Patienteneinwilligung zur EFA
Dieses Dokument gibt wieder:
Implementierungsleitfaden Patienteneinwilligung zur EFA (0.9). Die Teilmaterialien gehören der Kategorie cdaefa an. |
February 2013
Jörg Caumanns, Raik Kuhlisch
Anmerkung: Die unter den einzelnen Überschriften in geschweiften Klammern angegebenen Kürzel dienen der Unterstützung des Kommentierungsverfahrens. Bitte geben Sie bei einem Kommentar oder einem Verbesserungsvorschlag zu dieser Spezifikation immer das Kürzel des Abschnitts an, auf den sich Ihr Kommentar bezieht. Alle Kommentare werden in der Lasche "Diskussion" zu der kommentierten Seite gesammelt und gegenkommentiert.
Hinweise zum Kommentierungsverfahren einschließlich aller Formulare und Kontaktadressen finden Sie auf der Seite "Kommentierung EFAv2.0".
Patienteneinwilligung zur EFA {Peen.01}
Bitte markieren Sie Kommentare zu diesem Abschnitt mit dem Code {Peen.01.01}
Die elektronische Fallakte ist ein an § 291a SGB V angelehnter Gesundheitsdatendienste. Die EFA ist deshalb nicht durch die spezifische Erlaubnisvorschrift innerhalb der verpflichtenden §291a-Anwendungen befreit, die eine Datenverwendung "soweit es zur Versorgung der Versicherten erforderlich ist" [nach: § 291a (4) Satz 1 SGB V]., ohne eine vorherige spezifische Einwilligung des Patienten zulässig macht: Bei Verarbeitung personenbezogener Daten gilt für die elektronische Fallakte das datenschutzrechtliche Prinzip "Verbot mit Erlaubnisvorbehalt". Demnach ist es nicht gestattet, personenbezogene Daten ohne vorherige Einholung einer Erlaubnis in Form einer Einwilligungserklärung des Betroffenen zu erheben. Für die an § 291a SGB V angelehnten Gesundheitsdatendienste fordert der Gesetzgeber explizit ein ausdrückliches Einverständnis (eine die Datenverarbeitung rechtfertigende Einwilligungserklärung) des Versicherten [§291a (5) Satz 1 SGB V, EU-DSRL].
Es besteht keine verpflichtende Notwendigkeit, der Nutzung der eFA zuzustimmen (Freiwilligkeit). Ein Patient kann jedoch auf Wunsch die EFA als Gesundheitsdatendient in Anspruch nehmen und durch eine freiwillige, informierte und schriftliche Einwilligungserklärung autorisieren.
Der Patient muss vor Abgabe der Einwilligungserklärung in geeigneter Weise über Funktion und Risiken der elektronischen Fallakte aufgeklärt werden. Da eine "informierte Einwilligung" der Patienten erforderlich ist, sollte diese Unterrichtung schriftlich erfolgen und muss zwingend die wichtigsten Eckpunkte der elektronischen Fallakte in allgemein verständlicher Form darlegen [§4a BDSG, §67b Abs. 2 SGB X, EU-DSRL Art. 7]. Die Einwilligung ist bis zur Einführung eines adäquaten elektronischen Verfahrens schriftlich festzuhalten und kann vom Patienten jederzeit widerrufen werden [nach §4a BDSG, §73 Abs. 1b SGB V].
Eine Patienteneinwilligung für eine elektronische Fallakte ist umfassend. Die am aktuellen Behandlungsprozess direkt beteiligten Leistungserbringer sind dabei im Sinne von technischen Positivberechtigungen zugriffsberechtigt. Zugriffsberechtigungen können an Personen oder Einrichtungen vergeben werden. Einrichtungen können, je nach aktuellem Behandlungskontext oder Zweckbindung, folgende Rechtseinheiten sein:
- ein bestimmter Arzt oder eine bestimmte Arztpraxis (bspw. Hausarztpraxis Dr. Peter Müller)
- eine bestimmte Arztrolle (bspw. Kardiologe) mit einer vom Patienten vorzunehmenden Instanziierung (z.B. über ein Offline-Token)
- eine Gemeinschaftspraxis (bspw. Praxis Dr. Peter Müller + Dr. Sandra Müller)
- Fachbereiche oder Fachabteilung eines Klinikums (bspw. Kardiologen der Kardiologie im Klinikum XYZ)
- kombinierte, diagnosespezifische und spezialisierte Facharztrollen (bspw. Dermatologe + Onkologe) mit einer vom Patienten vorzunehmenden Instanziierung (z.B. über ein Offline-Token)
Der Umstand einer Berechtigungsvergabe an eine Organisation(-seinheit) ist jedoch keinesfalls mit einer Pauschalberechtigung für sämtliches Personal einer Einrichtung zu verwechseln, sondern gestattet ausschließlich explizit und direkt Beteiligten den Zugriff nach einem vorab definierten und überprüften Berechtigungsmodell. Als Grundsatz ist hier zwingend von jedem EFA-Verbundmitglied gefordert, dass konkrete Zugriffsberechtigungen prinzipiell für die kleinstmöglichen Bereiche ausgestellt werden.
Die Einwilligungserklärung ist für alle Teilnehmer des EFA-Systems zumindest auf nationaler Ebene einheitlich zu gestalten. Dadurch vereinfacht sich eine umfassende datenschutzrechtliche Bewertung der Einwilligungserklärung, zugleich wird die Nutzerakzeptanz durch die einheitliche Darstellung gefördert. Im Bedarfsfall kann die Einwilligungserklärung im Verlauf der Behandlung auf Wunsch des Patienten auf weitere Leistungserbringer erweitert werden. Hierzu kann der Patient den Kreis der zugriffsberechtigten Leistungserbringer durch die Abgabe einer neuen, aktualisierten Einwilligungserklärung erweitern. Es existiert jedoch immer nur eine gültige Einwilligungserklärung. Der Patient ersetzt mit der Unterschrift der neuen Erklärung, die alle nun berechtigten Personen und Einrichtungen nennt, die vorherige Einwilligung.
Eine Rücknahme der Einwilligungserklärung durch den Patienten ist jederzeit und freimütig möglich. Eine Rücknahme entzieht der elektronischen Fallakte die rechtliche Existenzberechtigung. Diese ist dann sofort vor externen Zugriffen zu schützen und hat nach dem im Lebenszyklus der Fallakte beschriebenen Verfahren zu verfallen. Der Patient kann die Rücknahme seiner Einwilligungserklärung wahlfrei bei einer beliebigen zugriffsberechtigten Stelle seiner Wahl oder in der bisherigen Einwilligungserklärung benannten verfahrensverantwortlichen Stelle einfordern.
Die Historie der Einwilligungen wird in der Fallakte abgelegt. Falls die Einwilligungen nicht elektronisch vorliegen, wird ein Verweis auf den Archivierungsort angegeben.