Elektronischer Patientenaustauch – sicher, komfortabel und wirtschaftlich

Thomas_Jaeschke_300dpi (666x800)Bis zum 1. Juli diesen Jahres bleibt den Krankenkassen, dem Medizinischen Dienst der Krankenversicherung (MDK) und den Krankenhäusern in allen Bundesländern noch Zeit, dann müssen sie einen rechtskonformen Weg zur elektronischen Übermittlung von Patientendaten gefunden und umgesetzt haben. Dies ist eine Vorgabe der Vereinbarung zum Prüfverfahren nach § 275 Absatz 1c SGB V gemäß § 17c Absatz 2 KHG. Für privacyblog-Autor, Datenschutzbeauftragter und Leiter des Institutes für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG), Prof. Dr. Thomas Jäschke, ein zwingender Grund, zu erläutern, unter welchen Bedingungen ein Cloud-Dienst für den elektronischen Austausch von Patientendaten geeignet ist.

Claudia Seidl: In  §7 Abs. 3 der MDK-Neuregelung heißt es: Das Krankenhaus soll mit dem MDK den Versand der Unterlagen in geeigneter elektronischer Form organisieren und vereinbaren. Was ist mit „geeigneter elektronischer“ Form exakt gemeint?

Prof. Thomas Jäschke: Damit ist die Einhaltung der normativen Rahmenbedingungen, wie Datenschutzgesetze, ärztliche Schweigepflicht und SGB, gemeint. Einen weiteren wichtigen Aspekt bei der Verarbeitung von Gesundheitsdaten – so genannten „personenbezogenen Daten der besonderen Art“ gemäß §3 Abs. 9 BDSG, EG Richtlinie 95/46/EG – stellt  die Schweigepflicht dar, die sich aus der Musterberufsordnung für Ärzte und dem Strafgesetzbuch (StGB §203) ergibt. Eine Verarbeitung dieser Daten ist nur dann zulässig, wenn eine ausdrückliche gesetzliche Grundlage oder eine andere Rechtsvorschrift dies erlaubt bzw. anordnet. Das heißt also, dass für den organisationsübergreifenden Austausch von den sensiblen Patientendaten, die zwischen dem MDK und den Krankenhäusern  statt-findet, der Datenschutz eine Hauptrolle spielt.

Ein anderer wichtiger Punkt liegt in der Bedienungsfreundlichkeit. Denn Datensicherheit ist nur dann auch wirklich gewährleistet, wenn alle Mitarbeiter den ausgewählten Dienst sofort nutzen und ohne großen Schulungsbedarf handhaben können. Über die Kosten brauche ich ja nicht allzu viele Worte verlieren. Dass wir im Gesundheitswesen kostenbewusst planen müssen, versteht sich von selbst.

Public Cloud Dienste wie File-Sharing oder auch Share & Store könnten da eine günstige Option sein. Unter welchen Umständen können Sie diese empfehlen?  

Mit Cloud-Angeboten kann ein Krankenhaus bei der elektronischen Kommunikation erheblich Kosten sparen und meist sind die Plattformen angenehm zu bedienen. Leider ist es jedoch für die Verantwortlichen nicht ganz so einfach, festzustellen, wie es tatsächlich um die Datensicherheit bestellt ist. Da müsste man schon über spezifisch sicherheitstechnisches Hintergrundwissen verfügen. Aus diesem Grund entwickelt ein Pilotprojekt im Rahmen der Trusted Cloud Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) auf Basis des ISO-Standards 27018 (ISO/IEC 27018:14) und der Datenschutz-Gesetzeslage zurzeit einen Anforderungskatalog, nach dem sich Cloud-Dienste zertifizieren lassen können. Die Version dieses Katalogs, des Trusted Cloud Datenschutz Profils (TCDP), wird im Verlauf des Aprils 2015 veröffentlicht.

Im TCDP sind dann Schutzklassen formuliert, anhand derer man sofort erkennen kann, ob ein Dienst für das für das Gesetz nötige Sicherheitsniveau verfügt. Ein Zertifikat nach dem TDCP wird Rechtsfolge haben. Damit ist gemeint, dass der Anwender bereits alle seine rechtlichen Verpflichtungen erfüllt, indem er einen Anbieter mit passendem Sicherheitsprofil auswählt. Er muss den Anbieter selbst nicht mehr überprüfen, wie es das BDSG eigentlich verlangt. Für Patientendaten kommen dabei nur Dienste infrage, die mit Schutzklasse 3 oder 3+ zertifiziert sind.

Über welche Funktionen muss ein Dienst verfügen, damit er die Kommunikation mit dem MDK  erleichtert?

Ideal sind virtuelle Projekträume, wie sie der Dienst IDGARD anbietet. In diesen Projekträumen lassen sich vertrauliche Daten sicher und schnell transferieren: Der Empfänger lädt die für ihn bereitgestellte Datei einfach herunter – und die kann durchaus groß sein. Besonders interessant ist der Einsatz der Datenräume mit exaktem Journal, d. h. einem Protokoll über Aktivitäten innerhalb eines Projektraumes.

Im Hintergrund des Dienstes steht übrigens die von der Trusted Cloud Initiative geförderte und mittlerweile in der EU und den USA patentierte Technologie Sealed Cloud. Diese Technologie ist der Grund, warum IDGARD die Anforderungen erfüllt, wie sie in der aktuellen TCDP für die Schutzklasse 3 gefordert sind. Somit hat IDGARD die Sicherheitsstufe, die für Krankenhäuser, MDK und Krankenversicherungen gefordert ist. Als Datenschutzbeauftragter für namhafte Einrichtungen im Gesundheitswesen kann ich diese Lösung für Kranken-häuser empfehlen.