| Datenaustausch im Gesundheitssektor, ein Update! |
Astrid Kiewiet
Um ordnungsgemäße Pflege leisten zu können, ist es wichtig, dass Gesundheitsdienstleister über vollständige und aktuelle Gesundheitsdaten von Patienten verfügen. Das lässt sich nur erreichen, wenn ein ordnungsgemäßer und sicherer Austausch der Daten zwischen den verschiedenen Gesundheitsdienstleistern innerhalb der eigenen Praxis / Organisation und außerhalb sichergestellt ist.
Gesundheitseinrichtungen haben aufgrund von Gesetzen und Vorschriften eine eigene Verantwortung und Rolle bei der Sicherstellung eines ordnungsgemäßen Austauschs gesundheitsbezogener Daten, auch „besondere personenbezogene Daten“ genannt. Die Geschwindigkeit, mit der ein Datenaustausch digital möglich ist, bietet zwar viele Chancen, aber ausreichend Sicherheit und Schutz der Privatsphäre des Patienten müssen beachtet werden. Eine Mehrzahl an Gesetzen und Vorschriften soll dies sicherstellen, beispielsweise der Gesetzentwurf über elektronischen Datenaustausch im Gesundheitssektor (Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz)), das Gesetz über ergänzende Bestimmungen zur Verarbeitung personenbezogener Daten (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)), der Beschluss über elektronische Datenverarbeitung durch Gesundheitsdienstleister (Besluit elektronische gegevensverwerking door zorgaanbieders), das sogenannte Gesetz über den medizinischen Behandlungsvertrag (Wet op de Geneeskundige Behandelingsovereenkomst (WGBO)), die niederländische Datenschutz-Grundverordnung (Algemene Verordening Gegevensbescherming (AVG)), der Verhaltenscodex für elektronischen Datenaustausch im Gesundheitssektor (Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ)) und die KNMG-Richtlinie zum Umgang mit Gesundheitsdaten (KNMG-richtlijn Omgaan met medische gegevens). Welche Neuerungen wurden in diesen Gesetzen und Vorschriften kürzlich durchgeführt bzw. erwarten uns?
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
Dieses Gesetz beinhaltet Schutzmaßnahmen für Patienten beim elektronischen Datenaustausch. Zusammenfassend regelt dieses Gesetz das Recht des Patienten, um seit dem 1. Juli 2020 kostenlos elektronisch Einsicht in und eine elektronische Abschrift von der Patientenakte oder Daten aus der Patientenakte zu erhalten. Außerdem gibt es die gesetzliche Pflicht des Gesundheitsdienstleisters, die ausdrückliche Einwilligung des Patienten einzuholen, bevor Gesundheitsdaten über ein elektronisches Austauschsystem bereitgestellt werden (die sogenannte Opt-in-Frage, siehe mehr dazu unten). Darüber hinaus enthält das Gesetz das Recht des Patienten, um seine ausdrückliche Einwilligung zur Bereitstellung von Daten zu erteilen, zu ändern oder zu widerrufen.
Spezifizierte Einwilligung
Gesundheitsdaten bzw. besondere personenbezogene Daten unterliegen dem ärztlichen Berufsgeheimnis. Aufgrund des vertraulichen Charakters besteht die Verpflichtung, dass der Patient um ausdrückliche Einwilligung gebeten wird, um Gesundheitsdaten für die Einsichtnahme durch andere Gesundheitsdienstleister, die dem Austauschsystem angeschlossen sind, elektronisch bereit zu stellen. Erst wenn der Patient seine ausdrückliche Einwilligung erteilt, darf der Gesundheitsdienstleister die fraglichen Daten des Patienten bereitstellen. Eine mutmaßliche Einwilligung ist nicht ausreichend. Erforderlich ist eine aktive Einwilligung. Anfangs wurde jedoch beabsichtigt, dass die ausdrückliche Einwilligung auch spezifiziert sein muss. Es sollte spezifiziert werden, ob und, falls ja, welche (besonderen) personenbezogenen Daten verarbeitet werden dürfen und mit welchen Kategorien von Gesundheitsdienstleistern diese Daten dann hätten ausgetauscht werden dürfen. Anschließend hätten Gesundheitsdienstleister eine Registrierung der von Patienten erteilen Einwilligungen aktualisieren müssen. Da die Umsetzung des vorgenannten Systems der ausdrücklichen und spezifizierten Einwilligung sich in der Praxis als zu komplex herausstellte, treten diese Bestimmungen vorerst nicht in Kraft. Eine praktikable Umsetzung ist momentan nicht möglich. Es wird geprüft, wie und in welcher Form eine spezifizierte Einwilligung in das Wabvpz integriert werden kann.
Beispiel für ein elektronisches Austauschsystem; MedMij
Das Wabvpz regelt also unter anderem die Rahmenbedingungen für den elektronischen Datenaustausch im Gesundheitssektor und speziell die Art und Weise, wie Gesundheitsdienstleister in elektronischer Form Patientenakten und Teile von oder Daten aus Patientenakten für andere Gesundheitsdienstleister einsehbar machen können (der sogenannte Pull-Modus). Ein Beispiel für ein elektronisches Austauschsystem ist die sogenannte persönliche Gesundheitsumgebung (persoonlijke gezondheidsomgeving, kurz: PGO), wie MedMij und die landesweite Schaltstelle Landelijk Schakelpunt (kurz: LSP). MedMij ist ein in den Niederlanden verwendeter Standard für den sicheren Austausch von Gesundheitsdaten zwischen dem Patienten und den Gesundheitsdienstleistern. Dieser Datenaustausch findet über die sogenannte PGO statt. Eine PGO ist eine Webseite oder App, in der der Patient einen Überblick über seine Gesundheitsinformationen behalten und aktiv an seiner Gesundheit arbeiten kann. Mit einer PGO können die Gesundheitsdaten an einem Ort eingesehen, verwaltet und ausgetauscht werden. MedMij stellt „Spielregeln“ für einen sicheren und zuverlässigen Austausch von Gesundheitsdaten auf. Alle Gesundheitsdienstleister, die diese Spielregeln nachweislich erfüllen, dürfen das MedMij-Label verwenden. Das Label steht in Apps, auf Webseiten oder einer PGO. Außerdem ist das Label bei Gesundheitsdienstleistern und anderen Gesundheitsexperten sichtbar.
Push- und Pull-Modus
Ein elektronisches Austauschsystem, bei dem der Pull-Modus im Vordergrund steht, muss sich von dem Push-Modus unterscheiden. Mit dem sogenannten Push-Modus versendet ein Gesundheitsdienstleister einen zielgerichteten Bericht an einen anderen Gesundheitsdienstleister, der ein Behandlungsverhältnis mit dem Patienten hat. Das ist beispielsweise dann gegeben, wenn der Patient an einen ärztlichen Spezialisten weiterverwiesen wird. In dem Fall darf von einer mutmaßlichen Einwilligung des Patienten ausgegangen werden, wenn nicht der Patient Widerspruch einreicht. Es handelt sich dabei um das sogenannte Opt-Out-Verfahren, dazu später mehr. Das Wabvpz richtet sich speziell auf den Pull-Modus, also auf elektronische Austauschsysteme, in denen Daten hinterlegt sind, die zu einem späteren Zeitpunkt abgefragt werden können und nicht im direkten Zusammenhang mit einem bereits bestehenden Behandlungsverhältnis stehen.
Gesundheitsinformationssystem
Neben dem elektronischen Datenaustauschsystem gibt es auch interne elektronische Informationssysteme, die als „Gesundheitsinformationssysteme“ definiert werden, wie das „HIS“ und „ZIS“. Die praktischen Regeln bezüglich der internen Gesundheitsinformationssysteme sind jedoch nicht im Wabvpz verankert, sondern in dem zugrundeliegenden Beschluss Besluit elektronische gegevensuitwisseling door zorgaanbieders näher ausgearbeitet.
Gedragscode Elektronische Gegevensuitwisseling in de Zorg
Der Verhaltenskodex Gedragscode EGiZ wird in der Zusammenarbeit zwischen den Gesundheitsdienstleistern verwendet. Da er Klarheit über die bestehenden Gesetze und Vorschriften rundum Datenaustausch, Datenschutz und ärztliche Schweigepflichten schafft, fördert er einen sicheren Umgang mit Gesundheitsdaten. Er hilft Gesundheitsdienstleistern, wie z. B. (Haus)Ärzten, Apothekern, Krankenhäusern und Kooperationsverbänden, die Patientenrechte hinsichtlich der Bereitstellung von Informationen und der Einwilligung beim elektronischen Austausch von Patientendaten ordnungsgemäß umzusetzen. Bei welcher Form des elektronischen Datenaustauschs muss beispielsweise die ausdrückliche Einwilligung (Opt-in-Verfahren) des Patienten eingeholt werden, und bei welcher nicht? Darüber hinaus schafft der Verhaltenskodex Klarheit bezüglich des Schutzes von Patientendaten und klärt Zuständigkeiten. Das vorgenannte Gesetz wird also in diesem Verhaltenskodex näher ausgearbeitet und enthält praktische Werkzeuge für Gesundheitseinrichtungen. Es ist demnach keine Rechtsvorschrift sondern eine Selbstregulierung.
Wetsvoorstel elektronische gegevensuitwisseling in de zorg
Für die Aufnahme von Gesundheitsdaten aus einer Patientenakte in ein elektronisches Austauschsystem, über den sogenannten Pull-Modus, gilt ein Op-in-Verfahren. Bevor Daten in das System aufgenommen werden, muss der Patient seine ausdrückliche Einwilligung erteilen. Da vorab oft nicht klar ist, von wem und für welche Behandlung die Daten abgefragt werden, kann wie erwähnt kein Gebrauch von einer mutmaßlichen Einwilligung für die Verletzung der Schweigepflicht gemacht werden.
Eigentlich logisch, dass der Patient vorab seine Einwilligung erteilen muss, aber in der Praxis kann das unpraktisch sein, weil der elektronische Austausch auf eine (mit einer Verwaltungsmaßnahme, Algemene Maatregel van Bestuur (AMvB)) bestimmte standardisierte Art verbindlich werden soll. Diese Standardisierung wurde in den Gesetzentwurf Wegiz aufgenommen. Das Wegiz verpflichtet kurz gesagt dazu, dass der Datenaustausch zwischen Gesundheitsdienstleistern elektronisch und standardisiert verläuft. Auf jeden Fall hat die zuständige Ministerin Van Ark vorgeschlagen, bei der Formulierung der Standards im Zusammenhang mit der oben erwähnten „unpraktischen“ Praxis so weit wie möglich vom elektronischen Austauschsystem Abstand zu nehmen. Ministerin Van Ark hat der Zweiten Kammer den Gesetzentwurf inzwischen vorgelegt.
Ziel des Gesetzentwurfs
Laut Ministerin Van Ark ist das Ziel des Gesetzentwurfs: „die richtige Versorgung am richtigen Ort zum richtigen Zeitpunkt mit den richtigen Informationen.“ Mit Schreiben vom 14. Dezember 2021 hat die Ministerin der Ersten und Zweiten Kammer ihre Prioritäten im Bereich elektronischer Datenaustausch im Gesundheitswesen mitgeteilt. Der Gesetzentwurf muss laut Van Ark eine zukunftsfähige Leitlinie im Hinblick auf die Grundlagen des Datenaustauschs zwischen Gesundheitsdienstleistern und dem Erteilen der Einwilligung durch die Bürger sein. Nachstehend werden die Grundzüge des Wegiz kurz erläutert und der Sachstand des Gesetzentwurfs näher beleuchtet.
Sicherheitsstandards
(Besondere) personenbezogene Daten müssen „passend“ geschützt werden und bedürfen zusätzlicher Schutzmaßnahmen. Das beinhaltet beispielsweise, dass strenge Autorisierungen eingerichtet werden müssen, Handlungen in Patientenakten protokolliert und Logdateien kontrolliert werden. Dass das Vorgenannte wichtig ist, zeigen auch die Nachrichten: Gegen das Amsterdamer Krankenhaus OLVG wurde kürzlich wegen dem unzureichenden Schutz von Patientenakten eine Geldstrafe verhängt. Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens (AP), die das Einhalten der niederländischen Datenschutz-Grundverordnung „AVG“ beaufsichtigt, hatte bereits in 2013 mitgeteilt, dass die Fähigkeit, den NEN7510-Normenrahmen einzuhalten, im Gesundheitssektor „angemessen“ ist. Außerdem gibt es bei der Nutzung eines elektronischen Austauschsystems inzwischen eine gesetzliche Verpflichtung. Es wird erwartet, dass in einer Reihe von Situationen auch die detaillierteren NEN7510-Normen, wie z. B. NEN7512 und NEN7513, zwingend einzuhalten sein werden.
Neben der Gewährleistung der Sicherheit bei der Umsetzung des Wegiz wird das Niederländische Normungsinstitut (NEN) gemeinsam mit dem Gesundheitssektor spezifische Normen und Zertifizierungssysteme entwickeln. Dabei geht es um einen generischen Satz von Normen mit allgemeinen Anforderungen. Außerdem werden spezifische Normen entwickelt, die auf spezifische Formen des Datenaustauschs anwendbar sind, wie das Standardisieren von Sprache und Informationen, die ausgetauscht werden. Die ersten Normen, von denen erwartet wird, dass sie priorisiert werden, sind:
- Digitaler Rezeptverkehr (wobei wahrscheinlich doch ein elektronisches Austauschsystem vorhanden sein muss);
- Austausch von Bildern;
- Austausch vom Basisdatensatz Gesundheitswesen (Basisgegevensset Zorg (kurz: BgZ)) zwischen medizinisch-spezialisierten Gesundheitseinrichtungen;
- Pflegeüberleitung aus Krankenhäusern in Pflegeheime und häusliche Pflege (Verpleegkundige overdracht van ziekenhuizen naar verpleeg- en verzorgingstehuizen en thuiszorg (kurz: VVT)).
(Gesundheits-)Organisationen erhalten selbstverständlich Zeit für die Implementierung. Die tatsächliche gesetzliche Verpflichtung auf Grundlage des Wegiz wird gegen 2026 erwartet.
Einwilligung des Patienten
Besondere personenbezogene Daten, also auch Gesundheitsdaten, dürfen nicht verarbeitet werden, wenn nicht ein Ausnahmegrund aus der AVG anwendbar ist. Wenn ein Ausnahmegrund anwendbar ist, ist für die tatsächliche Verarbeitung personenbezogener Daten auch eine rechtswirksame Grundlage notwendig. Das Wegiz geht nicht auf die Frage ein, ob Daten ausgetauscht werden dürfen, sondern wie der Austausch (elektronisch) zu geschehen hat und welche Anforderungen erfüllt sein müssen, wenn der Austausch gestattet oder notwendig ist.
Der erste Schritt ist also immer die Prüfung, ob ein Ausnahmegrund aufgrund der AVG vorliegt, dann, ob es eine Grundlage gibt und schließlich, ob die ärztliche Schweigepflicht gebrochen werden kann. Wenn das Vorgenannte zu Problemen führt, dann stellt sich die Frage, wie der Austausch stattzufinden hat, nicht mehr. Führt das Vorgenannte nicht zu Problemen, dann kann die Prüfung nach dem Wegiz erfolgen. Eine erteilte Einwilligung des Patienten rechtfertigt die Verarbeitung personenbezogener Daten.
Momentan wird, wie gesagt, bei der Verarbeitung personenbezogener Daten von Patienten ein Opt-in-Verfahren als Grundlage in einem elektronischen Austauschsystem verwendet. Bis auf Ausnahmen* wegen der Corona-Krise. Mit einem Opt-in-Verfahren ist gemeint, dass der Patient vorab seine Einwilligung erteilt. Mit dem Gesetzentwurf scheint auf einen elektronischen Austausch mit einer Opt-out-Möglichkeit für den Patienten hingearbeitet zu werden. Mit dem Opt-out-Verfahren kann der Patient seine Einwilligung nachträglich widerrufen und wird grundsätzlich eine mutmaßliche Einwilligung angenommen. In dem Fall kann es sich noch immer um ein Austauschsystem mit Push-Modus handeln. Eine mutmaßliche Einwilligung darf angenommen werden. Handelt es sich aber um ein elektronisches Austauschsystem im Sinne des Wabvpz und wird dabei der Pull-Modus verwendet, scheint das Opt-out-Verfahren nicht möglich zu sein. In dem Fall ist die ausdrückliche Einwilligung erforderlich und scheint das Opt-out-Verfahren keine ausreichenden Sicherheitsvorkehrungen zu bieten. Interessant ist dann, wie dies schlussendlich umgesetzt wird und inwiefern ein elektronisches Austauschsystem mit Pull-Modus in der Praxis, wegen des späteren Inkrafttretens des Wegiz, noch verwendet werden wird.
Informationen von der Zentralbehörde und KNMG
Die Zentralbehörde hat eine Informationsseite eingerichtet, auf der Jedermann Informationen über den Datenaustausch im Gesundheitswesen finden kann. Vom Ministerium für Volksgesundheit, Gemeinwohl und Sport wurde ein Informationsblatt in Bezug auf die „Einwilligung zum Austausch von Gesundheitsdaten zwischen Gesundheitsdienstleistern“ erstellt. In dem Informationsblatt wird unter anderem erklärt, wann eine ausdrückliche Einwilligung erforderlich ist und welche Bedingungen die Einwilligung erfüllen muss, um rechtswirksam zu sein. Das Informationsblatt verweist auch auf die KNMG-Richtlinie zum Umgang mit Gesundheitsdaten (KNMG-richtlijn Omgaan met medische gegevens). In dieser Richtlinie beschreibt KNMG, inwiefern Ärzte, unter Beachtung ihrer Schweigepflicht, Daten erheben, speichern, austauschen oder anderweitig verwenden dürfen. Ziel dieser Richtlinie ist es, Regeln für den Umgang mit Gesundheitsdaten in verschiedenen Situationen festzulegen und damit eine Orientierungshilfe für Berufsträger zu schaffen.
Zusammenfassung
Zusammengefasst führt das Vorgenannte momentan zu folgendem Ergebnis. Gesundheitsdienstleister haben eine ärztliche Schweigepflicht. Der Patient muss darauf vertrauen können, dass Informationen, die er oder sie dem Gesundheitsdienstleister verschafft, nicht ohne seine oder ihre Einwilligung oder ohne eine gesetzliche Erlaubnis mit anderen ausgetauscht werden.
Wenn ein elektronisches Austauschsystem verwendet wird, das die Daten im Voraus zur Verfügung stellt (Pull-Modus), ist die ausdrückliche Einwilligung des Patienten für die Nutzung dieser Infrastruktur gesetzlich zwingend. Hat der Patient diese spezielle Einwilligung nicht erteilt, ist ein Austausch über ein elektronisches Austauschsystem nach dem Wabvpz nicht möglich. Die Daten stehen dann in diesem System nämlich nicht zur Verfügung. Für die Gesundheitsdienstleister, die die Daten einsehen wollen, gilt selbstverständlich, dass dies, falls notwendig, nur für eine Behandlung des fraglichen Patienten möglich ist. Die vorgenannten Ausführungen können sich in der Zukunft ändern, falls das Wegiz zu Änderungen im Opt-in-Verfahren führt.
Wenn im Zusammenhang mit einer Überweisung ein Datenaustausch mit einem Gesundheitsdienstleister vorliegt (Push-Modus), dann darf die mutmaßliche Einwilligung des Patienten angenommen werden und ist keine ausdrückliche Einwilligung erforderlich. Dann handelt es sich auch nicht um ein elektronisches Austauschsystem im Sinne des Wabvpz.
Wir können uns vorstellen, dass die Gesetze und Vorschriften manchmal schwer zu verstehen sind. Wenn Sie Fragen zu diesem oder anderen Themen haben, steht Ihnen unser German Desk immer gerne zur Verfügung.
*Nur während der Corona-Krise können der Hausarztposten und die Notaufnahme eine Zusammenfassung der Gesundheitsdaten des Hausarztes einsehen. Das gilt nur, wenn der Patient vorher keine Wahl auf der Webseite „Volg je Zorg“ getroffen hat. Dem liegt eine vorläufige Maßnahme des Ministeriums für Volksgesundheit, Gemeinwohl und Sport vom 8. April 2020 zugrunde. |
|
|
| |
 |
| |
|
|
