Technische Tücken und Eigenheiten
Ab 2020 müssen Spitäler und Kliniken mit dem elektronische Patientendossier (EPD) arbeiten können, Pflegeheime ab 2022. Keinen Fristen unterliegt der ambu lante Bereich, und für die Bevölkerung ist die Teilnahme am EPD freiwillig. Mana gement und Qualität führte ein Interview mit Claudio Fuchs, einem Experten für Berechtigungsmanagement, um die Tücken zur Einführung des EPD zu diskutieren.
In Sachen digitalisierter Behördendienstleis tungen hinkt die Schweiz anderen Ländern hinterher. Im Gesundheitsbereich soll es nun aber vorwärtsgehen: Ab 2020 soll das elektro nische Patientendossier EPD die Kranken akten auf Papierbasis sukzessive ergänzen. Dass dabei der Datenschutz in diesem sensib len Bereich grossgeschrieben werden muss, versteht sich von selbst. Und: Nicht jeder ist auch berechtigt, auf die elektronischen Pati entendaten zuzugreifen. Dies führt dazu, dass viele Kliniken vor organisatorischen und pro zessualen Herausforderungen stehen. So wird etwa ein Identitätenmanagement benötigt.
Mit der Einführung des EPD ändert sich ja um das Benutzer- und Berechtigungs- management einiges. Ab April 2020 müssen die Spitäler erstmals ein Identitätenmana- gement betreiben. Herr Fuchs, was heisst das genau für Spezialisten wie Sie?
Vorab zwei Punkte: Erstens haben die Patien ten stets Hoheit über die Zugriffe. Der Patient soll also die volle Kontrolle über seine eigenen Daten erhalten. Die elektronische Verwaltung von besonders schützenswerten Daten ist je doch komplex. Das heisst etwa, dass die Leis tungserbringer ihr behandelndes Personal na mentlich anzugeben haben, damit die Patien ten über deren Zugriffe Bescheid wissen und diese auf Wunsch unterbinden können. In der Schweiz ist zudem vorgesehen, dass die Pati enten positive und negative Berechtigungen auf einzelne Berichte setzen können.
Nun aber zum zweiten Punkt: Generell muss man zwischen der klassischen Patienten akte als PrimärDokumentation und dem neuen Dossier als SekundärDokumentation unterscheiden. Das EPD muss bei der Einwei sung der Patienten aus einem zentralen Ver zeichnis der Stammgemeinschaft herunter geladen werden, damit es ergänzt und beim Austritt wieder hochgeladen werden kann. Der Patient bestimmt dabei, welche Teile des Dossiers für welche Spitäler oder Ärzte sicht bar sind, und hat damit die Kontrolle über seine eigenen Daten, sein elektronisches Dos sier. Die Spitäler und die nachfolgenden am Behandlungsprozess Teilnehmenden sind ge setzlich verpflichtet, per April 2020 an eine Stammgemeinschaft angeschlossen zu sein.
Sehen Sie weitere technische Graubereiche, die nicht einfach in den Griff zu bekommen sind?
Das eine ist die Transformation der Dossiers in sichere Datenspeicher. Es gibt jedoch auch weniger technische Probleme wie die Fluktu ationsraten beim Personal, die ebenfalls He rausforderungen mit sich bringen. Aus Sicht des Benutzer und Berechtigungsmanage ments ergeben sich zwei wesentliche Hand lungsfelder: Zum einen ist dies die Identifika tion und Authentisierung des medizinischen Personals und des Hilfspersonals für Zugriff aufs Dossier bei der Stammgemeinschaft und die Ausgabe der erforderlichen Identifikati onsmittel (Schnittstelle ITI40 nach IHE Re ferenzarchitektur). Zum andern die Über mittlung der aktuellen und korrekten Personaldaten des relevanten medizinischen Per sonals und der Hilfspersonen zur Stamm gemeinschaft (Schnittstelle ITI59 nach IHE Referenzarchitektur).
Sind die Spitäler dazu bereit und was sind die grössten Hemmnisse in Bezug auf das EPD-Benutzer- und -Berechtigungsmanage- ments?
Unterschiedlich; es gibt Spitäler, die bereits viele Aspekte des EPD eingehend beleuchtet haben, etwa auch das Benutzer und Berechtigungsmanagement. Andere stehen noch ganz am Anfang und realisieren, welche Ver änderungen das EPD mit sich bringt. Ein grosses Hemmnis ist die Vorbereitung und das Gestalten eines Identitätsmanagements. Denn jeder Spitalmitarbeiter muss als elek tronische Identität abgebildet werden. Damit erlaubt man die digitale Verwaltung der da zugehörigen Benutzerkonten in den Systemen und Applikationen sowie der Identifika tionsmittel, wie Badge oder SuisseID. Diese Identität muss korrekt mit Attributen wie Name, Beruf, Titel, eindeutige Ärztenummer oder Institut befüllt und regelmässig an eine Stammgemeinschaft übermittelt werden. All das geht nur mit einem automatisierten IAM System, welches diese geforderten Qualitäten und Sicherheiten auch bieten kann.
All diese Anforderungen bedingen eine universale Lösung für die Authentisierung. Was empfehlen Sie Spitälern bezüglich der zu integrierenden Anwendungsprogramme – «make or buy»?
Dies ist momentan wirklich ein grosser, offe ner Punkt. Deshalb rate ich davon ab, jetzt be reits dazu einen Entscheid zu fällen. Ich emp fehle, intern die zuständigen Stellen für die Ausgabe solcher Identifikationsmittel anzu denken und auch in den Mitarbeiterprozes sen für Eintritt und Austritt entsprechende Aufgaben vorzusehen, aber technisch noch keine Beschaffung vorzunehmen. Es ist auch zu erwarten, dass noch einige Anbieter auf
Um sicherzustellen, dass nur berechtigtes medizinisches Personal auf das EPD zugreift, benötigen Spitäler ein Identitätenmanagement. dem Markt auftauchen und neue Kompeten zen ins Spiel bringen. Wenn also ein Spital die Möglichkeit hat, als Identitätsprovider aufzu treten, kann es grundsätzlich selbst über Pro zess und Technik der Identifikationsmittel entscheiden. Diese Identifikationsmittel müs sen auch nicht mehr physischer Natur sein, sondern beispielsweise mit Apps und Smart phone durchaus funktionieren.
Einige Spitäler haben bereits Mehrfaktor Authentisierung im Einsatz. Unter Umständen kann diese so ausgeweitet werden, dass die An forderungen erfüllt sind und Mitarbeitende sehr flexibel damit ausgestattet werden kön nen. Aber auch umgekehrt; für kleinere Spitä ler kann es sein, dass dieser Aufwand und die Kosten zu hoch sind und sie sich deshalb auf dem freien Markt eindecken. Das Spitalma nagement tut gut daran, die verschiedenen Möglichkeiten genau zu prüfen.
Und funktioniert das EPD, gibt es schon Projekte – allenfalls ein Fazit?
Ja, das gibt es. Der Kanton Genf hatte eine Art «EPD light» als Pilotprojekt gestartet und 2017 ausgewertet. Es zeigte sich, dass wahrschein lich in städtischen Agglomerationen viele Pa tienten auf die digitale Zukunft setzen. Innert kurzer Zeit waren rund 28000 Patienten re gistriert, was in etwa fünf Prozent der Genfer Bevölkerung entspricht.
Sehen Sie noch weitere offene Punkte, die man nächstens abklären sollte?
Wenn Sie so fragen: Die rechtzeitige, systema tische Planung ist das A und O. Es geht nicht nur um prozessuale Fragen bei der Installati on der Software, es geht auch um die Definiti on von Mehrfachanstellungen des Personals (z.B. als Oberarzt und gleichzeitig als Beleg arzt). Die organisatorischen Zuständigkeiten müssen früh geregelt werden. Die HRAbtei lungen geraten dabei zuerst in den Fokus. HR, IT, Ärzteschaft und Pflege müssen eng zusam menarbeiten. Wichtig ist es, Prozesse nicht auf eine Abteilung hin isoliert anzuschauen. Dies wäre nicht zielführend. Spitäler müssen etwa sicherstellen, dass Ärzte möglichst ab lungen geraten dabei zuerst in den Fokus. HR, IT, Ärzteschaft und Pflege müssen eng zusam menarbeiten. Wichtig ist es, Prozesse nicht auf eine Abteilung hin isoliert anzuschauen. Dies wäre nicht zielführend. Spitäler müssen etwa sicherstellen, dass Ärzte möglichst ab.
