Die elektronische Patientenakte und die (de-)zentrale Rolle digitaler Identitäten

Zum 1. Januar 2021 ist die elektronische Patientenakte (ePA) in ihrer ersten Ausbaustufe gestartet. Dieses Digitalisierungsprojekt gilt als ein Meilenstein der deutschen Gesundheitsbranche, denn es soll zunächst bundesweit 73 Millionen gesetzlich Versicherte und 200.000 Leistungserbringer – Krankenhäuser, Arztpraxen, Apotheken, Pflegeheime und andere Gesundheitseinrichtungen – verbinden. Diese Verknüpfung gilt zugleich als eine der größten Herausforderungen, weil es nicht alleine um die Technologie geht, über die das Netzwerk interagieren kann, sondern weil es vor allem um den Patienten und sein Recht auf Sicherheit und Kontrolle über seiner Daten geht. Die ePA in ihrer ersten Ausbaustufe ist bereits früh in die Kritik geraten: Datenschützer warnten, dass eine filigrane und spezifische Datenfreigabe derzeit noch nicht möglich sei. In der aktuellen Entwicklungsstufe werden also entweder alle Daten für alle Leistungsträger freigegeben oder es wird nichts freigegeben. Auch das Anmeldeverfahren, das je nach Krankenkasse definiert wurde und entweder analog über die Geschäftsstellen der Krankenkassen oder über digitale Verfahren erfolgen muss, wird von den IT-Sicherheitsexperten für technisch unsicher und rechtlich unzulässig gehalten.

Die ePA-Teilnehmer, ihre Aufgaben und Rollenverteilungen

Aus der derzeitigen Diskussion kann man bereits erkennen, wie wichtig das Thema Berechtigungsmanagement bei der ePA ist. Gerade die geforderte Granularität bei der Freigabe von Informationen bedeutet eine nicht unerhebliche Komplexität beim Aufbau der zugrundeliegenden Strukturen. Deshalb ist es besonders interessant einmal näher zu betrachten, wie die Verwaltung der Patientendaten innerhalb des Netzwerkes organisiert werden kann, und wie sie organisiert werden sollte. Um diese Aspekte besser verstehen zu können, lohnt sich ein Blick auf die Rollenverteilung der verschiedenen Teilnehmer innerhalb der ePA:

Sponsorships Available

1. Patienten und die Daten und Informationen rund um die individuelle Gesundheitshistorie stellen den Kern der Lösung dar. Sämtliche Daten sowie die Datenhoheit und die Entscheidung darüber, welche Informationen mit welchen Teilnehmern des Netzwerkes geteilt werden, liegen dort.
2. Aufgabe der Leistungserbringer ist es, die erbrachten Leistungen (die Blinddarm-OP, die Zahnreinigung, das Heuschnupfen-Rezept,…), über die Telematikinfrastruktur (TI) dem Patienten digital zuzuordnen. Das heißt, sie müssen den ePA-Datenaustausch in ihre Prozesse integrieren und verstehen, welche Systeme, Komponenten und Schnittstellen erforderlich sind, um die Dienste TI-konform zu betreiben.
3. Den Krankenkassen kommt innerhalb dieses Systems eine besondere Rolle zu. Bislang waren sie lediglich die Abrechnungsstelle für kassenärztliche Leistungen. Doch nun gewinnt ihre Rolle im Zuge der Digitalisierung des Gesundheitssystems wesentlich an Bedeutung: Die einen sehen sie als Lotsen innerhalb des neuen Netzwerks, Deloitte beschreibt sie gar als die Gestalter im Gesundheitswesen, insbesondere was die Steuerungshoheit und den Patientenschutz anbelangt. Über die elektronischen Patientenakte ihrer Versicherten sorgen sie für die Zusammenführung von Daten und sind damit auch verantwortlich für die Sicherheit der ePA.
4. Das Bindeglied zwischen all diesen Beteiligten stellt die Telematikinfrastruktur (TI) dar. Sie soll alle Beteiligten im Gesundheitswesen, d. h. Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser, Apotheken, und Krankenkassen im Rahmen der digitalen Gesundheitsanwendung miteinander vernetzen. Die Telematikinfrastruktur bildet dabei das sichere Gerüst für diese Anwendungen. Sie verbindet die Akteure mit einem sicheren digitalen Netz; das von der gematik (=Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) definiert und konzipiert wird. Bislang bestand diese Telematikinfrastruktur, die sogenannte TI1.0, zu großen Teilen aus Hardware-Komponenten, die von der gematik zertifiziert und von den Leistungserbringern implementiert wurden. Schon bald könnte diese proprietäre und veraltete Architektur ersetzt werden durch eine modernere, offene Architektur, der TI2.0, dessen Konzept als Whitepaper Anfang diesen Jahres bereits vorgestellt wurde.
5. Ein weiteres zentrales Element der neuen TI2.0 stellt ein föderiertes Identitätsmanagement dar: Unter einer föderierten Identität verstehen Experten eine „zusammengefasste“ Identität, die sich über mehrere Systeme erstreckt. Der Vorteil des föderierten Identitätsmanagementansatzes besteht darin, dass die eigentlichen Informationen in vernetzten Systemwelten wie dem Gesundheitssektor stets dort verbleiben, wo sie sich gerade befinden. Föderierte Identitäten sorgen dabei für Datenstandards, die bei Bedarf geteilt werden können. So verhindern sie den Aufbau von riesigen Datenzentren, in denen sämtliche Gesundheitsdaten zentral gespeichert werden müssten.

Das Identitätsmanagements spielt also eine kritische Rolle bei der Digitalisierung des Gesundheitswesens. Dieses hochaktuelle Thema wird ebenfalls zentraler Bestandteil unserer interaktiven Diskussionsrunde mit der gematik am 19. Mai sein. Bei der wir die Vorteile und Risken eines föderierten Identitätsmanagement mit gesetzlichen und privaten Krankenkassen diskutieren. Der spannende Austausch mit den Experten der gematik wird sicherlich Anlass für einen weiterführenden Blogartikel sein.

*** This is a Security Bloggers Network syndicated blog from Forgerock Blog authored by Forgerock Blog. Read the original post at: https://www.forgerock.com/de/blog/die-elektronische-patientenakte-und-die-de-zentrale-rolle-digitaler-identitaten