Patientendaten
Nach § 6 Abs. 2 KHDSG sind Patientendaten in Krankenakten nach Abschluss der Behandlung zu sperren. Die Sperrung ist zu dokumentieren. Zur Erschließung der Akten ist ein Aktennachweis zu führen, zu dem kein direkter Zugriff anderer Bereiche besteht. Die Sperrung darf nur aufgehoben werden für die Durchführung einer Behandlung, mit der die frühere Behandlung in einem medizinischem Sachzusammenhang steht, zur Behebung einer Beweisnot, für eine nach § 4 Abs. 1 KHDSG zulässige Übermittlung oder wenn der Patient oder die Patientin eingewilligt hat. Die Aufhebung der Sperrung ist zu begründen. Diese Vorschriften gelten unmittelbar zwar nur für den Umgang mit in Krankenakten gespeicherten Patientendaten, nicht für den Umgang mit automatisiert gespeicherten Daten. Eindeutig aber ist der Wille des Gesetzgebers, Zugriffe auf durch andere Abteilungen erhobene Patientendaten und auf nach Abschluss der Behandlung archivierte Patientendaten zu erschweren.
Das KHDSG trat 1989 in Kraft - d. h. lange vor Beginn der digitalisierten Behandlungsdokumentation im Krankenhaus - und gilt seitdem in im Wesentlichen unveränderter Fassung. Informationssysteme wie ISHMED bieten im völligen Gegensatz zum Regelsystem des KHDSG von ihrer Logik her unbegrenzte Zugriffsmöglichkeiten. Bereits 1989 wollte der Gesetzgeber dem Grenzen setzen:
Nach § 6 Abs. 3 KHDSG ist mit Abschluss der Behandlung die Möglichkeit des Direktabrufs von automatisiert gespeicherten Daten zu sperren. Diese Vorschrift ist direkt anwendbar, da nach § 3 Abs. 2 KHDSG Patientendaten von einer Fachabteilung zur anderen übermittelt werden und folglich der abteilungsübergreifende Zugriff ein Direktabruf i. S. des § 14 ist.
Angesichts dieser Diskrepanz zwischen der Entscheidung des Gesetzgebers einerseits und informationstechnischer Entwicklung sowie Handlungszwängen im Krankenhaus andererseits habe ich - dem ZKR folgende Vorschläge zur Ausgestaltung der Zugriffsstruktur in ISHMED unterbreitet:
- Wird der Patient während einer aktuellen Behandlung von einer anderen Fachabteilung mitbehandelt oder in eine andere Fachabteilung verlegt, so sollte Voraussetzung für den Zugriff durch den mit- oder nachbehandelnden Arzt sein, dass der erstbehandelnde Arzt die Daten freigibt. Akzeptabel könnte auch sein, dass die erstbehandelnde Fachabteilung die mit- oder nachbehandelnde Abteilung als solche einträgt. Dies könnte die Freigabe der Daten im Einzelfall ersetzen.
- Wird ein Patient nach seiner Entlassung ein weiteres Mal im selben Krankenhaus, aber in einer anderen Fachabteilung behandelt, so sollte der aktuell behandelnde Arzt Zugriff auf den Stammdatensatz haben, aus dem erkennbar ist, ob und wann, der Patient früher schon im ZKR behandelt worden ist. Dann kann der behandelnde Arzt mit Einwilligung des Betroffenen die gesperrte Dokumentation der abgeschlossenen Behandlung einsehen. Ein eigenes Zugriffsrecht der Pflegekräfte auf die ärztliche Dokumentation abgeschlossener Behandlungen sollte i. d. R. ausgeschlossen sein.
Das ZKR hat mit der Begründung, man verfüge nicht über ein digitales Archivsystem, es abgelehnt, Patientendaten nach Abschluss der Behandlung zu sperren.
Man plane derzeit auch nicht, ein solches System zu beschaffen. Dies kann ich nicht als sachliche Begründung bewerten, sondern lediglich als schlichte Weigerung, gesetzliche Anforderungen umzusetzen. Inwieweit im Übrigen die Regelungen des § 6 Abs. 2 und 3 KHDSG unter den Bedingungen moderner DV-Technik anzupassen sind, ohne jedoch seinen Grundgedanken aufzugeben, dass auch krankenhausintern Patientendaten weder unbegrenzt noch unbefristet verfügbar sein dürfen, bleibt einer Prüfung durch den Senator für Gesundheit vorbehalten.
Systemadministration: Die Administration des SAP-Systems im ZKR - durchgeführt durch drei Mitarbeiter der Abteilung Informatik - entsprach nicht den Anforderungen, die an eine ordnungsgemäße Datenverarbeitung gestellt werden. Es gab keine Trennung zwischen Test- und Produktivmandant: Sämtliche Mitarbeiter, die Zugriff auf den Testmandant haben, besaßen auch Zugriffsrechte für das Produktivsystem. Es gab keinen Hauptverantwortlichen für das Basissystem einschließlich des Berechtigungskonzepts.
Ich habe gefordert, dass ein Berechtigungs-, Administrations- und Freigabekonzept erstellt und umgesetzt wird, das sich an folgenden organisatorischen Rahmenbedingungen orientiert:
- Es sollten getrennte Test- und Produktionsumgebungen eingerichtet werden.
Der Transport von der Test- in die Produktivumgebung sollte durch entsprechende Transportaufträge erfolgen.
- So genannte ABAP/4-Programme sowie Rechteänderungen sollten nur auf schriftlichen Antrag der jeweiligen Fachverantwortlichen hin freigegeben werden.
- Benutzerstammdatensätze sollten durch einen Benutzeradministrator, Profile und Berechtigungen durch einen Berechtigungsadministrator verwaltet werden.
Die Aufgabe des Aktivierungsadministrators kann von dem Benutzeradministrator in Personalunion übernommen werden.
- Die Fachmodule sollten von Moduladministratoren betreut werden, die keine privilegierten Zugriffsrechte für das Basissystem besitzen.
Das ZKR hat daraufhin im Oktober 2000 getrennte Test- und Produktionsumgebungen eingerichtet. Ein entsprechenden Freigabeverfahren befindet sich zurzeit in Arbeit. Die beiden letztgenannten Forderungen konnten nach Aussage des ZKR aufgrund der personellen Lage der Informatikabteilung nicht umgesetzt werden.
Berechtigungskonzept: Zur Verwaltung des SAP-Berechtigungskonzepts wird im ZKR seit einiger Zeit der Profilgenerator eingesetzt. Hiermit wurden hauptsächlich die auf den Stationen benötigten Profile für das Pflegepersonal und die Ärzte erstellt, so dass sich dieser Teil des Berechtigungskonzepts als transparent darstellt.
Darüber hinaus existierten jedoch noch weitere Profile, die ohne Profilgenerator erstellt wurden. Zahlreichen Personen (insgesamt 111 Benutzerkennungen, u. a. für das Lager, das Labor, die Wirtschaftsabteilung, die Radiologie, die Aufnahme sowie Kennungen für externe Unternehmensberater) waren jedoch zum Zeitpunkt der Prüfung nicht nur ihre für die Benutzung des jeweiligen Moduls benötigten Profile zugeordnet, sondern darüber hinaus auch das Profil SAP_ALL, das einem Generalschlüssel entspricht und zum schreibenden Zugriff auf sämtliche SAP-Daten einschließlich der medizinischen Daten berechtigt.
Derart viele Kennungen mit Superuser-Berechtigung stellen einen äußerst gravierenden Verstoß gegen § 2 Abs. 1 KHDSG, wonach Mitarbeiter des Krankenhauses nur soweit auf Patientendaten zugreifen dürfen, wie es für ihre jeweilige rechtmäßige Aufgabenerfüllung erforderlich ist, aber auch gegen § 3 Abs. 1, 2, § 4 Abs. 1 und
§ 6 Abs. 1 bis 3 KHDSG dar. Nichtmedizinischen Abteilungen dürfen nur dann Zugriffsrechte auf medizinische Daten eingeräumt werden, wenn die besonderen Begrenzungen des § 3 Abs. 4 KHDSG Beachtung finden. Planungs-, Wirtschaftlichkeits- und Organisationuntersuchungen dürfen danach grundsätzlich nur mit anonymisierten Daten durchgeführt werden; eine Ausnahme bildet die gesetzliche Diagnosestatistik. Der Zugriff Externer auf Patientendaten ist allenfalls soweit im Einzelfall unbedingt erforderlich und nach Freigabe durch die EDV-Abteilung tolerierbar.
Darüber hinaus sind zahlreiche ZKR-Kennungen im Besitz des kritischen Profils SAP_NEW, das sämtliche zusätzlichen Berechtigungsobjekte enthält, die für Releasewechsel benötigt werden, um weiterhin die Anwendung problemlos ohne Einschränkung der Zugriffsrechte nutzen zu können.
Wegen der erheblichen Bedeutung des datenschutzrechtlichen Verstoßes habe ich das ZKR aufgefordert, den Kreis der SAP_ALL-Berechtigten unverzüglich auf das erforderliche Maß zu beschränken. Angesichts des Ausmaßes der festgestellten Mängel ist das gesamte Berechtigungskonzept einer vollständigen Revision zu unterziehen. Dies gilt insbesondere für diejenigen Profile, die noch nicht per Profilgenerator erstellt worden seien. Folgende Gestaltungsaspekte sind zu beachten:
- Es sollen möglichst keine redundanten Berechtigungen vergeben werden, d. h. Berechtigungen sollen sich nur auf ein Profil beziehen und nicht auf mehrere Profile. Die Vergabe nicht-redundanter Berechtigungen verbessert die Transparenz des Berechtigungskonzepts, da von einer Berechtigungsänderung nicht mehrere Profile zugleich betroffen sind.
- Es sollen möglichst keine Sammelprofile vergeben werden. Sammelprofile, die ihrerseits wiederum aus Sammelprofilen bestehen, sollen zu Gunsten der Transparenz auf jeden Fall vermieden werden.
- In der Produktionsumgebung sollen keine Standard-Profile zum Einsatz kommen.
- In der Produktionsumgebung solle vor allem das Standard-Profil SAP_NEW nicht zum Einsatz kommen. Die im Standard-Profil SAP_NEW enthaltenen Berechtigungen sollen in die bestehenden Profile integriert werden.
- Reports sollen in der Regel nicht mit Hilfe der Transaktion sa38 ausgeführt werden, sondern durch Aufruf eines Transaktionscodes. Berechtigungen zum Aufruf einzelner Transaktionen können über Programmberechtigungsgruppen definiert werden, die SAP jedoch standardmäßig nicht zur Verfügung stellt.
Das ZKR hat inzwischen erklärt, es habe die SAP-Berechtigungen auf dieser Grundlage überarbeitet. Redundante Berechtigungen oder Sammel- oder SAPStandardprofile würden nicht mehr verwendet. Allerdings musste ich den Informationen des ZKR entnehmen, dass noch immer insgesamt 15 SAP_ALL-Berechtigungen vergeben sind. Auch diese Zahl ist entschieden zu hoch. Insbesondere ist es unzulässig, dass externe Berater/Wartungstechniker per SAP_ALL vollständigen Schreib- und Lesezugriff auf alle im System gespeicherten Patientendaten haben.
Krankenhaus Links der Weser Patientenverwaltungs- und -dokumentationssystem IS-H: Bislang wird im ZKH das Modul IS-H in der zentralen Aufnahme, die zugleich Abrechnungsabteilung ist und auf zahlreichen Stationen eingesetzt. Während in der zentralen Aufnahme-/Abrechnungsabteilung der in § 301 SGB V für die Abrechnung mit den gesetzlichen Krankenkassen vorgegebene Datensatz, d. h. auch die Einweisungsund die Entlassungsdiagnose gespeichert werden, werden auf den Stationen jeweils der Tag der Aufnahme, der Operation, der Entlassung und von Nachbehandlungen sowie die jeweilige Abteilung, dagegen keine Diagnosen gespeichert. Zugriff auf den Stations-PC hat das gesamte Stations-Personal.
Die im IS-H-Modul verarbeiteten Daten werden nach Abschluss der Behandlung bzw. nach erfolgter Abrechnung nicht archiviert und damit auch nicht gesperrt, sondern sind weiterhin wie vorher im Direktzugriff verfügbar. Dies verstößt gegen
§ 6 Abs. 3 KHDSG, wonach nach Abschluss der Behandlung der Direktzugriff zu sperren ist, soweit Patientendaten in automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert werden. Ich habe daher gefordert, dass das für 2001 geplante digitalisierte Patientenarchiv die gesetzlichen Festlegungen berücksichtigt.
Administrationskonzept: Das SAP-System des ZKH wird durch zwei Mitarbeiter der EDV-Abteilung administriert. Diese teilen sich die Zuständigkeit für die Module IS-H sowie FI, CO und MM (Finanz, Controlle, Materialwirtschaft) einerseits und für das Basissystem einschließlich des Berechtigungskonzepts andererseits. So genannte ABAP/4-Programme werden nur auf schriftlichen Antrag der jeweiligen Fachverantwortlichen entwickelt und freigegeben. Eine Trennung zwischen Test- und Produktivmandant erfolgt jedoch nicht. Ich habe daher das ZKH aufgefordert, ein Berechtigungs- und Administrationskonzept zu erstellen und umzusetzen, das sich an den oben unter Ziff. 8.1.1. formulierten Rahmenbedingungen orientiert.
Das ZKH hat inzwischen eine getrennte Test- und Produktionsumgebung mit entsprechenden Transportaufträgen eingerichtet. Benutzerstammdatensätze einerseits und Profile und Berechtigungen andererseits werden arbeitsteilig administriert. Die Aufgaben des Aktivierungsadministrators werden vom Berechtigungsadministrator in Personalunion wahrgenommen.
Berechtigungskonzept: Insgesamt existierten 17 Kennungen, denen das Profil SAP_ALL zugeordnet war. Neben den Mitarbeitern der EDV-Abteilung waren die Leiter der Finanzbuchhaltung und der Materialwirtschaft und externe Siemensund SAP-Mitarbeiter mit privilegierten Zugriffsrechten ausgestattet. Darüber hinaus war 17 Kennungen die Berechtigung ISH-ALL zugewiesen, die den Zugriff auf sämtliche IS-H-Daten ermöglicht. Hierunter befinden sich sämtliche Mitarbeiter der Aufnahme- und Abrechnungsabteilung, der betriebliche Datenschutzbeauftragte und externe Berater/Wartungstechniker. Zwölf Kennungen waren im Besitz des Profils SAP_NEW.