Patienteneinwilligung

Aus Hl7wiki
Version vom 18. Juni 2013, 08:32 Uhr von Foemig (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Wechseln zu: Navigation, Suche

Motivation und Hintergrund

Einrichtungs- und sektorübergreifende Formen der Behandlung erfordern unterstützende IT-Dienste, die es den behandelnden Ärzten erlauben, Behandlungsdaten effizient untereinander zu kommunizieren und ggf. in einer gemeinsamen Behandlungsdokumentation zusammen zu führen. Hierzu erscheinen einrichtungsübergeifend nutzbare elektronische Akten besonders geeignet, die aktuell auch über verschiedenen Aktivitäten und in unterschiedlichen Ausprägungen Einzug in das deutsche Gesundheitswesen halten [AK EPA/EFA 2011]. Die Spannbreite der denkbaren Konstrukte reicht hierbei vom Austausch aggregierter Dokumentationen des Gesundheitszustands eines Bürgers (Patient Summary, Notfalldatensatz) über die regionale Vernetzung mittels elektronischer Fallakten bis hin zu lebenslang vom Bürger geführten persönlichen Patientenakten.

Die Zulässigkeit der Nutzung sowie die zulässige Nutzung einer solchen Akte werden aus dem Grundrecht der informationellen Selbstbestimmung heraus im Wesentlichen durch den Betroffenen determiniert. Hierbei muss ein sinnvoller Ausgleich zwischen den Chancen elektronischer Medien – z. B. durch eine schnelle, umfängliche Information aller behandelnden Ärzte - und den Risiken elektronischer Medien – z. B. dem Nicht-mehr-kontrollieren-können einmal offenbarter Daten – gefunden werden. Wie dieser Ausgleich aussieht und wie viel Kontrolle der Bürger letzten Endes wahrnehmen kann/will hängt maßgeblich von individuellen Parametern des Bürgers und seiner aktuellen Gesundheitssituation ab. Aus dieser Vielschichtigkeit der Problemstellung heraus haben sich unterschiedliche Aktenkonstrukte entwickelt, die nicht nur in unterschiedlichen Kontexten ihre jeweiligen Stärken entfalten, sondern die auch unterschiedliche Mechanismen anbieten, um den Willen des Patienten in Bezug auf Art und Umfang der Nutzung elektronischer Medien aufzunehmen und durchzusetzen.

Eine wesentliche Herausforderung hierbei ist, den Bürgerwillen in einer aus dem medizinischen Kontext motivierten, für behandelnde Ärzte und Bürger nachvollziehbaren Form aufzunehmen und in eine Form zu übertragen, aus der heraus ein Aktensystem bei einem Zugriffsversuch entscheiden kann, ob dieser Zugriff den Kriterien der festgelegten zulässigen Nutzung genügt.

In diesem Dokument werden verschiedene Szenarien der Erfassung von aus Sicht der Akteure zulässigen Aktennutzungen analysiert. Im Ergebnis wird hieraus ein Modell entwickelt, wie eine elektronische Dokumentation solch zulässiger Aktennutzungen aussehen kann. Diese Dokumentation soll einerseits für Ärzte und Bürger verständlich andererseits aber auch für ein Aktensystem maschinell verarbeitbar und ggf. in ein formales Regelsystem übersetzbar sein.

Zusätzlich sollen mit dieser Spezifikation auch Einwilligungen und Erklärungen abbildbar sein, die lediglich innerhalb einer Einrichtung verarbeitet und in der einrichtungs-internen Patientenakte abgelegt werden. Ein Beispiel hierfür ist die Einwilligung eines Patienten zu einer bestimmten Operation oder zur Teilnahme an einer in der Einrichtung durchgeführten Studie. Durch die Hereinnahme dieses Szenarios in die Spezifikation wird eine Vereinheitlichung zwischen intern und extern genutzten Dokumenten und Abläufen befördert, aus der sich gleichzeitig in beide Richtungen beschreitbare Migrationspfade für die Einführung elektronischer Einwilligungen ergeben können.

Methodik

Um verschiedene Ausprägungen von Einwilligungen möglichst synergetisch implementieren zu können wird mit dieser Spezifikation ein Ansatz verfolgt, der auf einem HL7 Domain Analysis Modell aufbaut und über ein generisches Referenzmodell zu einer alle Einwilligungsvarianten übergreifenden Basis-Spezifikation gelangt, mit der ein einheitliches Informationsmodell an verschiedene Standards gebunden werden kann. Ein Primärsystem, das dieses Referenzmodell interpretieren und das definierte Referenz-Binding verarbeiten kann, ist damit in der Lage, Einwilligungen (bzw. Dokumentationen von Einwilligungen) für alle unterschiedlichen Aktentypen zu erzeugen und zu verarbeiten

Rechtliche Rahmenbedingungen

Ein Eingriff in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung ist nach dem Prinzip des „Verbot mit Erlaubnisvorbehalt“ grundsätzlich unzulässig, sofern kein Erlaubnistatbestand vorliegt [BDSG_Kmt 2005, S. 136].

Sowohl „Rechtsnormen, aus denen sich die Zulässigkeit der Datenverarbeitung ergibt“, als auch Rechtsnormen, die ein entsprechendes Gebot oder sogar eine Offenbarungspflicht enthalten, stellen einen Erlaubnistatbestand dar [BDSG_Kmt 2005, S. 136]. Der Umgang mit personenbezogenen Daten ist darüber hinaus zulässig, wenn der Betroffene seine Einwilligung für eine Offenbarung von Geheimnissen bzw. die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gegeben hat. Hierbei wird zwischen ausdrücklichen, konkludenten und mutmaßlichen Einwilligungen unterschieden.

Die Schweigepflicht beschreibt die rechtliche Verpflichtung ausgewählter Berufsgruppen, ihnen anvertraute Geheimnisse nicht gegenüber Dritten zu offenbaren. Sie stellt die wesentliche Voraussetzung für das Vertrauensverhältnis zwischen Arzt und Patient dar. Die Bereitstellung medizinischer Daten für eine Akte stellt eine Verletzung der ärztlichen Schweigepflicht dar, sofern nicht sichergestellt ist, dass der Nutzer dieser Daten ein Mit- oder Nachbehandler ist. Eine Ausnahme hiervon ist der Austausch verschlüsselter Daten, deren Entschlüsselung die Mitwirkung des Betroffenen erfordert.

Eine nicht für alle Aktentypen gleich zu beantwortende Fragestellung ist, ob eine vom Bürger gegebene Einwilligung in die Nutzung einer Akte als Vorab-Autorisierung verstanden werden kann oder ob zusätzliche Autorisierungen der Einzelzugriffe auf die Akte erforderlich sind. Aus den einschlägigen Stellungnahmen verschiedener Landesdatenschützer lassen sich hierzu die folgenden Aussagen ableiten:

  • Bei der elektronischen Fallakte stellt die Einwilligung gleichzeitig eine Autorisierung zur Nutzung der vollständigen Akte dar. Eine auf den Einzelzugriff bezogene Autorisierung ist aufgrund der strengen Zweckbindung nicht erforderlich.
  • Bei persönlichen Patienten- und Gesundheitsakten hat der Bürger die alleinige Verantwortung und vollständige Kontrolle; alle Interaktionen mit der Akte erfolgen auf explizite Veranlassung des Bürgers. Die Bereitstellung von Daten für eine solche Akte erfolgt über das Auskunftsrecht des Betroffenen. Der Bürger ist für die Daten selbst verantwortlich, wodurch der einstellende Arzt nicht der Schweigepflicht unterliegt
  • Einrichtungsübergreifende, vertikale Akten stellen eine Art Vorratsdatenspeicherung für in der Regel noch nicht eingetretene Behandlungsfälle dar. Aufgrund der fehlenden Zweckbindung stellt jeder Zugriff einen eigenständigen Übermittlungsvorgang dar, der explizit durch den Bürger autorisiert werden muss.

Sowohl das Krankenhausentgeltgesetz als auch die Bundespflegesatzverordnung gehen bei der Definition von Krankenhausleistungen von institutionell erbrachten Leistungen aus. Analog ist im Fall der erforderlichen Teilhabe eines Krankenhauses an einer aktengestützten Datenkommunikation in der entsprechenden Einwilligungs-erklärung immer die Institution zu benennen. Auch für medizinische Versorgungszentren und Gemeinschaftspraxen, die gegenüber dem Patienten als organisatorische und wirtschaftliche Einheit auftreten, sollte bei einer Einwilligungserklärung immer die Einrichtung als zur Datenverarbeitung berechtigt benannt werden. In jedem Fall muss jedoch über die Einwilligung hinaus durch die zum Zugang berechtigten Personen/Einrichtungen sichergestellt werden können, dass jede über die elektronische Akte bzw. den Gesundheitsdatendienst ausgelöste Datenverarbeitung zur Versorgung des Patienten erforderlich ist („Erforderlichkeitsvorbehalt“). Hierbei sind auch Zugriffe durch berufsmäßig tätige Gehilfen zulässig, wenn diese „im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich" sind und unter Aufsicht des zum Zugang berechtigten Heilberuflers erfolgen.

In der nachfolgenden Tabelle sind die rechtlichen Anforderungen an eine Einwilligung für die drei im Kontext dieses Dokuments betrachteten Aktentypen zusammengefasst.

Aktentyp Ausdrückliche Einwilligung Vorab-Autorisierung für die gesamte Akte Autorisierung von Übermittlungen Entbindung von der Schweigepflicht
Akte mit strenger Zweckbindung Erforderlich Autorisierung zu zweck-getreuer Nutzung (Nennung der Berechtigten in der Einwilligung) Nicht erforderlich Konkludent
Persönliche Akte in Verantwortung und Kontrolle des Bürgers Nicht erforderlich Der Bürger fordert Daten ausdrücklich an (Auskunftsrecht) und stellt diese ausdrücklich bereit. Diese aktive Rolle des Bürgers kann gegenüber dem Aktensystem als ad-hoc-Autorisierung angezeigt werden und/oder über ein vom Bürger am Aktensystem registriertes Regelwerk abgesichert werden. Nicht erforderlich
Vertikale Akte in Kontrolle eines Arztes Erforderlich Nicht möglich, da Zweck und Akteure erst beim Zugriff bekannt. Erforderlich Konkludent

Analyse des Gegenstandsbereichs

In diesem Kapitel werden die zur Abbildung einer ausdrücklichen Einwilligung und anderer die auf einer elektronischen Akte vergebenen Berechtigungen steuernden Erklärungen benötigten Konzepte und Konzept-Beziehungen aus einer informellen Darstellung des Gegenstandsbereichs heraus beschrieben.

Auf Basis der analysierten Anforderungen aus regulativen Rahmenbedingungen und bestehenden Aktenkonstrukten lassen sich die wesentlichen Gegenstände einer Erklärung zur Nutzung von Aktensystemen in der folgenden Grafik zusammenfassend darstellen. Die Nummern in der Grafik beziehen sich dabei auf die nachfolgend skizzierten, aus der Grafik ableitbaren Szenarien.

Gegenstandsbereich mit Szenarien.png


Im Rahmen der Analyse wird jedes dieser Szenarien über ein Domain Analyse Modell (DAM) beschrieben. In den einzelnen Modellen werden die in den Szenarien enthaltenen Konzepte mitsamt ihrer wechselseitigen statischen und dynamischen Beziehungen analysiert, so dass anschließend eine szenarienübergreifende Konsolidierung zu einem gemeinsamen Referenzmodell möglich ist.


  1. DAM „Einwilligung zu Prozedur oder Operation“: Ein Leistungserbringer führt eine medizinische Handlung an einem Patienten durch. Der Patient ist hierüber informiert und hat diesem zugestimmt. In definierten Fällen erfolgt die Zustimmung durch eine ausdrückliche Einwilligung; Information und Einwilligung werden durch den Arzt dokumentiert.
  2. DAM „Autorisierung im Rahmen eines Arztkontakts“: Der Patient vergibt im Kontext eines Arztkontakts situativ und für einen mit diesem Kontakt in Zusammenhang stehenden Zweck eine Berechtigung an diesen Arzt. Die Berechtigung wird durch eine ausdrückliche (normalerweise aber nicht schriftliche) Autorisierung erteilt, die dann wiederum vom Aktensystem verarbeitet und zur Validierung des Zugriffs genutzt wird.
  3. DAM „Autorisierung über Arztkontakte hinweg“: Der Patient möchte benannten Ärzten eine Verarbeitung von Daten in einer Akte über mehrere Arztkontakte hinweg ermöglichen. Über eine ausdrückliche Einwilligung werden Ärzte, Daten und Kriterien für berechtigte Datenverarbeitungen bestimmt. Diese Berechtigungen werden dokumentiert und an das Aktensystem übertragen, dass anhand der vorgegebenen Zugriffsberechtigungen seine interne Berechtigungsverwaltung aufsetzt.
  4. DAM „Zweckgebundene Kommunikation“: Medizinische Handlungen erfordern Zugang zu bestehenden Daten und führen zu neuen Daten über den Patienten. Arzt und Patient haben sich zuvor auf den Kontext und Zweck der medizinischen Handlungen verständigt. In Fällen, in denen Ärzte verschiedener Einrichtungen wechselseitig Daten zu einem gemeinsamen Zweck nutzen, ist die schriftliche Einwilligung des Patienten zu dem Zweck der einrichtungsübergreifenden Kooperation und der damit verbundenen Datenverarbeitung erforderlich. Die so definierte Behandlungsorganisation wird dokumentiert und an das Aktensystem übertragen, das anhand der Rollen und Rechte der Akteure seine interne Berechtigungsverwaltung aufsetzt.
  5. DAM „Entbindung von der Schweigepflicht“: Bei einer vom Patienten initiierten Weitergabe von Daten an einen Arzt (z. B. bei einem Arztwechsel im Zuge eines Umzugs) muss der die Daten übermittelnde Arzt durch den Patienten von seiner Schweigepflicht entbunden werden. Dies muss schriftlich erfolgen. Die Schweigepflichtenbindung wird dokumentiert und kann über ein Aktensystem verwaltet und ausgewertet werden.
  6. DAM “Offenbarung im Rahmen einer Auftragsdatenverarbeitung“: Dieses Szenario deckt die Berechtigung eines Arztes zur Offenbarung von Patientendaten im Rahmen einer Auftragsdatenverarbeitung ab. Diese Berechtigung muss durch eine ausdrückliche Einwilligung des betroffenen Patienten gegeben werden. Die Vorlage der Einwilligung wird dokumentiert und kann an das im Auftrag betriebene Aktensystem übertragen werden.


Modellierung der Konzepte und Abbildung auf HL7v3

In diesem Kapitel werden die in einzelnen Szenarien analysierten Konzepte und Konzeptbeziehungen serialisiert und auf ein Dokumenten-Schema abgebildet. Dieses erfolgt in 3 Schritten:

  1. Die Konzepte werden über die Szenarien hinweg konsolidiert. Hierdurch entsteht ein Netz von Konzepten, über das sich alle 6 aufgeführten Szenarien abbilden lassen.
  2. Die Konzepte werden in Form eines R-MIM auf bestehende Bausteine des HL7 RIM abgebildet. Dieses R-MIM stellt ein Referenzmodell dar, aus dem heraus spezifische Modelle für die einzelnen Formen der Einwilligung/Erklärung/Autorisierung durch Profilierung abgeleitet werden können.
  3. Das R-MIM wird so umgestellt, dass es zu dem CDA R-MIM konform ist. Hierdurch können die in den Szenarien 1-6 analysierten Erklärungen/Einwilligungen/Autorisierungen als CDA-Dokumente erfasst und ausgetauscht werden. Dieses R-MIM stellt somit ein normatives HL7v3 CDA-Binding des Referenzmodells dar. Diesem Binding genügende Dokumente können über einfache XSLT Transformationen in spezifischere Formate für die einzelnen Ausprägungen einer Einwilligung/Erklärung/Autorisierung überführt werden.

Die Schritte 2 und 3 werden für einzelne Blöcke (Akteure, Beschreibung des Gegenstands der Einwilligung) zunächst separat durchgeführt, um die Komplexität zu reduzieren.

Konsolidierung der Konzepte

In der nachfolgenden Tabelle sind die in allen betrachteten Szenarien analysierten Konzepte zusammengefasst. Hierbei wurden ggf. generalisierende Konzeptnamen gewählt, wenn hierdurch zwei semantisch weitgehend identische Konzepte auf ein übergeordnetes Konzept zurückgeführt werden konnten.

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
A1 Rolle: Entgegennehmender der Erklärung x x x x x x
A1' Rolle: Aufbewahrung der Erklärung x x x x x
A1" Rolle: Durchführender Aufklärung x x x x x
A2 Rolle: Durch die Erklärung autorisierte Person(en)/Organisation(en) x x x x x x
A2S Struktur/Organisation der Behandlung x
D1 Rolle: Dritter, gegenüber dem die Offenbahrung stattfindet x x
P1 Rolle: Betroffener (i.A. Patient) x x x x x x
P2 Rolle: Einwilligender (Patient oder gesetzlicher Vertreter) x x x x x x
FA Rolle: Führender der Akteninstanz (i. S. einer administrativen Hoheit) x
AS Aktensystem (i. S. der referenzierten Akteninstanz) x x x
Aus den regulativen Vorgaben motivierte Konzepte
AU Patientenaufklärung x x x x x
VS Verantwortliche Stelle x x x
MD Medizinische Daten (Benennung, Eingrenzung, etc.) (x) (x) x x x
Gegenstand der Einwilligung/Erklärung/Autorisierung
G1 Operationsmethode, Therapiemethode, etc. x
G2 Zulässige Akten-/Datennutzung x x x x x
Mechanismen zur Definition der zulässigen Nutzung
AC Akten-/Datenzugriff (x) (x) (x)
M1 Zweck (der Akte bzw. der Akten-/Datennutzung) x x x
M2 Regelwerk x x (x)
Zur Umsetzung der zulässigen Nutzung legitimierte Konstrukte
AUT Autorisierung x x x x
SP Schweigepflicht(entbindung) x
DVA Datenverarbeitung im Auftrag x

Anmerkungen:

  • Die Rolle A1 wurde in drei Teil-Rollen aufgespalten, da die Durchführung der Aufklärung, die Entgegennahme der Erklärung sowie deren Aufbewahrung in arbeitsteiligen Szenarien von unterschiedlichen Personen durchgeführt werden können bzw. im Fall der Aufbewahrung auch als Organisationsverantwortung angesehen werden kann.
  • Durch eine Flexibilisierung der Kardinalität von A2 kann die in allen Szenarien auftretende Rolle des/der durch die Einwilligung/Erklärung/Autorisierung Begünstigten auf das gleiche Konzept reduziert werden.
  • Im Szenario 2 fallen die Konzepte A1 und A2 zusammen, d.h. die Autorisierung wird von der Person/Organisation in Anspruch genommen, gegenüber der sie ausgesprochen wurde.
  • Im Szenario 2 ist das Konzept der medizinischen Daten implizit im autorisierten Aktenzugriff subsummiert. Durch Entfernen dieser Redundanz aus dem verallgemeinerten Modell kann das Konzept „medizinische Daten“ in den anderen Szenarien einheitlich im Sinne von § 4a (3) BDSG interpretiert werden.
  • In den Szenarien 3 und 4 ist der Akten-/Datenzugriff ausschließlich Bestandteil eines dynamischen Modells und damit kein Bestandteil des durch die Einwilligung abgebildeten statischen Modells. Bei der weiteren Modellierung der Einwilligung wird dieses Konzept daher im Folgenden Kontext der Szenarien 3 und 4 ignoriert.
  • Sofern Szenario 3 eine vollständig durch den Patienten kontrollierte Akte zugrunde liegt, besteht keine Anforderung nach einer Anforderung gemäß §4a BDSG. In der entsprechenden Erklärung kann dann auf die Eingrenzung der betroffenen medizinischen Daten verzichtet werden.
  • In Szenario 4 ist das Regelwerk ein akteninternes, nach außen durch andere Konstrukte überlagertes Konzept. In einer Einwilligung zu Szenario 4 kann dieses Konstrukt daher nicht verwendet werden und darf dem entsprechend auch nicht im Zielmodell für Szenario 4 auftauchen.
  • Der einzelne Datenzugriff (Szenario 2) wird naheliegender Weise als Zugriffsregel beschrieben. Damit ist AC ein Spezialfall von M2 und wird nachfolgend nachgeordnet zu M2 modelliert.
  • Das zusätzliche Konzept AUT (Autorisierung) wurde in die Tabelle aufgenommen, um zu jedem Szenario auch das genutzte juristische Konstrukt zu explizieren (in den Szenarien 1-4 war dieses Konzept als Konzeptbeziehung modelliert).

In den nachfolgenden Abschnitten werden die einzelnen Konzepte in Bezug auf die jeweils bereit zu stellenden Angaben näher beschrieben.

Rolle: Entgegennehmender der Erklärung

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
A1 Rolle: Entgegennehmender der Erklärung x x x x x x

Eine Einwilligung oder andere Erklärung des Patienten MUSS gegenüber einer natürlichen Person abgegeben werden. Der Entgegennehmende der Erklärung/Einwilligung MUSS daher eine natürliche Person sein, die zumindest durch Name, Vorname, Organisationszugehörigkeit und Adresse der Organisation benannt werden MUSS. Ein zusätzlicher Identifier KANN angegeben werden, um auch eine maschinelle Identifizierbarkeit zu erlauben (die jedoch in keinem der analysierten Szenarien erforderlich ist). In diesem Fall SOLL – sofern verfügbar – eine ID des Heilberufsausweises der die Einwilligung/Erklärung entgegen nehmenden Person verwendet werden. Um Rückfragen zu erleichtern KÖNNEN zusätzliche Kontaktdaten angegeben werden.

Für Szenarien im Kontext des § 291a SGB V MUSS der Entgegennehmende der Erklärung ein Arzt sein. Sofern innerhalb der elektronischen Dokumentation verschiedene Erklärungen/Einwilligungen in einem Dokument zusammengefasst sind (z. B. Autorisierung und Zustimmung zu einer Auftragsdatenverarbeitung) MUSS für jede Einwilligung/Erklärung separat angegeben werden, gegenüber wem die Erklärung/Einwilligung abgegeben wurde.

Rolle: Aufbewahrung der Erklärung

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
A1' Rolle: Aufbewahrung der Erklärung x x x x x

Die Aufbewahrung einer Einwilligung/Erklärung ist eine Organisationspflicht, d.h. diese Rolle MUSS durch Angabe der Organisation ausgefüllt werden, die das (ggf. vom Patienten unterschriebene) Original der Erklärung/Einwilligung vorhält. Die Organisation MUSS zumindest über ihren Namen und ihre Adresse identifiziert werden. Ein zusätzlicher Identifier KANN angegeben werden, um auch eine maschinelle Identifizierbarkeit zu erlauben (die jedoch in keinem der analysierten Szenarien erfor¬der¬lich ist). In diesem Fall SOLL – sofern verfügbar – eine ID der SMC-B der die Einwilligung/Er¬klärung aufbewahrenden Organisation verwendet werden. Um Rückfragen zu erleichtern SOLLEN zusätzliche Kontaktdaten angegeben werden.

Es wird davon ausgegangen, dass die Originale aller zusammen elektronisch dokumentierten und auf die gleichen datenverarbeitenden Systeme wirkenden Erklärungen (z. B. Autorisierung und Zustim¬mung zu einer Auftragsdatenverarbeitung) von einer Organisation aufbewahrt werden, d.h. die elektronische Dokumentation einer Einwilligung an dieser Stelle nicht zwingend die Nennung mehrere Organisationen zulassen muss.

Rolle: Durchführung der Aufklärung

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
A1" Rolle: Durchführender Aufklärung x x x x x

Die Aufklärung des Patienten zur Nutzung einer Akte oder Durchführung einer Prozedur/Therapie MUSS durch eine natürliche Person erfolgen. Je nach Szenario kann das Erfordernis bestehen, dass diese Person ein Arzt sein MUSS. Der die Aufklärung durchführende MUSS zumindest durch Name, Vorname, Organisationszugehörigkeit und Adresse der Organisation benannt werden. Ein zusätz-licher Identifier KANN angegeben werden, um auch eine maschinelle Identifizierbarkeit zu erlauben (die jedoch in keinem der analysierten Szenarien erforderlich ist). In diesem Fall SOLL – sofern verfügbar – eine ID des Heilberufsausweises der die Patientenaufklärung durchführenden Person verwendet werden. Um Rückfragen zu erleichtern KÖNNEN zusätzliche Kontaktdaten angegeben werden.

Sofern innerhalb der elektronischen Dokumentation verschiedene Erklärungen/Einwilligungen in einem Dokument zusammengefasst sind (z. B. Autorisierung und Zustimmung zu einer Auftragsdatenverarbeitung) MUSS für jede Einwilligung/Erklärung separat angegeben werden, durch wen die jeweilige Aufklärung durchgeführt wurde.


Rolle: Durch die Erklärung/Einwilligung autorisierte Personen bzw. Organisationen

Szenario
ID Konzept 1 2 3 4 5 6
A2 Rolle: Durch die Erklärung autorisierte Person(en)/Organisation(en) x x x x x x

Die durch die Erklärung/Einwilligung zu einer Handlung autorisierten Personen MÜSSEN so eindeutig und abschließend wie möglich und im jeweiligen Szenario sinnvoll benannt werden.

In den Szenarien 1, 2, 4 und 6 MÜSSEN ausschließlich eindeutig identifizierbare Personen oder Einrichtungen angegeben werden. In den anderen Szenarien KANN die Benennung der autorisierten Personen bzw. Einrichtungen über Rollen/Muster erfolgen oder ggf. sogar ganz entfallen (s.u.). Die Identifikation von Personen MUSS dabei über Name, Vorname, Organisationszugehörigkeit, Adresse der Organisation erfolgen. In den Szenarien 2 und 4 MUSS zusätzlich ein eindeutiger, einrichtungsübergreifend und langfristig auflösbarer Identifizierer angegeben werden. Als Identifizierer SOLL eine ID des Heilberufsausweises genutzt werden.

Die Identifikation von Organisationen MUSS dabei über Name und Adresse der Organisation erfolgen. Sofern möglich SOLL dabei die autorisierte Einheit der Organisation konkret benannte werden. In den Szenarien 2 und 4 MUSS zusätzlich ein eindeutiger, einrichtungsübergreifend und langfristig auflösbarer Identifizierer angegeben werden. Als Identifizierer SOLL eine ID der SMC-B genutzt werden.

Im Szenario 5 KANN auf die Angabe der autorisierten Einrichtungen verzichtet werden, wenn die Schweigepflichtentbindung alle behandelnden Ärzte betrifft. Ansonsten SOLLEN die zur Offenbarung berechtigten Personen/Einrichtungen möglichst konkret eingegrenzt werden.

Im Szenario 3 KANN auf die Angabe der autorisierten Einrichtungen und Personen verzichtet werden, wenn diese durch das in der Einwilligung/Autorisierung enthaltene Regelwerk ausreichend konkret eingegrenzt sind, die Regularien zur Formulierung des Regelwerks eine Pauschalberechtigung ausschließen und anhand des Regelwerks eine für den Betroffenen verständliche Aufstellung der berechtigten Personen/Einrichtungen erzeugt werden kann.

Struktur/Organisation der Behandlung

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
A2S Struktur/Organisation der Behandlung x

Die Benennung der Struktur/Organisation der Behandlung MUSS die Rollen der berechtigten Personen und Einrichtungen innerhalb der Behandlung bzw. der Aktennutzungsszenarien wider-spiegeln, wobei diese Rollen innerhalb des Aktensystems Grundlage der Zuweisung von konkreten Berechtigungen sind. Die explizite Benennung von Rollen KANN entfallen, wenn alle Berechtigten über die gleichen Berechtigungen verfügen bzw. innerhalb des Aktensystems eine Differenzierung von Rechten anhand definierter Attribute dieser Personen/Organisationen erfolgt.

Rolle: Dritter, gegenüber dem die Offenbarung stattfindet

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
D1 Rolle: Dritter, gegenüber dem die Offenbahrung stattfindet x x

In den betrachteten Szenarien findet eine einwilligungspflichtige Offenbarung immer gegenüber einer Organisation statt, wobei es sich hierbei nicht zwingend um eine Gesundheitseinrichtung handeln muss. Die Organisation MUSS innerhalb der Einwilligung/Erklärung zumindest über ihren Namen und ihre Adresse identifiziert werden. Falls es sich bei diesem Dritten um eine Gesundheitseinrichtung handelt, SOLL ein zusätzlicher Identifier angegeben werden. In diesem Fall SOLL – sofern verfügbar – eine ID der SMC-B der Einrichtung verwendet werden, gegenüber der die Daten offenbart werden sollen. Bei einer Schweigepflichtentbindung (Szenario 5) MÜSSEN zusätzliche Kontaktdaten angegeben werden, um einen Widerruf zu erleichtern.

Rolle: Betroffener (i.A. Patient)

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
P1 Rolle: Betroffener (i.A. Patient) x x x x x x

Die Identifizierung des Betroffenen MUSS zumindest über Name, Vorname, Geburtsdatum und Adresse erfolgen. Abhängig von der Konzeption und Implementierung des datenverarbeitenden Systems (z. B. Aktensystem) KANN die zusätzliche Angabe eines eindeutigen Identifizierers erforderlich sein. In diesem Fall SOLL ein einrichtungsübergreifend gültiger Identifizierer (z. B. von der eGK) verwendet werden, der langfristig auflösbar sein MUSS.

Rolle: Einwilligender (Patient oder gesetzlicher Vertreter)

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
P2 Rolle: Einwilligender (Patient oder gesetzlicher Vertreter) x x x x x x

Der Einwilligende ist die die natürliche Person, die die Einwilligung/Erklärung/Autorisierung abgibt und ggf. unterschreibt. Der Abgebende der Erklärung/Einwilligung MUSS daher eine natürliche Person sein, die zumindest durch Name, Vorname und Adresse benannt werden MUSS. Für eine langfristige Rückverfolgbarkeit SOLL zusätzlich angegeben werden, in welcher Beziehung der Einwilligende zum Betroffenen steht (z. B. Elternteil).

Die explizite Angabe des Einwilligenden KANN entfallen, wenn der Betroffene selber die Einwilligung/Erklärung abgibt.


Rolle: Führender der Akteninstanz (i. S. einer administrativen Hoheit)

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
FA Rolle: Führender der Akteninstanz (i. S. einer administrativen Hoheit) x

Bei verschiedenen Aktenkonstrukten kann der Betroffene (oder sein gesetzlicher Vertreter) die Wahrnehmung von administrativen Aufgaben der Aktenführung (z. B. Pflege von Daten und Berechtigungen) dauerhaft an einen Leistungserbringer übertragen. Einige Konstrukte arztgeführter Akten (z. B. eEPA) sehen diese Rolle des aktenführenden Leistungserbringers sogar explizit vor.

Sofern ein Patient (bzw. dessen gesetzlicher Vertreter) die Aktenführung an einen Leistungserbringer überträgt, MUSS dieses entweder in der Einwilligung zur Aktenanlage oder in einer gesonderten Erklärung festgeschrieben werden. Die Angaben zum Aktenführenden MÜSSEN ausreichend sein, dass andere Aktenteilnehmer den Aktenführenden kontaktieren können und dass das Aktensystem (bzw. dessen Betreiber) absichern kann, dass administrative Funktionen nur von der dazu autorisierten Person angestoßen werden können.

Aktensystem (im Sinne der referenzierten Akteninstanz)

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
AS Aktensystem (i. S. der referenzierten Akteninstanz) x x x

In den Szenarien 2, 3, 4 wirkt die gegebene Einwilligung/Autorisierung auf eine dem Betroffenen zugeordnete Akteninstanz und wird auch ggf. durch das Aktensystem maschinell ausgewertet. In diesem Szenarien MUSS die betroffene Akteninstanz über einen eindeutigen, langfristig auflösbaren Identifizierer benannt werden. Das Format dieses Identifiziers kann abhängig vom Aktenkonstrukt und der Implementierung des Aktensystems variieren.

Bevor ein Aktensystem anhand der in der Einwilligung/Erklärung definierten Rollen/Regeln konkrete Änderungen an der Berechtigungskonfiguration einer Akteninstanz vornimmt bzw. eine aufgrund dieser Regeln autorisierte Aktion vornimmt, MUSS das Aktensystem verifizieren, dass der Einwilligende über die Berechtigung zur Änderung der Zugriffsrechte auf der identifizierten Akteninstanz verfügt.

Patientenaufklärung

Szenario
ID Konzept 1 2 3 4 5 6
Akteure und Kontext
AU Patientenaufklärung x x x x x

Die Tatsache, dass eine Patientenaufklärung durchgeführt wurde, ist durch die Benennung des die Aufklärung Durchführenden hinreichend dokumentiert.

Eine elektronische (Dokumentation einer) Einwilligungserklärung SOLL es jedoch erlauben, auf die konkret zur Aufklärung/Information des Patienten genutzten Informationsmaterialen zu referenzieren bzw. diese als Teil der elektronischen Einwilligung zu kommunizieren und/oder zu archivieren.

Verantwortliche Stelle

Szenario
ID Konzept 1 2 3 4 5 6
Aus den regulativen Vorgaben motivierte Konzepte
VS Verantwortliche Stelle x x x

Bei einer im Wesentlichen von Ärzten geführten Akte ohne eigene, unabhängige Steuerungs-möglichkeit durch den Betroffenen MUSS die für Fragen und Anfragen zu Datenschutz und Datensicherheit verantwortliche Stelle explizit benannt werden. Die verantwortliche Stelle MUSS innerhalb der Einwilligung/Erklärung zumindest über ihren Namen, ihre Adresse und für den Betroffenen (möglichst orts- und zeitunabhängig) nutzbare Kontaktdaten identifiziert werden. Es MUSS möglich sein, mehrere verantwortliche Stellen zu benennen.

Im Szenario 6 KANN die explizite Nennung der verantwortlichen Stelle entfallen, da hier Auftraggeber und Auftragnehmer der Auftragsdatenverarbeitung implizit die verantwortliche Stelle darstellen [LDI OH-ADV].

Medizinische Daten (Benennung, Eingrenzung, etc.)

Szenario
ID Konzept 1 2 3 4 5 6
Aus den regulativen Vorgaben motivierte Konzepte
MD Medizinische Daten (Benennung, Eingrenzung, etc.) (x) (x) x x x

Eine Autorisierung DARF NICHT den Charakter einer Pauschalberechtigung haben. Sofern eine ausreichende Eingrenzung der zulässigen Akten-/Datennutzung nicht auf anderem Wege erfolgt (s.u.) MUSS die Einwilligung/Erklärung des Patienten zur zulässigen Akten-/Datennutzung eine Einschränkung der zulässigerweise zu verarbeitenden Daten enthalten. Die Benennung der zulässigerweise zu verarbeitenden Daten MUSS für den Patienten nachvollziehbar erfolgen und SOLL daher möglichst grobgranular sein (z. B. „Arztbriefe, Befunde und Therapieberichte“).

In den Szenarien 2 und 3 KANN diese Form der Einschränkung entfallen, wenn das zur Autorisierung genutzte Regelwerk bereits hinreichend einschränkend ist, indem z. B. die für eine Rolle oder Identität einsehbaren Daten anhand definierter Kriterien beschrieben werden.

Im Szenario 5 KANN diese Form der Einschränkung entfallen, wenn die Schweigepflichterklärung alle Behandlungsdaten umfasst.

In den Szenarien 4 und 6 MÜSSEN entsprechende Einschränkungen in der Einwilligungserklärung definiert sein. Sie KÖNNEN jedoch in der elektronischen Dokumentation entfallen, wenn entweder

  • aus dem definierten Zweck implizit ersichtlich ist, welche Art von Daten ausschließlich innerhalb einer Akte oder im Rahmen einer Auftragsdatenverarbeitung verarbeitet werden (z. B. wenn eine Akte zum Zweck der „Medikationsdokumentation“ angelegt wird, ist damit implizit eingegrenzt, dass nur Medikationsdaten über diese Akte verarbeitet werden) oder
  • das datenverarbeitende System (z. B. die den Patienten betreffende Instanz einer zweck-gebundenen Akte) so konfiguriert ist, dass die in der Einwilligung benannten Einschrän-kungen technisch durchgesetzt werden und die Umsetzung dieser Einschränkungen für den Betroffenen verifizierbar ist (z. B. durch Einsichtnahme in Zugriffsprotokolle).


Zweck (der Akte bzw. der Akten-/Datennutzung)

Szenario
ID Konzept 1 2 3 4 5 6
Mechanismen zur Definition der zulässigen Nutzung
M1 Zweck (der Akte bzw. der Akten-/Datennutzung) x x x

Sofern die Definition einer Nutzungseinschränkung einer Akte oder eines anderen daten¬verar-beitenden Systems nicht explizit durch ein Regelwerk erfolgt, MUSS der Zweck der Akten- bzw. Datennutzung in der (Dokumentation der) Einwilligung/Erklärung angegeben sein. Der Zweck SOLL in maschinenlesbarere Form kodiert werden, um z. B. bei einer IHE-Cookbook-konformen Umsetzung einer zweckgebundenen Akte eine automatisierte Zusammenführung von zum selben Zweck vorge¬haltenen Daten zu ermöglichen. Auch eine Validierung von Zusammenführungen einrichtungs¬interner und einrichtungsübergreifend verwalteter Daten ist so maschinell möglich (z. B. Zuordnung eines krankenhausinternen administrativen Falls zu einem in einer Fallakte abgebildeten medizinischen Fall). Grundsätzlich MÜSSEN die folgenden Zweckbenennungen in kodierbarer Form ausdrückbar sein:

  • Angabe einer Erkrankung oder einer Körperregion, auf die sich die in einem IT-System verarbeiteten Daten beziehen
  • Angabe einer Therapie oder eines strukturierten Behandlungsverlaufs (Pfad, etc.), die durch eine einrichtungsübergreifende Kommunikation von Daten unterstützt werden sollen

Zusätzlich MUSS es möglich sein, den Zweck einer Datenverarbeitung in für den Betroffenen und die anderen Akteure verständlicher Form textuell anzugeben und zu dokumentieren. Beispiele für über eine Einwilligungserklärung abzubildende Zweckbindungen sind dabei:

  • medizinische Fälle (z.B. anhand von den Zweck determinierenden Diagnosen)
  • medizinische Handlungen (z.B. anhand von auszuführenden Therapien)
  • Vertragskonstrukte (z.B. DMP oder in der integrierten Versorgung)

Regelwerk

Szenario
ID Konzept 1 2 3 4 5 6
Mechanismen zur Definition der zulässigen Nutzung
M2 Regelwerk x x (x)

In den Szenarien 2 und 3 erfolgt die Benennung einer zulässigen Akten-/Datennutzung explizit über ein maschinenlesbares Regelwerk. In einer vom Patienten gegebenen Einwilligung/Autorisierung MUSS dieses Regelwerk in einer für alle Akteure verständlichen Form ausgedrückt werden können.

Die konkrete Kodierung des Regelwerks ist vom Typ und der konkreten Implementierung eines Aktensystems abhängig. In einer PEPA soll das Regelwerk z. B. innerhalb eines CDA-Dokuments enthalten sein, während die ePA-291a hierzu eine vom Patienten im Kontext eines Arztkontakts per eGK signierte XACML-Policy für eine konkrete Datenanforderung oder –bereitstellung nutzt. Auch die Referenzierung vordefinierter Policies über IHE BPPC ist eine zulässige Abbildung des für eine Akte oder eine medizinische IT-Anwendung geltenden Regelwerks.

Für die Spezifikation der aktenübergreifend gültigen (Dokumentation einer) vom Patienten abgegebenen Autorisierung/Einwilligung SOLL daher keine Vorgabe zur konkreten Kodierung eines Regelwerks gemacht werden. Im Sinne des in Kapitel 1 skizzierten Vorgehensmodells genügt es, wenn das für das konkrete Aktensystem erstellte XSLT in der Lage ist, anhand der verfügbaren Angaben das Regelwerk in der vom konkreten Aktensystem vorgegebenen Form zu erzeugen.

Legitimierte Konstrukte

Szenario
ID Konzept 1 2 3 4 5 6
Zur Umsetzung der zulässigen Nutzung legitimierte Konstrukte
AUT Autorisierung x x x x
SP Schweigepflicht(entbindung) x
DVA Datenverarbeitung im Auftrag x

Aus der elektronischen (Dokumentation der) vom Patienten gegebenen Erklärung MUSS ersichtlich sein, ob die Erklärung/Einwilligung eine Autorisierung, Schweigepflichtentbindung und/oder Zustimmung zur Datenverarbeitung im Auftrag handelt. Die Zusammenfassung mehrerer Erklärungen in einer Dokumentation KANN erfolgen, sofern diese Erklärungen das gleiche Zielsystem betreffen (z. B. Autorisierung zur Nutzung einer Akte, die im Auftrag eines Arztes durch einen Dritten betrieben wird). In diesem Fall MUSS jedoch für jede Erklärung separat angegeben werden, durch wen die Aufklärung erfolgte und gegenüber wem die Erklärung abgegeben wurde.


Modellierung der Konzepte und Abbildung auf HL7v2

Die Abbildung der Modelle und Konzepte auf HL7 v2.x kann in Teilen auf dieser Seite nachgelesen werden: