Im Gespräch mit Healthcare-IT führt Christian Wache, Leiter Produktmanagement bei der Meierhofer AG, einem der fünf großen KIS-Anbieter in Deutschland, aus, dass sein Unternehmen grundsätzlich die Initiative der Datenschützer begrüße. Bei Meierhofer ist man allerdings der Ansicht, dass es nicht fehlende Technologien seien, die Datenschutz unmöglich machten.
Wache gibt sich überzeugt, Datenschutz könne nicht allein durch Software gelöst werden, sondern "muss auch organisatorisch gelebt werden". Zum Beispiel fänden Ärzte, die sich ständig ein- und ausloggen müssen, schnell Möglichkeiten, die Hürden zu umgehen. Sogenannte "Pinnwand-Passwörter" sind Usus auf deutschen Stationen, sagt Wache.
Wenn ein Notfall vorliegt, müssen Daten aber sehr schnell zur Verfügung stehen, ohne dass ein Arzt lange Berechtigungsschleifen durchlaufen muss. Daraus folgert man bei dem KIS-Anbieter Meierhofer: "Datenschutz muss also im Zusammenspiel von Technologie, Klinikorganisation und menschlichem Verhalten umgesetzt werden."
Jede Menge Patientendaten werden gesammelt
Die Datenschützer hatten darauf hingewiesen, dass heute in Krankenhäusern, bei Ärzten und Organisationen des Gesundheitswesens jede Menge Patientendaten gesammelt werden. Diese unterliegen prinzipiell dem Schutz der Privatsphäre, und Ärzte können zum Beispiel rechtmäßig auch gegenüber Strafverfolgungsbehörden die Auskunft verweigern (berufliche Schweigepflicht, § 203 des Strafgesetzbuch).
Die digital gespeicherten Informationen in verschiedenen Anwendungen, die vor allem in Krankenhäusern Anwendung finden, sind dagegen oft ein offenes Scheunentor. Nicht nur unbefugte Mitarbeiter, sondern auch Ärzte und Pflegepersonal bekommen nicht nur in bestimmten Notsituationen relativ leichten Zugang zu vielen Applikationen und gespeicherten Patientendaten
Balance zwischen Datenschutz, Usability und Patientensicherheit
Meierhofer spricht sich für eine "Balance zwischen Datenschutz, Usability und Patientensicherheit" aus: "Weil medizinische Daten besonders sensible Informationen sind, müssen IT-Anbieter im Gesundheitswesen ihren Kunden Berechtigungskonzepte bieten, die den sicheren Zugriff auf Patientendaten gewährleisten."
Und genau das habe man bereits in die eigenen Produkte eingebaut: Die Berechtigungsmechanismen des Informationssystems MCC ("Meierhofer Clinical Competence") erlauben, so der Hersteller, den "fallbezogenen Zugriff auf Patienten". Damit seien auch VIP-Patienten oder Klinik-Mitarbeiter geschützt. Die KIS-Programme von Meierhofer bieten laut Wache darüber hinaus Gruppen- und Benutzerrechte für die Organisation abgrenzbarer Benutzer-Einheiten. Anmeldungsmechanismen über LDA-Protokolle (LDAP) und eine zentrale Rechteverwaltung mittels Active-Directory würden Single Sign On, Transparenz über die Berechtigungen und die zentrale Benutzersperrung über sämtliche Systeme hinweg erlauben.
Datenschutz per Software oder per Organisation?
Doch das beste Datenschutzkonzept in einem KIS sei nutzlos, "wenn Datenschutz nicht auch konsequent organisatorisch gelebt wird". Oft seien es nicht die technischen Voraussetzungen, die einem datenschutzkonformen Umgang mit Informationen im Wege stehen, "sondern Gewohnheiten wie die, dass sich eine ganze Station über den Account eines einzelnen Mitarbeiters einloggt oder über Passwörter, die deutlich sichtbar an der Wand hängen".
Laut Wache ist es Aufgabe der Kliniken, den Umgang mit Patientendaten verbindlich zu definieren und in einer Richtlinie festzuschreiben. Ob man mit solchen allgemein gehaltenen Appellen an die Adresse der Krankenhäuser allerdings die Aufforderungen der Datenschützer nach besser abgesicherten Zugangsberechtigungen erfüllen kann, ist keineswegs ausgemacht.
Vor allem hatten die Datenschützer die Einführung verbindlicher Standards auf Seiten der KIS-Hersteller gefordert. Das sei aber gar nicht nötig, meint man offenbar bei Meierhofer.