Elektronische Patientenakte I.
Montag, 29.06.2009
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zu Monatsbeginn Datenschutz-Risiken im Zusammenhang mit der sogenannten „elektronischen Patientenakte“ angemahnt (02.Juni 2009/datenschutz02), wie sie in Hamburger Krankenhäusern bereits geführt wird. In diesem Zusammenhang fragen wir den Senat:
1. Welche Krankenhäuser in Hamburg haben bereits die sogenannte „elektronische Patientenakte“ (im folgenden „EPA“ abgekürzt) eingeführt?
2. Welche Krankenhäuser haben die EPA noch nicht eingeführt?
a) Welche dieser Krankenhäuser planen eine Einführung?
b) Welche der unter 2. genannten Krankenhäuser haben sich gegen eine Einführung ausgesprochen?
3. Welche Patienten-Daten werden bei der EPA erhoben?
4. Inwieweit wird die Krankengeschichte der Patienten erfasst und abgespeichert, und wird dabei auch der jeweilige behandelnde Hausarzt mit einbezogen?
5. Zur Speicherung der Daten:
a) Handelt es sich um zentrale Server auf denen die Daten gespeichert werden, oder werden die Daten dezentral und lokal gespeichert mit der Möglichkeit des lokalen Netzwerkzugriffs?
b) Kann online – etwa auch von den jeweiligen Hausarztpraxen oder des Krankenhauspersonals extern – auf die Daten zugegriffen werden?
c) Wer hat alles Zugriff auf die Daten? Bitte nach Funktionsgruppen aufschlüsseln.
d) Für den Fall, dass es sich in der Antwort auf 5. c) nicht nur um Ärzte und Pflegepersonal handelt, warum muss weiteres Funktionspersonal in den Krankenhäusern Zugriff gewährt werden?
e) Trifft es zu, dass selbst IT-Mitarbeiter Einsicht in Krankenakten nehmen können oder dürfen? Wenn ja, welche Maßnahmen gedenkt der Senat zu ergreifen, diese Möglichkeit zu unterbinden?
f) Durch welche Passwortabfrageroutinen sind die Daten vor Fremdzugriff geschützt?
g) Welche Routinen verhindern, dass Daten, die sich auf dem Bildschirm eines Computer-Arbeitsplatzes befinden, nicht von Nichtzugriffsberechtigten eingesehen werden können, wenn der Zugriffsberechtigte seinen Arbeitsplatz verlässt? Gibt es ein zeitliches, kurzfristiges Logout oder zum Beispiel einen programmabhängigen, automatisch einsetzenden Bildschirmschoner mit Passwortabfrage zu seiner Aufhebung?
h) Trifft es zu, dass auch Daten von Klinikmitarbeitern gespeichert werden und wenn ja, erfahren diese einen besonderen Abfrageschutz?
6. Werden die Daten von Patienten auch extern auf elektronischem Wege weitergegeben zum Beispiel von Krankenhaus zu Krankenhaus?
7. Ist beabsichtigt, einen gemeinsamen Daten-Pool zu schaffen, in dem Daten der elektronischen Patientenakte gemeinsam mit Daten der elektronischen Gesundheitskarte gespeichert werden? Wenn ja, warum?
8. Werden die Daten von Patienten jemals wieder gelöscht? Wenn ja, nach der erfolgreichen Behandlung eines Patienten oder wie bei Telefonverbindungen in einem bestimmten zeitlichen Zyklus?
9. Wenn Daten nicht gelöscht werden, werden sie dann gesperrt? Wenn ja, innerhalb welcher Routinen?
10. Teilt der Hamburger Senat die Bedenken seines Datenschutzbeauftragten?
11. Trifft es zu, dass selbst für die Speicherung von Telefonverbindungen spezifische gesetzliche Vorgaben gelten, für die krankenhausinternelektronische Patientenakte jedoch nicht?
12. Wie bewertet der Senat diesen Umstand, und gedenkt er, Maßnahmen dagegen auf Bundesebene und im Bereich der Freien und Hansestadt Hamburg zu ergreifen?