Datenschutzsicherheit im Krankenhaus

Als Fortsetzung des im Juni 2011 begonnenen Dialogs mit den Krankenhäusern im Lande hat der rheinland-pfälzische Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI RP) am 05.09.2012 einen Workshop zum datenschutzgerechten Einsatz von Krankenhausinformationssystemen (KIS) durchgeführt. Grundlage der Tagung war die im Frühjahr 2011 von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu der Thematik veröffentlichte Orientierungshilfe (OH KIS). Neben zahlreichen Vertretern der betroffenen Krankenhäuser und Träger nahmen auch die Krankenhausgesellschaft Rheinland-Pfalz sowie der Bundesverband Gesundheits-IT (bvitg) teil. Auch die UIMC war mit einem Mitarbeiter vertreten, um Ihre Erfahrungen und Kenntnisse bezüglich des Themas Datenschutz im Gesundheitswesen mit einzubringen und zu erweitern. Einzelne Anwesende hatten zunächst im Laufe der Veranstaltung die Umsetzbarkeit der OH KIS angezweifelt. Gründe hierfür seien unter anderem der nötige finanzielle und personelle Mehraufwand zur Umsetzung der Anforderungen, als auch gewisse unpräzise Formulierungen innerhalb der OH sowie fehlende Referenzierungen zu entsprechenden Datenschutzparagraphen. Auch Michael Heusel-Weiß (LfDI RP) sieht noch punktuellen Nachbesserungsbedarf, vor allem bezüglich der Priorisierung von einzelnen Anforderungen und dem Umgang mit der Protokollierung der Lese- und Schreibzugriffe von Patientenakten. Konkrete Umsetzungsschwierigkeiten stellen unter anderem interne Widerstände (z. B. beim Entzug von Zugriffsrechten einzelner Mitarbeiter) und ein erhöhter Administrationsaufwand dar. Die UIMC kann die Kritikpunkte und den erforderlichen Nachbesserungsbedarf aufgrund der gesammelten Erfahrungen bestätigen. Um den bestehenden Klärungsbedarf abzuarbeiten, seien jedoch bereits für Oktober 2012 Gespräche auf Bundesebene sowie die Evaluierung der OH KIS durch Arbeitsgruppen der zuständigen Datenschutzbeauftragten der Länder geplant. Neben weiteren Diskussionen, welche einzelne Anforderungspunkte der OH betrafen, wie beispielsweise die Überarbeitung von Support-Verträgen mit den Herstellern hinsichtlich der datenschutzgemäßen Gestaltung der KIS oder die Definition des Umfangs von Lösch- und Archivierungskonzepten, präsentierte Dieter Heuft vom Landeskrankenhaus Rheinland-Pfalz (AöR) ein Referenzprojekt des LfDI RP, bei dem ein Großteil der in der OH geforderten Maßnahmen bereits umgesetzt werden konnten. Auch Pierre Kaufmann, stellvertretender Arbeitsgruppenleiter der bvitg, konnte bezüglich der Aktivitäten von KIS-Herstellern erste Erfolge bei der Umsetzung der OH aufzeigen; wenngleich auch er noch gewisse Spannungsfelder sieht, vorwiegend bei den Themen Patientenschutz/-sicherheit, Schutzmaßnahmen, Arbeitseffizienz sowie technischische und organisatorische Lösungen im Allgemeinen. Zudem nannte Herr Kaufmann als Kernpunkte der OH KIS die Gebiete Protokollierung, Rollen- und Berechtigungskonzept sowie die Löschung und Sperrung von Patientenakten. Außerdem bemerkte er neben zahlreichen anderen Teilnehmern den fehlenden Ärzteaufschrei, was die Umsetzung datenschutzrechtlicher Anforderungen im Gesundheitswesen betrifft. Auch die UIMC stellt bei ihren Projekten fest, dass sich die große Mehrheit der behandelnden Ärzte bislang nicht bzw. kaum mit dem Thema auseinandergesetzt haben. Sabine Gresch (DRK Trägergesellschaft Südwest mbH), welche 13 verschiedene Krankenhauseinrichtungen im rheinland-pfälzischen Raum datenschutzrechtlich betreut, äußerte im späteren Verlauf der Tagung einen wesentlichen Problempunkt: Wo soll man mit der Umsetzung der OH KIS anfangen? Als Antwort auf diese Frage stellte Herr Heusel-Weiß eine vom LfDI RP vorläufig erstellte Checkliste vor, welche dazu dienen soll, Einzelanforderungen der OH abzufragen, um im Zuge einer Initialisierung einen konkreten datenschutzrechtlichen IST-Zustand der jeweiligen Einrichtung zu erhalten. Daraus resultierende Maßnahmen müssten dann situationsabhängig vom betreffenden Krankenhaus beschlossen werden, zumal beispielsweise einzelne Anforderungspunkte der OH KIS begründet ausgeschlossen werden können. Diese Verfahrensweise zum strukturierten Start einer Umsetzung der OH fand bei der großen Mehrheit der Tagungsteilnehmer eindeutige Zustimmung. Dies bestätigt die Vorgehensweise der UIMC, welche bereits seit Ende 2011 einen umfangreichen tool-gestützten Fragenkatalog zur Umsetzung der Anforderungen der OH KIS entwickelt, in welchem alle Einzelpunkte durch präzise Fragestellungen abgefragt werden, sodass für ein Krankenhaus klar ersichtlich ist, in welchen Bereichen konkreter Handlungsbedarf besteht, um letztendlich die Anforderungen des jeweiligen Datenschutzgesetzes zu erfüllen. Weitere Informationen unter www.uimc.de/weitere_analyse-tool.html.