Die Gesundheitsdaten einer Person gehören mitunter zu den sensitivsten und darum datenschutzwürdigsten. Folgerichtig ist ein sorgfältiger Umgang mit diesen Pflicht und meistens Usus für die Institutionen, welche die Daten lagern und speichern.
Es gibt heute unterschiedliche technische Hilfsmittel, mit welchen die Datenspeicher bei Arztpraxen oder Kliniken bzw. Spitälern gesichert und gegenüber externen Angriffen geschützt sind. Eine mögliche Zertifizierung weist darauf hin, ob eine Institution mit geeigneten Massnahmen die Daten schützt, eine entsprechende Zertifizierung ist heute jedoch (noch) nicht Pflicht.
Auch für den elektronischen Informationsaustausch zum Beispiel via E-Mail existieren Verschlüsselungsmechanismen, welche die zu liefernden Daten zwischen Absender und Empfänger vor externen Angriffen schützen (Stichwort HIN-Verschlüsselung). Mit dem anstehenden Wechsel weg von der physischen zur elektronischen Krankenakte wird das Risiko von Attacken auf diese Daten sicherlich erhöht. Laufende Weiterentwicklungen der Abwehrsysteme versuchen mit dieser allgemeinen Entwicklung im Gesundheitswesen Schritt zu halten.
Dateninhaber der Krankenakte ist immer der Mensch, für welchen die Krankenakte erstellt worden ist, unabhängig davon, ob die Akte physisch gelagert oder elektronisch auf einem Datenserver oder einer Gesundheitskarte gespeichert wird. Somit besteht für den Dateninhaber «Wahlfreiheit», was mit seinen Daten passiert. Es kommt immer wieder vor, dass zum Beispiel bei einem Wechsel des Arztes bei der Aushändigung der Daten Probleme entstehen und der Arzt sich weigert, die Daten in ihrer Vollständigkeit auszuhändigen.
Ein weiteres Beispiel ist die Problematik, dass bei der Rechnungsstellung für einen Eingriff aus Sicht des Patienten in vielen Fällen keine Transparenz herrscht, wie der in Rechnung gestellte Betrag zustande kommt, unabhängig von den Rechnungserstattungssystemen tiers garant oder tiers payant. Eine Aufforderung beim zuständigen Arzt, die tarifwirksamen Eingriffsdaten zur Verfügung zu stellen, kann auch heute noch zu Verzögerungen führen. Die Gründe für eine Verweigerung der Datenherausgabe können vielfältig sein; häufig genannt werden die Einhaltung des Datenschutzes oder mangelnde Qualität der Daten.
Alle Gründe sind hinfällig, weil der Dateninhaber der Gesundheitsdaten immer, und zwar vollumfänglich, der Patient ist. Dieser kann und muss jederzeit über die Daten verfügen können. Er ist es auch, der die Datenweitergabe freigibt. Keine andere Person darf die Daten ohne dessen Einverständnis weitergeben. Der Datenschutz lässt hier keinerlei Interpretationsspielraum zu.
Wird diese Regel verletzt, macht sich die Person, welche die Daten ohne Einwilligung des Inhabers freigibt, im Sinne des Datenschutzgesetzes strafbar. Sind die Daten nicht hinreichend geschützt und gehen die Daten innerhalb eines Cyberangriffes verloren, gelten die gleichen Gesetzmässigkeiten. Missbrauch kann für den Patienten unangenehme Folgen haben. Sollten zum Beispiel Versicherungen unrechtmässig in Besitz der Gesundheitsdaten kommen, kann dies für seinen Versicherungsschutz unangenehme Folgen haben.
Das revidierte Datenschutzgesetz (DSG) Schweiz wurde vom Parlament verabschiedet und wird am 1. September 2023 in Kraft treten
Mit klaren und allen verständlichen Prozessabläufen und der Bereitschaft zur Datenherausgabe kann neben einer zeitgemässen, modernen Systemlandschaft dem Problem begegnet werden. Der Datenschutz als Aufhänger für eine Verweigerung der Weitergabe gilt nicht. Die Prozesse können beispielsweise derart gestaltet werden, dass bei einer Anfrage von einem Patienten zur Weitergabe der Daten an eine andere Arztpraxis (Arztwechsel) mit geeigneten Fragen an den Antragssteller seine eindeutige Identifikation sichergestellt wird.
Eine andere Möglichkeit ist das Einfordern einer Unterschrift bei gleichzeitigem Einholen einer Ausweiskopie bevor die Daten weitergeleitet werden. Es lohnt sich, die Abläufe zu vereinheitlichen und somit ein ganzheitliches Verständnis zu schaffen und die Mitarbeitenden inklusive den Ärzten derart zu schulen, dass das Risiko einer falschen Verhaltensweise gemindert wird. Es muss das Bewusstsein geschärft werden, dass KG’s wie auch Berichte, Befunde und Röntgenbilder (beziehungsweise Kopien davon) ausgehändigt werden müssen, wird dies vom Dateninhaber so gewünscht. Vom Arzt verfasste, handschriftliche Notizen und Gedankenstützen müssen nicht ausgehändigt, mindestens jedoch den betreffenden Patienten zur Einsicht bereitgestellt werden.
Falls die Daten «unkompliziert» und innerhalb der engen Grenzen des Datenschutzes weitergegeben werden, steigert dies das Image des Arztes oder der Institution, Vertrauen im Verhältnis Arzt zum Patienten wird geschaffen. Die Installation eines Datenschutzgütesiegels kann sich lohnen, da innerhalb der Zertifikation Mechanismen, Prozesse und Systeme auf die Eignung innerhalb des Datenschutzes geprüft werden. Gerade in Zeiten zunehmender Cyberkriminalität und Entwicklung zur elektronischen Krankenakte ein unterstützendes Hilfsmittel, technologisch Schritt zu halten.
Die Verwahrung der Krankenakten von Personen bleibt weiterhin ein Dauerthema, sowohl in der Politik wie auch bei diversen Fachgruppen im Gesundheitswesen.
«Das Bundesgesetz über den Datenschutz (DSG) ist aufgrund der rasanten technologischen Entwicklung nicht mehr zeitgemäss.»
Die Digitalisierung schreitet weiter voran; auch vor der Arztpraxis macht sie nicht halt. Dieser Fortschritt ist für viele sehr erfreulich, birgt jedoch Risiken, wenn es um die digitale Sicherheit geht.