Montag, 17. Juli 2017

EU Datenschutz-Grundverordnung: Patienten haben ein Recht auf Standards! FHIR!


Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft, eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.
Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG.

Die Auswirkungen dieser Verordnung auf den Einsatz von Interoperabilitätsstandards im Gesundheitswesen sind gravierend.

Die wichtigsten Unterschiede im Überblick:
  • Die Zustimmung zur Sammlung und Weiterverarbeitung personenbezogener Daten muss explizit und zweckgebunden eingeholt werden (so genanntes Opt-In). Daten im Kontext medizinischer Behandlung sind hiervon teilweise ausgenommen.
  • EU-Bürger haben das Recht, die Löschung der über Sie gesammelten personenbezogenen Daten zu fordern.
  • EU-Bürger haben das Recht, ihre persönlichen Daten von einem elektronischen System in ein anderes zu übertragen, ohne vom Besitzer dieser Daten daran gehindert zu werden. Die Daten müssen in einem strukturierten, standardisierten, maschinenlesbaren Format zur Verfügung gestellt werden.
  • Im Gegensatz zur vorhergehenden Richtlinie, die auf Staatsebene in geltendes Recht übersetzt wurde, hat die DSGVO Europaweit unmittelbar die Kraft eines Gesetzes.
  • Die Verordnung gilt auch außerhalb der EU für alle Organisationen, die Daten von EU-Bürgern speichern, verarbeiten oder übermitteln, unabhängig davon, ob diese Firmen in der EU ansässig sind oder nicht.

Recht auf Datenübertragung (Artikel 12 EU-DSGVO)

Das Recht auf Datenübertragung umfasst:
  • automatisch erfasste Daten
  • Daten, zu denen die Person selbst beigetragen oder die sie erfasst hat
    (z.B. Anamnese, Dauermedikation, Allergien, Messdaten von Wearables, Heimgeräten etc.)
  • alle für die Interpretation dieser Daten relevanten Metadaten
    (z.B. Datum, Uhrzeit, Ort, Kontext)
Es umfasst nicht
  • Daten, die vom Dienstleister selbst erhoben wurden.
    (z.B. Diagnosen, Prozeduren, Behandlungspläne)
Zwar hat jeder Patient grundsätzlich das Recht, seine Medizinischen Daten einzusehen, das in der DSGVO verankerte Recht auf elektronische Übertragbarkeit betrifft jedoch nur die vom Patienten selbst beigetragenen Informationen.

Während die für die Medizinische Versorgung und Vorsorge erforderlichen Daten einerseits von der Verordnung ausgeschlossen sind, schließt eine weitere Klausel jene Daten ein, für deren Erfassung und Weiterverarbeitung der Patient eine explizite Zustimmung erteilt hat.
Daher werden vorwiegend regionale und nationale Netzwerke für den Austausch patientenbezogener Daten von der Verordnung betroffen sein.

Die größte Herausforderung, die alle Dienstleiter im Gesundheitswesen betrifft, ist unterscheiden zu können, welche der erfassten Patientendaten dem Recht auf Übertragbarkeit unterliegen und welche nicht. Wenn dies nicht möglich ist, bleibt keine andere Wahl, als alle Daten in einem standardisierten, maschinen-lesbaren Format zum Transfer bereitzustellen.

Auswirkungen auf die Verwendung von Interoperabilitätsstandards im Gesundheitswesen

Die  EU Verordnung schreibt keinen konkreten Standard für den Datenaustausch vor. In den Leitlinien zum Recht auf Datenübertragbarkeit (Artikel 20) heißt es:
Die DSGVO verpflichtet die für die Verarbeitung Verantwortlichen dazu, die von der Person angeforderten personenbezogenen Daten in einem Format bereitzustellen, das eine Weiterverwendung ermöglicht. Gemäß Artikel 20 Absatz 1 der DSGVO müssen die personenbezogenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ bereitgestellt werden. 
Jedoch lassen die hohen Anforderungen an einen solchen Standard wenig Wahlfreiheit:
ein geeigneter Standard für die Abbildung der DSGVO muss
  • die patientenbezogenen Daten strukturiert und maschinenlesbar repräsentieren
  • ebenso die zur Interpretation dieser Informationen erforderlich Metadaten
  • vom Patienten explizit erteilte Einwilligungen verwalten und mit den darunter fallenden Daten verlinken
  • den Informationen verschiedene Sicherheitsstufen zuweisen (abhängig davon, ob Sie unter das Übertragungsrecht fallen oder nicht)
  • die Herkunft der Information nachhalten (Artikel 15).
Weiterhin verlangt die Verordnung die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Datenqualität (Auditing) und in Bezug auf personenbezogene Daten Informationen über Zugriffe darauf oder Empfänger davon (Artikel 15).

Die DSGVO fordert damit wie schon erwähnt ebenso ein, dass die Herkunft der Daten festgehalten werden muss. Diese unter dem Begriff Provenance geführte Anforderung wurde bisher nur wenig bis gar nicht beachtet oder implementiert und dürfte entsprechende Folgen haben.

Zudem wird zu beachten sein, dass der §203 Strafgesetzbuch Verletzung von Privatgeheimnissen nach der Anpassung auch für IT-Personal im Gesundheitswesen gültig sein wird.

Die EU-Leitlinien fordern Industrie und Handel dazu auf, sich gemeinsam auf Standards und Formate zu einigen, um die Anforderungen der Übertragungsrechtes zu implementieren.
Weiterhin wird die  Bereitstellung einer sicheren und wohldokumentierten API empfohlen.

Der wichtigste momentan verfügbare (Prä-)Standard, der diese Anforderungen abdecken kann, ist FHIR. FHIR bietet einerseits die dokumentierte API inklusive eines Frameworks für Authentifizierung und Autorisierung (SMART-on-FHIR) als auch die Artefakte um die relevanten medizinischen und personenbezogenen Daten maschinenlesbar und strukturiert erfassen, auswerten und übertragen zu können.

Auch Auditing, Herkunftsverfolgung (Provenance), SecurityLabels und Einwilligungen können mit Hilfe des umfassenden Security/Privacy-Moduls in FHIR abgebildet werden.

René Spronk, langjähriger Berater, Blogger und Anbieter von Schulungen im Bereich der Standardisierung im Gesundheitswesen schreibt dazu in seinem Artikel, der als Grundlage und Anregung zu diesem Beitrag diente:

FHIR could be that standard.

Quelle: http://www.ringholm.com/column/GDPR_impact_on%20healthcare_data_interoperability.htm

Weitere Quelle:
https://www.healthcare-informatics.com/blogs/david-raths/interoperability/could-european-data-protection-regulation-give-fhir-boost
-->