Berlin – Die elektronische Patientenakte (ePA) war Thema auf der DKOU-Vorab-Pressekonferenz, die am 10. Oktober 2019 in Berlin stattfand. Immer noch bestehen Sicherheitslücken beim Datenschutz. Warum für Orthopädie und Unfallchirurgie die Abkehr von der analogen Patienten-Dokumentation dennoch notwendig ist und welche Maßnahmen mögliche Sicherheitsrisiken reduzieren könnten, erörterte Dr. Thomas Möller (DKOU-Kongresspräsident für den BVOU) zur Ankündigung des Deutschen Kongresses für Orthopädie und Unfallchirurgie 2019 (22. – 25. Oktober):
Eine elektronische Patientenakte sollte vollständig, nicht manipulierbar und sicher sein. Sie darf nicht zum Einfallstor für Cyberkriminalität und Erpressung werden. Die gewonnene Zeit sollte auch nicht für weitere Arbeitszeitverdichtungen genutzt werden, sondern für das ärztliche Gespräch.
Ab dem 1. Januar 2021 müssen die Krankenkassen ihren Versicherten eine elektronische Patientenakte zur Verfügung stellen. So will es Bundesgesundheitsminister Jens Spahn. Allerdings enthält der Kabinettsentwurf zum „Digitale Versorgung Gesetz“ (DVG) keine Regelungen zur elektronischen Patientenakte (1). Der Referentenentwurf hatte vorgesehen, dass es zunächst nicht möglich sein sollte, die elektronische Patientenakte so einzustellen, dass bestimmte Befunde nur von einzelnen Ärzten und Fachkräften im Gesundheitswesen gesehen werden können, nicht von allen. Patienten hätten dann nur eine Alles- oder Nichts-Regelung treffen können. Eine differenzierte Rechtevergabe hätte es erst später geben sollen. Dagegen hatte sich Widerstand formiert, so dass diese Fragen jetzt in einem eigenen Datenschutzgesetz geregelt werden.
Die elektronische Patientenakte ist ein wichtiges Arbeitsinstrument, um Doppel- und Mehrfachuntersuchungen zu vermeiden und Therapien besser zu organisieren. Sie wird von Ärzten geführt werden und unterscheidet sich somit von der elektronischen Gesundheitsakte, die Patienten selbst führen und die sie vom Arzt befüllen lassen können. Als Ärzte für O&U haben wir ein großes Interesse daran, dass die elektronische Patientenakte vollständig, nicht manipulierbar und sicher ist. Wir brauchen keine Kenntnis über einen Schwangerschaftsabbruch, aber es ist wichtig zu wissen, ob der Patient neurologische Erkrankungen hat oder bestimmte Medikamente wegen Begleiterkrankungen nicht nehmen darf. Auch der Einblick in ein Depressionstagebuch ist hilfreich, weil chronischer Rückenschmerz und andere chronische muskuloskelettale Schmerzzustände oftmals durch eine Depression verstärkt werden. Statt den Zugriff auf die elektronische Patientenakte zu reglementieren, könnte der Zugriff kontrolliert werden. Das würde bedeuten, dass jeder Aufruf von Befunden und Daten mit Datum, Name des Zugreifers und Anlass registriert und in der elektronischen Patientenakte vermerkt wird. Fehlverhalten könnte dadurch aufgedeckt werden.
Die elektronische Patientenakte darf auch kein Einfalltor für Cyberkriminalität werden. Krankenhäuser und Ärzte werden regelmäßig Opfer von Hackerattacken und Erpressungen. Im Juli 2019 sind zum Beispiel Kliniken und Einrichtungen in Rheinland-Pfalz und im Saarland attackiert und erpresst worden (2). Am 17. September wurde bekannt, dass medizinische Bilddateien – also Röntgen und CT-Aufnahmen – von Millionen von Menschen im Internet frei aufrufbar gewesen sind, darunter auch 13.000 Datensätze aus Deutschland (3). Eine schockierende Nachricht!
Wir brauchen dringend eine Notfallstrategie für den Umgang mit Datenraub, Datenlecks und Datenmissbrauch im Gesundheitswesen. Wer haftet für infizierte Systeme? Wer gleicht Nachteile durch Datenraub oder Datenlecks aus? Wer schützt Patienten vor Datenmissbrauch? Ärzte können die Vertraulichkeit der Patientenakten ohnehin nur bis zum Übertritt in die Telematikinfrastruktur gewährleisten, nicht darüber hinaus.
Um die Bedeutung der Datensicherheit zu unterstreichen, lädt der BVOU beim diesjährigen DKOU zu einem Live Hack ein. Christoph Ritter von der Firma SySS GmbH in Tübingen wird demonstrieren wie einfach es ist, veraltete Systeme zu attackieren, Daten über Phishing-Mails abzugreifen, ein WLAN-Netz lahmzulegen oder Schadsoftware über USB-Sticks oder Wechseldatenträger zu installieren. Wir laden alle Interessierte sehr herzlich zu dieser Veranstaltung ein. Machen Sie sich selbst Bild von den Tricks der Angreifer und den Sicherheitslücken der Systeme.
Als Ärzte für O&U erwarten wir von der elektronischen Patientenakte Zeitersparnis und weniger Reibungsverluste bei der Vernetzung von ambulanter und stationärer Versorgung. Allerdings darf diese Zeitersparnis nicht zur Triebfeder für eine weitere Arbeitszeitverdichtung werden. Die gewonnene Zeit sollte nicht mit mehr Untersuchungen und Konsultationen gefüllt werden, sondern in das Gespräch mit dem Patienten fließen. Das ärztliche Gespräch ist der Grundpfeiler unserer Arbeit und die Grundvoraussetzung für ein gutes Arzt-Patientenverhältnis. Die Digitalisierung sollte uns dabei unterstützen und nicht entmachten.
Der Berufsverband für Orthopädie und Unfallchirurgie (BVOU) begrüßt auch die Datenspende. Wir haben in Deutschland Nachholbedarf bei der Versorgungsforschung und der Auswertung vom Patientendaten zur Bedarfsplanung. Bereits heute verfügen die Krankenkassen über ein großes Datenvolumen zu den Behandlungen ihrer Versicherten. Mit der elektronischen Patientenakte werden die Daten noch stärker gebündelt werden. Wir möchten diese Daten auch für die Forschung nutzen können, so wie wir das in den vergangenen Jahren bereits zusammen mit der AOK Baden-Württemberg getan haben. Bei dieser Zusammenarbeit wurden Daten zur Häufigkeit von Knieverletzungen (4), zur interdisziplinären Versorgung von Rheumapatienten (5) und zum Behandlungsverlauf bei Hüftarthrose (6) erhoben – allesamt Ergebnisse, die für die Bedarfsplanung der kommenden Jahre wichtig sind Allerdings sollten die Bedingungen einer Datenspende und die Datenhoheit klar geregelt werden. Auch der Datenschutz muss noch einmal unter die Lupe genommen werden. Eine Arbeitsgruppe um Yves-Alexandre de Montjoye vom Imperial College in London hat unlängst in der Fachzeitschrift Nature Communications gezeigt, dass sich jeder Amerikaner über fünfzehn Datenpunkte mit einer Wahrscheinlichkeit von 99,98 Prozent identifizieren lässt (7). In einer kleinen Stichprobe genügen oft schon das Geschlecht, die Postleitzahl und das Geburtsdatum einer Person, um sie mit hoher Sicherheit zu identifizieren.
Die Digitalisierung sollte auch zusammen mit den Ärzten vorangetrieben werden, nicht gegen sie. Keine Anwendung, kein Produkt wird erfolgreich sein, wenn die Nutzer nicht von der Qualität und dem Mehrwert überzeugt sind. Malusregelungen sind hier wenig hilfreich. Das gilt auch für die Digitalisierung und die elektronische Patientenakte. Wir brauchen deshalb auch eine Evaluation der Instrumente so wie das für alle Instrumente im Gesundheitswesen gilt. Digitalisierung ist kein Selbstzweck.
Literatur:
- https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/D/Digitale-Versorgung-Gesetz_DVG_Kabinett.pdf
- https://www.spiegel.de/netzwelt/web/rheinland-pfalz-und-saarland-hackerangriff-auf-krankenhaeuser-a-1277759.html
- https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html
- Schneider O. et al. Inzidenz von Kniegelenkverletzungen. Zahlen für die ambulante und stationäre Versorgung in Deutschland. Der Orthopäde 2016; 45: 1015-1026
- Strahl A. et al. Prävalenz Komorbidität und interdisziplinäre Versorgung der rheumatoiden Arthritis – Versicherungsdaten zur ambulanten und stationären Versorgung in Baden-Württemberg. Z Rheumatol 2018; 77: 113-126
- Endres H. el al. Koxarthrose – Epidemiologie und Versorgungsrealität – Versorgungsdatenanalyse von 2,4 Millionen Versicherten der AOK Baden-Württemberg ab 40 Jahren. Z Orthop Unfall 2018; 156:672-684.
- Rocher L. et al. Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 2019; 10: 3069.
Dr. Thomas Möller, (DKOU-Kongresspräsident für den BVOU)