IT Sicherheit in den Ordinationen


Datenschutz in der Ordination

Bislang unterlag die EDV-unterstützte Patientenkartei der Registrierungspflicht beim sogenannten "Datenverarbeitungsregister" ("DVR"). Die Verwendung musste gemeldet werden und wurde in der Folge die DVR -Nummer von der Behörde zugeteilt.


Seit 1.7.2000 muss in Anwendung des Datenschutzgesetzes 2000 und der Standardanwendung Patientenverwaltung und Honorarabrechnung (BGBl. II Nr. 201/2000) eine Meldung der EDV-Verarbeitung beim Register nicht mehr erfolgen, da die Verordnung alle Anwendungen für Datenverarbeitungen von Patientendaten vorsieht und registrierungsfrei stellt.
Die Regietrierungspflicht für die Patientenkartei ist seit 1. Juli 2000 entfallen. Gesundheitsdaten sind "sensible Daten".


Im Datenschutzgesetz 2000 ist in Übereinstimmung mit der EU-Richtlinie festgelegt, dass Gesundheitsdaten "sensible" Daten sind, die einem besonderen Schutz und Geheimhaltungsinteresse unterliegen. Nur wer sich eine gesetzliche Grundlage stützen kann, darf Gesundheitsdaten verwenden.
Für den Arzt als Verwender einer Patientenkartei ist hier § 51 des Ärztegesetzes 1998 einschlägig, welcher den Arzt zur umfassenden Dokumentation der wesentlichen Patientendaten verpflichtet (siehe dazu das Merkblatt: INFO- Spezial Dokumentation). Nach § 51 Abs. 2 ÄrzteG 1998 ist der Arzt ausdrücklich berechtigt, personenbezogene Gesundheitsdaten des Patienten, zu deren Dokumentation der Arzt verpflichtet ist, automationsunterstützt zu ermitteln und zu verarbeiten sowie diese Daten im Rahmen der Gesundheitsverwaltung zu übermitteln (Sozialversicherungsträger, Krankenfürsorgeanstalten, andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Patient steht, etc.).

Der Arzt darf selbstverständlich auch die Honorar- und Medikamentenabrechnung mittels EDV verarbeiten bzw. durchführen lassen (siehe dazu noch weiter unten).
Im Übrigen nimmt auch das Datenschutzgesetz 2000 selbst Rücksicht auf das Gesundheitswesen und legt fest, dass die schutzwürdigen Geheimhaltungsinteressen der Patienten dann nicht verletzt werden, wenn die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder - Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich sind, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterlieg


Übermittlung von Gesundheitsdaten


Die Übermittlung von Gesundheitsdaten (Patientendaten) soll grundsätzlich nur dann erfolgen, wenn der Patient zustimmt, z.B. bei Überweisung an einen anderen Arzt oder andere medizinische Einrichtung. Grundsätzlich muss eine gesetzliche Grundlage für die Übermittlung der Daten bestehen, wie z. B. Übermittlung an Sozialversicherungsträger (z. B. Vertrauensarzt der Krankenkasse).

Hier ist die Übermittlung auch dann zulässig, wenn der Patient nicht zustimmen würde. Eine Übermittlung gegen den Willen des Patienten ist des Weiteren z. B. bei den besonderen Meldepflichten zulässig, wie z. B. nach dem Epidemiengesetz oder den Tuberkulosegesetz. Auch die Honorar- und Medikamentenabrechnungsdaten darf übermittelt werden (§54Abs. 3 ÄrzteG).
Wenn allerdings keine derart ausdrücklichen Ermächtigungen zur Übermittlung von Patientendaten, auch gegen die Zustimmung des Patienten gibt, sollte der Widerspruch des Patienten ernst genommen und von einer Übermittlung der Daten abgesehen werden. Darüber hinaus sollte die Gesundheitsdatenübermittlung protokolliert werden. Bisher und auch weiterhin ist dies z.B. eine Kopie des Befundberichtes oder dgl., der an einen Kollegen übermittelt wurde. Falls die verschiedenen Formen der elektronischen Übermittlung weiter Eingang in die Praxis finden, ist für die Protokollierung der Datenübermittlung zu sorgen. Im Rahmen der Befundübermittlung im DaMe-Projekt (siehe dazu nächste Seite) wird dafür Sorge getragen. Es soll nachvollzogen werden können, wer Patientendaten erhalten hat.


Grundsätzlich sollte die elektronische Gesundheitsdatenübermittlung (Befunde etc.) in einem Netzwerk mit geschlossenem Benutzerkreis signiert (Signaturgesetz) und verschlüsselt erfolgen. Von einer Übermittlung via "normaler" E-Mail im Internet ist aus Sicherheits- und Datenschutzgründen, sowie haftungsrechtlichen Aspekten dringend abzuraten!
Die sogenannte "String-Kommission" im Gesundheitsministerium hat Richtlinien erarbeitet (sog. "MAGDA-LENA" Papier), nach denen die Übermittlung von Gesundheitsdaten auf elektronischem Wege erfolgen kann.
Die Ärztekammer für Oberösterreich hat mit der datakom AG bezüglich des Ärztenetzwerkes "DaMe" (Datenaustausch für Mediziner) einen Rahmenvertrag abgeschlossen. Nähere Informationen im Kammerbüro, EDV-Abteilung, bei Herrn Mag. Martin Keplinger, DW 267.


Datensicherheitsmassnahmen
Der Gesetzgeber hat alle Datenanwender, insbesondere aber Anwender von sensiblen Daten, verpflichtet, besondere Sicherheitsmaßnahmen vorzusehen. Durch Datensicherheitsmaßnahmen soll gewährleistet werden, dass nur jene Personen Zugriff auf die Daten haben, die auch zur Verwendung dieser Daten berechtigt sind. In der Ordination bedeutet dies, dass nur der Arzt und sein ärztliches Personal Zugriff auf die Patientenkartei haben sollen. Waren bisher klassische Patientenkarteien in Aktenschränken etc. aufbewahrt, muss man zur diesbezüglichen Datensicherungsmaßnahme festhalten, dass z. B. nach Ordinationsschluss die Schränke abgesperrt sein müssen. Der Gesetzgeber nimmt bei der Erfüllung der Datensicherheitsverpflichtung auf den Stand der technischen Möglichkeiten und die wirtschaftliche Vertretbarkeit Rücksicht.
Grundsätzlich sollen die Daten also vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sein, ihre Verwendung ordnungsgemäß erfolgen und sollen die Daten Unbefugten nicht zugänglich sein. Niemand wird jedoch verlangen können, dass die Patientenkartei z.B. im Safe aufzubewahren ist.
Der Zugriff auf die elektronische Patientenkartei (auf Computer oder Programme) soll grundsätzlich nur mittels Passwortes möglich sein. Manuell geführte Patientenkarteien sollten daher versperrt aufbewahrt werden. Der Datenzugriff soll also nur dem Arzt und dem ärztlichen Personal möglich sein.
Besonders wichtig ist in diesem Zusammenhang die nachweisliche Belehrung des ärztlichen Personals.
! Mitarbeiter besonders nachweislich belehren !
Obwohl bereits zahlreiche gesetzliche Bestimmungen die Verschwiegenheitspflicht von Angehörigen der Gesundheitsberufe vorsehen (u.a. § 54 ÄrzteG 1998), sollten Ordinationsmitarbeiter/Innen nachweislich, schriftlich wird empfohlen, darüber belehrt werden, dass die Verschwiegenheitspflicht zu wahren ist und Patientendatenübermittlungen (wie Befunde etc.) nur nach ärztlicher Anweisung erfolgen dürfen.
Die schriftliche Belehrung erfolgt am besten durch nachweisliche Unterfertigung einer ausgehändigten Vorlage der gesetzlichen Bestimmung.

Siehe dazu im Anhang die Beilage A.

 Dienstleister - Honorarabrechner


Jene Kolleginnen und Kollegen, welche ihre Honorarabrechnung über eine andere Firma (als Dienstleistung) durchführen lassen, sollten diese Firma zur Einhaltung des Datengeheimnisses und der Datensicherheitsmaßnahmen verpflichten und sich diese Verpflichtung auch schriftlich bestätigen lassen.