Das wird so nix: ePA 2.0 droht bei Berechtigungsvergabe zu scheitern

Unter dieser Überschrift kritisiert Mark Langguth, von 2007 – 2019 Leiter der Abteilungen Spezifikation sowie Produktmanagement bei der gematik und fachverantwortlich für die elektronische Patientenakte (ePA), seitdem tätig als freier Berater für nutzerzentrierte Prozessdigitalisierungen und Softwareentwicklung im Gesundheitswesen, im Internet-Magazin E-HEALTH-COM das Konzept für zweite Ausbaustufe der elektronischen Patientenakte (ePA), die am 01.01.2022 beginnen soll.

In der ersten Ausbaustufe der ePA – beginnend am 01.01.2021 – wird es allen Versicherten lediglich möglich ist

  • sich für oder gegen die Nutzung der ePA zu entscheiden,
  • im Falle der Nutzung der ePA aber keine Möglichkeit zu haben, den jeweils behandelnden Ärzt*innen nur selektive Zugriffe auf einzelne in der ePA hinterlegte Dokumente oder Dokumentengruppen zu gewähren.

Gegen dieses Konzept hat Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, in einer Stellungnahme vom 19.08.2020 massive datenschutzrechtliche Bedenken angemeldet. Zugleich hat er gegenüber den Krankenkassen, die seiner Datenschutzaufsicht unterliegen, erklärt: Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das in seiner derzeitigen Fassung umgesetzt werden sollte. Meiner Auffassung nach verstößt eine Einführung der elektronischen Patientenakte (ePA) ausschließlich nach den Vorgaben des PDSG an wichtigen Stellen gegen die europäische Datenschutz-Grundverordnung (DSGVO).“

Langguth fragt am Beginn seines informativen Beitrags: „…wie soll oder könnte das ‚feingranulare Rechtemanagement‘, das für die ePA 2.0 ab 2022 vorgesehen ist, genau aussehen? Und kann die ePA 2.0 die gesetzlichen Anforderungen erfüllen? Und fragt weiter: „Was verlangt das PDSG?“ – Spahns sogenanntes Patientendaten-“Schutz“gesetz. Die Antwort: „Der Versicherte soll sowohl die Möglichkeit bekommen, feingranular – also auf Ebene jedes einzelnen Dokuments – Zugriffsrechte zu regeln, als auch auf Ebene eines sogenannten ‚mittelgranularen Berechtigungsmanagements‘. Gemäß § 354 Abs. 2 Satz 1 Nr. 3 PDSG „…hat die Gesellschaft für Telematik […] die Festlegungen dafür zu treffen, dass eine technische Zugriffsfreigabe […] mindestens auf Kategorien von Dokumenten und Datensätzen, insbesondere medizinische Fachgebietskategorien, ermöglicht wird.“

Ein medizinischer und juristischer Laie wird unter “medizinischen Fachgebietskategorien“ vermutlich Hausärzt*innen, Zahnärzt*innen, Frauenärzt*innen, Othopäd*innen oder Psychotherapeut*innen verstehen. Die Gematik sieht das – laut Langguth – anders. Er stellt fest: Schaut man sich nun das Berechtigungskonzept der gematik an, so erlebt man eine Überraschung: Dort finden sich für die Erfüllung der gesetzlichen Vorgabe für mittelgranulare Berechtigungen… die folgenden Dokumentkategorien, auf denen der Versicherte Berechtigungen erteilen kann:

  1. Medikationsplan
  2. Notfalldaten
  3. eArztbrief
  4. Zahnbonusheft
  5. Kinderuntersuchungsheft
  6. Mutterpass
  7. Impfpass
  8. Pflegedokumente
  9. Rezept
  10. Arbeitsunfähigkeitsbescheinigungen
  11. Sonstige von der LEI bereitgestellte (nicht medizinische) Dokumente
  12. Vom Versicherten eingestellte Daten“

Völlig zu Recht stellt Langguth fest: Dies sind mitnichten Fachgebietsgruppen. Auch eine Abgrenzung von fachmedizinischen Inhalten ist anhand dieser Gruppen nicht möglich, da eArztbriefe sowohl von Gynäkologen, Psychotherapeuten, Zahnärzten usw. als auch von Allgemeinmedizinern und Orthopäden geschrieben werden. Es ist das zentrale Element für einen schriftlichen ärztlichen Austausch. Alle Arztbriefe in einen Topf zu werfen, führte wieder genau zu dem „Alles oder nichts“-Prinzip, welches vermieden werden soll. Gleiches gilt auch für die Arbeitsunfähigkeitsbescheinigungen, die von jeder Fachgruppe erstellt werden können. Auch die ‚vom Versicherten eingestellten Daten‘ sammeln sich in der einen gleichnamigen Kategorie, unabhängig davon, ob es sich um einen Artikel der Apothekenumschau, ein Blutdrucktagebuch oder ein Stimmungstagebuch zur Unterstützung der Psychotherapie handelt – obgleich alle diese Dokumente eine sehr unterschiedliche Datensensibilität aufweisen… Auf der anderen Seite werden Kategorien eröffnet, die diesen Namen nicht verdienen, da es zu diesen Kategorien in der Regel genau nur ein (aktuelles) Dokument gibt: ein Medikationsplan, ein Notfalldatensatz, ein Impfpass. Zusätzlich existieren Dokumente, die in keine der von der gematik definierten Dokumentkategorien fallen. So gibt es keine gematik-Dokumentkategorien, denen beispielsweise radiologische oder dermatologische Bilder, Laborbefunde oder Anamnesebögen zugeordnet werden könnten. Wie diese Dokumente kategorisiert werden sollten, ist völlig ungeregelt – und damit für den Versicherten auch nicht steuerbar.“

Langguth bewertet das zu Recht wie folgt: „Es zeigt sich also, dass die von der gematik definierten ‚Dokumentkategorien‘ … den gesetzlichen Vorgaben zu widersprechen (scheinen), denn obige Dokumentkategorien der gematik sind schwerlich Kategorien, ‚die eine Zuordnung zu medizinischen Fachgebieten ermöglichen‘“.

Warum

veröffentlicht ein Mann, der der gematik über viele Jahre beruflich verbunden war und sich auch heute noch als Sprachrohr pro gematik und pro ePA versteht (siehe seine Homepage und seinen Twitter-Account @MLangguth) in einem Medium, das als Lobby-Magazin für die IT-Gesundheitsindustrie bekannt ist, einen solchen Verriss am Berechtigungskonzept für zweite Ausbaustufe der ePA?

Der Verfasser dieses Beitrags vermutet: Es ist die Angst davor, dass Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, in einem Jahr in einer erneuten Stellungnahme auch gegenüber dem Berchtigungskonzept der ePA 2.0 massive datenschutzrechtliche Bedenken anmelden wird.

Aber das Berechtigungskonzept der gematik ist nicht der einzige Kritikpunkt von Langguth:

Auch bei der Praktikabilität hakt es noch

– stellt er in seinem Beitrag fest und benennt ein Beispiel: „In den Vorgaben finden sich weitere Festlegungen, deren Praktikabilität zumindest hinterfragt werden darf. So muss zum Beispiel ein Versicherter zur Berechtigungsfreigabe vor Ort in der Praxis mehr als zwölf Mal die ‚OK-Taste‘ am Kartenterminal drücken, bevor er seine PIN eingibt, um seinem Hausarzt den Zugriff auf alle Dokumentgruppen zu ermöglichen.“

 

Ein Gedanke zu „Das wird so nix: ePA 2.0 droht bei Berechtigungsvergabe zu scheitern“

  1. Nein, der Grund für meinen Artikel ist KEINE Angst vor Datenschutzbedenken (dazu sehe ich kein Grund!), sondern sind ausschließlich Usability-Aspekte.
    Die von mir vermissten Fachgebietsgruppen sind im Korrektur-Release 4.0.1 nun vorgesehen. Jedoch bleibt die ePA 2.0-Spec aus meiner Sicht in der Usability hinter den Bedarfen zurück. Hier ist aus meiner Sicht noch Anpassungsbedarf – im Unterschied zu den Datenschutzaspekten, die sind aus meiner Sicht hinreichend abgedeckt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*