Datenströme im Krankenhaus

Zwischen den informationellen Einheiten:

Innerhalb der »informationellen Einheiten«:

Rollen - Jeweils Untergliederung nach

• Funktionen (Arzt, Pflegepersonal, technische Angestellte)
• und Hierarchieebenen (Chefarzt, Oberarzt, Stationsarzt, Oberschwester, …)

Grundsätze für den Datenzugriff

• Zweckbestimmung des Behandlungsvertrags.
• Erforderlichkeit (Minimierung der Zugriffsrechte, Behandlungszusammenhang).
• Datenhoheit der Fachabteilung - auch in Referenzdatenbank und Archiv..
• Kein freier Austausch zwischen Fachabteilungen (»Logische Überweisung«).
• Rechte des Patienten.
  • Mitteilung des Umfangs der DV und der möglichen Zugriffe, Hinweis auf Widerspruchsrecht (soweit zutreffend).
  • Verfügbarkeit der Daten im Interesse des Patienten. Voreinstellung: Freigabe nur bei Bedarf; Daten dürfen nicht gegen Patientenwunsch zurückgehalten werden.
  • Zustimmung des Patienten implizit durch Erscheinen.

Modell: Zugriffsmatrix, rollenbasierte Zugriffsrechte.

Daten und Patientenakten

• Patientenakte (verantwortete Dokumentation aller Aufenthalte), verteilt über Zentralsystem, Verwaltungssystem, Abteilungssysteme.
• Abteilungsinterne Daten (»Rohdaten«).
• Behandlungszusammenhang (evtl. über mehrere Aufenthalte).

Datenklassen

• administrative Daten =
  • Identifikationsdaten + Versicherungsdaten + Bewegungsdaten + …
• medizinische Daten =
  • Notfalldaten (Risikodaten),
  • allgemeine anamnestische Daten,
  • abrechnungsrelevante Diagnosen und Therapien,
  • Befunde, Laborwerte, andere diagnostische und therapeutische Daten,
  • besonders sensible Daten.

Notfalldaten und besonders sensible Daten:

• Entscheidung des Arztes bzw. Abteilungsleiters.
• Zugriff unabhängig vom Rest der Patientenakte.

Sonderfälle: Personen, deren Daten sämtlich besonders sensibel sind -

• Prominente, Angehörige von Kliniksmitarbeitern.
• Möglichkeiten:
  • Pseudonymisieren,
  • sperren,
  • nicht elektronisch verarbeiten.

Mögliche Schutzstufen

[Aus dem Katalog der technischen und organisatorischen Maßnahmen zum Datenschutz des staatlichen Koordinierungsausschusses Datenverarbeitung (Bayern)]

1. Frei zugängliche Daten (z. B. Bibliothekskatalog, Vorlesungsverzeichnis).
2. Daten, deren Mißbrauch keine besondere Beeinträchtigung erwarten läßt (z. B. Adressenverzeichnisse, Verteiler).
3. Daten, deren Mißbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder wirtschaftlichen Verhältnissen beeinträchtigen kann (»Ansehen«) (z. B. Patientenstammdaten, allgemeine Personaldaten).
4. Daten, deren Mißbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (»Existenz«) (z. B. medizinische Patientendaten, Unterbringung in Anstalten, dienstliche Beurteilungen).
5. Daten, deren Mißbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (z. B. besonders sensible Patientendaten).

Schutzstufen - Anwendung

Grundsätzlich:

1. Im Zweifelsfall höhere Schutzstufe.
2. Sind Maßnahmen für die höhere Schutzstufe nicht »teurer«, sind sie auch für die niedigere Schutzstufe anzuwenden.

Schutzstufen verdeutlichen die Sensibilität der Daten und helfen bei der Gruppierung von Daten. Sie müssen im Modell evtl. nur sehr eingeschränkt verwendet werden, wenn das `need-to-know'-Prinzip verwendet wird.

Spezifikation der Zugriffsrechte

• Regelwerke (Zugriffsmatrizen) -
  • kliniksweit,
  • abteilungsspezifisch,
  • patientenindividuell (in Patientenakte mitgeführt).
• Rechteinhaber:
  • Fachabteilungen,
  • Rolleninhaber,
  • Einzelpersonen.

Statische Zugriffsrechte: an die Person gebunden.

Dynamische Zugriffsrechte: an die Rolle gebunden.

Rollen und Rechte

• Behandelnde Ärzte (auch AiP, PJ, zeitweise zugeordnete Ärzte):
  • ganze Patientenakte im Behandlungszusammenhang (außer besonders sensible Daten),
  • abteilungsinterne Daten aller Aufenthalte.
• Pflegekräfte:
  • Zugriff auf Krankenakte;
  • erforderlicher Umfang durch Abteilungsleiter festgelegt.
• Sonstige Mitarbeiter der Fachabteilung analog (z. B. Arztsekretariat).
• Famulanten, Studenten, Auszubildende:
  • erforderlicher Umfang durch verantwortlich Lehrenden festgelegt (im Rahmen seiner eigenen Befugnisse).
• Verwaltungsmitarbeiter:
  • Stammdaten,
  • abrechnungsrelevante Daten (u. U. auch besonders sensible!).

Zugriffskontexte

Nachweis des Behandlungszusammenhangs: Bewegungseintrag im KIS, pauschalisierte Sonderregelungen in Ausnahmefällen.

Andere Kontexte mit abweichenden Zugriffsregelungen:

• Forschungsprojekte (Anonymisierung/Pseudonymisierung).
• Lehre
• Qualitätssicherung
• Rückgriff auf »Musterfälle« (auch aus dem Archiv)

Protokollierung

• Zugriffe auf Patientenakte [nur »ungewöhnliche« wegen Verhältnismäßigkeit] -
  • Person, Rolle, Fachabteilung,
  • Art, Zeitpunkt und Umfang des Zugriffs.
• Protokoll (logischer) Teil der Patientenakte -
  • nur einsehbar für verantwortlichen Arzt, Patienten selbst, Datenschutzbeauftragten,
  • Recht auf Rechtfertigung.

Folgen bei entdecktem Mißbrauch!

Sonderfälle

Notfälle

• Schneller, unkomplizierter Zugriff nötig.
• Protokollierung.
• Benachrichtigung des Verantwortlichen.

Notfalldaten

• Ohne weitere explizite Freigabe im Behandlungszusammenhang sichtbar.
• Existenz unübersehbar kennzeichnen,
• übersichtliche Präsentation (»Cave!«-Fenster).
• Protokollierung.

Besonders sensible Daten

• Zugriff: Entscheidung des Leiters der FA.

Alternativ-Modell von Ross Anderson

Quelle: Die Sicherheitspolitik für klinische Informationssysteme der British Medical Association.

• Rechteliste Teil der Patientenakte.
  • Von verantwortlichem Arzt angelegt und nur von ihm bearbeitbar.
  • Mindestumfang: Verantwortlicher Arzt und Patient.
  • Unterrichtung des Patienten bei Änderungen.
• Zugriffsprotokoll Teil der Patientenakte,
• wird dem Patienten bei Entlassung ausgehändigt.
• Auch für verteilte Versorgung/Telemedizin geeignet
  • universelle elektronische Patientenakte.

Weiterführende Informationen

• Allgemeine Grundsätze für den Datenschutz in Krankenhausinformationssystemen
• Datenschutz und Datensicherheit in Informationssystemen des Gesundheitswesens
• Zugriff auf Patientendaten im Krankenhaus