Die Tücken des elektronischen Patientendossiers EPD
Auf 2020 werden sich Spitäler, Pflegeheime, Hausärzte, Labore mit dem elektronischen Patientendossier (EPD abgekürzt) ausrichten müssen. Hierzu sind sie gesetzlich verpflichtet. Management und Qualität führte ein Interview mit *Claudio Fuchs, einem Experten für Berechtigungsmanagement, um die Tücken zur Einführung des EPD zu diskutieren.
Mit der Einführung des EPD ändert sich ja um das Benutzer- und Berechtigungsmanagement einiges. Ab April 2020 müssen die Spitäler erstmals ein Identitäten-Management betreiben. Herr Fuchs, was heisst das genau für Spezialisten wie sie?
Vorab zwei Punkte; die Patienten haben stets Hoheit über die Zugriffe. Der Patient soll also die volle Kontrolle über seine eigenen Daten erhalten. Die elektronische Verwaltung besonders schützenswerten Daten ist jedoch komplex. Das heisst zum Beispiel, dass die Leistungserbringer ihr behandelndes Personal namentlich anzugeben haben, damit die Patienten über deren Zugriffe Bescheid wissen und diese auf Wunsch unterbinden können.
In der Schweiz ist vorgesehen, dass die Patienten positive und negative Berechtigungen auf einzelne Berichte setzen können.
Nun aber zum zweiten Punkt: Generell muss man zwischen der klassischen Patientenakte als Primär-Dokumentation und dem neuen Dossier als Sekundär-Dokumentation unterscheiden. Das EPD muss bei der Einweisung der Patienten aus einem zentralen Verzeichnis der Stammgemeinschaft heruntergeladen werden, damit es ergänzt und beim Austritt wieder hochgeladen werden kann.
Der Patient bestimmt dabei, welche Teile des Dossiers für welche Spitäler oder Ärzte sichtbar sind und hat damit die Kontrolle über seine eigenen Daten, sein elektronisches Dossier. Die Spitäler und die nachfolgenden am Behandlungsprozess Teilnehmenden sind gesetzlich verpflichtet, per April 2020 an eine Stammgemeinschaft angeschlossen zu sein.
Sehen Sie weitere technische Graubereiche, die nicht einfach in den Griff zu kriegen sind?
Das eine ist die Transformation der Dossiers in sichere Datenspeicher. Es gibt jedoch auch weniger technische Probleme wie die Fluktuationsraten beim Personal, die doch auch Herausforderungen mit sich bringen. Aus Sicht des Benutzer- und Berechtigungsmanagements ergeben sich zwei wesentliche Handlungsfelder:
– Die Identifikation und Authentisierung des medizinischen Personals und des Hilfspersonals für Zugriff aufs Dossier bei der Stammgemeinschaft und die Ausgabe der erforderlichen Identifikationsmittel (Schnittstelle ITI-40 nach IHE Referenzarchitektur) und
– die Übermittlung der aktuellen und korrekten Personaldaten des relevanten medizinischen Personals und der Hilfspersonen zur Stammgemeinschaft (Schnittstelle ITI-59 nach IHE Referenzarchitektur).
Sind die Spitäler dazu bereit und was sind die grössten Hemnisse in Bezug auf das EPD-Benutzer- und -Berechtigungsmanagements?
Unterschiedlich; es gibt Spitäler, die bereits viele Aspekte des EPD eingehend beleuchtet haben, etwa auch das Benutzer- und Berechtigungsmanagement und andere stehen noch ganz am Anfang und realisieren, welche Veränderungen das EPD mit sich bringt. Ein grosses Hemmnis ist die Vorbereitung und das Gestalten eines Identitätsmanagement. Denn jeder Spitalmitarbeiter muss als elektronischen Identität abgebildet werden.
Damit erlaubt man die digitale Verwaltung der dazugehörigen Benutzerkonten in den Systemen und Applikationen sowie der Identifikationsmittel, wie Badge oder SuisseID. Diese Identität muss korrekt mit Attributen wie Name, Beruf, Titel, eindeutige Ärztenummer oder Institut befüllt und regelmässig an eine Stammgemeinschaft übermittelt werden. All das geht nur mit einem automatisierten IAM-System welches diese geforderten Qualitäten und Sicherheiten auch bieten kann.
All diese Anforderungen bedingen eine universale Lösung für die Authentisierung. Was empfehlen Sie Spitälern bezüglich der zu integrierenden Anwendungsprogramme – „make or buy“?
Dies ist momentan wirklich ein grosser, offener Punkt. Deshalb rate ich davon ab, jetzt bereits dazu einen Entscheid zu treffen. Ich empfehle, intern die zuständigen Stellen für die Ausgabe solcher Identifikationsmittel anzudenken und auch in den Mitarbeiterprozessen für Eintritt und Austritt entsprechende Aufgaben vorzusehen, aber technisch noch keine Beschaffung vorzunehmen.
Es ist auch zu erwarten, dass noch einige Anbieter auf dem Markt auftauchen und neue Kompetenzen ins Spiel bringen. Wenn also ein Spital die Möglichkeit hat, als Identitätsprovider aufzutreten, kann es grundsätzlich selbst über Prozess und Technik der Identifikationsmittel entscheiden. Diese Identifikationsmittel müssen auch nicht mehr physischer Natur sein sondern beispielsweise mit Apps und Smartphone durchaus funktionieren.
Einige Spitäler haben bereits Mehrfaktor-Authentisierung im Einsatz. Unter Umständen kann diese so ausgeweitet werden, dass die Anforderungen erfüllt sind und Mitarbeitende sehr flexibel damit ausgestattet werden können. Aber auch umgekehrt; für kleinere Spitäler kann es sein, dass dieser Aufwand und die Kosten zu gross, zu teuer sind und sie sich deshalb auf dem freien Markt eindecken. Das Spitalmanagement tut gut daran, die verschiedenen Möglichkeiten genau zu prüfen.
Und fuktioniert das EPD, gibt es schon Projekte allenfalls ein Fazit?
Ja, das gibt es. Der Kanton Genf hatte eine Art «EPD light» als Pilotprojekt gestartet und 2017 ausgewertet. Es zeigte sich, dass wahrscheinlich in städtischen Agglomerationen viele Patienten auf die digitale Zukunft setzen. Innert kurzer Zeit waren rund 28’000 Patienten registriert, was in etwa 5 Prozent der Genfer Bevölkerung entspricht.
Sehen Sie noch weitere offene Punkte, die man nächstens abklären sollte?
Wenn Sie so fragen, ist die rechtzeitge, systematische Planung das A und O. Es geht nicht nur um prozessuale Fragen bei der Installation der Software, es geht auch um die Definition von Mehrfachanstellungen des Personals (z. B. als Oberarzt und gleichzeitig als Belegarzt). Die organisatorischen Zuständigkeiten müssen früh geregelt werden.
Die HR-Abteilungen geraten dabei zuerst in den Fokus. HR, IT, Ärzte und Pflege müssen eng zusammenarbeiten. Wichtig ist es, Prozesse nicht auf eine Abteilung hin isoliert anzuschauen. Dies wäre nicht zielführend. Spitäler müssen etwa sicherstellen, dass Ärzte möglichst ab dem ersten Arbeitstag über ein Identifikationsmittel verfügen.
Wie bei einer Bank müssen Eintritte frühzeitig komplett gemeldet werden, und die IT hat die Identifikationsmittel sowie die relevanten Personen korrekt in der Stammgemeinschaft zu registrieren.
*Claudio Fuchs, Managing Director Switzerland & Austria, IPG, verantwortet und koordiniert das Projektgeschäft der IPG in der Schweiz und in Österreich. Seit rund 12 Jahren beschäftigt sich Claudio Fuchs mit dem Thema IAM. Er hatte dabei in verschiedenen Funktionen als IAM Experte gewirkt und hat Expertise von der Projektleitung bis zur Umsetzung. Claudio Fuchs ist in der Nebenbeschäftigung als Dozent für Projekt und Qualitätsmanagement in einer Schweizer Hochschule tätig.