Gesundheit und Privatsphäre

Die klassischen Krankenakte auf Papier wird durch eine elektronische Datei abgelöst – womit die Privatsphäre eine ganz neue Dimension erhält.

Weltweit ist die klassische Krankenakte auf dem Rückzug. Ärzte und Krankenhäuser speichern die Patientendaten mittlerweile elektronisch.

Für den Verzicht auf Papier gibt es einleuchtende Gründe, denn elektronische Daten lassen sich vernetzen, so dass theoretisch jeder Arzt Zugriff auf die gesamte medizinische Vorgeschichte des Patienten hat. Die einzelnen Abteilungen in den Krankenhäusern wissen nun ganz genau, warum ein Patient eingewiesen wurde, der Hausarzt kann sämtliche Untersuchungsbefunde einsehen und die Krankenversicherung erhält zum Schluss die Rechnung. Auch der Psychotherapeut des Patienten und die Sozialbehörden können auf die Daten zugreifen … und sogar der Arbeitgeber. Wenn der Patient nach sechs Jahren in eine andere Stadt zieht, haben die Ärzte dort ebenfalls Zugriff auf die komplette Anamnese.

Nur ein Klick

Für Datenschützer wird diese Entwicklung schnell zu einem echten Alptraum. Thilo Weichert, Datenschutzbeauftragter für Schleswig-Holstein, weist darauf hin, dass die Abteilung eines deutschen Krankenhauses in der Regel keinen Zugriff auf die Daten anderer Abteilungen des gleichen Krankenhauses haben darf.

„Der Krankenhauspsychiater darf nicht die Befunde des Frauenarztes einsehen, sofern das für die Behandlung nicht zwingend erforderlich ist.“

Wir sollen einerseits also die elektronische Krankenakte einführen, aber andererseits ihre Verwendbarkeit einschränken und sicherstellen, dass die digitalen Möglichkeiten ausschließlich zum Wohle der Patienten genutzt werden.

Das offensichtlichste Risiko ist physischer Natur. David S. Finn findet, dass sich einiges geändert hat, seitdem die Krankenakten nicht mehr auf Papier geführt werden.

Datenschutzrichtlinien für Krankenhäuser

Finn, beim Sicherheitsdienstleister Symantec für IT-Gesundheitsdienstleistungen zuständig, erklärt: „Es ist ganz einfach geworden, Daten zusammenzuführen. Genauso einfach ist es allerdings auch, auf einen Schlag riesige Datenmengen zu verlieren. Früher war das Risiko kleiner, denn da sind höchstens ein paar Akten verschwunden, wenn ein Arzt nachlässig war.“

Die ersten Skandale hat es auch schon gegeben. In den USA wurden die Namen und Sozialversicherungsnummern von über 26 Millionen Kriegsveteranen gestohlen, darunter auch Angaben zu gesundheitlichen Problemen. Ein Angestellter hatte die Daten einfach ohne Genehmigung mit nach Hause genommen.

Andererseits glaubt Finn aber auch, „dass sich Daten heute besser schützen lassen, denn man weiß genau, wo sie sind.“ Festplatten können gesperrt werden und durch Datenaudits lässt sich feststellen, ob Datensätze kopiert oder heruntergeladen wurden.

Finn, der seit zwei Jahren bei Symantec arbeitet, war früher Technologievorstand des Texas Children’s Hospital. Seine Einstellung hat sich seitdem nicht geändert.

„Ich habe den Mitarbeitern zwanzig Jahre lang gepredigt: ‚Es geht immer um die Daten‘, um das Speichern, Schützen und Bereitstellen von Daten.“ Datenkontrolle sei kein rein technischer Vorgang: „Nötig sind auch Richtlinien, Verfahren und Schulungen. Letztlich sind immer Menschen verantwortlich. Man muss die Mitarbeiter davon überzeugen, den Schutz der Patientendaten wirklich ernst zu nehmen. Ich sage den Mitarbeitern: ‚Früher oder später werden Sie selbst mal Patient sein‘.“

Und es gilt, viele Mitarbeiter zu überzeugen. Nach Angabe der US-Zeitung „LA Times“ schätzt das US-Gesundheitsministerium, dass „rund 150 Personen, darunter das Pflegepersonal, die Radiologie-Assistenten und die Buchhaltung, während des Klinikaufenthalts eines Patienten Zugriff auf dessen Daten haben. Nicht zu vergessen die 600.000 Krankenkassen und Dienstleister, die die Rohdaten für die Rechnungsstellung aufbereiten. Auch sie haben eingeschränkten Zugriff.“

Datenschutzvorschriften und die vorgeschriebene Patientengenehmigung für die Datenweitergabe können die Koordinierung der medizinischen Versorgung zusätzlich erschweren.

„Behörden und Krankenversicherer wollen aus den Hausärzten ‚Lotsen‘ machen [die den Patienten durch das gesamte Prozedere leiten], aber das ist in Deutschland nur erlaubt, wenn der Patient seine Genehmigung erteilt hat“, erklärt Weichert. Selbst dann erhält der Hausarzt von den Fachärzten lediglich eine Zusammenfassung, aber nicht den eigentlichen Detailbefund.

Die Rechtslage ist von Land zu Land unterschiedlich, aber, so Finn, für den Hausarzt laufe es immer auf das Gleiche hinaus: „Man muss die Gesetze und ihren Zweck kennen und dafür sorgen, dass die zuständigen Personen – und nur diese – Zugriff auf die Daten haben.“

Finn ist klar, dass die Branche erst am Anfang steht: „Das Gesetz gibt die allgemeine Richtung vor, aber oft ist die Lage juristisch nicht eindeutig. In der Praxis wird sich zeigen, was richtig ist. Viele Personen und Einrichtungen arbeiten zusammen, um in einem evolutionären Prozess die beste Vorgehensweise herauszufinden.“

Finn glaubt, dass die gesamte Gesundheitsbranche, einschließlich der Krankenversicherungen und der pharmazeutischen Industrie, den Datenschutz mittlerweile ernst nehmen, auch wenn noch nicht alle Beteiligten mit den richtigen Verfahren vertraut sind.

Sicherheitslücken

Weichert ist nicht ganz so optimistisch. Er ist nicht überzeugt, dass die Krankenhäuser immer die richtigen Prioritäten haben: „Abstrakt gesehen verhalten sie sich korrekt, aber Datenschutz ist teuer und kompliziert – zu einer Zeit, wo alle sparen müssen. In jedem Krankenhaus gibt es defizitäre Bereiche und in Einzelfällen ist die Situation sogar verheerend.“

Finn glaubt dagegen, dass die meisten Sicherheitslücken zufällig entstehen: Ein Wissenschaftler, der vergisst, den Namen des Patienten aus einer kopierten Röntgenaufnahme zu löschen, oder ein Mitarbeiter, der eine Datei kopieren will und dabei versehentlich tausend Kopien macht. Deshalb müssen „Datenflüsse definiert und Kontrollen durchgeführt werden.“

Das größte Risiko sieht Finn momentan in Schadprogrammen, sogenannter Malware, die immer häufiger eingesetzt werden. Im Gesundheitswesen gibt es ganz spezielle Angriffsmöglichkeiten für Kriminelle. Ultraschallgeräte, Monitore und andere medizintechnische Geräte sind in Netzwerke eingebunden, damit die Messwerte direkt in die Krankenakte übernommen werden können.

„Die Betriebssysteme dieser Geräte sind oft sehr primitiv“, warnt Finn. „Wenn ein Schadprogramm erst einmal in ein Gerät eingedrungen ist, kann es das gesamte Netzwerk befallen. In den Geräten sind meist die persönlichen Daten des Patienten gespeichert – Name, Geburtsdatum, Versicherungsdaten – und wer diese Daten hat, kann leichter an weitere Informationen gelangen, zum Beispiel an die Kreditkartendaten.“

Betrüger interessieren sich für diese Daten, aber das ist kein spezifisch medizinisches Problem. Patienten haben eher andere Sorgen: Wird der Arbeitgeber erfahren, dass sie nicht wegen Rückenschmerzen sondern wegen Depressionen krankgeschrieben sind? Weiß ihre neue Krankenversicherung von ihrer koronaren Vorerkrankung? In einigen Ländern kann es auch unangenehm werden, wenn der neue Hausarzt lesen muss, dass seine Patientin eine Abtreibung hatte.

Für Weichert sind Verschwiegenheit und Vertrauen die Grundlage für ein gutes Arzt-Patienten-Verhältnis. Daran habe sich seit Hippokrates nichts geändert.

„Ein strenger Datenschutz ist besser“, glaubt er. „Es gibt schon Fälle, wo der Datenschutz zu streng ist, aber in solchen Fällen lässt sich Abhilfe schaffen.“

Weichert ist überzeugt, dass der Datenschutz auch im Interesse der Kliniken liegt: „Geld ist wichtig, aber Investitionen in datenschutzgerechte EDV-Systeme verbessern die allgemeine Effizienz des Systems und kommen allen zugute.“

Von Michael Lawton

Comment

You must be logged in to post a comment.