Patienteneinwilligung: Unterschied zwischen den Versionen

Aus Hl7wiki
Wechseln zu: Navigation, Suche
(Analyse des Gegenstandsbereichs)
(Konsolidierung der Konzepte)
Zeile 84: Zeile 84:
 
== Konsolidierung der Konzepte ==
 
== Konsolidierung der Konzepte ==
 
In der nachfolgenden Tabelle sind die in allen betrachteten Szenarien analysierten Konzepte zusammengefasst. Hierbei wurden ggf. generalisierende Konzeptnamen gewählt, wenn hierdurch zwei semantisch weitgehend identische Konzepte auf ein übergeordnetes Konzept zurückgeführt werden konnten.
 
In der nachfolgenden Tabelle sind die in allen betrachteten Szenarien analysierten Konzepte zusammengefasst. Hierbei wurden ggf. generalisierende Konzeptnamen gewählt, wenn hierdurch zwei semantisch weitgehend identische Konzepte auf ein übergeordnetes Konzept zurückgeführt werden konnten.
 +
 +
{| class="wikitable"
 +
|-
 +
!. !!. !!colspan="6"!Szenario
 +
!ID !!Konzept !!1 !!2 !!3 !!4 !!5 !!6
 +
|-
 +
|A1 ||Rolle: Entgegennehmender der Erklärung ||x ||x ||x ||x ||x ||x
 +
|}

Version vom 2. Dezember 2012, 11:14 Uhr


Motivation und Hintergrund

Einrichtungs- und sektorübergreifende Formen der Behandlung erfordern unterstützende IT-Dienste, die es den behandelnden Ärzten erlauben, Behandlungsdaten effizient untereinander zu kommunizieren und ggf. in einer gemeinsamen Behandlungsdokumentation zusammen zu führen. Hierzu erscheinen einrichtungsübergeifend nutzbare elektronische Akten besonders geeignet, die aktuell auch über verschiedenen Aktivitäten und in unterschiedlichen Ausprägungen Einzug in das deutsche Gesundheitswesen halten [AK EPA/EFA 2011]. Die Spannbreite der denkbaren Konstrukte reicht hierbei vom Austausch aggregierter Dokumentationen des Gesundheitszustands eines Bürgers (Patient Summary, Notfalldatensatz) über die regionale Vernetzung mittels elektronischer Fallakten bis hin zu lebenslang vom Bürger geführten persönlichen Patientenakten.

Die Zulässigkeit der Nutzung sowie die zulässige Nutzung einer solchen Akte werden aus dem Grundrecht der informationellen Selbstbestimmung heraus im Wesentlichen durch den Betroffenen determiniert. Hierbei muss ein sinnvoller Ausgleich zwischen den Chancen elektronischer Medien – z. B. durch eine schnelle, umfängliche Information aller behandelnden Ärzte - und den Risiken elektronischer Medien – z. B. dem Nicht-mehr-kontrollieren-können einmal offenbarter Daten – gefunden werden. Wie dieser Ausgleich aussieht und wie viel Kontrolle der Bürger letzten Endes wahrnehmen kann/will hängt maßgeblich von individuellen Parametern des Bürgers und seiner aktuellen Gesundheitssituation ab. Aus dieser Vielschichtigkeit der Problemstellung heraus haben sich unterschiedliche Aktenkonstrukte entwickelt, die nicht nur in unterschiedlichen Kontexten ihre jeweiligen Stärken entfalten, sondern die auch unterschiedliche Mechanismen anbieten, um den Willen des Patienten in Bezug auf Art und Umfang der Nutzung elektronischer Medien aufzunehmen und durchzusetzen.

Eine wesentliche Herausforderung hierbei ist, den Bürgerwillen in einer aus dem medizinischen Kontext motivierten, für behandelnde Ärzte und Bürger nachvollziehbaren Form aufzunehmen und in eine Form zu übertragen, aus der heraus ein Aktensystem bei einem Zugriffsversuch entscheiden kann, ob dieser Zugriff den Kriterien der festgelegten zulässigen Nutzung genügt.

In diesem Dokument werden verschiedene Szenarien der Erfassung von aus Sicht der Akteure zulässigen Aktennutzungen analysiert. Im Ergebnis wird hieraus ein Modell entwickelt, wie eine elektronische Dokumentation solch zulässiger Aktennutzungen aussehen kann. Diese Dokumentation soll einerseits für Ärzte und Bürger verständlich andererseits aber auch für ein Aktensystem maschinell verarbeitbar und ggf. in ein formales Regelsystem übersetzbar sein.

Zusätzlich sollen mit dieser Spezifikation auch Einwilligungen und Erklärungen abbildbar sein, die lediglich innerhalb einer Einrichtung verarbeitet und in der einrichtungs-internen Patientenakte abgelegt werden. Ein Beispiel hierfür ist die Einwilligung eines Patienten zu einer bestimmten Operation oder zur Teilnahme an einer in der Einrichtung durchgeführten Studie. Durch die Hereinnahme dieses Szenarios in die Spezifikation wird eine Vereinheitlichung zwischen intern und extern genutzten Dokumenten und Abläufen befördert, aus der sich gleichzeitig in beide Richtungen beschreitbare Migrationspfade für die Einführung elektronischer Einwilligungen ergeben können.

Methodik

Um verschiedene Ausprägungen von Einwilligungen möglichst synergetisch implementieren zu können wird mit dieser Spezifikation ein Ansatz verfolgt, der auf einem HL7 Domain Analysis Modell aufbaut und über ein generisches Referenzmodell zu einer alle Einwilligungsvarianten übergreifenden Basis-Spezifikation gelangt, mit der ein einheitliches Informationsmodell an verschiedene Standards gebunden werden kann. Ein Primärsystem, das dieses Referenzmodell interpretieren und das definierte Referenz-Binding verarbeiten kann, ist damit in der Lage, Einwilligungen (bzw. Dokumentationen von Einwilligungen) für alle unterschiedlichen Aktentypen zu erzeugen und zu verarbeiten

Rechtliche Rahmenbedingungen

Ein Eingriff in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung ist nach dem Prinzip des „Verbot mit Erlaubnisvorbehalt“ grundsätzlich unzulässig, sofern kein Erlaubnistatbestand vorliegt [BDSG_Kmt 2005, S. 136].

Sowohl „Rechtsnormen, aus denen sich die Zulässigkeit der Datenverarbeitung ergibt“, als auch Rechtsnormen, die ein entsprechendes Gebot oder sogar eine Offenbarungspflicht enthalten, stellen einen Erlaubnistatbestand dar [BDSG_Kmt 2005, S. 136]. Der Umgang mit personenbezogenen Daten ist darüber hinaus zulässig, wenn der Betroffene seine Einwilligung für eine Offenbarung von Geheimnissen bzw. die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gegeben hat. Hierbei wird zwischen ausdrücklichen, konkludenten und mutmaßlichen Einwilligungen unterschieden.

Die Schweigepflicht beschreibt die rechtliche Verpflichtung ausgewählter Berufsgruppen, ihnen anvertraute Geheimnisse nicht gegenüber Dritten zu offenbaren. Sie stellt die wesentliche Voraussetzung für das Vertrauensverhältnis zwischen Arzt und Patient dar. Die Bereitstellung medizinischer Daten für eine Akte stellt eine Verletzung der ärztlichen Schweigepflicht dar, sofern nicht sichergestellt ist, dass der Nutzer dieser Daten ein Mit- oder Nachbehandler ist. Eine Ausnahme hiervon ist der Austausch verschlüsselter Daten, deren Entschlüsselung die Mitwirkung des Betroffenen erfordert.

Eine nicht für alle Aktentypen gleich zu beantwortende Fragestellung ist, ob eine vom Bürger gegebene Einwilligung in die Nutzung einer Akte als Vorab-Autorisierung verstanden werden kann oder ob zusätzliche Autorisierungen der Einzelzugriffe auf die Akte erforderlich sind. Aus den einschlägigen Stellungnahmen verschiedener Landesdatenschützer lassen sich hierzu die folgenden Aussagen ableiten:

  • Bei der elektronischen Fallakte stellt die Einwilligung gleichzeitig eine Autorisierung zur Nutzung der vollständigen Akte dar. Eine auf den Einzelzugriff bezogene Autorisierung ist aufgrund der strengen Zweckbindung nicht erforderlich.
  • Bei persönlichen Patienten- und Gesundheitsakten hat der Bürger die alleinige Verantwortung und vollständige Kontrolle; alle Interaktionen mit der Akte erfolgen auf explizite Veranlassung des Bürgers. Die Bereitstellung von Daten für eine solche Akte erfolgt über das Auskunftsrecht des Betroffenen. Der Bürger ist für die Daten selbst verantwortlich, wodurch der einstellende Arzt nicht der Schweigepflicht unterliegt
  • Einrichtungsübergreifende, vertikale Akten stellen eine Art Vorratsdatenspeicherung für in der Regel noch nicht eingetretene Behandlungsfälle dar. Aufgrund der fehlenden Zweckbindung stellt jeder Zugriff einen eigenständigen Übermittlungsvorgang dar, der explizit durch den Bürger autorisiert werden muss.

Sowohl das Krankenhausentgeltgesetz als auch die Bundespflegesatzverordnung gehen bei der Definition von Krankenhausleistungen von institutionell erbrachten Leistungen aus. Analog ist im Fall der erforderlichen Teilhabe eines Krankenhauses an einer aktengestützten Datenkommunikation in der entsprechenden Einwilligungs-erklärung immer die Institution zu benennen. Auch für medizinische Versorgungszentren und Gemeinschaftspraxen, die gegenüber dem Patienten als organisatorische und wirtschaftliche Einheit auftreten, sollte bei einer Einwilligungserklärung immer die Einrichtung als zur Datenverarbeitung berechtigt benannt werden. In jedem Fall muss jedoch über die Einwilligung hinaus durch die zum Zugang berechtigten Personen/Einrichtungen sichergestellt werden können, dass jede über die elektronische Akte bzw. den Gesundheitsdatendienst ausgelöste Datenverarbeitung zur Versorgung des Patienten erforderlich ist („Erforderlichkeitsvorbehalt“). Hierbei sind auch Zugriffe durch berufsmäßig tätige Gehilfen zulässig, wenn diese „im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich" sind und unter Aufsicht des zum Zugang berechtigten Heilberuflers erfolgen.

In der nachfolgenden Tabelle sind die rechtlichen Anforderungen an eine Einwilligung für die drei im Kontext dieses Dokuments betrachteten Aktentypen zusammengefasst.

Aktentyp Ausdrückliche Einwilligung Vorab-Autorisierung für die gesamte Akte Autorisierung von Übermittlungen Entbindung von der Schweigepflicht
Akte mit strenger Zweckbindung Erforderlich Autorisierung zu zweck-getreuer Nutzung (Nennung der Berechtigten in der Einwilligung) Nicht erforderlich Konkludent
Persönliche Akte in Verantwortung und Kontrolle des Bürgers Nicht erforderlich Der Bürger fordert Daten ausdrücklich an (Auskunftsrecht) und stellt diese ausdrücklich bereit. Diese aktive Rolle des Bürgers kann gegenüber dem Aktensystem als ad-hoc-Autorisierung angezeigt werden und/oder über ein vom Bürger am Aktensystem registriertes Regelwerk abgesichert werden. Nicht erforderlich
Vertikale Akte in Kontrolle eines Arztes Erforderlich Nicht möglich, da Zweck und Akteure erst beim Zugriff bekannt. Erforderlich Konkludent

Analyse des Gegenstandsbereichs

In diesem Kapitel werden die zur Abbildung einer ausdrücklichen Einwilligung und anderer die auf einer elektronischen Akte vergebenen Berechtigungen steuernden Erklärungen benötigten Konzepte und Konzept-Beziehungen aus einer informellen Darstellung des Gegenstandsbereichs heraus beschrieben.

Auf Basis der analysierten Anforderungen aus regulativen Rahmenbedingungen und bestehenden Aktenkonstrukten lassen sich die wesentlichen Gegenstände einer Erklärung zur Nutzung von Aktensystemen in der folgenden Grafik zusammenfassend darstellen. Die Nummern in der Grafik beziehen sich dabei auf die nachfolgend skizzierten, aus der Grafik ableitbaren Szenarien.

Gegenstandsbereich mit Szenarien.png


Im Rahmen der Analyse wird jedes dieser Szenarien über ein Domain Analyse Modell (DAM) beschrieben. In den einzelnen Modellen werden die in den Szenarien enthaltenen Konzepte mitsamt ihrer wechselseitigen statischen und dynamischen Beziehungen analysiert, so dass anschließend eine szenarienübergreifende Konsolidierung zu einem gemeinsamen Referenzmodell möglich ist.


  1. DAM „Einwilligung zu Prozedur oder Operation“: Ein Leistungserbringer führt eine medizinische Handlung an einem Patienten durch. Der Patient ist hierüber informiert und hat diesem zugestimmt. In definierten Fällen erfolgt die Zustimmung durch eine ausdrückliche Einwilligung; Information und Einwilligung werden durch den Arzt dokumentiert.
  2. DAM „Autorisierung im Rahmen eines Arztkontakts“: Der Patient vergibt im Kontext eines Arztkontakts situativ und für einen mit diesem Kontakt in Zusammenhang stehenden Zweck eine Berechtigung an diesen Arzt. Die Berechtigung wird durch eine ausdrückliche (normalerweise aber nicht schriftliche) Autorisierung erteilt, die dann wiederum vom Aktensystem verarbeitet und zur Validierung des Zugriffs genutzt wird.
  3. DAM „Autorisierung über Arztkontakte hinweg“: Der Patient möchte benannten Ärzten eine Verarbeitung von Daten in einer Akte über mehrere Arztkontakte hinweg ermöglichen. Über eine ausdrückliche Einwilligung werden Ärzte, Daten und Kriterien für berechtigte Datenverarbeitungen bestimmt. Diese Berechtigungen werden dokumentiert und an das Aktensystem übertragen, dass anhand der vorgegebenen Zugriffsberechtigungen seine interne Berechtigungsverwaltung aufsetzt.
  4. DAM „Zweckgebundene Kommunikation“: Medizinische Handlungen erfordern Zugang zu bestehenden Daten und führen zu neuen Daten über den Patienten. Arzt und Patient haben sich zuvor auf den Kontext und Zweck der medizinischen Handlungen verständigt. In Fällen, in denen Ärzte verschiedener Einrichtungen wechselseitig Daten zu einem gemeinsamen Zweck nutzen, ist die schriftliche Einwilligung des Patienten zu dem Zweck der einrichtungsübergreifenden Kooperation und der damit verbundenen Datenverarbeitung erforderlich. Die so definierte Behandlungsorganisation wird dokumentiert und an das Aktensystem übertragen, das anhand der Rollen und Rechte der Akteure seine interne Berechtigungsverwaltung aufsetzt.
  5. DAM „Entbindung von der Schweigepflicht“: Bei einer vom Patienten initiierten Weitergabe von Daten an einen Arzt (z. B. bei einem Arztwechsel im Zuge eines Umzugs) muss der die Daten übermittelnde Arzt durch den Patienten von seiner Schweigepflicht entbunden werden. Dies muss schriftlich erfolgen. Die Schweigepflichtenbindung wird dokumentiert und kann über ein Aktensystem verwaltet und ausgewertet werden.
  6. DAM “Offenbarung im Rahmen einer Auftragsdatenverarbeitung“: Dieses Szenario deckt die Berechtigung eines Arztes zur Offenbarung von Patientendaten im Rahmen einer Auftragsdatenverarbeitung ab. Diese Berechtigung muss durch eine ausdrückliche Einwilligung des betroffenen Patienten gegeben werden. Die Vorlage der Einwilligung wird dokumentiert und kann an das im Auftrag betriebene Aktensystem übertragen werden.


Modellierung der Konzepte und Abbildung auf HL7v3

In diesem Kapitel werden die in einzelnen Szenarien analysierten Konzepte und Konzeptbeziehungen serialisiert und auf ein Dokumenten-Schema abgebildet. Dieses erfolgt in 3 Schritten:

  1. Die Konzepte werden über die Szenarien hinweg konsolidiert. Hierdurch entsteht ein Netz von Konzepten, über das sich alle 6 aufgeführten Szenarien abbilden lassen.
  2. Die Konzepte werden in Form eines R-MIM auf bestehende Bausteine des HL7 RIM abgebildet. Dieses R-MIM stellt ein Referenzmodell dar, aus dem heraus spezifische Modelle für die einzelnen Formen der Einwilligung/Erklärung/Autorisierung durch Profilierung abgeleitet werden können.
  3. Das R-MIM wird so umgestellt, dass es zu dem CDA R-MIM konform ist. Hierdurch können die in den Szenarien 1-6 analysierten Erklärungen/Einwilligungen/Autorisierungen als CDA-Dokumente erfasst und ausgetauscht werden. Dieses R-MIM stellt somit ein normatives HL7v3 CDA-Binding des Referenzmodells dar. Diesem Binding genügende Dokumente können über einfache XSLT Transformationen in spezifischere Formate für die einzelnen Ausprägungen einer Einwilligung/Erklärung/Autorisierung überführt werden.

Die Schritte 2 und 3 werden für einzelne Blöcke (Akteure, Beschreibung des Gegenstands der Einwilligung) zunächst separat durchgeführt, um die Komplexität zu reduzieren.

Konsolidierung der Konzepte

In der nachfolgenden Tabelle sind die in allen betrachteten Szenarien analysierten Konzepte zusammengefasst. Hierbei wurden ggf. generalisierende Konzeptnamen gewählt, wenn hierdurch zwei semantisch weitgehend identische Konzepte auf ein übergeordnetes Konzept zurückgeführt werden konnten.

. . colspan="6"!Szenario ID Konzept 1 2 3 4 5 6
A1 Rolle: Entgegennehmender der Erklärung x x x x x x