Wer medizinische Hilfe sucht, schenkt Vertrauen. Ärzte, Krankenhäuser und Reha-Kliniken, Krankenkassen und alle Beteiligten tragen ein hohes Maß an Verantwortung. Dies erstreckt sich nicht nur auf die Gesundheit der Patienten, sondern auch auf die Informationen, die sie betreffen.
Anamnesen, Diagnosen und Therapien, verabreichte Medikamente, Unverträglichkeiten und Allergien, Krankheiten und Verletzungen, dies alles sagt oft mehr aus über Personen und ihre Zukunft als Alter und Familienstand, Arbeit und Einkommen.
Um den aktuellen und künftigen Herausforderungen im Gesundheitswesen effizient zu begegnen, steht die Digitalisierung von Patientendaten ganz oben auf der Agenda. Patientenakten werden zunehmend digitalisiert, um Ärzten, Therapeuten und Pflegekräften jederzeit Zugriff auf wichtige Patientendaten zu ermöglichen, ohne dass Papierakten herumgereicht werden.
Wer mit diesen Daten zum Wohle des Patienten arbeitet, muss mit Sorgfalt darauf achten, dass die Daten entsprechend geschützt und gesichert sind. Die Informationen der elektronischen Patientenakte (ePA) sind sozusagen Verschlusssache, werden von Arztpraxen, Krankenhäuser und Reha-Kliniken für den inhäusigen Bedarf erfasst und mit Einverständnis des Patienten weitergegeben, der in vielen Fällen den Arzt ausdrücklich von seiner Schweigepflicht entbinden muss.
Sicherheit bei der Datenerfassung
Anders als zu Zeiten, in denen die Informationen lokal verwaltet und lediglich auszugsweise in Berichtsform erfasst und weitergegeben wurden, sind die Patientendaten in der EDV der beteiligten Einrichtungen dauerhaft präsent. Dies bietet den Berechtigten die Chance des raschen Zugriffs. Ein großer Vorteil, denn oft ist es entscheidend, dass wichtige Informationen zum richtigen Zeitpunkt verfügbar sind, um dem Patienten schnell und effektiv zu helfen.
Neben diesem Nutzen stehen die Kontrolle der Zugriffsberechtigung ebenso wie die Verwaltung und der Schutz der Daten – beispielsweise durch Verschlüsselung – im Vordergrund. Hierbei handelt es sich um ein Vorgehen, das auch aus dem Umfeld von Industrie 4.0 bekannt ist. In die Verpflichtung zur ärztlichen Verschwiegenheit werden aus gutem Grund auch jene Personengruppen einbezogen, die in Ausübung ihres Berufs in Kenntnis der Patienteninformationen kommen. Dies betrifft Arzthelferinnen und -helfer ebenso wie Krankenpflegerinnen und -pfleger, aber auch Mitarbeiter der Verwaltung beispielsweise in Krankenkassen. Die sogenannte Schweigepflicht ist ein grundlegendes Element für das Vertrauen, dass das Verhältnis zwischen Arzt und Patient prägt, und auf dessen Basis die notwendige Offenheit im Dialog basiert. Umso wichtiger ist es, dass die Verschwiegenheit der Heilberufe auch in der digitalen Welt geschützt wird.
Unter diesem Gesichtspunkt ist es ausschlaggebend, wo und wie Daten gespeichert und vor Zugriff geschützt werden. Weitgehend üblich ist im medizinischen Bereich noch immer, die Datenspeicherung im eigenen Haus vorzuhalten. Das scheint zwar unter sicherheitsrelevanten Gesichtspunkten der Königsweg, doch erfordert diese Lösung den Betrieb eigener Firewalls, Server, Backup-Anwendungen und Sicherheitsprogramme für Angriffe von außen. Außerdem muss bei der Vernetzung mehrerer Standorte oder Häuser von der IT-Abteilung für eine effektive, aber sichere Vernetzung gesorgt werden.
Dabei bietet die Administration mehrerer Dateispeicher eine große Herausforderung. Es besteht die Gefahr, dass redundant gespeicherte Daten nicht korrekt synchronisiert werden, so dass an unterschiedlichen Standorten verschiedene Versionen gleicher Datensätze oder Dokumente entstehen. Der Abgleich solcher Daten ist zeitaufwendig und kann zu Fehlern führen, was sich durch eine zentrale Datenhaltung leichter vermeiden ließe.
Das Anmieten von Speicherplatz in der Public Cloud, in der auf öffentlichen Internetservices kennwortgeschützte Teilbereiche als virtuelle Festplatten genutzt werden, ist einfach und kostengünstig. Allerdings bieten solche standardisierten Dienstleistungen nicht die Betreuung und den Schutz nach außen, die mit der individuelleren Variante der „Private Cloud“ zu erreichen ist. Die private Variante des Internetspeichers lässt sich einerseits besser nach außen abschotten, zum anderen kann über Zusatzdienste die Datensicherheit erhöht werden, beispielsweise indem sichergestellt wird, dass die Daten ausschließlich im Inland in deutschen Rechenzentren gespeichert werden, somit also für den Zugriff auf die Daten deutsches Recht gilt. Wer hierauf nicht achtet muss im schlimmsten Fall damit rechnen, dass ausländische Behörden Einblick verlangen in die Daten, die in ihrem Land gespeichert sind, oder die von Unternehmen gewartet werden, die ihrem nationalen Recht unterliegen.
Wer für sein Unternehmen sicherstellen will, dass die gespeicherten Daten dem deutschen Datenschutz unterliegen, muss auf diesen Aspekt achten. Ein wichtiges Argument, das auch über den medizinischen Zusammenhang hinaus Unternehmen unter dem Gesichtspunkt Industrie 4.0 bewegt und immer wichtiger für den deutschen Mittelstand wird, der seine Daten auf Dauer effektiv vor Fremdzugriff schützen muss.
Die Daten der Patienten müssen effektiv vor Zugriff von außen geschützt werden
Einen weiteren Risikofaktor stellen schließlich die gut verpackten Virusattacken dar. Viele Trojaner und Spione setzen auf die Unachtsamkeit der Nutzer: Malware schleicht sich über E-Mail-Anhänge und eingebettete Verknüpfungen ins Haus ein. Aber auch die Angewohnheit, interne Informationen früher auf Papier und heute auf Datenspeichern außer Haus verfügbar zu machen – und sei es zu heimischen Bearbeitung – können zu einem Sicherheitsloch führen. Smartphones, Tablets und Notebooks, die im System registriert, aber nicht korrekt administriert werden, leisten bei der Gefährdung der medizinischen und klinischen Daten, aber auch in anderen mittelständischen Wirtschaftsbereichen ein Übriges. Um dies zu verhindern bedarf es nicht zuletzt klarer Richtlinien zur Nutzung und zum Verhalten im unternehmenseigenen Netz.
Erst die intensive Aufklärung über lauernde Gefahren und die nachdrückliche Warnung vor unbedachtem Agieren wecken die Sensibilität aller Beteiligten. Nur so kann in Praxen, Krankenhäusern und Reha-Kliniken gewährleistet werden, dass der Verschwiegenheitsverpflichtung durchgängig Genüge getan wird und das Vertrauen der Patienten gerechtfertigt wird.