Zugegeben, das Thema klingt nicht besonders spannend. Aus meiner täglichen Praxis, und weil es aktuell ein Thema meiner Arbeit ist, kann ich aber sagen: Das stimmt so nicht! In diesem Beitrag möchte ich euch ein wenig mit nehmen in einen Bereich, der von vielen als störend empfunden wird, aber trotzdem unerlässlich ist.
Datenschutz wird in Deutschland groß geschrieben. Gerade Patientendaten legen da gefühlt noch mal eine Schippe drauf. Es gibt Patientenrechte-Beauftragte und Datenschützer, die sich nur um den „geschützten Raum“ Krankenhaus kümmern. Datenschutz-Erklärungen müssen unterschrieben werden und so weiter und so fort. Schrecklich.
Aber was passiert, wenn fahrlässig mit Daten umgegangen wird?
Die private Krankenkasse bekommt Informationen, die sie lieber nicht bekommen hätte, und stuft den Beitrag hoch oder schmeißt den Versicherten kurzerhand raus. Oder der liebe Nachbar, der sowieso immer schon viel zu neugierig war, weiß auf einmal die Details der letzten OP inklusive Diagnosen und so weiter.
Patientendaten aus der Konfettikanone!
Oder noch viel besser: Daten werden einfach auf die Straße geblasen. Das ist übrigens meine Lieblingsgeschichte (Heise: „Patientenakten aus der Konfettikanone“). Ein Krankenhaus war bei einem Karnevalsumzug mitgelaufen. Und statt sich teures Konfetti zu kaufen, nahmen sie einfach geschredderte Patientenakten; bei denen man noch Namen und Daten identifizieren konnte. Es gibt nicht umsonst Richtlinien zum ordnungsgemäßen datenschutzkonformen Schreddern. Aber auch so hätte man das nicht machen dürfen. Ach komm – was soll schon passieren.
Aber wollen wir, dass mit unseren Daten so umgegangen wird?
Wollen wir, dass völlig Unberechtigte auf unsere Daten in einem Krankenhaus zugreifen können? Die Nachbarin zum Beispiel, die zufällig auch in dem Betrieb arbeitet? Oder Mitarbeiter auf ihre Kollegen?
Ich glaube, die Antwort ist klar: Nein, wir wollen das als Patient natürlich selbst bestimmen, und wir wollen auch sagen können, dass jemand unsere Informationen nicht bekommt.
Datenschutz – im Krankenhaus
Und jetzt spielen wir das alles mal in den Krankenhaus-Kontext. Natürlich brauchen wir als Behandler Informationen vom Patienten. Man denke nur an die Anamnese: Ohne vernünftige Anamnese wird die Diagnose meist schwierig, wenn nicht sogar unmöglich. Vorerkrankungen, Vor-Operationen, Größe und Gewicht, Allergien etc. pp.
Genau genommen benötigt jeder in die Behandlung Involvierte alle für die Behandlung notwendigen Informationen. Da kommen wir zu einem Grundsatz des Datenschutzes: Datensparsamkeit. Wenn ich für meine Arbeit nicht mehr wissen muss, als den Namen des Patienten und dass er im Krankenhaus liegt, dann sollte ich diese Information nicht bekommen. Wofür benötigt z.B. die Pforte oder die Küche detaillierte Informationen zur Krankengeschichte? Richtig: Gar nicht.
Es sollen immer genau so viele Informationen preisgegeben werden, wie sie für die Behandlung nötig sind.
Datenschutz!; Heike C. Ewert
Ein zweiter Punkt steckt da auch drin: Wenn ich gar nicht erst behandle, hab ich mit diesem Patienten gar nichts zu schaffen. Das lässt sich meist ärztlichen Kollegen höherer Hierarchie-Ebenen nur schwer vermitteln. „Aber ich bin doch Chefarzt“.
Es braucht nicht jeder immer alle Informationen!
Ja, aber. Wenn man nichts mit der Behandlung zu tun hat (wie ein Internist mit chirurgischen Fällen), dann braucht man diese Informationen gar nicht zum Behandeln, weil jemand anderes das schon tut und die Verantwortung inne hat. Erst in dem Moment, in dem ein Konsil gestellt wird, muss dem Konsiliarius der Zugriff auf die Informationen gegeben werden.
Das ließe sich auf die Spitze treiben bei gemischten Stationen. Theoretisch müssten selbst die Namen der nicht behandelten Patienten anonymisiert werden für nicht-Behandelnde Kollegen. Da stößt man freilich an die Grenzen des praktisch Umsetzbaren, und das ist dann irgendwann auch nur noch Datenschutz um seiner selbst Willen.
Der Benutzeraccount ist die de facto Unterschrift
In Krankenhaus-Systemen werden die Zugriffe auf Daten über Benutzerkennungen gesteuert. Jedem Benutzer sind definierte Rechte zugewiesen, damit er hoffentlich immer genau das sieht, was er gerade benötigt, aber auch nicht mehr. Außerdem wird über die Benutzerkennung auch dokumentiert: Visiten, Anordnungen, Medikationsänderungen, Konsile, Briefe etc.; an dieser Stelle ersetzt der Benutzeraccount mit seinem Passwort in der Regel die Unterschrift.
Das ist ein kritischer Punkt. Wir kennen ja unsere Kollegen. Der Alltag ist ja immer so schrecklich hektisch. Da kann man sich nicht auch noch um so Dinge kümmern wie ein Ausloggen, wenn man den Arbeitsplatz (stets notfallmäßig) verlässt.
Das Problem entsteht, wenn die Anmeldung bestehen bleibt. Wenn sich nun ein anderer Mitarbeiter an genau diesen PC setzt und einfach weiterarbeitet,
- …, sieht er Daten, die er unter Umständen gar nicht sehen darf
- …, können völlig Unbefugte (z.B. Patienten) Daten einsehen
- …, dokumentiert er unter falschem Namen, was unter normalen Umständen einer Unterschriftsfälschung nahekommen würde, wenn auch an dieser Stelle i.d.R. unbeabsichtigt und unbemerkt
Autologout: Unerlässlich!
Was kann man an dieser Stelle mitnehmen? Ausloggen ist wichtig! Immer! Wenn man den Arbeitsplatz verlässt, muss man sich standardmäßig ausloggen. Das muss Routine sein. Ich persönlich möchte ja auch nicht, dass jemand auf meinen Namen komische Dinge anordnet.
Die „Orientierungshilfe KIS“ der Datenschützer[2] fordert an dieser Stelle eine „automatische Bildschirmsperre“ oder ähnliche technische Vorrichtungen. Damit soll der Computer einschreiten, wenn der Mensch das Ausloggen vergisst, um o.g. Probleme zu vermeiden.
Das ist alles schlüssig, aber wenn man es falsch macht, behindert es tatsächlich in der Arbeit. Ein vernünftig eingestellter Logout läge so in der Größenordnung von 5 inaktiven Minuten am PC. Das bedeutet aber auch: Im Zweifel wird man aus einer laufenden Doku rausgeschmissen, zum Beispiel im OP. Dann hat man nachher die OP-Pflege auf der Matte stehen, die stinksauer sind. Und das zu recht. Wenn mitten in der OP die Doku zu geht; das würde mich auch ärgern. Deshalb gehört hier – wie eigentlich überall, wo man es mit Prozessen zu tun hat – ein gutes Konzept dahinter; Ausnahmeregelungen und ein Zuschnitt auf den entsprechenden Arbeitsplatz.
Autologout und Single Sign-On
Eine weitere interessante Frage ist, wie weit man ausgeloggt wird. Kommt bloß ein Passwort-geschützter Bildschirmschoner? Wird man aus dem KIS geworfen? Oder gar aus Windows? Jede Stufe weiter erfordert in der Regel mehr Passwörter, die in einer Sequenz wieder eingegeben werden müssen. Nervig und hinderlich.
Single Sign-On heißt das Zauberwort. Der Name ist sprechend, aber kurz: Mit einer einzigen Anmeldung, loggt man sich in alle betreffenden Systeme ein: Citrix, Windows, Krankenhaussystem, E-Mail, wasauchimmer. Das kann mit einem Token geschehen, wie einer Chipkarte oder einem RFID-Chip, oder eben einem Passwort. Einzig: Das muss auch funktionieren. In der Praxis geschehen dann Dinge, dass es im Prinzip klappt, nur die Druckeranbindung geht irgendwo im Anmeldeprozess verloren. Nett gedacht – schlecht umgesetzt.
Und die Performance ist auch eine entscheidende Frage: Wieviele Sekunden Anmeldezeit sind akzeptabel?
Ende
Was denkt ihr dazu? Habt ihr eventuell eine Single Sign-On Lösung bei euch im Einsatz? Wie sind eure Erfahrungen damit? Habt ihr ein Datenschutz-Konzept, das jeder nachvollziehen kann? Gibt es einen Autologout? Ich würde mich über Kommentare freuen, da können wir gerne weiter diskutieren 🙂
Links:
- [1]Karneval vs. Datenschutz: Patientenakten aus der Konfetti-Kanone
- [2]Orientierungshilfe Krankenhausinformationssysteme
Begeisterter Anästhesist mit Faible für Teaching und Medizininformatik.
