ArchivDeutsches Ärzteblatt15/2005Elektronische Patientenakte: Perspektiven für effizientes Datenmanagement

THEMEN DER ZEIT

Elektronische Patientenakte: Perspektiven für effizientes Datenmanagement

Dtsch Arztebl 2005; 102(15): A-1042 / B-879 / C-825

Potthoff, Peter; Mohr, Gilbert; Bartels, Horst

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Die in Nordrhein erprobte elektronische Fallakte für Brustkrebspatientinnen ist ein Schritt zur einrichtungsübergreifenden Dokumentation.

Ende 2004 hat die elektronische MammaAkte (eMammaAkte) ihren Praxistest erfolgreich bestanden. Bei einer Live-Videodemonstration im Ärztehaus in Düsseldorf wurden erstmals Daten von der Kassenärztlichen Vereinigung (KV) Nordrhein zum Brustkrebszentrum der Universität Düsseldorf übertragen. Die eMammaAkte ist eine zentrale Patientenakte, bei der die beteiligten Ärzte – ob aus der Arztpraxis oder dem Krankenhaus – gleichermaßen Zugriff auf die Daten haben. Dabei ist genau vorgegeben, was in der elektronisch-medizinischen Falldokumentation erfasst wird. Die Inhalte sind in enger Zusammenarbeit von der KV Nordrhein und dem Westdeutschen Brust-Centrum in Abstimmung mit der Ärzteschaft festgelegt worden. Der Datensatz kann Anamnese- und Befunddaten, Überweisungen, Krankenhauseinweisungen und Arztbriefe umfassen. Zwei gynäkologische Praxen in Düsseldorf und das Universitätsklinikum Düsseldorf werden mit den ersten Patientenakten im Routinebetrieb im Frühjahr 2005 starten. Weitere Arztpraxen und Krankenhäuser in den Regionen Düsseldorf und Essen werden im Laufe des Jahres sukzessive in das Projekt einsteigen.
Das vom Land Nordrhein-Westfalen geförderte Projekt „Mamma@kte.
NRW“ soll demonstrieren, dass eine effiziente Gesundheitsversorgung künftig nur über die Verwendung von einrichtungsübergreifenden elektronischen Patientenakten (EPA) möglich sein wird. Auch der Bundesgesetzgeber geht in § 68 SGB V davon aus, dass sich Qualität und Wirtschaftlichkeit der Versorgung durch elektronische Patientenakten verbessern lassen. Erprobt wird zunächst eine elektronische Fallakte (Mammakarzinom). Technisch ist es kein Problem, mehrere Fallakten zu einer EPA zusammenzufassen.
Die EPA ermöglicht eine sichere und effiziente Verfügbarkeit der medizinischen Dokumentation bei jedem Behandlungsschritt. Dies lässt sich durch „elektronische Pfade“ über eine Fallakte gewährleisten. Darüber hinaus eröffnet sie noch weitere Perspektiven: Sämtliche Daten einer elektronischen Akte liegen digital vor. Statistische Auswertungen mit epidemiologischen und gesundheitsökonomischen sowie insbesondere auch wissenschaftlichen Zielen finden hier nahezu unerschöpfliche Ressourcen. So können gesundheitspolitische Entscheidungen auf einer sehr viel valideren Datenbasis getroffen werden, als dies heute der Fall ist.
Grundprinzip der „eAkte“
Eine für alle Behandler verfügbare, gemeinsame Falldokumentation entspricht im klassischen Sinne der Integrierten Versorgung. Vor diesem Hintergrund wird klar, dass in späteren Phasen des RSA-basierten Disease-Management-Programms der eigentliche Kern von Kommunikationsaktivitäten eine einrichtungsübergreifende Dokumentation sein muss.
Die ungerichtete Informationsübermittlung soll im Zusammenhang mit einem Behandlungsfall Informationen hierzu mehreren Mit- oder Weiterbehandlern verfügbar machen („ungerichtet“ bezeichnet den Vorgang dieser Verwaltung einer EPA). Zu realisieren ist diese Kommunikation im Sinne des „willentlichen und wissentlichen“ Einstellens von Dokumentenkopien in eine vorhandene Dokumentensammlung (als elektronische Fallakte oder – weitergehend – EPA) beziehungsweise in eine temporäre, nur für die Dauer des Behandlungsfalls existierende Dokumentensammlung. Eine solche elektronische Akte hat immer einen „Moderator“, den Arzt, der die Akte kreiert hat und der auch als einziger neben dem Patienten berechtigt ist, Zugriffe auf Inhalte der Akte freizugeben oder zu sperren.
Mit der „eAkte“ lassen sich die steigenden Anforderungen an einrichtungsübergreifende Behandlungsdokumentationen erfüllen. Die im D2D (Doctor to Doctor)-Projekt der KV Nordrhein realisierte Akte wird zusammengehalten durch den „Behandlungsfall“, technisch durch eine gemeinsame Akten- oder Fallkennung, eine Identifikations- und Schlüsselinformation. Intern besteht die Akte aus einem bis zu (derzeit) 27 Ordnern. Jeder Ordner ist einem teilnehmenden Arzt zugeordnet (Grafik 1).
Der Patient bestimmt den späteren Empfänger behandlungsrelevanter Daten. Er kann sich im Rahmen seines Rechts auf freie Arztwahl auch nach dem Verlassen der Absender-Praxis noch für eine „Ziel-Praxis“ (ein Krankenhaus, eine Apotheke, einen Therapeuten, . . .) entscheiden. Im übertragenen Sinn heißt das: Der Absender hat das für die elektronische Akte bestimmte Dokument ohne Angabe eines Empfängers in den Briefkasten geworfen (zum Beispiel „postlagernd an den Radiologen, bei dem der Patient mit der Vorgangs-ID xy auftaucht“).
Diese Art von „ex-post“-Adressierung wird bei der „eAkte“ nachgebildet. Noch während der Patient in der Praxis des absendenden Arztes ist, wird der Versand vorbereitet. Dazu unterschreibt der Absender das Dokument elektronisch. Anschließend wird ein zufälliger Vorgangsschlüssel erzeugt und das zu versendende Dokument mit diesem Schlüssel kodiert. Der Vorgangsschlüssel wird mit einem eindeutigen Vorgangsidentifikator (der zum Beispiel Angaben über die Identität des absendenden Arztes enthält) verknüpft und als Vorgangskennung auf ein so genanntes Ticket gespeichert. Letzteres kann ein zusätzlicher (Barcode-)Aufdruck auf einem Papierformular, eine spezielle „Vorgangskarte“ oder auch ein elektronischer Eintrag auf einer Chipkarte sein. So bietet sich die geplante elektronische Gesundheitskarte als „Ticketträger“ sehr gut an.
Entscheidend ist, dass das Ticket dem Patienten mitgegeben wird. Es ist später Bestandteil des Prozesses, in dem der ausgewählte „Ziel-Arzt“ Zugang zu den bereitstehenden Dokumenten erhält.
Jeder legitimierte Arzt kann sämtliche relevanten Daten der Akte lesen und Dokumente in seinen Ordner einfügen. Ein Löschen von Dokumenten aus der gemeinsamen „eAkte“ ist prinzipiell nicht möglich; die Akte wird nach Abschluss des Behandlungsfalls (im Allgemeinen drei Monate nach dem letzten erfolgten Eintrag) und nach Bestätigung durch den Moderator zurzeit automatisch gelöscht.
Wesentliche Eigenschaften der elektronischen Fallakte:
- Sie stellt nie den einzigen Ort der Speicherung von Daten dar, sondern enthält immer nur Kopien zur Information der Mitbehandler.
- Die „eAkte“ erfüllt damit zurzeit keine Archivfunktion. Die Aufbewahrungs- und Dokumentationspflicht der Ärzte bleibt von der Fallakte unberührt.
- Eine „eAkte“ kann für die Dokumentation auch nur eines Falles vorgesehen sein. Zu einem Patienten können somit durchaus mehrere Fallakten gleichzeitig und unabhängig voneinander oder sogar eine EPA bestehen.
- Im Einverständnis mit und auf Wunsch des Patienten können Daten mehrerer Behandlungsfälle in einer „eAkte“ gespeichert werden; der Patient hat aber ein Recht darauf – und die Akte bietet die Möglichkeit dazu –, die Daten unterschiedlicher Fälle konsequent voneinander zu trennen.
- Mit dem Abschluss des Behandlungsfalls, für den die Akte angelegt worden ist (Genesung oder Tod des Patienten), hat die Akte ihre kommunikative Funktion erfüllt und kann – nach Information des verantwortlichen Moderators – gelöscht werden.
- Während der Speicherung auf dem Server sind alle Daten so verschlüsselt, dass sie auch für den Serverbetreiber oder für Ärzte, die keinen Zugang zum „Fall-Ticket“ haben, unlesbar sind. Damit ist auch ein impliziter Beschlagnahmeschutz der Daten realisiert.
- Wegen der Duplizität sämtlicher Informationen werden an den „Akten-Server“ keine übermäßigen Verfügbarkeitsansprüche gestellt. Selbst im Fall eines vollständigen Datenverlusts sind die Datensammlungen jederzeit aus den lokalen Dokumentationen der Beteiligten rekonstruierbar.
Auswertungen auf Basis der anonymisierten Fallakte
Im Gesundheitssystem wächst das Bedürfnis nach mehr Transparenz, das vor allem aus gesundheitsökonomischen und gesundheitspolitischen Zielsetzungen resultiert. Dem stehen die Vorgaben des Datenschutzes gegenüber, die berücksichtigt werden müssen. Vor diesem Hintergrund ist die Anwendung von Pseudonymisierungs- und Anonymisierungsverfahren notwendig (Kasten). Das Konzept für eine elektronische Fallakte sieht hierzu folgende Vorgehensweise vor (Grafik 2): Parallel zum „ersten Datenstrom“, der die eigentlichen medizinischen Dokumente der EPA für die nachfolgenden Behandler enthält, wird ein „zweiter Datenstrom“ mit identischem Inhalt, jedoch ohne die unmittelbaren personenbezogenen Daten generiert. Im Laufe der Zeit entsteht eine synchrone elektronische Akte, die jedoch keine für die auswertende Stelle personenbeziehbaren Daten enthält.
Die Anonymisierung durch geeignete mathematische Algorithmen erfolgt bereits in der Arztpraxis. Dabei muss sichergestellt sein, dass derselbe Patient bei unterschiedlichen Behandlern identifiziert werden kann. Die statistischen Auswertungen führt sinnvollerweise routinemäßig der Serverbetreiber durch. Die Ergebnisse dieser Auswertungen und deren Verwertung sollten von einem „Board“ treuhänderisch verwaltet werden. Mitglieder des Boards könnten Repräsentanten im Gesundheitssystem sein, wie Patientenverbände, Landesregierungen, Krankenkassen, KVen, Ärztekammern, Krankenhausgesellschaft und Wohlfahrtsverbände.

zZitierweise dieses Beitrags:
Dtsch Arztebl 2005; 102: A 1042–1045 [Heft 15]

Anschrift für die Verfasser:
Dr. med. Peter Potthoff
Kassenärztliche Vereinigung Nordrhein
Tersteegenstraße 9, 40474 Düsseldorf


Anonymisierung, Pseudonymisierung

§ 3 Abs. 6 BDSG: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Mit Anonymisierungsverfahren werden personenbezogene Daten derart verändert, dass sie sich weder auf eine bestimmte Person beziehen noch eine solche erkennen lassen (zum Beispiel durch Weglassen oder Änderung von personenidentifizierenden Merkmalen). Ein Wiederherstellen des ursprünglichen Personenbezuges ist nicht möglich. Anonymisierung ist zum Beispiel erforderlich, wenn die Personenidentitäten oder die Herkunft der Daten für die zu ermittelnden Ergebnisse nicht relevant sind oder sein sollen.

§ 3 Abs. 6a BDSG: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Mit Pseudonymisierungsverfahren werden personenbezogene Daten durch eine Regel derart eindeutig verändert, dass sie sich weder auf eine bestimmte Person beziehen noch eine sol-
che erkennen lassen. Durch eine inverse Rechenvorschrift oder eine Zuordnungstabelle ist eine Depseudonymisierung möglich. Es gibt jedoch auch so genannte Einweg-Pseudonymisierungsverfahren, bei deren Anwendung eine Depseudonymisierung nahezu unmöglich ist oder zumindest deutlich erschwert wird, weil es keine inverse Rechenvorschrift gibt.
Pseudonymisierung ist eine abgeschwächte Form der Anonymisierung. Sie ist zum Beispiel erforderlich, wenn ein individueller Verlauf beobachtet werden oder die Zusammenführung unterschiedlicher Daten zu einer Person erfolgen soll, ohne dass die Personenidentität bekannt sein muss.

Auszug: Management-Papier Pseudonymisierung/Anonymisierung, GVG-ATG, 19. 8. 2003, Seite 6/7
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema