DRG und Datenschutz

  • Hallo NG!
    "Eine effiziente Umsetzung der DRGs ist nur mit einem leistungsfähigen Klinikinformationsystem (KIS) möglich." Diese Feststellung ist allgemein akzeptiert, denke ich. Die interdiziplinäre Behandlung der Patienten erfordert es, dass alle Ärztinnen und Ärzte einer Klinik auf alle Patienten zugreifen können müssen um die direkte Eingabe der Diagnosen und Prozeduren sicherzustellen. Einschränkungen der Zugriffsrechte (z.B. auf Fachabteilungsebene)führen deutlichen Einschränkungen der Funktionalität eines KIS. Wie aber stehts mit dem Datenschutz? Eigentlich dürfte nur der "behandelnde Arzt" Zugriff auf die Daten "seines" Patienten haben. Gibt es Meinungen zu diesem Thema oder Lösungsvorschläge, die sich bereits bewährt haben?
    MfG
    Thomas Menzel, Univ.-Klinikum Würzburg

  • Hallo NG, ein Neuling grüßt.

    Zu Th.Menzels "´KIS und Datenschutz" posting:
    das kann meiner Meinung nach ausschliesslich pragmatisch gelöst werden: Es darf jeder Doc zugreifen, aber es greifen nur die tatsächlich behandelnden Ärzte zu, die anderen haben genug besseres zu tun. Ein KIS, wie sophisticated auch immer, bringt hier m.E. auch keine substantielle Änderung oder Verschärfung datenschutzrechtlicher Probleme. Wer durfte früher - rein rechtlich betrachtet - alte Akten oder Briefe einsehen? Der behandelnde Arzt. Wer hätte vom Archiv Akten bekommen, wenn er sie bestellt hätte? Jeder, zumindest jeder Arzt des Hauses. Wer hat sie tatsächlich bestellt/gelesen? Der Behandler. Oder?
    Besteht hier wirklich Klärungsbedarf? Kann sich jemand ein funktionierendes Zugriffsrechteverwaltungssystem hier vorstellen? Wird vor einem geplanten CT dann in Zukunft dem Radiologen ein Tages- oder Stundenkennwort mitgeteilt, damit er die Prozedur verschlüsseln kann und Vorerkrankungen, Crea, Schildkrötenwerte nachschlagen? Vielleicht sollte bei Aufnahme nur dem Patienten selbst das KIS-Passwort verraten werden, er kanns dann jedem Arzt, dem er traut, mitteilen.
    Da im Falle eines Datenmissbrauchs durch Unberechtigte (so er auffällt) die Gesetzeslage glasklar ist, sollte, denke ich, hier nicht zuviel vorauseilend nachgedacht werden. Alle datenschutzrechtlich 100%igen Lösungen bergen die Gefahr, dass wichtige medizinische Informationen u.U. doch einem am Behandlungsprozess Beteiligten vorenthalten werden könnten (und dass das Erreichen einer manierlichen Codierqualität *noch* schwerer wird, als ohnehin schon).
    Wer will das?
    Freundlichen Gruß

    Christian Jacobs


    [ Dieser Beitrag wurde von cjacobs am 18.07.2001 editiert. ]

  • Hallo Herr Jacobs,
    vielen Dank für Ihren Kommentar mit dem ich inhaltlich als "kodieren Arzt" voll übereinstimme. Die Frage ist nur, ob das der jeweilige Datenschutzbeauftragte auch so sieht. Wenn nicht, dann besteht aus meiner Sicht die Gefahr, dass die Systeme, die wir alle z. Zt. mit viel Einsatz zu laufen bringen, demnächst aus Datenschutzgründen wieder abgeschaltet werden müssen.
    MfG
    Thomas Menzel

  • Hallo NG, sehr geehrter Herr Menzel, sehrgeehrter Herr Jacobs,

    bezogen auf die Behandlungseinheit Krankenhaus oder Arztpraxis erscheint mir fürs erste eine datenschutzrechtlich akzeptable EDV-Lösung vorstellbar. Hier stimme ich cjacobs zu. Anmerkungen hierzu s. u.

    Probleme habe ich mit der Öffnung der Behandlungseinheit zu anderen Institutionen, hier müssen ganz andere Probleme bedacht werden, hier müßte in der Tat der Patient einer Datenübermittlung zustimmen.

    Meine in vorherigen Beiträge geäußerten Bedenken, die medizinischen Daten (§301 neu: alle Nebendiagnosen, alle Prozeduren) personenbezogen an den Kostenträger zu schicken, teilen offenbar die anderen Forumsmitglieder hier nicht. Die wenigsten scheinen zu realisieren, dass die "recherchierbare Krankenakte" (§301-Daten) nicht an Ärzte, sondern an die Kassen*verwaltung*, auch nicht den MDK, geschickt werden! Regeln, wann dort z. B. die Daten gelöscht werden müssen, sind mir nicht bekannt. Dass hier der Datenschutz gewährleistet ist, wage ich zu bezweifeln, oder glauben Sie, dass gegenwärtig sämtliche Zweigstellen sämtlicher Krankenkassen edv-mäßig besser dran sind wie die Krankenhäuser?

    Wer hier etwas sensibilisiert werden möchte, sollte mal z. B. in http://www.google.de nach "Gläserner Patient" suchen.

    *** Wer kann mir sagen, was mit den seit Januar 2001 an die Kassenverwaltungen übermittelten personenbezogenen Daten geschieht? ***

    Vielleicht liest hier ja auch einmal ein Krankenkassenmitarbeiter.

    Hier hege ich ähnliche Befürchtungen wie Herr Menzel: "..., dann besteht aus meiner Sicht die Gefahr, dass die Systeme, die wir alle z. Zt. mit viel Einsatz zu laufen bringen, demnächst aus Datenschutzgründen wieder abgeschaltet werden müssen."

    ---------

    Zum KIS und Datenschutz/Datensicherheit noch einige Anmerkungen:

    1. Zugriffsrechte sollten nicht auf Gruppen-, sondern auf Personenebene vergeben werden.

    2. Passwörter sollten durch Chipkarten oder biometrische Verfahren (z. B. Fingerabdruck-/Sprach- oder Iriserkennung) ergänzt oder ersetzt werden, um eine Passwort-Weitergabe zu verhindern und den An- und Abmeldevorgang zu erleichtern. Die Rechte-Administration erscheint mir hierbei auch einfacher als bei einer reinen Passwort-Lösung.

    3. Das System sollte die Möglichkeit bieten, Zugriffe (auf jeden Fall Schreibzugriffe, für Herrn Menzel wohl auch Lesezugriffe) mit Zeitpunkt und Benutzer (s. a. Punkt 1) zu protokollieren. Möglicherweise gibt es hierzu bereits Normen.

    4. Einführung der "elektronischen Signaturen" nicht nur im Internet-Zahlungsverkehr, sondern auch für das KIS (deckt Punkte 1 - 3 teilweise ab).

    5. Nachträgliche Änderungen der Dokumentation müssen technisch verhindert werden, bzw. Ausnahmen hiervon streng reglementiert werden (Protokoll, Hinweis auf Änderung am Dokument, abgeschlossene Fälle müssen komplett gesperrt werden, allenfalls Hinzufügen von mit aktuellem Datum gekennzeichneten Ergänzungen möglich).

    6. Die Daten selbst sollten verschlüsselt übermittelt und gespeichert werden (ist eigentlich Stand der Technik, auf jedem PC möglich, aber nicht in deutschen KIS!). Sonst keine Abhörsicherheit bei Netzwerken, egal ob Kabel- oder Funknetz.

    Die wenigsten dieser Punkte sind Realität in deutschen Krankenhäusern, daher ist bis auf weiteres eine Doppeldokumentation EDV/Papier erforderlich.

    Dies geschieht mit zum Teil völlig getrennt organisierten Abläufen, obwohl hier vieles verbessert werden könnte, z. B. durch Verwendung einer umfassenden elektronischen Patientenakte, wobei Papier nur noch als abschließender EDV-Ausdruck benötigt würde, damit man eine herkömmliche Unterschrift daruntersetzen kann.

    Mit freundlichen Grüßen

    Bernhard Scholz

    [center] Bernhard Scholz [/center]

    • Offizieller Beitrag

    Hallo Herr Dr. Scholz,
    Sie schrieben u.a.:

    Zitat


    Original von Scholz:
    Hallo NG, sehr geehrter Herr Menzel, sehrgeehrter Herr Jacobs,

    Probleme habe ich mit der Öffnung der Behandlungseinheit zu anderen Institutionen, hier müssen ganz andere Probleme bedacht werden, hier müßte in der Tat der Patient einer Datenübermittlung zustimmen.

    Das stimmt auffallend (s. Passus zur Datenübermittlung an den Hausarzt - muss auch vom Patienten genehmigt werden)

    Zitat


    Meine in vorherigen Beiträge geäußerten Bedenken, die medizinischen Daten (§301 neu: alle Nebendiagnosen, alle Prozeduren) personenbezogen an den Kostenträger zu schicken, teilen offenbar die anderen Forumsmitglieder hier nicht.

    Seien Sie nicht ungerecht ;) Ihre Beiträge werden von vielen gelesen. Ein Rückschluss darauf, ob Ihre Meinung geteilt wird, ergibt sich daraus m. E. nicht, nur weil vielleicht Wenige antworten. Mir z.B. fehlt der juristische Sachverstand, um sachlich antworten zu können. Daher lese ich nur mit...

    Zitat


    Die wenigsten scheinen zu realisieren, dass die "recherchierbare Krankenakte" (§301-Daten) nicht an Ärzte, sondern an die Kassen*verwaltung*, auch nicht den MDK, geschickt werden!

    Sie sagen richtig: "...scheinen...". Die "recherchierbare Krankenakte" im Datensatz nach 301 zu sehen, halte ich für überspitzt formuliert (eher Minimal Dataset), indes haben Sie mit Ihren Bedenken m. E. recht.

    Zitat


    Regeln, wann dort z. B. die Daten gelöscht werden müssen, sind mir nicht bekannt. Dass hier der Datenschutz gewährleistet ist, wage ich zu bezweifeln,...


    Volle Zustimmung.

    Zitat


    oder glauben Sie, dass gegenwärtig sämtliche Zweigstellen sämtlicher Krankenkassen edv-mäßig besser dran sind wie die Krankenhäuser?


    Nein, glaube ich nicht.

    Zitat


    *** Wer kann mir sagen, was mit den seit Januar 2001 an die Kassenverwaltungen übermittelten personenbezogenen Daten geschieht? ***


    Können Sie es ???

    Zitat


    Vielleicht liest hier ja auch einmal ein Krankenkassenmitarbeiter.


    In der Tat lesen einige mit.

    Zitat


    Zum KIS und Datenschutz/Datensicherheit noch einige Anmerkungen:

    1. Zugriffsrechte sollten nicht auf Gruppen-, sondern auf Personenebene vergeben werden.

    Wohl gesprochen. Aus meiner Erfahrung als u.a. Leiter IT in bisher 2 Krankenhäusern: Versuchen Sie das mal in einer Ambulanz oder im OP durchzusetzen...Das hemmt die Arbeitsabläufe wie sonst nichts. Jedesmal umloggen, da wird man selbst ja krank. Obwohl es richtig ist.

    Zitat


    2. Passwörter sollten durch Chipkarten oder biometrische Verfahren (z. B. Fingerabdruck-/Sprach- oder Iriserkennung) ergänzt oder ersetzt werden, um eine Passwort-Weitergabe zu verhindern und den An- und Abmeldevorgang zu erleichtern. Die Rechte-Administration erscheint mir hierbei auch einfacher als bei einer reinen Passwort-Lösung.


    An jedem (!) Rechner, wohlgemerkt. Wir haben z.Zt. 180 Clients. Kostenfaktor. Iris-Erkennung: Szenario Los-Alamos ? Ich gebe zu, ich überspitze das. Hintergrund ist jedoch: Realisierbarkeit, Akzeptanz.

    Zitat


    3. Das System sollte die Möglichkeit bieten, Zugriffe (auf jeden Fall Schreibzugriffe, für Herrn Menzel wohl auch Lesezugriffe) mit Zeitpunkt und Benutzer (s. a. Punkt 1) zu protokollieren. Möglicherweise gibt es hierzu bereits Normen.


    Das ist Realität und kein Problem. Kurz gesagt: Läuft. Problem und Beispiel: Elektronische Patientenakte (EPA): Schreibdame Müller erstellt ein Dokument aus einem Diktat von Dr. Scholz. Dann fährt Sie in den wohlverdienten Urlaub. Schreibherr Meier soll als Urlaubsvertretung auf Wunsch von Dr. Scholz noch eine weitere Medikation eintragen, die versehentlich im Diktat vergessen wurde. Geht aber nicht, weil Meier das Dokument von Müller nicht ändern darf. Dürfte er es und käme Meier nach einem Tag vorzeitig aus dem Urlaub zurück, würde Sie laut aufschreien und sagen: Das habe ich nicht geschrieben...etc.

    Zitat


    4. Einführung der "elektronischen Signaturen" nicht nur im Internet-Zahlungsverkehr, sondern auch für das KIS (deckt Punkte 1 - 3 teilweise ab).


    Wer deckt das mit ab ?

    Zitat


    5. Nachträgliche Änderungen der Dokumentation müssen technisch verhindert werden, bzw. Ausnahmen hiervon streng reglementiert werden (Protokoll, Hinweis auf Änderung am Dokument, abgeschlossene Fälle müssen komplett gesperrt werden, allenfalls Hinzufügen von mit aktuellem Datum gekennzeichneten Ergänzungen möglich).


    s.o. Was ist mit bereits abgerechneten Fällen, bei denen z.T. Monate später erkannt wird, dass der Patient versehentlich vom Arzt/der Schwester entlassen wurde, aber in Wirklichkeit noch 3 Tage stationär war? Es fehlen 3 Tage in der Abrechnung. Folge: Rechnung stornieren, Aufenthalt korrigieren, neu abrechnen (Was hat der Kostenträger für einen Eindruck davon??) Alles schon irgendwo zigtausendmal vorgekommen (nur als Bsp. für dezentrales Patienten-Management)
    Das fängt schon damit an, dass Ambulanzmitarbeiter in mir bekannten Häusern den Unterschied zwischen "ambulant" und "vor-/nachstationär" nicht realisieren wollen(!!!)

    Zitat


    6. Die Daten selbst sollten verschlüsselt übermittelt und gespeichert werden (ist eigentlich Stand der Technik, auf jedem PC möglich, aber nicht in deutschen KIS!). Sonst keine Abhörsicherheit bei Netzwerken, egal ob Kabel- oder Funknetz.


    Das haben weniger als 5% der Krankenhäuser.

    Zitat


    Die wenigsten dieser Punkte sind Realität in deutschen Krankenhäusern, daher ist bis auf weiteres eine Doppeldokumentation EDV/Papier erforderlich.


    Stimmt.
    Mit freundlichen Grüßen
    B. Sommerhäuser :rolleyes:

  • Hallo,

    zum Thema Zugriffsschutz habe ich folgendes Konzept:

    Die Aerzte der Abteilung, in der der Patient behandelt wird, haben vollen Zugriff auf die gesamten Daten.

    Wird ein Konsil/Untersuchung beantragt wird ein Mitbehandlungsauftrag an diese Abteilung gegeben. Bis zum Abschluss der Untersuchung, der sich in der Dokumentation des Vorganges niederschlaegt, wird der Abteilung lesezugriff auf die Daten gegeben. Zusaetzlich kann der Befund geschrieben werden.

    Diese beiden Arten des Zugriffs werden nicht protokolliert.

    Nimmt ein Arzt Zugriff auf eine andere Krankenakte kann er dies tun, der Zugriff wird aber protokolliert und der Verantwortliche jeder Abteilung muss diese Zugriffe gegenzeichnen.

    Dieses Verfahren entspricht in digitaler Form am weitesten dem heuteigen Verfahren in der Klinik:

    Aerzte einer Abteilung behandeln vor allem im Dienst alle Patienten einer Abteilung und koennen Anordnungen treffen und Akten einsehen.

    Zu einer Untersuchung wird eine Akte mitgegeben, in die Kurve traegt der Untersucher aber nichts ein. Er schreibt einen Befund.

    Will ich eine alte Akte einsehen muss ich eine Anforderung unterschrieben an das Archiv senden. Damit wird meine Einsicht protokolliert und nachvollziehber.

    Gruss,

    Ruediger Lohmann

  • Hallo Rüdiger Lohmann,
    das vorgestellte Konzept ist aus meiner Sicht akzeptabel, kommt mir allerdings ein bißchen bekannt vor. Läuft das im SAP-ISH-Med nicht so?. Auf jeden Fall braucht ein solches Konzept eine elektronische Patientenakte (EPA), ansonsten müßte ja ärztlicherseits zusätzlich zur "papiergestützten" Konsilanforderung auch noch die Freigabe im KIs erfolgen. Unter Berücksichtigung der weiter oben vorgeschlagenen zusätzlichen Sicherheitsmerkmale sehe ich die Verfügbarkeit einer solchen EPA eher mittelfristig, aml ganz zu schweigen von den Kosten.
    Mit freundlichen Grüßen
    Thomas Menzel

  • Liebe Kolleg/Innen,
    die Einschränkung der Einsichtnahme in die elektronische Patientenakte ist insofern in einigen Kliniken nicht einzuschränken, da z.B. abteilungsübergreifende Bereitschaftsdienste bestehen. Zudem würde man doch im Falle einer Notfallsituation grundsätzlich gerne bei Abwesenheit des beh. Kollegen (dienstfrei, steht im OP) usw. auch als Fachfremde(r) gerne mal ein paar Informationen über den Patienten haben, oder?
    Die pragmatische Lösung scheint nicht zu umzugehen zu sein...

    J. Cramer

    [ Dieser Beitrag wurde von Cramer am 06.08.2001 editiert. ]

    Dr. J. Cramer
    AGAPLESION Diakonieklinikum Hamburg

  • Hinweis:
    Eine Veranstaltung zu diesem Thema (im weiteren Sinne) wird auf der Jahrestagung der GMDS im September 2001 im Rahmen eines Tutorials angeboten

    "Datenschutz und Datensicherheit in verteilten medizinischen Informationssystemen und Gesundheitsnetzen

    Bernd Blobel

    Auf der Basis der rechtlichen Grundlagen und Erfordernisse führt das Tutorial in Services und Mechanismen für Kommunikationssicherheit und Anwendungssicherheit ein. Probleme und Lösungen werden unter Verwendung praktischer Beispiele und Erfahrungen für Internet-basierte Gesundheitsnetze und verteilte EHCR beschrieben"

    MfG
    T. Menzel

  • :vertrag:

    Zur Frage der DRG-DAten, die an die Krankenkassen gehen und damit die Patienten transparent machen, habe ich an den Bundesdatenschutzbeauftragten geschrieben, als das DRG-Gesetz noch gar nicht umgesetzt war und er antwortete, dass dies eben gesetzlich neu geregelt sei (gesetzliche GRundlage= ERlaubnis).

    Zur Frage der Einsicht in medizinische Daten:
    auch ich denke, dass der einzige praktikable Weg darin besteht, die bisherige Praxis nachzuempfinden (Aktenbestellung auf Formular/per Telefon bzw. Notfall-Autorisation) natürlich alles mit digitaler Signatur und Datumsstempel.
    Wer kennt eine DMS-Software, die das für die Medizin schon bietet?

    Dr. Klüber
    Medizincontrolling und Datenschutzbeauftragter
    ENDO-Klinik Hamburg