Seminararbeit im Fach E-Government/E-Health an der Wirtschafts- und Sozialwissenschaftlichen Fakultät der Universität Freiburg i. Ü. ehealth: Die elektronische Gesundheitskarte vorgelegt von Barbara Nyfeler & Vanessa Lutz Rue de l Industrie 14 1700 Freiburg i. Ü. eingereicht bei Prof. Dr. Andreas Meier Lehrstuhl für Information Systems Freiburg, 30. November 2007
Inhaltsverzeichnis 1. Einleitung... 2 1.1 Problemstellung... 2 1.2 Zielsetzung... 3 1.3 Aufbau der Arbeit... 4 2. Begriffserklärung und -abgrenzung... 5 3. Technische Aspekte... 8 3.1 Smart Card-Technologie... 8 3.2 Ort der Datenspeicherung... 9 3.3 Alternative Technologien... 11 4. Chancen und Gefahren... 13 4.1 Chancen der elektronischen Gesundheitskarte... 13 4.2 Gefahren der elektronischen Gesundheitskarte... 14 5. Datenschutz/Datensicherheit... 16 5.1 Begriffserklärung und abgrenzung... 16 5.2 Probleme in Bezug auf die egk und den Datenschutz... 17 5.3 Probleme in Bezug auf die egk und die Datensicherheit... 17 5.4 Sicherheits- bzw. Schutzanforderungen... 18 6. Rahmenbedingungen... 20 7. Ländervergleich... 22 8. Fazit und Ausblick... 25 Literaturverzeichnis... 26 1
1. Einleitung 1.1 Problemstellung Das heutige Gesundheitswesen ist geprägt durch komplexe Strukturen und Abläufe. Die vielen beteiligten Parteien (Ärzte, Krankenkassen, Apotheken, Patienten, Staat) führen zu langwierigen Prozessen und fehlender Transparenz. Informationen werden doppelt aufgenommen oder nicht berücksichtigt. Solche Fehler und Redundanzen führen zu zusätzlichem, unnötigem Aufwand und somit zu höheren Kosten. Es ist deshalb nicht zu leugnen, dass hier ein erhebliches Verbesserungspotential besteht. ehealth ist ein Ansatz, um solche Verbesserungen im Gesundheitswesen voranzutreiben. In vielen Ländern werden ehealth-lösungen intensiv diskutiert und einzelne, damit im Zusammenhang stehende Projekte, sind daran eingeführt zu werden oder wurden bereits eingeführt. In der Schweiz beauftragte der Bundesrat im Rahmen der Revidierung der Strategie für eine Informationsgesellschaft in der Schweiz das Eidgenössische Departement des Innern (EDI), ein Konzept für die nationale Strategie ehealth zu erstellen. Dieses wurde Ende 2006 vorgelegt. Das Bundesamt für Gesundheit (BAG) definiert ehealth als den integrierter Einsatz von Informationsund Kommunikationstechnologien zur Gestaltung, Unterstützung und Vernetzung aller Prozesse und Teilnehmerinnen und Teilnehmer im Gesundheitswesen [Bundesamt für Gesundheit 2007a, S. 54]. Etwas konkreter ausgedrückt beinhaltet ehealth all diejenigen Prozesse, welche aus der Anwendung von Webtechnologien im Gesundheitsbereich entstehen. Kernelement ist dabei die Digitalisierung von Daten und somit deren Erfassung, Übermittlung, Überwachung, Abfrage und Auswertung [vgl. Berger Kurzer 2004, S. 6]. Primäre Ziele, die durch Anwendungen im Bereich ehealth angestrebt werden, sind die Verbesserungen der Effizienz, der Qualität und der Sicherheit im Gesundheitswesen. Wenn man bedenkt, dass ehealth alle internetbasierten Verfahren im Gesundheitswesen umfasst, kann man sich vorstellen, dass die Anwendungsbereiche zahlreich und vielseitig sind. Das elektronische Patientendossier, das Anbieten von webbasierten Gesundheitsinformationen, die elektronische Patientenkarte, die Telemedizin und das Disease-Management 2
gehören zu ehealth-anwendungen, um einige zu nennen. Die nachfolgende Arbeit wird sich mit der spezifischen Anwendung der elektronischen Patientenkarte bzw. der elektronischen Gesundheitskarte auseinandersetzen. 1.2 Zielsetzung Bei der elektronischen Patientenkarte geht es kurz gesagt um eine Erweiterung der Versichertenkarte. Das heisst, dass die Karte zusätzlich zu administrativen Daten auch persönliche Gesundheits- oder Notfalldaten beinhaltet. Ermöglicht die Karte zusätzlich Zugang zum ganzen Patientendossier, so spricht man in der Regel von der elektronischen Gesundheitskarte. Diese soll das Abrufen der vollständigen Krankengeschichte, von Laborwerten, Röntgenbilder usw. ermöglichen. Die Einführung der elektronischen Gesundheitskarte (kurz egk) kann eine enorme Chance in dem Sinne sein, als dass sie viel unnötigen Papierkram beseitigt, Kosten senkt, die Transparenz erhöht und benötigte Informationen jederzeit und überall verfügbar macht. Andererseits birgt die egk auch Gefahren in sich. In den meisten Ländern, in welchen die Einführung der egk zur Diskussion steht, ist nicht klar definiert, wer die Kosten der Einführung tragen soll. Ärzte wehren sich gegen die Karte, da sie befürchten, dass ein grosser Teil dieser Kosten auf sie überwälzt wird. Aber auch die Patienten haben ihre Bedenken. Der Zugang zu persönlichen Daten über das Internet bringt Risiken im Bereich des Datenschutzes und der Datensicherheit mit sich. In der Praxis wird oft vom gläsernen Patienten gesprochen. Dieser Begriff steht symbolisch für den Verlust der Privatsphäre des Patienten. Zudem steht den Kostenersparnissen auch ein grosser Aufwand der elektronischen Erfassung der Daten gegenüber. Ziel dieser Arbeit ist es, die elektronische Patientenkarte bzw. die elektronische Gesundheitskarte zu erklären, Begriffe einzuordnen und abzugrenzen. Technische Aspekte der Karte sollen grob erläutert werden. Weiter besteht das Ziel der Arbeit darin, die Chancen und Gefahren der elektronischen Gesundheitskarte aufzuzeigen und die notwendigen Rahmenbedingungen für deren Einführung darzulegen. Zusätzlich soll ein kurzer Überblick zum aktuellen Stand bezüglich elektronischer Gesundheitskarte in verschiedenen Ländern gegeben werden. 3
1.3 Aufbau der Arbeit Der Aufbau der Arbeit gliedert sich wie folgt: Kapitel eins gibt eine Einleitung in das Thema ehealth und die spezifische Anwendung der elektronischen Patientenkarte/Gesundheitskarte. Die Karte selbst und die mit ihr in Zusammenhang stehenden Begriffe werden in Kapitel zwei erklärt und abgegrenzt. In Kapitel drei werden die Technologie der Karte und die verschiedenen Speicherungsmöglichkeiten der medizinischen Daten erläutert. Eventuelle Alternativtechnologien werden aufgezeigt. Kapitel vier befasst sich mit den Chancen und Gefahren, welche die Karte mit sich bringt, und Kapitel fünf konzentriert sich auf den wichtigen Aspekt des Datenschutzes/Datensicherheit. Die Rahmenbedingungen und Voraussetzungen für die Einführung der Karte werden in Kapitel sechs erläutert. In Kapitel sieben wird schliesslich einen Überblick über die aktuelle Situation in einigen ausgewählten Ländern gegeben. Mit Kapitel acht folgt ein abschliessendes Fazit. 4
2. Begriffserklärung und -abgrenzung Wie schon eingangs erwähnt handelt es sich bei der elektronischen Patientenkarte um eine Erweiterung der Versichertenkarte. Die Versichertenkarte beinhaltet alle administrativen, versicherungsrelevanten Daten wie das Geburtsdatum, Name und Adresse des Patienten, Name der Krankenversicherung, Status, Gültigkeitsdauer der Karte und die Versicherungsnummer des Patienten. Die elektronische Patientenkarte (Patient Card) umfasst zusätzlich persönliche medizinische Informationen über den Patienten. Typischerweise handelt es sich hier um Daten wie Blutgruppe, Informationen über Impfungen, Unverträglichkeiten usw. Die Begriffe elektronische Patientenkarte und elektronische Gesundheitskarte (ehealth Card) werden oft synonym verwendet. Korrekterweise fasst die elektronische Gesundheitskarte aber etwas weiter als die elektronische Patientenkarte. Um alle Aspekte zu berücksichtigen und Missverständnisse zu vermeiden, wird in folgender Arbeit der Begriff elektronische Gesundheitskarte (egk) verwendet. Um zu verstehen, welche verschiedenartigen Informationen die egk enthalten kann ist es sinnvoll, die Daten so genannten Fächern zuzuordnen [vgl. Haas 2005, S. 500]: Blind-/Tresorfach Verweis-/Pointerfach Arztbrieffach Notfallinformationen Patientenaufzeichnungen Weitere Gesundheitsinformationen/ -karten/-pässe Arzneimittelfach Elektronisches Rezept Administrative Daten Bei den Patientenaufzeichnungen und beim Blind-/Tresorfach handelt es sich um persönliche Aufzeichnungen des Patienten, die nach Wunsch nur durch besondere Authorisierung durch ihn eingesehen werden können. Das Verweis-/Pointerfach beinhaltet Verweise auf Dokumente, auf die zugegriffen werden kann (d.h. Verweise auf Informationen, welche nicht direkt auf der Karte selbst abgespeichert sind). Die weiteren Gesundheitsinformationen/-karten/-pässe bestehen aus Zusatzinformationen wie z. B. Diabetes-Pass, Röntgenpass usw. 5
Das Arztbrieffach (auch earztbrief) dient als Transportfach für Diagnosen von Ärzten. Der Arztbrief wird von einer Institution (z. B. Arztpraxis, Krankenhaus) auf die Karte geschrieben, von einer anderen Institution wieder gelesen und gelöscht. Im Arzneimittelfach werden Verordnungen und Medikationen aus stationären und ambulanten Behandlungen dokumentiert. Es wird eine Liste mit allen Medikamenten, die ein Patient in einer Apotheke, von einem Arzt oder in einem Krankenhaus erhält, erstellt. Die Notfallinformationen verweisen auf wichtige Patienteninformationen wie Blutgruppe, Allergien, Implantate usw. Diese Informationen werden nicht verschlüsselt auf der Karte abgelegt, so dass im Notfall ohne Probleme auf die Daten zugegriffen werden kann. Das elektronische Rezept (kurz erezept) ist die digitalisierte Form von Verordnungen durch den Arzt. Die Rezepte werden von der Versorgungsinstitution auf die Karte geschrieben und von der Apotheke bei Abholung der Medikamente gelesen und wieder gelöscht. Mit dem erezept ist es möglich, Rezepte an eine Apotheke zu übermitteln ohne diese aufzusuchen zu müssen und ermöglicht so den Medikamentenversand. Durch das erezept können Doppeleinlösungen technisch verhindert werden [vgl. Neuhaus/Deiters/Wiedeler 2006, S. 332]. Das Fach für administrative Daten enthält die bereits oben genannten versicherungsrelevanten Daten Da im Bereich ehealth im Sinne des Datenschutzes die informationelle Selbstbestimmung 1 eine wichtige Rolle spielt, sollen (zumindest für Deutschland vorgesehen) lediglich die administrativen Informationen und das elektronische Rezept verpflichtend sein. Alle weiteren Fächer beruhen auf freiwilliger Basis [vgl. Haas 2005, S. 500]. Aus Sicherheitsgründen ist eine komplementäre Health Professional Card (auch earztausweis oder elektronischer Heilberufsausweis genannt) vorgesehen, welche nicht durch den Patienten, sondern durch die Ärzte und Apotheker gehalten wird. Die Karte verschafft dem Anwender Zugriffsrechte auf elektronische Patientendaten. Der Zugriff auf diese Informationen kann nur im Falle der gleichzeitigen Authentifizierung 1 Bei dem Recht auf informationelle Selbstbestimmung geht es darum, dass der Patient Herr seiner Daten ist, d.h. dass dieser selbst bestimmen kann, wem er Einsicht in seine persönlichen Daten gewährt. 6
des Patienten und des Arztes/Apothekers anhand ihrer jeweiligen Karte erfolgen. Zudem bietet die Health Professional Card die Möglichkeit der elektronischen Signatur und sieht Verschlüsselungstechnologien für die elektronische Datenübertragung vor. ehealth-anwendungen sind ohne solche Identifikationsmittel kaum oder nur eingeschränkt umsetzbar [vgl. Jähn 2004, S. 186 f.]. Ein Begriff, der unmittelbar mit der elektronischen Gesundheitskarte im Zusammenhag steht, ist die Elektronische Patientenakte (EPA)/Electronic Patient Record (EPR). Die EPA bildet sozusagen den informatorischen Unterbau, die Grundvoraussetzung für die elektronische Gesundheitskarte und andere ehealth- Anwendungen. Unter der EPA ist die elektronische Erfassung und Zusammenführung aller medizinischen Daten eines Patienten zu verstehen. Das Ziel ist der Aufbau einer Akte, in der über einzelne einrichtungsbezogene Behandlungsperioden hinweg eine langfristige, vollständige patientenbezogene Dokumentation realisierbar ist [vgl. Prokosch 2006, S.50]. Die Betonung auf die einrichtungsübergreifende Dokumentation ist hier wichtig, da nur so ein wirklich effizientes Gesundheitsmanagement stattfinden kann. Der elektronische Arztbrief oder auch das elektronische Rezept können ohne die EPA nicht sinnvoll genutzt werden [vgl. Jähn 2004, S. 16]. 7
3. Technische Aspekte 3.1 Smart Card-Technologie Die Technologie, welche sich für den Einsatz der elektronischen Gesundheitskarte anbietet, ist die so genannte Smart Card, zu Deutsch Chipkarte. Wie der Name schon andeutet, besteht das Herz der Karte aus einem Mikrochip (integrierter Schaltkreis), auf welchem Informationen abgespeichert, verarbeitet und übermittelt werden. Bei dem Chip handelt es sich um ein Siliziumplättchen, welches geschützt durch das Chipkartenmodul in die Karte eingebettet ist. Die Daten werden entweder über Kontakt mit der Kartenoberfläche oder über elektromagnetische Felder (ohne Kontakt) übermittelt [vgl. Rankl/Effing 2003, S. 18]. Diese Technologie bietet einige Vorteile gegenüber anderen Kartentypen, wie z. B. der Magnetstreifen-Karte. Um diese zu verstehen ist es sinnvoll, die Smart Card in zwei verschiedene Arten zu unterteilen. Zum einen gibt es Smart Cards, die auf Speicherchips basieren, zum anderen existieren Karten mit integriertem Prozessorchip. Die Speicher-Chipkarten bestehen aus nur einem Speicher mit einfacher Logik. Auf den Chip kann ein Guthaben aufgeladen oder Information abgespeichert werden. Ein typisches Beispiel dafür ist die Telefonkarte. Ein bestimmter Betrag wird auf die Karte geladen und der Wert wird elektronisch auf dem Chip festgehalten. Mit jedem Anruf, bei dem die Karte verwendet wird, nimmt der Betrag auf dem Chip ab. Die Speicher- Chipkarte kann logischerweise nicht nur bei Telefonkarten, sondern überall, wo Güter und Dienstleistungen gegen Vorausbezahlung und ohne die Verwendung von Bargeld verkauft werden, zum Einsatz kommen. Auch für die Versichertenkarte wird meist diese Variante verwendet. Der Vorteil gegenüber einer Magnetstreifen-Karte ist eine integrierte Sicherheitstechnologie, welche die Manipulation der gespeicherten Daten unmöglich macht. Ein weiterer Pluspunkt ist die einfache Technologie des Chips und den damit verbundenen niedrigen Kosten. Auch die grössere Speicherkapazität gegenüber der Magnetstreifen-Karte spricht für die Speicher- Chipkarte. Der grosse Nachteil des Speicherchips liegt jedoch darin, dass die Karte nicht mehr wiederverwendbar ist, sobald sie einmal leer ist [vgl. Rankl/Effing 2003, S. 6]. 8
Bei dem zweiten Kartentyp handelt es sich um die Prozessor-Chipkarte. Diese beinhaltet einen Mikroprozessor, über welchen auf die gespeicherten Daten zugegriffen werden kann. Der Mikroprozessor kann private Schlüssel speichern und durch kryptografische Verfahren die Daten vor fremden Zugriffen schützen. Da der Chip ausserdem frei programmierbar ist, können anwendungsspezifische Programme darauf ausgeführt werden. Der Karte sind nur Grenzen im Sinne der Speicherkapazität gesetzt. Beispiele für Prozessor-Chipkarten sind die Bankkarte oder auch die SIM-Karte für das Handy. Zusätzlich zur sicheren Datenspeicherung bietet der Mikroprozessor die Möglichkeit der Authentifizierung und der elektronischen Signatur [vgl. Rankl/Effing 2003, S. 7 f.]. Für die elektronische Gesundheitskarte ist diese zweite Variante zu wählen, da die einfache Speicher- Chipkarte für die vorgesehenen Funktionalitäten nicht ausreicht. 3.2 Ort der Datenspeicherung Grundsätzlich gibt es drei verschiedene Möglichkeiten die medizinischen Daten eines Patienten abzuspeichern: Die Speicherung direkt auf der Chipkarte, die Speicherung auf einem zentralen Server oder die dezentrale Speicherung. Bei der direkten Speicherung auf der Karte trägt der Patient alle Informationen ständig bei sich, da sowohl die administrativen als auch die medizinischen Daten allesamt auf dem Chip abgelegt sind. Der Patient ist somit der effektive Datenherr und kann darüber bestimmen, wem er Einsicht in die Patientenakte gewährt und wer Eintragungen vornehmen darf. Die Vollständigkeit und damit auch die Verlässlichkeit der Informationen auf der Karte sind aber nicht in allen Fällen gegeben, da die Karte möglicherweise nicht immer zur Verfügung steht. Um auch bei Verlust der Karte oder in Notfällen auf den Inhalt der Karte zurückgreifen zu können, müssen Sicherungskopien erstellt werden. Aufgrund der informationellen Selbstbestimmung kann der Patient auswählen, wo die Kopie hinterlegt werden soll (beim Hausarzt, der Krankenversicherung, beim Kartenhersteller oder einer Patientenvereinigung) [vgl. Berger Kurzen 2004, S. 13]. Der grosse Nachteil dieser Lösung besteht in der begrenzten Speicherkapazität des Chips. Soll die Karte die ganze Patientenakte, Röntgenbilder und sonstige Aufzeichnungen beinhalten, so wird der begrenzte 9
Speicherplatz von 64 kb nicht ausreichen. Auf die egk gibt diese Variante deshalb nicht die passende Antwort. Weiter gibt es die Möglichkeit, die Daten nicht direkt auf der Karte, sondern auf einem Server zu speichern. Die administrativen Informationen können weiterhin auf der Karte selbst enthalten bleiben, da diese nicht viel Kapazität in Anspruch nehmen. Für die medizinischen Daten stellt die Chipkarte einen Identifizierungsschlüssel für den Zugriff auf die in einem Dossier gespeicherten Daten dar. Das heisst, der Zugriff auf die medizinischen Daten erfolgt über Verweise von der Karte. Auch hier kann der Patient wieder selbst entscheiden, wem er wieviel Einsicht gewährt [vgl. Berger Kurzen 2004, S. 13 f.]. Bei der Speicherung der Daten kann weiter in die zentrale und die dezentrale Speicherung unterschieden werden. Bei der zentralen Ablage der Daten auf einem Server haben alle mitwirkenden Einrichtungen potentiellen Zugriff. Über eine Vereinbarung können Zugriffsrechte festgelegt werden oder aber der Patient erlaubt den Zugriff auf bestimmte Daten in jedem Einzelfall. Die zentrale Speicherung hat den Vorteil, dass nur ein System eingesetzt werden muss. Zudem bietet diese Lösung ein hohes technisches Sicherheitsniveau. Die einzelnen Einrichtungen müssen jedoch bei der zentralen Datenhaltung ihre jeweilige Datenhoheit aufgeben [vgl. Jähn 2004, S. 20]. Die dezentrale Speicherung stellt schliesslich die dritte Möglichkeit dar medizinische Informationen abzulegen. Die Daten bleiben an ihrem Entstehungsort und können nach Anfrage von den anderen Einrichtungen eingesehen werden. Die Verwaltung der Zugriffsrechte wird in diesem Fall schwieriger. Auch die Transparenz sinkt bei der dezentralen Datenhaltung und es ist schwieriger Klarheit darüber zu haben, wo welche Daten vorliegen oder wer wann welche Daten eingesehen hat [vgl. Jähn 2004, S. 20]. Der positive Aspekt der dezentralen Datenhaltung ist die Verminderung des Risikos von Datenverlust infolge einer Infektion mit Computerviren. Dieses Risiko wird durch die Vielzahl der Datenträger diversifiziert [vgl. Berger Kurzen 2004, S. 14]. Die Serverlösungen, bei welchen die Karte als Zugriffsmittel auf die Daten benutzt wird, gelten als einfacher, sicherer und wirkungsvoller. Dies deshalb, weil erstens der 10
Zugang zu den Informationen unmittelbar möglich ist, zweitens, weil die Daten in den Gesundheitssystemen professionell verwaltet werden und drittens, weil die Verantwortlichen für die jeweiligen Speichermedien Interesse an möglichst aktuellen Daten haben. Die elektronische Gesundheitskarte hat somit wohl nur in dieser Form eine Chance sich durchzusetzen [vgl. Berger Kurzen 2004, S. 14 f.]. 3.3 Alternative Technologien Die Kritik an der begrenzten Speichermöglichkeit der Smart Card-Technologie und Bedenken seitens der Patienten und Ärzte bei serverbasierten Lösungen führen zur Frage nach Alternativtechnologien. Das Thema der elektronischen Gesundheitskarte stand in den letzten Jahren bzw. steht immer noch hoch im Diskurs, so dass man von möglichen anderen Lösungen zur elektronischen Verwaltung von Patientendaten nur wenig gehört hat. Einen Alternativansatz hat die Firma Euromed-ID entwickelt. Ihr Hauptanliegen ist, dass die Daten nicht offen, also auf einem durch das Internet zugängigen, zentralen Server, abgespeichert werden. Sie entwickelten deshalb eine CD (genannt MedSmart CD oder auch Gesundheitspass), welche alle wichtigen Patientendaten enthalten soll und welche beim Patienten verbleibt. Die digitalen Daten werden nicht auf einem zentralen Server gespeichert, sondern nur bei den jeweiligen Ärzten in ihrer Praxis (dezentral). Der Patient hat dieselben Daten als Backup auf seiner MedSmart CD. Die CD hat ein Speichervolumen von rund 50 MB [vgl. Medical Tribune 2005]. Diese Technologie ist ähnlich zur Lösung der Gesundheitskarte mit der dezentralen Speicherung der medizinischen Daten. Der Unterschied besteht jedoch darin, dass anstelle der Karte eine Mini-CD verwendet wird und der Patient auf dieser CD alle Informationen auch bei sich hat. Bei der dezentralen Speicherung mit der Gesundheitskarte befinden sich nur die administrativen Daten auf der Karte selbst. Die CD kann überall mitgenommen werden und die Informationen sind deshalb auch im Ausland verfügbar. Wie bei der egk hat der Patient auch hier die Möglichkeit selbst Eintragungen auf der CD zu seinen Beobachtungen und Empfindungen zu machen, was vor allem bei chronisch kranken Menschen sinnvoll ist [vgl. www.medical-tribune.at]. Der Patient hat jedoch nicht die Möglichkeit, bereits 11
eingetragene Daten zu ändern oder zu löschen, was das Prinzip der informationellen Selbstbestimmung einschränkt. Bestimmte Patientendaten werden offen auf die CD gebrannt, wie erste Notfallinformationen. Weitere medizinische Daten können vollständig verschlüsselt abgespeichert werden. Zur Sichtbarmachung müssen die Daten entweder in einen Arzt- oder Praxiscomputer oder Patientencomputer geladen werden. Dazu dient eine Entcryptungssoftware, welche auf der MedSmart CD verfügbar ist [vgl. EuroMed-ID (o. J.)]. Vorteile, welche die Firma Euromed-ID in ihrer Technologie sieht, sind unter anderem [vgl. EuroMed-ID (o. J.)]: Verwendung der patentierten CD-Technologie (sie Einführung medizinischer Informationssysteme für Smart Cards ist viel aufwendiger und benötigt mehr Zeit) Speicherung in einem CD-eigenen Server und komplette Verschlüsselung der Patientendaten CD ist preiswerter als die Einführung von Smart Cards hohes Speichervolumen Aufgrund der genannten positiven Aspekte findet diese Lösung Anklang bei den Ärzten und Apothekern. Bei den Krankenkassen sieht dies etwas anders aus. Während für sie bei einer serverbasierten Lösung der Zugriff auf die elektronische Patientenakte einfacher realisierbar ist, haben sie bei der dezentralen Lösung weniger Möglichkeiten, die Akten einzusehen [vgl. Heise Online News 2004]. Die CD muss aber nicht zwingend in Konkurrenz zur elektronischen Gesundheitskarte stehen, sondern sie kann auch komplementär angewendet werden. 12
4. Chancen und Gefahren Die Entwicklungen im Zusammenhang mit der elektronischen Gesundheitskarte (egk) sind noch nicht absehbar, da die Anwendung dieser Technologie noch in den Startblöcken steckt. Es können folglich noch keine genauen Vor- bzw. Nachteile abgeleitet werden, lediglich eine Unterteilung in Chancen und Gefahren der egk ist möglich [vgl. Berger Kurzen 2004, S. 41]. 4.1 Chancen der elektronischen Gesundheitskarte Die elektronische Gesundheitskarte wird mit der Zeit zu Kostenersparnissen führen. Durch ihre Benutzung wird der Papieraustausch gesenkt und somit die Effizienz gesteigert. Die Einsparungen werden jedoch erst auf die lange Frist zum Tragen kommen, weil die Einführungskosten dieser neuen Technologie sehr hoch sind [vgl. Berger Kurzen 2004, S. 31 ff.]. Ein Pluspunkt der elektronischen Gesundheitskarte gegenüber der papierenen Akte liegt darin, dass der Arzt Zeit gewinnt, sich über die Krankengeschichte des Patienten zu informieren. Ärzte verfügen über eine oder mehrere papierene Akten eines Patienten. Die schnelle Suche nach Informationen entpuppt sich oft als schwierig. Weitere Probleme entstehen bei Einträgen in der papierenen Akte, welche mit einer unleserlichen Schrift oder in Stichworten eingetragen wurden. Wird das Verständnis erschwert, kann dies zur Folge haben, dass an einem Patienten Mehrfachuntersuchungen durchgeführt werden. Dies wiederum führt zu zusätzlichen Kosten und einer unnötigen Belastung der Patienten [vgl. Berger Kurzen 2004, S. 12]. In der Folge führt die egk zu einer Steigerung des Komforts und der Servicequalität für den Patienten [vgl. Pharma24 (2007)]. Ein weiterer Aspekt der Effizienzsteigerung zeigt sich in Notfällen oder bei Routineuntersuchungen im Ausland. Mit der egk stehen die Angaben des Patienten dank seiner zentral oder dezentral gespeicherten Daten innert kürzester Zeit zur Verfügung und die Informationen können zur Weiterbehandlung verwendet werden. Der Arzt schafft sich schneller einen Überblick über den Gesundheitszustand des Patienten, weiss schneller und genauer, welche 13
Medikamente für den Patienten geeignet sind und welche nicht [vgl. Berger Kurzen 2004, S. 43]. Nicht nur die Ärzte, sondern auch der Patient hat einen besseren Überblick über sein eigenes Gesundheitsbild, da er selbst auf seine Daten zurückgreifen kann. Dadurch erfolgt eine Steigerung der Patientensicherheit, da künftig durch die gespeicherten Daten des Patienten in Notfällen schneller festgestellt werden kann, ob ein Patient an Allergien oder Arzneiunverträglichkeiten leidet [vgl. Pharma24 (o. J.)]. Weiter können Daten wie die Blutgruppe des Patienten oder Vorerkrankungen auf der Karte gespeichert werden [vgl. Durchblick-Gesundheit (o. J.)]. Allgemein kann festgehalten werden, dass die egk und die mit ihr verbundenen Anforderungen (v.a. die elektronische Patientenakte) die Kommunikation zwischen den Leistungserbringern verbessert. 4.2 Gefahren der elektronischen Gesundheitskarte Ein stark umstrittener Punkt ist die Sicherheit der Patientendaten, welche auf der elektronischen Gesundheitskarte gespeichert werden. Dieses Problem wird im Kapitel fünf Datenschutz/Datensicherheit genauer erläutert. Der Patient ist Herr über seine Daten und darf deshalb selber entscheiden, welche seiner Daten in die Patientenkarte aufgenommen werden sollen und welche nicht. Überlässt man dem Patienten die alleinige Entscheidung, bringt er sich möglicherweise selber in Gefahr, indem sich Ärzte auf falsche oder unvollständige Angaben stützen [vgl. Berger Kurzen 2004, S. 12]. So kann ein Patient aus seiner Sicht unangenehme Daten löschen, wie beispielsweise die Einnahme von Viagra. Diese Angaben sind für den behandelnden Arzt jedoch wichtig, um Nebenwirkungen für die von ihm verschriebenen Medikamenten zu verhindern [vgl. Durchblick-Gesundheit (o. J.)]. Aus den obgen angeführten Risiken leiten sich folgende Fragen ab: Was geschieht, wenn der Patient an einer Krankheit leidet, welche seine Handlungsfähigkeit beeinträchtigt? Wen bestimmt er als seinen Vormund, welcher ihm die Entscheidung abnimmt, welche Daten auf der egk gespeichert werden und welche nicht [vgl. Meier 2005, S. 12]? Diese Punkte müssen vor einer Einführung einer egk geklärt werden. 14
Bei den Chancen wurden einige positive Aspekte erwähnt, unter anderem die schnelle Verfügbarkeit der Daten. Die Einführung der neuen Technologie führt aber nicht nur zu Vereinfachungen der Arzt-Patienten-Beziehung. Ohne elektronische Gesundheitskarte ergeben sich Beziehungen zwischen den Parteien Arzt, Patient und Versicherung. Mit der Einführung der egk werden weitere Akteure wie beispielsweise Informatiker, Geräteproduzenten, EDV-Berater, Telemediziner miteinbezogen. Dies führt zu komplexeren Strukturen und Verhältnissen [vgl. Berger Kurzen 2004, S.48]. Die Krankengeschichten der Patienten und das Handeln der Ärzte werden transparenter als zuvor. Man spricht von so genannten gläsernen Patienten, da die Daten für alle Netzwerkzutrittsberechtigten ersichtlich sind. Auf dieses Problem wird ebenfalls im Kapitel 5 zum Thema Datenschutz eingegangen. Auf der anderen Seite kann es sein, dass die Transparenz des ärztlichen Handelns die Qualität der Behandlung steigert, da die Handlungen der Ärzte nachvollzogen und überprüft werden können. Die Ärzte können sich dadurch aber auch eingeengt fühlen [vgl. Berger Kurzen 2004, S.48]. Wie bei den Chancen erwähnt wurde, führt die neue Technologie mit der Zeit zu Kostenersparnissen. Die Ärzte sehen zuvor jedoch die Gefahr der hohen Einführungskosten. Da keine offizielle Aufteilung der Kosten existiert fürchten sich die Ärzte davor, selber einen hohen Anteil der Kosten übernehmen zu müssen [vgl. Deutsches Ärzteblatt 2007]. 15
5. Datenschutz/Datensicherheit 5.1 Begriffserklärung und abgrenzung Um Verwechslungen vorzubeugen, folgt als erstes eine Unterscheidung zwischen dem Begriff Datenschutz und dem Begriff Datensicherheit. Beim Datenschutz geht es um den Schutz von Personen in unserem Fall sind dies die Patienten und den Schutz ihrer Privatsphäre. Die Datensicherheit hingegen soll die Daten vor Manipulation oder unberechtigtem Zugriff durch so genannte Hacker oder andere Unberechtigte schützen [vgl. Wiesner 2006, S. 1]. Solche Manipulationen oder Entwendung von Daten können durch Angriffe von Viren 2, Würmern 3 oder Trojanischen Pferden 4 verursacht werden. Eine Patientenkarte kann ohne Einbezug von Datenschutz und Datensicherheit nicht erfolgreich sein, da die Bevölkerung der neuen Technologie ohnehin skeptisch gegenübersteht. Der Datenschutz und die Datensicherheit stellen die Qualität und die Verlässlichkeit der Daten sicher. Patientendaten haben neben dem persönlichen ebenfalls einen wirtschaftlichen Wert und sind durch die einfachere Verfügbarkeit, Kombinierbarkeit und Vervielfältigungsmöglichkeit einem hohen Missbrauchsrisiko ausgesetzt. Damit dieses Risiko gesenkt werden kann, braucht man eine sichere Übertragung, Speicherung und anschliessende Verwaltung der Daten, was mit den heutigen technischen Möglichkeiten sichergestellt werden kann [vgl. Berger Kurzen 2004, S. 47 f.]. 2 Die Einschleusung der Viren erfolgt oft durch die Installation von extern mitgebrachten Programmen oder über das Internet. Alle Benutzer, die an dasselbe Netzwerk angeschlossen sind, können dadurch infiziert werden. 3 Würmer verbreiten sich durch Netzwerke und werden beispielsweise bei E-Mails als Attachments angehängt. Werden die Attachments geöffnet, verbreitet sich der Wurm über alle Adressen, die im Adressbuch gespeichert sind. 4 Ein Trojanisches Pferd ist ein heimlich auf den Computer kopiertes Programm, das dazu dient, einen ungehinderten Zugang von aussen für nicht berechtigte Dritte zu erschleichen [vgl. Berger Kurzen 2004, S. 183 f.]. 16
Es entsteht ein Trade-off zwischen der Sicherheit bzw. dem Schutz und der Verfügbarkeit der Daten. Einerseits sollen die Patientendaten gesichert bzw. geschützt werden, anderseits sollen die Informationen zur Verfügung stehen und ein schneller Zugriff muss gewährleistet werden. Damit man dieses Problem besser versteht, werden in den nächsten Abschnitten des Kapitels die Probleme der elektronischen Gesundheitskarte bezüglich der Datensicherheit bzw. dem Datenschutz genauer erläutert. 5.2 Probleme in Bezug auf die egk und den Datenschutz Laut dem Bundesamt für Gesundheit hat jede Person gemäss der Bundesverfassung Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Daraus folgt das Recht auf informationelle Selbstbestimmung. Für ehealth heisst dies, dass nur die DateninhaberInnen (BürgerInnen, PatientInnen, Versicherte) entscheiden, wer wann welche Daten bearbeiten darf [vgl. Bundesamt für Gesundheit 2007b, S. 1]. Da der Patient Herr über seine Daten ist, darf er selber entscheiden, welche seiner Daten in die Patientenkarte aufgenommen werden sollen und welche nicht. In Kapitel 4.2 wurde erklärt, dass diese Entscheidungskompetenz den Patienten auch in Gefahr bringen kann, wenn er beispielsweise aus seiner Sicht peinliche Daten löscht, welche für den Arzt jedoch wichtig wären [vgl. Durchblick-Gesundheit (o. J.)]. Dasselbe Problem besteht, wenn der Patient nicht mehr im Stande ist selbst zu entscheiden, welche Daten auf seiner egk wichtig sind [vgl. Meier 2005, S. 12]. 5.3 Probleme in Bezug auf die egk und die Datensicherheit Grundsätzlich gibt es drei Fragebereiche, welche die Datensicherheit betreffen: die sichere Aufbewahrung der Daten und der sichere Zugriff durch Berechtigte, feindliche Angriffe auf das System und die Verfälschung von Daten. Der erste Bereich beinhaltet die sichere Aufbewahrung der Daten und der gesicherte Zugriff durch Berechtigte. Der Zugriff auf Patientendaten darf nur mit der Zustimmung des Patienten erfolgen. Prinzipiell lassen sich die Daten an drei Orten speichern: dezentral auf der Festplatte der Arztpraxis, auf der Chipkarte selbst und auf einem zentralen Rechner. Werden die Daten auf der Festplatte beim Arzt gespeichert, sollte dort ein Bereich mit dem Zugangsrecht für berechtigte Dritte eingerichtet sein [vgl. 17
Jähn/Nagel 2004, S. 19 ff.]. Im Gesundheitswesen handelt es sich um sensible und intime Daten. Das Interesse an diese Daten zugelangen kann vielerlei Gründe haben. Es können Firmen aus der pharmazeutischen Industrie sein, die daran interessiert sind, ihre Produkte besser zu verkaufen, Journalisten, die sich für die Krankengeschichte eines Prominenten interessieren oder Psychopathen, die ein System stören oder zerstören wollen. Der zweite Bereich befasst sich mit feindlichen Angriffen (Viren, Würmer, Trojanische Pferde) auf das System. Damit das Angriffsrisiko gesenkt werden kann empfehlen viele Anbieter von Praxisprogrammen, die Praxisverwaltung aus Datensicherheitsgründen vom Internetverkehr abzutrennen. Verfälschung stellt den dritten Bereich der Datensicherheit dar. Elektronische Daten sind fälschungsunsicherer als Papierdaten. Jeder Zugriffsberechtigte und jeder illegale Eindringling kann Daten fälschen. Deshalb ist es wichtig, dass nur der Patient festlegen kann, wer wann und wie auf seine Daten zugreifen darf und dass man jederzeit nachvollziehen kann, wer wann welche Patientendaten bearbeitet hat [Caumanns et al. 2006, S. 342 ff.]. Beispiele der kriminellen Datenmanipulation in Bezug auf die elektronische Gesundheitskarte sind. Änderung der Versicherungsklasse, beispielsweise von allgemein auf halbprivat, ein Austausch der Medikamente, welche der Patient einnimmt oder eine Änderung der Blutgruppe. Diese Beispiele können unterschiedliche Konsequenzen haben. Die Verfälschung der Versicherungsklasse ist zu eigenem Vor- oder Nachteil und fügt niemandem körperlichen Schaden zu, wobei ein Löschen oder Vertauschen von Einträgen über Medikamente und Blutgruppen schwerwiegende Folgen haben kann. 5.4 Sicherheits- bzw. Schutzanforderungen Um das Recht auf Sicherheit und auf Schutz der Privatsphäre zu gewährleisten müssen bestimmte Anforderungen an die elektronische Gesundheitskarte gestellt werden. Es gibt drei Ansätze, diesen Anforderungen gerecht zu werden: die elektronische bzw. digitale Signatur, Verschlüsselungstechniken, welche private und öffentliche Schlüssel beinhalten, und digitale Zertifikate. Die digitale Unterschrift ist die elektronische Variante der persönlichen Unterschrift. Sie dient dazu, die Identität des Netzwerkbenutzers zu bestätigen. Öffentliche und private Schlüssel sind PINs oder Passwörter. Sie helfen abzusichern, dass nur diejenigen Personen Einsicht auf die Daten haben, welche im Besitz eines Passworts sind. Leider gibt es bei dieser 18
Methode immer wieder so genannte Hacker, die es schaffen, Passwörter zu knacken und sich so unerlaubten Zugriff auf Daten verschaffen. Dafür gibt es eine weitere Sicherheitsstufe, das digitale Zertifikat, welches einem elektronischen Personalausweis gleichgesetzt werden kann. Das Zertifikat wird von einer Beglaubigungsinstitution (Trustcenter) herausgegeben, um mit Hilfe von öffentlichen bzw. privaten Schlüsseln Verschlüsselungen und Entschlüsselungen vertraulicher Daten zu bestätigen, welche über das Internet und andere Netze verbreitet werden [vgl. Meier 2005, S. 11 ff.]. Die angeführten Voraussetzungen müssen für die Einführung der elektronischen Gesundheitskarte gegeben sein, denn ohne diese ist es nicht möglich ein angemessenes Niveau der Datensicherheit und des Datenschutzes zu erreichen. 19