2009/10/10 Gesundheitsdaten und Sicherung der Privatsphäre
Gesundheitsdaten sind sensible Daten - Arztordination als Teil der persönlichen Privatsphäre - Gesamtkonzeptionen fehlen - Gefahr an der IT-Hintertür - Probleme in der Umsetzung von gut gemeinten Richtlinien - Konzeptloser Trend zur Selbstbedienungsmedizin
Gesundheitsdaten sind sensible Daten
Gesundheitsdaten werden von der EG-Richtlinie Datenschutz als sensible Daten eingestuft, für die ein grundsätzliches Verwendungs- und Verwertungsverbot gilt. Dieses Verbot darf nur unter bestimmten Umständen durchbrochen werden. Die wichtigsten sind die Verwendung der Daten für die Heilbehandlung, wenn ein Patient der Datenverwendung ausdrücklich zustimmt und unter bestimmten gesetzlichen Bedingungen.
Der Patient muss darauf vertrauen können, dass alle Informationen, die sehr oft den intimsten Lebensbereich betreffen, beim Arzt vertraulich behandelt werden. Dazu schützt ihn das Ärztegeheimnis.
Die Bereiche, die immer öfter probleme bereiten, sind unklare gesetzliche Bestimmungen und die 'freiwillige Zustimmung' des Patienten.
Gerade die Diskussion um die SV-Chipkarte (e-card) mit oder ohne Notfallsdaten, mit oder ohne einer genauen Arztbesuchsprotokollierung, als administrative Sonderlösung oder als Multifunktionskarte und Bankomatanhängel, als universeller Bürgerkennzeichnungsausweis ('Bürgerkarte') oder als ausschließlicher Nachweis der Leistungsberechtigung, läßt nicht mehr erkennen, wer tatsächlich Zugang zu welchen Daten hat.
Die Vielfalt der Vorschläge und der technisch-administrative Zickzackkurs haben letztlich zu einer Verunsicherung geführt, bei der ein Patient nicht mehr sicher sein kann, wer welche Daten tatsächlich erhält.
Hinzu kommt noch die immer weitergehende Praxis von Versicherungen, Banken und Arbeitgebern, sich im Rahmen der 'freiwilligen Zustimmung' umfassende Gesundheitsdaten zu beschaffen. IDerzeit werden diese Zustimmungserklärungen derartig umfassend und unklar formuliert, dass sie auf eine generelle Entbindung vom Ärztegeheimnis hinauslaufen.
Meisten Vorschläge nicht praxistauglich
Gerade im Bereich der SV-Karte (e-card) tauchen laufend Vorschläge auf, die nicht praxistauglich sind. Abgesehen von rechtlichen Unvereinbarkeiten ergeben sich bei Multifunktionskarten erhöhte Verlust- und Missbrauchsrisiken. Auch eine gesteigerte Abnutzung könnte die Karten gerade dann unbrauchbar machen, wenn sie dringend benötigt werden.
Weiters sind elektronische Notfallskarten - mangels gemeinsamer Standards und flächendeckender Geräteausstattung - besonders im Ausland und in Gebieten geringerer ärztlicher Versorgungsdichte - unbrauchbar.
Unzuverlässiger Umgang mit Gesundheitsdaten
Hinzu kommt eine weitere technisch-administrative Dimension. In einem immer höheren Maß findet der Informationsaustausch im Gesundheitsbereich elektronisch statt. Befunde, Abrechnungen, Laborergebnisse und Arztbriefe, Verschreibungen und Krankmeldungen erfolgen über öffentliche Datennetze, wobei dem Internet zentrale Bedeutung beikommt.
Zum Teil werden ungeeignete Techniken verwendet, wie die ftp-Abrechnung der Apotheken zeigt, zum anderen sind die vorgesehenen Kontrollstellen überfordert, wie die fehlerhafte datenschutzrechtliche Registrierung der Apotheken zeigt.
In vielen Fällen werden auch ungeeignete oder fehlerhafte Computersysteme und Installationen genutzt, bei denen Passwörter im 'Klartext' übertragen werden, veraltete und unsichere Serverinstallationen genutzt werden oder Programme fehlerhaft implementiert sind.
Es existieren zwar technische Standards zum Gesundheitsdatenaustausch (MAGDA-LENA-Richtlinien), ihre Umsetzung bleibt jedoch dem einzelnen Verantwortlichen überlassen. Der Schutz der Privatsphäre reduziert sich dann oft auf gut gemeinte Apelle des 'Aufpassens' und der vertraglichen Abschiebung von Verantwortung auf die Endanwender (Apotheken, Ärzte, Labors, ...).
Heute kann kein Patient darauf vertrauen, dass seine Gesundheitsdaten im Rahmen des elektronischen Datenverkehrs vertraulich bleiben.
Konzeptloser Trend zur Selbstbedienungsmedizin
Analysiert man die schon jetzt verfügbaren Online-Gesundheitsangebote, kann man leicht erkennen, dass ein starker Trend zu anonymer, automatisierter Gesundheitsbetreuung besteht. Der Online-Medikamenteneinkauf ist mittlerweile genauso möglich, wie die Online-Gesundheitsberatung. Leicht zugängliche medizinische Informationen und eine (Über)fülle alternativer Behandlungsmethoden machen rasch jeden zum Gesundheits'experten'.
Dieser Trend ist nicht nur negativ, enthält er doch in den Bereichen Administration, Einkauf und Gesundheitsvorsorge eine Reihe von Einsparungs- und Verbesserungspotentiale. Gleichzeitig besteht jedoch die Gefahr, dass eine kontinuierliche medizinische Beobachtung und Versorgung als 'ineffizient' in Mißkredit gerät und damit verloren geht. Fehlende, falsche oder verspätete Behandlung führt jedoch rasch zu einer teuren 'Reperatur'medizin.
Ein Gesundheitstelematikgesetz sollte daher diesen Anforderungen mit offensiven strategischen Maßnahmen begegnen und nicht bloß auf Datensicherheit und Gesundheitsregister reduziert werden.
Die wichtigsten Datenschutzforderungen
Aus der Sicht des Datenschutzes sollten daher folgende Sofortmaßnahmen gesetzt werden:
- Klare und auch für den Laien erkennbare Funktionstrennung einer Sozialversicherungskarte von anderen Funktionen.
- Initiative zur Realisierung einer einfachen, universell verwendbaren, nicht-elektronischen Notfallskarte, die auf die indivduellen Anforderungen eines Patienten Rücksicht nimmt.
- Ein Gesundheitstelematikgesetz, das nicht nur technische Sicherheit vorschreibt, sondern auch die Datenschutzrechte der Betroffenen und Ärzte im Detail regelt (inklusive eines umfassenden Informationsrechts wer welche medizinische Daten von Patienten ermittelt bzw. übermittelt hat)
- Aufsichtsstellen, die personell und technisch ausreichend ausgestattet sind um die Einhaltung von Sicherheitsmaßnahmen zu überwachen und die IT-Anwender geeignet beraten, aufklären und informieren.
- Standardisierte Zustimmungserklärungen bezüglich der Weiterverwendung von Gesundheitsdaten, die die bestmögliche Information der Patienten sichern.
- Klare Vorgaben von Privacy-Maßnahmen und -Regeln die im Online-Gesunheitswesen einzuhalten sind (inkl. erheblichen Sanktionsmöglichkeiten bei Datenmißbrauch).
|
