eHealth - Elektronische Gesundheitsdienste

eHealth

Elektronische Gesundheitsdienste

Flavio Gerbino
von Flavio Gerbino
am 21. April 2016
Lesezeit: 18 Minuten

Es ist unübersehbar, dass das Gesundheitswesen zunehmend digitalisiert wird. Der Sammelbegriff eHealth ist in den Medien omnipräsent. Darunter werden alle digital- und Informationstechnologien subsumiert, die das Gesundheitswesen tangieren. Dabei können eine Vielzahl von Prozessen, Diensten, Hilfsmittel gemeint sein, die sich der Informationstechnologie bedienen, um die Aufgaben des Gesundheitswesens zu gestalten und unterstützen. Diese Digitalisierungsbestrebungen scheinen alle unter dem Label eHealth stattzufinden.

Mit eHealth werden also diverse Ziele angestrebt: Das Koordinationsorgan des Bundes eHealth Suisse verwendet dafür den Slogan: Meine Gesundheitsinfos. Zur richtigen Zeit am richtigen Ort. und meint damit generell auch eine Steigerung der Effizienz, eine Verbesserung der Qualität, eine Erhöhung der Sicherheit und die Förderung der Wirtschaftlichkeit bestehender Gesundheitsdienst-Prozesse. Dabei soll die Technik – wie oft missverstanden – eben nicht im Vordergrund stehen. Die Informationssicherheit und der Datenschutz sollen die höchste Priorität geniessen.

Die technischen Innovationen sollen zwar die existierenden Prozesse und Strukturen durch elektronisches Abbilden unterstützen und stärken. Doch eHealth wird auch als substantieller Treiber für generelle Erwägungen, Optimierungen und Neuerungen innerhalb des Gefüges des Gesundheitswesens positioniert und etabliert.

Etwas konkreter sollen die Chancen für eine Verbesserung in folgenden Aspekten des Gesundheitswesens genutzt werden:

Die Umsetzungsaktivitäten dieser Handlungsfelder sollen die wesentlichen organisatorischen, normativen und technischen Grundlagen schaffen, welche für die Entwicklung von eHealth zentral sind. Es sind dies:

Dabei handelt es sich nicht nur um Visionen und Strategien, sondern um rasch voranschreitende Tatsachen. Denn das Parlament hat das Bundesgesetz über das elektronische Patientendossier (EPDG) am 19. Juni 2015 verabschiedet. Das Gesetz soll 2017 in Kraft treten und neuen Möglichkeiten für elektronische Gesundheitsdienste den Weg bereiten:

Nachholbedarf und Analogien zum Finanzbereich

Wenn auch viel später als beispielsweise im Finanzsektor, findet nun also auch im Gesundheitswesen eine massive, explosionsartige Erweiterung und Durchdringung durch die Digitalisierung statt.

Extrem vereinfacht könnte man die Analogie der Entwicklung im Finanzsektor heranziehen. Analoge Ansätze wurden digitalisiert, auf mobile Plattformen gebracht und weitestgehend automatisiert.

Analog Digital Mobil Automatisiert
Analoges Banking eBanking Mobile Banking (mBanking) Fintech
Analoges Gesundheitswesen eHealth Mobile Health (mHealth) Health-tech (Vision)

Der Unterschied ist vor allem aus der Risikoperspektive deutlich ersichtlich, geht es im Finanzbereich lapidar gesprochen primär nur um Geldverluste, stehen beim Gesundheitswesen im extremen Risikofall Menschenleben auf dem Spiel. Diese Tatsache sollte bei Überlegungen um eHealth stets berücksichtigt werden.

Es liegt auf der Hand, dass das Gesundheitswesen in punkto Digitalisierung in den medizinischen, ärztlichen und gesundheitsadministrativen Bereichen einen erheblichen Nachholbedarf hat. Denn es bestehen bei der Vernetzung eines sensitiven und komplexen Bereiches wie das des Gesundheitswesens eben auch erhebliche Risiken. Vor allem wenn die digitale Nutzung in alle Richtungen – sowohl näher hin zum Patienten, als auch näher hin zu den Ärzten, Fachspezialisten und dem gesundheitspersonal im allgemeinen erweitert und intensiviert – wird.

Paradigmenwechsel, Akzeptanz

Dabei dürfen die vielfältigen komplexen Probleme und Risiken, die durch diese Annäherung von IT und Medizin impliziert werden, nicht vernachlässigt werden. Es bedarf eines umfassenden Paradigmenwechsels aller Akteure. Sowohl Spitäler, Kliniken, Arztpraxen, die Verwaltungen im Gesundheitswesen, aber auch Ärzte und Patienten müssen die neuen Voraussetzungen akzeptieren, deren Potential und Nutzen erkennen, um daraus einen Mehrwert und übergeordneten Sinn für sich und die Gesellschaft zu generieren.

Dabei müssen auch Fragen bezüglich der Mindestanforderungen an einen Sicherheitsstandard kategorisch behandelt werden. Und dabei darf nicht übersehen werden, dass es letztendlich um Menschen geht. D.h. die Implementierung neuer technischer Systeme allein, wird nicht viel bringen, ohne sich zuerst Klarheit über die hohen Sicherheitsanforderungen Angesichts des sensiblen Charakters von Gesundheitsdaten zu verschaffen.

Die Technik sollte den Prozessen folgen. Es ist wichtig, vorgängig die Gesamtprozesse abzubilden und in Fachspezifikationen klar zu definieren und damit auch einen öffentlichen Diskurs anzuregen.

Informationsschutz und Datenschutz

Dabei spielt auch der Datenschutz eine eminent wichtige Rolle, wenn es um die sensitiven Gesundheitsdaten von Patienten in digitaler Form geht. Denn durch die erweiterte Verfügbarkeit der Patientendaten ist klar, dass kategorisch sichergestellt sein muss, dass alle involvierten Gesundheitsfachleute und Parteien mit Zugriff auf elektronische Patientendaten, die gleich strengen Regeln des ärztlichen Berufsgeheimnisses und Datenschutzes einhalten müssen.

Das elementare Problem liegt auf der Hand, dass je mehr Personen von sensitiven, vertraulichen Daten wissen, desto unsicherer und schwieriger wird auch deren Geheimhaltung. Die Rechte des Patienten bezüglich seiner Gesundheitsdaten müssen rigoros sichergestellt werden können. Dabei sehen Datenschützer und Experten vielfältige Risiken und Herausforderungen. Datenschutzverletzungen können stattfinden durch (Swiss eHealth Forum, Referat Dr. med. Georg Sasse):

Beobachtet wird dabei auch, dass Mitarbeiter in Spitälern in punkto Datenschutzverletzungen sowohl die häufigsten Täter wie auch die häufigsten Opfer sind.

Wir sehen, dass die Informationsprozesse zwischen Patienten, Hausarzt, Klinken, Spitälern, Labor und Apotheken, etc. nicht immer reibungsfrei und effizient ablaufen. Dies birgt das Risiko, dass sich medizinische Fehler einschleichen und es zu unnötigen Mehrfachbehandlungen kommen kann.

Durch die Komplexität der Abläufe im Gesundheitswesen, wächst auch die Menge der Informationen über Patienten und die Anzahl der Fachleute und Stellen, die für eine effiziente Behandlung Zugriff auf diese Daten benötigen. Das elektronische Patientendossier soll diese Effizienzverluste kompensieren und die nötigen Zugriffe rationell ermöglichen.

Ein wichtiger Punkt ist, dass der Patient selbst entscheiden kann, ob er ein elektronisches Patientendossier will. Der Patient wird auch bestimmen können, wer in welchem Ausmass Zugriff und Einblick erhalten soll. Da es sich um besonders sensible Daten handelt, sollen weder Arbeitgeber noch Krankenkassen auf diese Daten zugreifen können. Um Patienten und behandelnde Ärzte eindeutig identifizieren zu können, wird eine neue Identifikationsnummer eingeführt.

Das elektronische Patientendossier hat das Potential, um die Qualität, Sicherheit und Effizienz von Behandlungen zu verbessern. Es handelt sich bei dieser Einführung um eine zeigemässe Notwendigkeit. Doch der Datenschutz muss rundum gesichert werden. Der Patient soll jederzeit die Herrschaft über seine Daten behalten.

Exkurs HIPAA

Beispielsweise in den USA sind Vorstösse zum Datenschutz verschiedentlich als Konsequenz auf vorangegangene Datenschutzvorfälle entstanden. Ein umfassendes, übergeordnetes Bundesgesetz zum Datenschutz gibt es eigentlich nicht. Dementsprechend fehlt eine Regelung, wie Unternehmen und Organisationen die Nutzung, Speicherung, Verarbeitung etc. von persönlichen Daten ausgestallten müssen, und welche Schutzvorkehrungen zu treffen sind.

Vielmehr existieren einzelne Sammlungen verschiedener Gesetze, Regularien bzw. Standards, sowohl auf Bundes- wie auch auf US-Bundesstaaten Ebene. Als ein bekanntes Beispiel einer solchen Regelung im Gesundheitssektor ist der HIPAA-Standard anzusehen.

HIPAA, steht für den U.S. Health Insurance Portability and Accountability Act und schreibt vor, dass alle Unternehmen im Gesundheitswesen strenge Vorgaben einhalten müssen, die darauf abzielen, den Schutz der Patientendaten zu gewährleisten. Die HIPAA-Vorschriften haben einen breiten Geltungsbereich, der sich von den Krankenkassen, zu den Verrechnungsstellen bis hin zu allen Gesundheitsdienstleistern erstreckt. Er betrifft somit alle Entitäten, die in Kontakt mit Patienteninformationen kommen.

Unternehmen bzw. Organisationen die HIPAA unterliegen, dürfen nur mit der expliziten Einwilligung der Patienten von den Richtlinien abweichen. HIPAA schreibt den betroffenen Entitäten vor, adäquate Vorkehrungen zu treffen, um Patienten-Informationen vor absehbaren Bedrohungen und Risiken, sowie vor unbefugtem Zugriff, unbefugter Verwendung oder Offenlegung zu schützen.

Eine Verletzung der Vorschriften kann erhebliche zivil- und strafrechtliche Folgen nach sich ziehen. Man sollte sich davor hüten, nur aus der ad-hoc Entstehung solcher US-Richtlinien, dem Fehlschluss zu verfallen, dass eine Richtlinienverletzung bzw. eine Datenschutzverletzung in den USA nur einem Bagatelldelikt gleich komme.

Übersicht HIPAA Standard

Die Hauptanforderungen von HIPAA sind unter 164-Sicherheit und Datenschutz erfasst. Zu den Top-Level-Abschnitten dieser Anforderung gehören (Auszug Part 164):

Subpart Beschreibung
102 Gesetzliche Grundlagen
103 Definitionen
104 Anwendbarkeit
105 Organisatorische Anforderungen
106 Beziehung zu Dritten
306 Sicherheitsstandards: Allgemeine Regeln
308(a)(1) Verwaltungssicherheit: Sicherheitsmanagementprozess: Verhindern, Erkennen, Eindämmen und Beheben von Sicherheitsverstössen
308(a)(3) Sicherheit der Belegschaft
308(a)(4) Informationszugriffsmanagement – Implementieren von Richtlinien und Verfahren für die Genehmigung von Zugriff auf elektronische geschützte Gesundheitsinformationen
310 Physikalische Sicherheitsmassnahmen
312 Technische Schutzmassnahmen
312(a)(1) Zugriffskontrolle
312(b) Audit-Kontrollen – Erfassen und Untersuchen von Aktivitäten in Informationssystemen, die elektronische geschützte Gesundheitsinformationen enthalten oder verwenden.
314 Organisatorische Anforderungen
316 Richtlinien und Verfahren sowie Dokumentations-Anforderungen
316(b)(1) Dokumentation – Pflege von schriftlichen (möglicherweise elektronischen) Berichten über Aktionen, Massnahmen oder Bewertungen.
502 Grundregeln: Verwendungen und Offenlegungen geschützter Gesundheitsinformationen
504 Verwendungen und Offenlegung: Organisatorische Anforderungen
506 Verwendungen und Offenlegung der Behandlungsdurchführung, Zahlung oder Gesundheitsfürsorge
508 Verwendungen und Offenlegung, für die eine Genehmigung benötigt wird
510 Verwendungen und Offenlegung, für die eine Zustimmung des Patienten nötig sind
512 Verwendungen und Offenlegung, für die keine Zustimmung des Patienten nötig sind
514 Andere Anforderungen an die Verwendung und Offenlegungen geschützter Gesundheitsinformationen
520 Bekanntmachung der Datenschutzpraktiken für geschützte Gesundheitsinformationen
522 Rechte auf Schutz der Privatsphäre für geschützte Gesundheitsinformationen
524 Zugang von Personen, um Gesundheit Informationen zu schützen
526 Änderung der geschützten Gesundheitsinformationen
528 Logging and Tracking von Offenlegungen geschützter Gesundheitsinformationen
530 Administrative Anforderungen
532 Übergangsbestimmungen

Im Folgenden werden die allerwichtigsten Massnahmen aufgeführt, die Unternehmen, die HIPAA unterliegen (Covered Entities), erfüllen müssen:

Die HIPAA Sicherheitsmassnahmen konzentrieren sich auf den Schutz Datenintegrität, Vertraulichkeit und Verfügbarkeit der einzeln identifizierbaren Gesundheitsinformationen (engl. EPHI, Electronic Personal Health Information):

Parallelen zu anderen bekannten Standards (z.B. ISO)

Dennoch hat auch ISO bereits Normen lanciert, die den spezifischeren Sicherheitsanforderungen im Gesundheitswesen explizit Rechnung tragen sollen. Zum Beispiel wurde ISO 27799 für IT-Sicherheit im Gesundheitswesen basierend auf ISO 27001 und 27002 – Leitfaden für das Informationssicherheits-Management etabliert.

Standard Titel
ISO 27799:2014 Medizinische Informatik – Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
ISO 27789:2013 Medizinische Informatik – Audit-Trails für elektronische Gesundheitsakten
ISO/TS 14265:2011 Medizinische Informatik – Klassifikation des Zwecks zur Verarbeitung von persönlichen Gesundheitsinformationen
ISO/TS 17975:2015 Medizinische Informatik – Prinzipien und Datenanforderungen für die Einwilligung zur Erhebung, Verwendung oder Bekanntgabe von persönlichen Gesundheitsinformationen

Diese Normen wurden entwickelt, weil eine Spezialisierung gerade für das hoch sensitive Gesundheitswesen mit spezifischen Anforderungen jenseits der traditionellen IT-Sicherheitssphären sinnvoll ist. Das Gesundheitswesen unterliegt einer starken Dynamik auf dem Gebiet der IT, auch weil viele Medizinalgeräte heute viel direkter an IT-Netzwerken angebunden werden und durch eine massiv erweiterte Zugänglichkeit gekennzeichnet sind.

Viele Vorstösse der eHealth Entwicklungen bewirken, dass diverse Funktionen und Prozesse in ärztlichen Praxen, Spitälern und Kliniken und medizinischen Versorgungszentren digital durchgeführt und miteinander vernetzt werden und wie wir gesehen haben, besonders traditionelle Patientendossier und Aktenwesen sukzessive digitalisiert werden:

Wir haben gesehen, dass diese Entwicklungen in hohem Masse datenschutzrelevant sind. Unter diesem Blickwinkel scheint es äusserst sinnvoll, solche Mindeststandards als Common Sense zu etablieren.

Damit ergeben sich auch für das Gesundheitswesen mit eHealth neue Aspekte der IT-Sicherheit. Trotz des breit angelegten Scopes und des brancheübergreifenden Charakters der ISO 27001 Familie, müssen die probaten Normen und Vorgaben hinsichtlich IT-Sicherheit auch die spezifische Ausprägung des Gesundheitswesens hin berücksichtigt und adaptiert werden.

Daher ergibt sich für den Standard ISO 27799:2008 Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen, folgende Inhaltsstruktur und Gliederung. Kapitel 3, 5 und 7 sowie Anhang A und B wiederspiegeln Vorgaben, die spezifisch auf das Gesundheitswesen ausgerichtet sind:

Herausforderungen und Stossrichtungen von eHealth

Obwohl die Datensicherheit in der eHealth Diskussion eine zentrale Rolle spielt und unter Experten derzeit breit und tief thematisiert wird, ist es auffällig, dass viele Leute, wenig über das Thema wissen. Dies gilt sowohl für Patienten, als auch für viele andere Akteure im Gesundheitswesen. Dass auf technischer, organisatorischer und normativer Ebene enorme Vorkehrungen getroffen werden, um die Datensicherheit zu erhöhen, nützt allein nicht viel, wenn der Informations- und Schulungsaspekt vernachlässigt wird.

Datenschutzverletzungen zählen mitunter zu den bedeutendsten Sicherheitsproblemen in Unternehmen. Dies gilt mit der Einführung des elektronischen Patientendossiers nun umso mehr auch für Spitäler, Klinken, Arztpraxen etc. Infrastrukturprovider und IT-Dienstleister im Gesundheitswesen sollten daher kooperieren und einen soliden Mindeststandard definieren, den es kategorisch einzuhalten gilt.

Denn nebst dem Nutzen werden auch die Herausforderungen in punkto Datensicherheit zunehmen und sich verschärfen, indem sich Daten zwischen den Netzwerken aller vorgesehenen Parteien frei bewegen werden. Dabei werden zukünftig wohl auch Technologien wie Cloud-Computing und Mobile-Computing (mHealth) zum Zuge kommen, die wiederum die Risikosituation verstärken.

Denken wir weiter an den rasanten Fortschritt des Mobile-Health-Bereichs (Stichwort IoT, Internet of Things), kommen noch weitere Problemfelder hinzu, nämlich eine massive Zunahme der Datenmenge (Big Data), sowie die Notwendigkeit für rechtliche Bestimmungen, die eine Datenauswertungen (Data Mining) gemäss den rechtlichen und ethischen Normen ermöglichen (Verhinderung von Profiling etc.). Denn die Grundrechte auf den Schutz der eigenen Gesundheitsdaten gelten natürlich und besonders auch bei Massendatenverarbeitung.

Des Weiteren müssen längerfristig auch im nationalen, europäischen und internationalen Kontext gemeinsame Interoperabilitätsnormen und -Verfahren etabliert werden, damit sich elektronische Gesundheitsdienste bei Bedarf und Notwendigkeit unter Einhaltung vereinbarter Mindestanforderungen und unter Aufrechterhaltung des Datenschutzes, zum Wohle des Patienten, über nationale Grenzen hinweg austauschen und miteinander kommunizieren können.

Quellen

Bundesamt für Gesundheit BAG

Organisationen, Foren

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Standards

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv