Patienteneinwilligung zur EFA
Dieses Dokument gibt wieder:
Implementierungsleitfaden Patienteneinwilligung zur EFA (0.9). Die Teilmaterialien gehören der Kategorie cdaefa an. |
February 2013
Jörg Caumanns, Raik Kuhlisch
Patienteneinwilligung zur EFA
Bei Verarbeitung personenbezogener Daten gilt auch für die elektronische Fallakte das datenschutzrechtliche Prinzip "Verbot mit Erlaubnisvorbehalt". Danach ist es nicht gestattet, personenbezogene Daten ohne vorherige Einholung einer Erlaubnis in Form einer Einwilligungserklärung des Betroffenen zu erheben.
Es besteht zwar eine spezifische Erlaubnisvorschrift innerhalb der verpflichtenden §291a-Anwendungen, die eine Datenverwendung "soweit es zur Versorgung der Versicherten erforderlich ist", zulässig macht. [nach: § 291a (4) Satz 1 SGB V]. Für die an § 291a SGB V angelehnten Gesundheitsdatendienste fordert der Gesetzgeber hingegen das ausdrückliche Einverständnis (eine die Datenverarbeitung rechtfertigende Einwilligungserklärung) des Versicherten [§291a (5) Satz 1 SGB V, EU-DSRL].
Die elektronische Fallakte ist ein solcher Gesundheitsdatendienst, den ein Patient nach einer freiwilligen, schriftlichen Einwilligungserklärung in Anspruch nehmen kann. Es besteht jedoch keine verpflichtende Notwendigkeit, der Nutzung der eFA zuzustimmen (Freiwilligkeit).
Die Einwilligung ist bis zur Einführung eines adäquaten elektronischen Verfahrens schriftlich festzuhalten und kann vom Patienten jederzeit widerrufen werden [nach §4a BDSG, §73 Abs. 1b SGB V]. Der Patient muss vor Abgabe der Einwilligungserklärung in geeigneter Weise über Funktion und Risiken der elektronischen Fallakte aufgeklärt werden. Da eine "informierte Einwilligung" der Patienten erforderlich ist, sollte diese Unterrichtung schriftlich erfolgen und muss zwingend die wichtigsten Eckpunkte der elektronischen Fallakte in allgemein verständlicher Form darlegen [§4a BDSG, §67b Abs. 2 SGB X, EU-DSRL Art. 7].
Eine Patienteneinwilligung für eine elektronische Fallakte ist umfassend. Die am aktuellen Behandlungsprozess beteiligten Leistungserbringer sind dabei im Sinne von technischen Positivberechtigungen zugriffsberechtigt. Zugriffsberechtigungen können an Personen oder Einrichtungen vergeben werden. Einrichtungen können, je nach aktuellem Behandlungskontext oder Zweckbindung, folgende Rechtseinheiten sein:
- ein bestimmter Arzt oder eine bestimmte Arztpraxis (bspw. Hausarztpraxis Dr. Peter Müller)
- eine bestimmte Arztrolle (bspw. Kardiologe) mit einer vom Patienten vorzunehmenden Instanziierung (z.B. über ein Offline-Token)
- eine Gemeinschaftspraxis (bspw. Praxis Dr. Peter Müller + Dr. Sandra Müller)
- Fachbereiche oder Fachabteilung eines Klinikums (bspw. Kardiologen der Kardiologie im Klinikum XYZ)
- kombinierte, diagnosespezifische und spezialisierte Facharztrollen (bspw. Dermatologe + Onkologe) mit einer vom Patienten vorzunehmenden Instanziierung (z.B. über ein Offline-Token)
Der Umstand einer Berechtigungsvergabe an eine Organisation(seinheit) ist jedoch keinesfalls mit einer Pauschalberechtigung für sämtliches Personal einer Einrichtung zu verwechseln, sondern gestattet ausschließlich explizit und direkt Beteiligten den Zugriff nach einem vorab definierten und überprüften Berechtigungsmodell. Als Grundsatz ist hier zwingend von jedem eFA-Verbundmitglied gefordert, dass konkrete Zugriffsberechtigungen prinzipiell für die kleinstmöglichen Bereiche ausgestellt werden.
Die Einwilligungserklärung ist für alle Teilnehmer des eFA-Systems auf nationaler Ebene einheitlich zu gestalten. Dadurch vereinfacht sich eine umfassende datenschutzrechtliche Bewertung der Einwilligungserklärung, zugleich wird die Nutzerakzeptanz durch die einheitliche Darstellung gefördert. Im Bedarfsfall kann die Einwilligungserklärung im Verlauf der Behandlung auf Wunsch des Patienten auf weitere Leistungserbringer erweitert werden. Hierzu kann der Patient den Kreis der zugriffsberechtigten Leistungserbringer durch die Abgabe einer neuen, aktualisierten Einwilligungserklärung erweitern. Es existiert jedoch immer nur eine gültige Einwilligungserklärung. Der Patient ersetzt mit der Unterschrift der neuen Erklärung, die alle nun berechtigten Personen und Einrichtungen nennt, die vorherige Einwilligung.
Eine Rücknahme der Einwilligungserklärung ist jederzeit möglich und entzieht der elektronischen Fallakte die Grundlage. Diese ist dann sofort vor externen Zugriffen zu schützen und hat nach dem im Lebenszyklus der Fallakte beschriebenen Verfahren zu verfallen.
Die Historie der Einwilligungen wird in der Fallakte abgelegt. Falls die Einwilligungen nicht elektronisch vorliegen, wird ein Verweis auf den Archivierungsort angegeben.