Praxis-Organisation

Montag, 19.03.2018

Gesundheits­daten und Daten­schutz

Es gibt heute unter­schiedliche technische Hilfs­mittel, mit welchen die Daten­speicher bei Arzt­praxen oder Kliniken bzw. Spitälern gesichert und gegenüber externen Angriffen geschützt sind.

Gesundheitsdaten und Datenschutz

Die Gesundheitsdaten einer Person gehören mitunter zu den sensitivsten und darum datenschutzwürdigsten. Folgerichtig ist ein sorgfältiger Umgang mit diesen Pflicht und meistens Usus für die Institutionen, bei welchen die Daten gelagert und gespeichert sind. Es gibt heute unterschiedliche technische Hilfsmittel, mit welchen die Datenspeicher bei Arztpraxen oder Kliniken bzw. Spitälern gesichert und gegenüber externen Angriffen geschützt sind. Eine mögliche Zertifizierung weist darauf hin, ob eine Institution mit geeigneten Massnahmen die Daten schützt, eine entsprechende Zertifizierung ist heute jedoch (noch) nicht Pflicht.

Auch für den elektronischen Informationsaustausch zum Beispiel via E-Mail existieren Verschlüsselungsmechanismen, welche die zu liefernden Daten zwischen Absender und Empfänger vor externen Angriffen schützen (Stichwort HIN-Verschlüsselung). Mit dem an­stehenden Wechsel weg von der physischen zur elektronischen Krankenakte wird das Risiko von Attacken auf diese Daten sicherlich erhöht. Laufende Weiterentwicklungen der Abwehrsysteme versuchen mit dieser allgemeinen Entwicklung im Gesundheitswesen Schritt zu halten.

Probleme beim Arztwechsel

Dateninhaber der Krankenakte ist immer der Mensch, für welchen die Krankenakte erstellt worden ist, unabhängig davon, ob die Akte physisch gelagert oder elektronisch auf einem Datenserver oder einer Gesundheitskarte gespeichert wird. Somit besteht für den Dateninhaber «Wahlfreiheit», was mit seinen Daten passiert. Es kommt immer wieder vor, dass zum Beispiel bei einem Wechsel des Arztes bei der Aushändigung der Daten Probleme entstehen und der Arzt sich weigert, die Daten in ihrer Vollständigkeit auszuhändigen.

Ein weiteres Beispiel ist die Problematik, dass bei der Rechnungsstellung für einen Eingriff aus Sicht des Patienten in vielen Fällen keine Transparenz herrscht, wie der in Rechnung gestellte Betrag zustande kommt, unabhängig von den Rechnungserstattungssystemen tiers garant oder tiers payant. Eine Aufforderung beim zuständigen Arzt, die tarifwirksamen Eingriffsdaten zur Verfügung zu stellen, kann auch heute noch zu Verzögerungen führen. Die Gründe für eine Verweigerung der Datenherausgabe können vielfältig sein; häufig genannt werden die Einhaltung des Datenschutzes oder mangelnde Qualität der Daten.

Patientin oder Patient bleiben immer Besitzer der Gesundheitsdaten

Alle Gründe sind hinfällig, weil der ­Dateninhaber der Gesundheitsdaten immer, und zwar voll­umfänglich, der Patient ist. Dieser kann und muss jederzeit über die Daten verfügen können. Er ist es auch, der die Datenweitergabe freigibt. Keine andere Person darf die Daten ohne dessen Einverständnis weitergeben. Der Datenschutz lässt hier keinerlei Interpretationsspielraum zu.

Wird diese Regel verletzt, macht sich die Person, welche die Daten ohne Einwilligung des Inhabers freigibt, im Sinne des Datenschutzgesetzes strafbar. Sind die Daten nicht hinreichend geschützt und gehen die Daten innerhalb eines Cyberangriffes verloren, gelten die gleichen Gesetzmässigkeiten. Missbrauch kann für den Patienten unangenehme Folgen haben. Sollten zum Beispiel Versicherungen unrechtmässig in Besitz der Gesundheitsdaten kommen, kann dies für seinen Versicherungsschutz un­angenehme Folgen haben.

Klare innerbetriebliche Regelungen treffen

Mit klaren und allen verständlichen Prozess­abläufen und der Bereitschaft zur Datenherausgabe kann neben einer zeitgemässen, modernen Systemlandschaft dem Problem ­be­gegnet werden. Der Datenschutz als Aufhänger für eine Verweigerung der Weitergabe gilt nicht. Die Prozesse können beispielsweise derart gestaltet werden, dass bei einer Anfrage von einem Patienten zur Weitergabe der Daten an eine andere Arztpraxis (Arztwechsel) mit geeigneten Fragen an den Antragssteller seine eindeutige Identifikation sichergestellt wird.

Eine andere Möglichkeit ist das Einfordern einer Unterschrift bei gleichzeitigem Einholen einer Ausweiskopie bevor die Daten weitergeleitet werden. Es lohnt sich, die Abläufe zu vereinheitlichen und somit ein ganzheitliches Verständnis zu schaffen und die Mitarbeitenden inklusive den Ärzten derart zu schulen, dass das Risiko einer falschen Verhaltensweise gemindert wird. Es muss das Bewusstsein geschärft werden, dass KG’s wie auch Berichte, Befunde und Röntgenbilder (beziehungsweise Kopien davon) ausgehändigt werden müssen, wird dies vom Dateninhaber so gewünscht. Vom Arzt verfasste, hand­schriftliche Notizen und Gedankenstützen müssen nicht ausgehändigt, mindestens jedoch den betreffenden Patienten zur Einsicht bereit­gestellt werden.

Falls die Daten «unkompliziert» und innerhalb der engen Grenzen des Datenschutzes weitergegeben werden, steigert dies das Image des Arztes oder der Institution, Vertrauen im Verhältnis Arzt zum Patienten wird geschaffen. Die Installation eines Datenschutzgütesiegels kann sich lohnen, da innerhalb der Zertifikation Mechanismen, Prozesse und Systeme auf die Eignung innerhalb des Datenschutzes geprüft werden. Gerade in Zeiten zunehmender Cyberkriminalität und Ent­wicklung zur elektronischen Krankenakte ein unterstützendes Hilfsmittel, technologisch Schritt zu halten.