Rudolf Waldispühl ist Country Manager von InterSystems in der Schweiz.

Jeder Schweizer soll in Zukunft einem Arzt seiner Wahl alle Gesundheitsdaten zugänglich machen und Leistungen von ihm beziehen können. Das sieht die Strategie «eHealth Schweiz« vor. Das Mittel dazu: elektronische Patientendossiers. Das Patientendossier könnte eine wichtige Voraussetzung schaffen, um Diagnosen sicherer, schneller und wirtschaftlicher zu stellen. Dafür muss die Datei relevante Informationen über frühere Erkrankungen, Therapien und aktuelle Probleme den Ärzten und anderen Leistungserbringern verlässlich zugänglich machen. Damit das Dossier einen Beitrag zur Verbesserung der Patientensicherheit leisten kann, müssen jedoch mehrere Voraussetzungen erfüllt sein.

Sicherheit beginnt bei der eindeutigen Identifikation von Patienten. Die Vielzahl verschiedener Systeme, die heute bei Ärzten, Krankenhäusern und anderen Leistungserbringern im Einsatz sind, erschwert die
Patientenidentifikation. Die meisten Systeme nutzen ihre eigenen Identifikatoren. Aufgrund von Fehlerfassungen kommt es häufig vor, dass ein System unterschiedliche Identifikatoren für einen Patienten vergibt. Der Weg aus diesem Irrgarten führt über den Master Patient Index (MPI) als Teil der Hub-Komponente in Lösungsplattformen für das Gesundheitswesen (siehe Kasten).

Der MPI verwaltet für jeden Patienten die in den verschiedenen Systemen verwendeten Patienten-Identifikatoren - oft auch weitere wie zum Beispiel Fallidentifikatoren. Die Zuordnung der Identifikatoren erfolgt anhand von Geschäftsregeln, die auch definieren, ob in Zweifelsfällen manuelle Eingriffe erforderlich und zulässig sind. Ebenso existieren Regeln zur Erkennung und Behandlung von Dubletten.
Via MPI sorgt eine Lösung zur Erstellung elektronischer Gesundheitsakten wie zum Beispiel HealthShare der Herstellerin InterSystems dafür, dass ein System auf alle im Netzwerk verfügbaren Patienteninformationen zugreifen kann. Dafür muss es lediglich seinen eignen Patienten-Identifikator kennen. Damit ist ein weiterer Vorteil verbunden: Die Daten bleiben im jeweiligen Quellsystem gespeichert, Ärzte und Kliniken brauchen ihre Daten nicht herauszugeben. Ein ausgeklügeltes System von Verlinkungen und Pointers sorgt dafür, dass nur Berechtigte einen Zugang zu den elektronischen Daten bekommen.

Mit dem MPI ist ein erster Schritt zur Verbesserung der Sicherheit getan. Die Gefahr von Verwechslungen wird minimiert. Durch den Zugang zu allen relevanten Informationen steigt gleichzeitig die Qualität der Leistung am «Point of Care». Allerdings erhöhen sich parallel dazu auch die Anforderungen an Datenschutz und Sicherheit.

Wer hat und bekommt via MPI Zugriff auf welche Patientendaten, das ist die entscheidende Frage. Die Antwort lautet: Die Kontrolle über die Daten liegt beim Patienten selbst. Entsprechend sind Massnahmen gefordert, die ein Höchstmass an Datenschutz und Sicherheit gewährleisten.
Als Lösung zum Verwalten der medizinischen Daten durch den Patienten bieten sich sogenannte Consent-Management-Systeme an. Solche Systeme verlangen das explizite Einverständnis des Patienten für die Einsichtnahme in seine Daten. Die Patienten geben die eigenen medizinischen Daten selbst zur Einsichtnahme frei.

Für die Einhaltung der vom Patienten definierten Datenfreigaberegeln gibt es zwei Möglichkeiten: Erhält der Hub, auf dem auch der MPI untergebracht ist, die Anfrage, anhand demografischer Daten einen Patienten zu identifizieren, zeigt er nur die Personen an, die einem Eintrag in den MPI zugestimmt haben. Bei einer Abfrage für einen bestimmten Patienten stellt das System dann dem Auskunftssuchenden nur die Teile des Datensatzes zur Verfügung, die der Patient für die gemeinsame Nutzung freigegeben hat. Moderne Consent-Management-Systeme bieten überdies zwei Alternativen bei der Patientenfreigabe: Entweder wird die ausdrückliche Zustimmung von jedem einzelnem Patienten verlangt oder die Zustimmung gilt so lange als vorausgesetzt, bis ein Patient seine Freigabe ausdrücklich widerruft.

Für die strikte Einhaltung der Datenschutz- und Sicherheitsstandards steht ein breites Spektrum von Technologien zur Verfügung: so etwa Verschlüsselung, starke Authentifizierung, rollenbasierte Zugriffsregelung, detaillierte Sicherheitsrichtlinien und die Sicherung der Audit-Protokollierung gegen unerlaubte Zugriffe. Wie ausgeklügelt die Sicherungsmassnahmen sind, zeigt exemplarisch die im Gesundheitswesen verbreitete Datenbank Caché. Sie kann den kompletten Inhalt einschliesslich aller Indizes verschlüsseln, sodass sämtliche klinischen und demografischen Daten sowie alle vom Abfragesystem generierten Audit- und Protokolldaten geschützt sind. Caché verwendet dazu den starken symmetrischen AES-Algorithmus (Advanced Encryption Standard) mit 256-Bit-Schlüsseln. Diese Technik wird auch von US-amerikanischen Behörden für Daten der höchsten Geheimhaltungsstufe verwendet. Die Technik für das digitale Patientendossier und die erforderliche Sicherheitsinfrastruktur sind also vorhanden. Anwendungsbeispiele in anderen Ländern zeigen, dass solche Systeme in der Praxis funktionieren.
So hat Holland bereits im Jahr 2005 mit dem Aufbau einer Infrastruktur für den elektronischen Austausch von Patienteninformationen zwischen allen Leistungserbringern begonnen. Der Gesunheitsdienstleister Partners Healthcare in den USA hat ein System für die elektronische Patientenakte aufgebaut, auf das 61 Prozent der Hausärzte im Unternehmensverbund zugreifen. Die Krankenhausgruppe Vimercate in der Nähe von Mailand hat für ihre sieben Spitäler eine elektronische Gesundheitsakte eingeführt. Die Implementierung dauerte lediglich drei Monate und gilt mittlerweile als Modell für ganz Norditalien. Erst kürzlich entschied sich Schweden für eine nationale Patientenakte auf Basis der HealthShare Software von InterSystems. Die Betreiber rechnen damit, dass die Lösung schon in zwölf Monaten in Betrieb geht. Dann sollen lokale und regionale Gesundheitsversorger aus dem öffentlichen wie privaten Sektor die Patienteninformationen gemeinsam nutzen können.

Patientendossier


Vier Bausteine einer Gesundheitsplattform


Die gemeinsame Nutzung von medizinischen Daten auf regionaler und nationaler Ebene
verlangt als conditio sine qua non eine Lösungsplattform, die vier logisch aufeinander abgestimmte Komponenten umfasst. Diese sind:

1. Eine elektronische Patientenakte auf Browser-Basis, die gleichermassen den Ärzten, dem Klinikpersonal und den Apotheken einen schnellen und einfachen Zugriff auf alle nötigen Patientendaten möglich macht.

2. Einen Datenspeicher, der alle medizinischen Informationen enthält, die eine teilnehmende Organisation zur Verfügung stellt. Meist verfügt jede Behandlungsorganisation über einen eigenen Datenspeicher.

3. Eine Integrationsplattform, die verschiedene Organisationen des Gesundheitswesens miteinander verbindet. Jeder Behandlungsstandort verfügt über ein Gateway, das zum einen die lokalen Systeme an den Datenspeicher des Standorts anbindet, zum anderen die elektronische Patientenakte mit den Datenspeichern der angeschlossenen Standorte und einem zentralen Index verbindet.

4. Ein zentraler Index über alle Patientendaten in allen teilnehmenden Organisationen. Dieser so genannte Hub wird für die eindeutige Patientenidentifikation verwendet und weiss, welcher Datenspeicher welche Patientendaten bereithält. Hier sind auch Informationen über Sicherheit und Datenschutz untergebracht.