
Mit der Schaffung der kommunikativen Infrastruktur in den Gesundheitseinrichtungen, mit der informationslogistischen Begleitung der arbeitsteiligen Prozesse in der medizinischen Versorgung und der daraus resultierenden Realisierung komplexer, z. T. strukturübergreifend kooperierender Krankenhausinformationssysteme ergeben sich hohe Anforderungen zur Gewährleistung von Datensicherheit und Datenschutz [4, 5, 10, 25]. Durch die Entwicklung der politischen und wirtschaftlichen Integration sind diese Fragen der sicheren Kommunikation in verteilten Gesundheitsinformationssystemen nicht nur im nationalen, sondern auch im internationalen (bzw. zumindest im europäischen) Rahmen zu sehen.
Die zu gewährleistenden Dimensionen der Datensicherheit für Gesundheitsinformationen sind
Die Vertraulichkeit der Information spricht Aspekte des Datenschutzes an. Die Integrität und Verfügbarkeit der Information stellt inzwischen eine wesentliche Bedingung im Gesundheitswesen dar – insbesondere unter den Bedingungen zunehmender Integration der Informationsverarbeitung in die realen Abläufe und der daraus resultierenden Abhängigkeit von der richtig aufbereiteten Information zur rechten Zeit am rechten Ort. Somit darf die Betrachtung nicht auf die Dimensionen des Datenschutzes beschränkt bleiben, sondern muß die Aspekte der Datensicherheit als Grundlage für Kooperativität integrieren.
Im Volkszählungsurteil hat das Bundesverfassungsgericht erstmals das Recht des Bürgers auf informationelle Selbstbstimmung definiert. Diese Gedanken wurden von der Europäischen Union adaptiert und in Verbindung mit fortschrittlicher Datenschutzgesetzgebung, bei der das deutsche Datenschutzrecht an vielen Stellen Pate stand, als rechtsverbindliche EU-Direktive [4, 5, 40] zum Schutz des Individuums bei automatisierter Verarbeitung seiner perönlichen Daten und deren Austausch formuliert. Diese Direktive ist bis zum 24. Oktober 1998 von allen EU-Mitgliedsländern in nationale Gesetze umzusetzen. Danach dürfen personenbezogene Daten nur für einen klar definierten und rechtlich abgesicherten Zweck erfaßt und nicht von diesem Zweck abweichend weiterverarbeitet werden. Das generelle Verbot der Erfassung und Verarbeitung sensitiver Daten wird nur aufgehoben, wenn
Der Patient hat das Recht auf Informiertheit über die beabsichtigte Erfassung und Verarbeitung seiner personenbezogenen Daten sowie auf Berücksichtigung seiner Rechte hinsichtlich des Zwecks der Erfassung und Verarbeitung. Der Patient darf auf diese Daten direkt oder über eine Person des Vertrauens (z. B. seinen Hausarzt) zugreifen. Infolge der Durchdringung der medizinischen Prozesse mit Informationstechnik kann es zunehmend zur Verselbständigung der Patientendaten kommen, so daß die Daten einen status personae annehmen und mit »Persönlichkeitsrechten« auszustatten sind. Deshalb ist laut EU-Direktive eine automatisierte Entscheidungsfindung allein auf der Grundlage gespeicherter Daten unzulässig.
Der Patient darf erwarten, daß seine persönlichen Daten im Gesundheitswesen mit äußerster Sorgfalt und Vertraulichkeit behandelt werden. Auch darf der Patient voraussetzen, daß vorhandene, erforderliche Informationen zur rechten Zeit am rechten Ort in der erforderlichen Aufbereitung der berechtigten Person zur Verfügung stehen, um eine optimale Betreuung zu gewährleisten. Ebenso sind die persönlichen Daten der Beteiligten im Gesundheitsprozeß entsprechend der Datenschutzgesetzgebung zu schützen.
Das arbeitsteilig organisierte Gesundheitswesen benötigt zur Erfüllung seiner Aufgaben entsprechende Informationen über den Patienten, spezifische Teile seiner Krankengeschichte sowie diagnostische und therapeutische Informationen aus dem Behandlungsgeschehen. Sowohl die ärztliche Schweigepflicht (§203 Abs.1 Nr. 1 StGB4) als auch das »Datengeheimnis« (§5 BDSG5), das den Beschäftigten im Gesundheitswesen die Verarbeitung von Patientendaten nur im Rahmen der Zweckbestimmung des Behandlungsvertrages gestattet, verbieten es aber, Patientendaten uneingeschränkt - d.h. über die unmittelbare Zweckbindung hinaus - auszutauschen und zu verwenden.
Erschwerend in der Diskussion um den Datenschutz wirkt die diffizile Rollenverteilung bei den informationellen Prozessen in der Medizin. Diese Rollenverteilung ist mit einer unterschiedlichen Distanz zum Ursprung der Information verbunden, definiert Rechte und Pflichten und begründet Rechtsverhältnisse (in der Bundesrepublik noch als Eigentumsverhältnisse diskutiert) an Informationen [3]. Ein besonderer Bereich ist die Notfallmedizin mit ihrem zunächst anonymen Arzt-Patienten-Verhältnis, was in Sicherheitskonzepten entsprechend berücksichtigt werden muß.
Der Patient als Urheber und das medizinische Fachpersonal als Produzent der Information tragen die Verantwortung für die korrekte Verwendung der Daten unter Berücksichtigung der Persönlichkeitsrechte der Beteiligten. Folglich kann nur der die Daten produzierende, das heißt, sie erhebende Arzt bzw. die Institution unter Einbeziehung des Patienten die Rechte für den Zugriff auf die medizinischen Daten des Patienten und deren definierte Verwendung erteilen. Das gilt auch für archivierte Daten [3, 4].
Vorschriften und Maßnahmen zur Datensicherheit im Gesundheitswesen tragen dazu bei, daß das Vertrauensverhältnis zwischen Patient und Arzt und das Persönlichkeitsrecht des Patienten bei der Datenverarbeitung gewahrt bleiben. Datensicherheit muß bereichsspezifisch, insbesondere medizinspezifisch gestaltet werden. Das Problem der Datensicherheit im Gesundheits- und Sozialwesen ist insbesondere auch unter ethischen Gesichtspunkten zu lösen.
Patientendaten sind nach dem Stand der Technik zu schützen, wobei aber das Prinzip der Verhältnismäßigkeit zu beachten ist (siehe auch EU-Direktive [40]). Insbesondere für medizinische Daten ist wegen ihrer Sensitivität ein entsprechend hoher Aufwand zur Realisierung der Sicherheit geboten. Durch technische und organisatorische Maßnahmen muß gewährleistet sein, daß nur der zuständige Arzt und, soweit für die Behandlung nötig, mitbehandelnde Ärze und Pflegepersonal sowie sonstige berechtigte Personen6 die Patientendaten lesen oder im zulässigen Rahmen weitergeben können. Auch eine Krankenhausverwaltung darf nur zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind. Als technische Absicherung müssen Patientendaten (wie auch andere möglicherweise vertrauliche Daten) per Systemvoreinstellung gegen Einsichtnahme und Übermittlung geschützt sein; die jeweilige Freigabe muß ein bewußter Akt sein. Den unterschiedlichen Aufgaben und Zielen entsprechend ist der Zugriff selektiv nach
Die Sicherheitsmaßnahmen sollen die Aufmerksamkeit des Arztes nicht vom Patienten ablenken. Zwar sind Datenschutzmaßnahmen ohne Mitwirkung der Beteiligten nicht zu verwirklichen, aber die Belastung des medizinischen Personals durch organisatorische und technische Verfahren ist zu minimieren. Der sachgerechte Umgang mit den Patientendaten darf durch Schutzmaßnahmen nicht beeinträchtigt werden. Die Verfügbarkeit der Daten, besonders in kritischen Situationen, ist im Interesse des Patienten zu gewährleisten. Auch ist die Verfügbarkeit der Daten im begründeten allgemeinen Interesse zu gewährleisten, wobei hier strenge Maßstäbe anzusetzen sind. Technische Datenschutzmaßnahmen sollen den Austausch nicht sensitiver Informationen, z.B. den Zugriff auf externe Informationsdienste im Internet und elektronische Post, möglichst wenig behindern. Auch die Verwendung der Daten für Forschungszwecke soll, soweit die Datenschutzanforderungen für wissenschaftliche Forschungsvorhaben7 erfüllt sind, gewährleistet sein. Dabei sollten die Daten zum frühest möglichen Zeitpunkt anonymisiert werden. Erfordert der Forschungszweck die Zusammenführung der Daten aus verschiedenen Quellen oder die Möglichkeit zur Reidentifizierung von Fällen, sollten Pseudonyme verwendet werden [32].
Die technischen und organisatorischen Datenschutzmaßnahmen in einer Institution des Gesundheitswesens sind nicht nebenbei zu erledigen. Sie erfordern die Schaffung einer entsprechenden Infrastruktur und eine klare Festlegung der Verantwortlichkeiten sowie die Einplanung eines angemessenen finanziellen und persönlichen Aufwands (siehe Abschnitt 6.).
Die Kommunikation im Gesundheitswesen kann bezüglich des Inhalts, der Partner, der Infrastruktur und der Dienste unterschieden werden. Kommunikationsinhalte betreffen die Medizin- oder Personenbezogenheit, insbesondere in der Differenzierung nach Identifikationsdaten usw. wie in Abschnitt 3. Die Kommunikationspartner können im Gesundheitswesen (z. B. Ärzte, Krankenhäuser, Krankenkassen) bzw. außerhalb des Gesundheitswesens (z. B. Lieferanten, Bibliotheken) angesiedelt sein. Die Kommunikationsinfrastruktur bezieht sich auf die Systemarchitektur und die genutzten Kommunikationsverbindungen, während die Dienste von der elektronischen Post über Messagesysteme wie HL78 bis hin zu verteilten kooperierenden Systemen auf der Basis von CORBA9 und/oder DHE10 [6] reichen können [13, 14]. Die verschiedenen Kommunikationsinhalte, -partner, -infrastrukturelemente und -dienste können beliebig kombiniert werden und führen zu unterschiedlichen Bedrohungen mit unterschiedlichen Risiken und erfordern somit unterschiedliche Gegenmaßnahmen (für Messagesysteme siehe z. B. [9]).
Die Risiken, die durch die Informationstechnik im Gesundheitswesen drohen, sind vor allem:
Bei diesen Bedrohungen kann man unterscheiden zwischen sich zufällig, mittelbar, mit geringer krimineller Energie ergebenden Aktionen (Fahrlässigkeit) sowie aggressiveren, gezielten, mit hoher krimineller Energie ausgeführten Angriffe (Vorsätzlichkeit). Die ersten entstehen durch
Zu den fahrlässigen Bedrohungen des Datenschutzes und der IT-Sicherheit durch Befugte zählen vor allem Benutzerfehler, die die Integrität der Daten und der Systeme beeinträchtigen, aber auch die für den Anwender unzureichende Transparenz von Verhalten von Betriebssystemen und Anwendungen (wie z. B. für den Benutzer nicht erkennbare Reste gelöschter Textpassagen bei Textverarbeitungssoftware) und unbeabsichtigte Nebenwirkungen von Benutzeraktionen (z. B. überschreiben einer gleichnamigen existierenden Datei beim Datentransfer). Zu vorsätzlichen Bedrohungen gehören absichtliche Manipulationen durch Insider, die z. B. die Verantwortung für begangene Fehler vertuschen wollen, aber auch »Frustreaktionen« von Mitarbeitern. Von außen werden Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen vor allem bei einem Anschluß an öffentliche Netze bedroht. Die CERT-Advisories [15] warnen in jüngster Zeit immer wieder vor ständig beobachteten Netzaktivitäten, die automatisch die ans Internet angeschlossenen Rechner auf Sicherheitslücken testen.
Unter dem Aspekt des Datenschutzes zu beachtende Objekte sind in erster Linie die Patientendaten, aber auch die Personaldaten der Institution, deren Schutzwürdigkeit vor unbefugter Einsichtnahme sich aus den Datenschutzgesetzen ergibt. Zu schützen sind aber auch Betriebsdaten der Institution und Systemdaten aller verwendeten Rechenanlagen. Um sich nicht in komplexen Details zu verlieren, ist es am besten, auf alle Daten das 'Need-to-Know'-Prinzip bzw. das Prinzip der minimalen Rechte anzuwenden: Ein Datum darf grundsätzlich nur von demjenigen eingesehen oder verändert werden, zu dessen Aufgabe das ausdrücklich gehört [5, 31, 36].
Auch Daten, die bei der Aufzeichnung von Benutzeraktivitäten entstehen, unterliegen den Datenschutzvorschriften. Sie dürfen nur im begründeten Fall zum Nachweis von Sicherheitsverstößen verwendet werden, nicht aber zur Erstellung von Tätigkeits- und Bewegungsprofilen der Mitarbeiter (vgl. Betriebsverfassungsgesetz). Zur Regelung dieser Problematik sind begleitend zur Einführung von Informationssystemen gegebenenfalls betriebliche Vereinbarungen zwischen Personalvertretung und Management abzuschließen.
Der Realisierung eines Informationssystems, insbesondere unter dem Gesichtspunkt der im Gesundheitswesen erforderlichen Sicherheit, muß ein klare Konzeption vorausgehen, in der Anwendungsziele und erwarteter Nutzen definiert, Probleme identifiziert und Lösungsmöglichkeiten benannt werden. Die Entwicklung von Lösungen und deren integrative Implementierung in existierende Anwendungsumgebungen erfordern klare Aufgabendefinitionen, Aufgabenteilungen, Kommunikation und Kooperation zwischen Entwicklern/Systemanbietern, Management und Nutzern [12]. Da die Einführung von IT-Anwendungen an den Zielen und Prozessen der betroffenen Institution orientiert sein muß, ist die wichtigste Aktivität eine klare und vollständige Beschreibung der Unternehmenspolitik (Ziele; Maßnahmen; Management-, Prozeß- und Qualitäts-Bewertungskriterien). Die zweite Aktivität sollte auf die komplexe Prozeßanalyse einschließlich der Integrationsmechanismen gerichtet sein [11, 12]. Dann ist eine generelle Risikoanalyse des Systems und seiner Umgebung sowie die Definition von Bedrohungen und Gegenmaßnahmen durchzuführen. Qualitätsmanagement und Systembewertung werden als Entwicklungsergebnis oft unterschätzt, sind jedoch von besonderer Bedeutung für den Erfolg eines Informationssystems [39, 41].
Eine entscheidende Voraussetzung für die Entwicklung und Implementierung sicherer Informationssysteme ist die klare Zuweisung und Beschreibung von Verantwortlichkeiten innerhalb der Institution sowie beim Partner. Die umfassende Integration der Anwender und Einbeziehung der Personalvertretung ist selbstverständlich.
Alle Aktivitäten sind zu dokumentieren bzw. in der Durchführungsphase detailliert zu protokollieren.
Für jeden Schritt der Entwicklung und Implementierung sind die kontinuierliche Fortschreibung der Sicherheitsgrundsätze und die Verbesserung des Datensicherheitsbewußtseins wichtig. Dabei kommt dem Training sowie der Ausbildung und Schulung sowohl des Managements als auch der Mitarbeiter höchste Bedeutung zu [41].
Folgende Grundsätze für die Speicherung, Kommunikation und Verarbeitung von Daten in Gesundheitsinformationssystemen sind zu beachten [5, 7, 8]:
Noch nicht befriedigend gelöst ist die Definition geeigneter, technischer Standards für medizinische Anwendungssysteme aller Arten in Anlehnung an die IT-Sicherheitskriterien [44], die man den Herstellern gegenüber durchsetzen kann und die die Planung und Beurteilung von Systemen erleichtern. Datenschutzinhalte und -ziele sowie Sicherheitsanforderungen sind dafür so zu spezifizieren, daß Hersteller genügend genaue Richtlinien in die Hand bekommen. Insbesondere ist eine geeignete kryptographische Infrastruktur zu definieren und soweit wie möglich zu schaffen; ein wesentlicher Schritt in diese Richtung wird zur Zeit durch das EU-Project TRUSTHEALTH [24, 38, 42, 43] sowie durch das Multimedia-Gesetz [18] geleistet.
Die vom Sicherheitskonzept geforderten Beschränkungen müssen von der Implementation garantiert, d. h., durch Sicherheitstechnik verwirklicht werden, z. B. die Festlegung, wer Zugang zu welchen Informationen hat. Hier dürfen natürlich auch die Möglichkeiten zum Datenzugriff unter Umgehung der Anwendungsprogramme nicht vergessen werden, z. B. mit Hilfe von direktem Plattenzugriff oder Netzmonitorprogrammen.
Jede Institution des Gesundheitswesens braucht einen Datenschutzbeauftragten und einen IT-Sicherheitsverantwortlichen (‘Security Officer’). Diese Aufgaben sind zu trennen, da der Datenschutzbeauftragte Kontrollinstanz ist und nicht gleichzeitig Ausführender sein kann. Beide Funktionsträger benötigen, abhängig von Größe und Struktur der Institution, für die Erfüllung ihrer Aufgaben ausreichend Zeit, Mittel (auch Räumlichkeiten) und Unterstützung, insbesondere durch Schreibkräfte für Korrespondenz, Dokumentations- und Organisationsaufgaben, sowie Durchsetzungsbefugnisse. Der Datenschutzbeauftragte hat die im zuständigen Datenschutzgesetz festgelegten Aufgaben; er sollte nach Möglichkeit Mediziner sein, evtl. kommt auch ein Jurist in Betracht. Im einzelnen sind seine Aufgaben:
Der IT-Sicherheitsverantwortliche sollte Informatiker oder Medizin-Informatiker sein. Er erstellt das Datenschutz- und IT-Sicherheitskonzept der Institution, stimmt es mit dem Datenschutzbeauftragten ab, setzt es mit Hilfe des vorhandenen IT-Personals um und schreibt es fort [39, 41]. Im einzelnen ist er verantwortlich für:
In großen Institutionen wie z. B. Universitätskliniken erfordern die Tätigkeiten des Datenschutzbeauftragten und des IT-Sicherheitsverantwortlichen je eine volle Stelle, wobei die Aufgaben des letzteren anteilig auf mehrere Personen verteilt sein können und zusätzliche Unterstützung durch das vorhandene IT-Personal notwendig ist. Ferner sollte jede Abteilung mit eigenem IT-Personal auch einen Verantwortlichen für die IT-Sicherheit (Mitglied des IT-Personals in Teilzeit) sowie einen Verantwortlichen für den Datenschutz (Mediziner, ebenfalls in Teilzeit) haben.
In kleinen Institutionen stellt sich das Problem des ‘Outsourcing’ in der Form des Heranziehens externer Sicherheitsberater. Hier sollte die Verantwortung aber auf jeden Fall im Hause bleiben, zusammen mit ausreichenden Grundkenntnissen von Problemen und Lösungen. Beim Datenschutzbeauftragten wäre an die Bestellung eines gemeinsamen Datenschutzbeauftragten für mehrere Häuser zu denken. Da die differenzierte Kenntnis der lokalen Verhältnisse wichtig ist, wird Outsourcing oft als wenig effektiv und zu teuer erachtet.
Die zunehmende Tendenz auch in größeren Häusern, IT-Systeme auf dem Markt einzukaufen und weitgehend Standard-Software zu verwenden, führt zu einer wachsenden Abhängigkeit von den Herstellern dieser Systeme: Sicherheit muß nämlich schon bei der Konzeption und Entwicklung der Systeme berücksichtigt werden und kann nachträglich auf ein fertiges System in der Regel nicht mehr wirksam aufgepfropft werden [39, 41]. Die zur Zeit angebotenen Systeme erfüllen aber bestenfalls einzelne der folgenden, in offenen Systemen unverzichtbaren Anforderungen:
Die technische Entwicklung hinsichtlich der Umsetzung dieser Anforderungen ist zur Zeit allerdings in starke Bewegung gekommen. Man kann im Moment nur an die Hersteller appellieren, diese Entwicklungen nicht zu verschlafen und insbesondere das kryptographische Know-How schnellstmöglich zu erwerben. Die Verantwortlichen für die Beschaffung von IT-Systemen im Gesundheitswesen sollten von Herstellern und Anbietern mit Nachdruck die Erfüllung der obigen Anforderungsliste verlangen.
Die technischen Systemleistungen sollten für den Benutzer verständlich und durchschaubar konzipiert werden, ihn nicht mit komplizierten Prozeduren belasten und für die seiner Datenhoheit unterstehenden Bestände kontrollierbar sein. Sie dürfen aber von ihm nicht ohne weiteres abgeschaltet oder umgangen werden können.
Für detaillierte technische Empfehlungen ist hier nicht der Ort. Die GMDS-Arbeitsgruppe »Datenschutz in Krankenhausinformationssystemen« arbeitet auch hieran und wird zu gegebener Zeit ihre Ergebnisse veröffentlichen. Der aktuellste Stand ist stets über den WWW-Server der Arbeitsgruppe [20] abzurufen.
Die gegenwärtigen offenen Informationssysteme gewährleisten nicht das für den Einsatz im Gesundheitswesen erforderliche Niveau an Datenschutz und Datensicherheit. Die technischen Voraussetzungen sind aber gegeben, diese ohne große Zusatzkosten in die Systeme zu integrieren: Chipkartenleser sind weit verbreitet und ihre Spezifikation für die Belange von Datenschutz und Datensicherheit definiert [1], die Health Professional Card geht in den Feldtest [2, 7, 8], kryptographische Software ist frei verfügbar [34].
Auf der Anwenderseite werden durch konsequente technische Sicherheitsmaßnahmen kaum Beeinträchtigungen der Arbeitsabläufe entstehen. Es ist aber ein nicht zu vernachlässigender organisatorischer Aufwand für die in Abschnitt 6 empfohlenen Maßnahmen nötig. Dieser führt zu einer wesentlichen Verbesserung der Qualität der Informationen und der Erfüllung gesetzlicher Auflagen. Die dadurch entstehenden Kosten werden aber vom Rationalisierungseffekt der Informationstechnik im Gesundheitswesen bei weitem aufgefangen.
Datenschutz und Datensicherheit erfordern Bewußtsein, Bildung und Training bei allen Involvierten vom Manager über das IT-Fachpersonal bis zum Anwender einschließlich des Patienten, Organisation und technische Mittel. Die Zeit ist reif, ernsthafte Anstrengungen für die Verbesserung von Datenschutz und Datensicherheit in Informationssystemen zu unternehmen.