Die Stellungnahme ist m..E. zu kurz gedacht und lediglich auf Ärzte ausgelegt. 90% der Rettungsdiensteinsätze werden ohne Notarzt erfolgreich abgewickelt. Jeder im RD und jede Pflegekraft in einer Notaufnahme kennt die Situation von Patienten die z.B. auf die Frage nach der Dauermedikation treuherzig antworten: "Ei, das sind so kleine weisse runde Pillen - die kennen Sie doch auch..." Die schnellen Informationen über relevante Vorerkrankungen, Allergien, Dauermedikation usw. beeinflussen maßgeblich die Erstversorgung. Auch unter Berücksichtigung der zunehmenden Zahl von Ärzten ohne ausreichende deutsche Sprachkenntnis in den Kliniken halte ich das für relevant. Ein guter Arzt verdient eine guten NFS /Pflegekraft - ein nicht so guter Arzt benötigt den guten NFS/die Pflegekraft zum Wohl des Patienten dringend.
Stellungnahme der AGSWN zur Einführung der elektronischen Patientenakte
-
Die schnellen Informationen über relevante Vorerkrankungen, Allergien, Dauermedikation usw. beeinflussen maßgeblich die Erstversorgung. Auch unter Berücksichtigung der zunehmenden Zahl von Ärzten ohne ausreichende deutsche Sprachkenntnis in den Kliniken halte ich das für relevant.
Aber genau das fordert die Stellungnahme doch?
Die Stellungnahme ist m..E. zu kurz gedacht und lediglich auf Ärzte ausgelegt.
Nee, die Stellungnahme erwähnt ausdrücklich, sogar noch vor den Notärzten, auch den Rettungsdienst:
Zitat[...]Darüber hinaus müssen die Rettungsdienste und insbesondere die Notärztinnen und Notärzte mit Elektronischen Heilberufsausweisen (eHBA) ausgestattet werden [...]
-
Tatsächlich sind in vielen Krankenhäusern schon jetzt elektronische Patientensysteme etabliert und tatsächlich sollte sich jeder Benutzer (Ärzte, Pflege, Physio etc.) vor und nach jeder Benutzung ein- und wieder ausloggen, was aber nicht immer gemacht wird. Dies dient einerseits dem Datenschutz (schließlich sollte auch eine analoge Akte nicht einfach offen für jedermann sichtbar auf dem Tisch liegen) und anderseits der Nachvollziehbarkeit, welcher Benutzer welchen Eintrag getätigt hat.
Die elektronische Patientenakte löst nicht die bisherigen klinikinternen Systeme ab, sondern soll mit diesen kompatibel sein. Die Vorbefunde werden soweit notwendig in diese Systeme geladen und sind damit für jeden Mitarbeiter, der dazu berechtigt ist, einsehbar. Heute erhält ja auch nicht jeder Mitarbeiter eine Kopie des Arztbriefes, sondern greift über das Kliniksystem auf die Patientendaten zu.
-
Es sei angemerkt,dass der personengebundene Login nicht nur "soll" sondern datenschutzrechtliches aber auch IT-Sicherheits "Muss" ist. Vollkommen unabhängig vom eHBA.
Abteilungs- oder Alibiaccounts sind ausdrücklich nicht zulässig und stellen sowohl für den Anwender als auch den Arbeitgeber ein enormes rechtliches Risiko dar. Zugriffe müssen übrigens grundgehend geloggt werden.
Das ist auch absolut realistisch umsetzbar und wurde bei meinen damaligen Kunden in dem Bereich auch bei der großen Mehrheit umgesetzt.
Ein LogOn/LogOff beim Verlassen des Arbeitsplatzes ist daher absolut zwingend notwendig.Wer eine schlaue IT Abteilung hat ,nutzt hierfür aber Systeme die einen Token,z.B. eine RFID basierte Lösung auf Basis des Dienstausweises+ein PIN.In Zeiten von Passkeys ist das sogar mit Windows/Linux Boardmitteln möglich.
Wer heute noch immer das Hausarzt/Ambulanzmodell von früher Marke "Akte vom Vorpatient noch offen während man wartet" erlebt dem seien die durchaus ernstzunehmenden Strafen in dem Bereich ans Herz gelegt - da kann eine einzelne chirurgische Ambulanz theoretisch mal eben den Jahresgewinn der Abteilung in zwei Tagen durchbringen.
Zum eHBa:
Ein guter Teil der hier angesprochen Karten wird über die SMC-B Karten bearbeitet,also die Institutionskarten. Damit ist das nicht-ärztliche Personal in der nicht-selbständigen Tätigkeit weitergehend abgedeckt.
Verkürzt gesagt: Nur im Bereich der Akutversorgung vor Zuweisung an einen Arzt (Triage,etc.) und im extramuralen Bereich sieht es anders aus.
-
Wer eine schlaue IT Abteilung hat
Seufz
-
I know.
Aber es gibt sie. Ich hab sie gesehen! In echt! In Deutschland.
Und wer ganz viel Glück hat,der hat nen IT Leiter mit BWL Hintergrund der dem GF vorrechnet warum sowas Geld spart.
-
Der diensth. Arzt läuft von Raum zu Raum und darf sich ständig neu einloggen.
Die Zeit wäre m.E. sinnvoller nutzbar wenn pauschal alle Räume/PC dort auch durch das nichtärztliche Personal nutzbar sind.
Ist es nicht egal, wer sich ständig neu einloggen muss.
Gehe ich in meine hausärztliche Praxis hat dort jede MFA an jedem Platz alle meine Daten ständig präsent.
Und im leeren Sprechzimmer, wo man auf den Arzt wartet, auch. Wartet man länger, kann man dann neugierig sein. Sehr effektiv.
Es sei angemerkt,dass der personengebundene Login nicht nur "soll" sondern datenschutzrechtliches aber auch IT-Sicherheits "Muss" ist. Vollkommen unabhängig vom eHBA.
Abteilungs- oder Alibiaccounts sind ausdrücklich nicht zulässig und stellen sowohl für den Anwender als auch den Arbeitgeber ein enormes rechtliches Risiko dar. Zugriffe müssen übrigens grundgehend geloggt werden.
Keine Frage, dass das so sein muss. Ich bestreite nur, dass das so ist.
Man braucht keine Alibiaccounts, wenn die Rechner schlicht nicht gesperrt sind. Und dann ist auch alles Logging für die Katz.
Ein LogOn/LogOff beim Verlassen des Arbeitsplatzes ist daher absolut zwingend notwendig.
Das ist eine Abwägung zwischen Sicherheit und Bequemlichkeit. Da verliert Sicherheit nahezu immer.
Wer eine schlaue IT Abteilung hat ,nutzt hierfür aber Systeme die einen Token,z.B. eine RFID basierte Lösung auf Basis des Dienstausweises+ein PIN.
Das ist besser, aber noch nicht gut. Auch eine PIN ist unbequem.
-
Natürlich gibt es das - ich kenne diverse Kliniken und Praxen wo es so ist, wir setzen es selber auch so um.
Und während es bei den Praxen halt "durchgeht" weil es keinen gibt der danach schaut und viele PVS auch schlicht untauglich sind in Sachen IT-Sicherheit,
ist es bei den großen Kliniken und Konzernhäusern immer wieder und immer mehr Thema - die haben aber auch eigene IT-Sicherheitsabteilungen die sich genau damit befassen. Und notfalls wird eben mit einer Stecklösung gearbeitet - oder man setzt den Inactivity Logout auf 4min.Letzteres geht ganz bequem zentral ohne das es nur einen Cent kostet.
..und ITsec kann sehr dickes Fell haben,glaub mir.
-
Also wir haben so einen tollen virtuellen Desktop, so dass man an jedem Rechner nahtlos weiterarbeiten kann. Nach einer Ladezeit von etwa 90 Sekunden. Nach einer Ladezeit von etwa 60 Sekunden nach dem Einloggen bei Windows. Nicht zu vergessen die erzwungenen Passwortwechsel alle 4 Wochen.
Seit der Umstellung auf eine semi-digitale Patientenakte sind wir damit etwa 60% langsamer in täglichen Arbeit, dafür hat unabstreitbar die Qualität der Dokumentation zugenommen.
Manchmal blitzt ganz kurz durch, wie effizient wir sein könnten (z.B. beim eRezept). Aber nicht in Deutschland....
Die Kombination aus IT-Steinzeit und Datenschutzfetischismus ist so unglaublich giftig. Im ambulanten Bereich ist es noch schlimmer, kann jeden verstehen, der sich sowas nicht antun will.
-
Also wir haben so einen tollen virtuellen Desktop, so dass man an jedem Rechner nahtlos weiterarbeiten kann. Nach einer Ladezeit von etwa 90 Sekunden. Nach einer Ladezeit von etwa 60 Sekunden nach dem Einloggen bei Windows. Nicht zu vergessen die erzwungenen Passwortwechsel alle 4 Wochen.
Ist halt ein weiteres schönes Beispiel wie man es nicht macht.
Insbesondere der PW Wechsel ist ja schon seit 10 Jahren überholt.
-
Insbesondere der PW Wechsel ist ja schon seit 10 Jahren überholt.
Deswegen wurde es bei uns vor ein, zwei Jahren eingeführt
-
Deswegen wurde es bei uns vor ein, zwei Jahren eingeführt
Das BSI hierzu: IT-Systeme oder Anwendungen sollten nur mit einem validen Grund zum Wechsel des Passworts auffordern.
Siehe ORP.4.A23 Regelung für passwortverarbeitende Anwendungen. Vielleicht hilfts ja, das mal an die IT weiter zu leiten.
-
Natürlich gibt es das - ich kenne diverse Kliniken und Praxen wo es so ist, wir setzen es selber auch so um.
Ich bin sicher, dass es das gibt. Nur nicht überall; und wenn man den ambulanten und stationären Bereich zusammennimmt, überwiegend nicht.
Und während es bei den Praxen halt "durchgeht" weil es keinen gibt der danach schaut und viele PVS auch schlicht untauglich sind in Sachen IT-Sicherheit, ist es bei den großen Kliniken und Konzernhäusern immer wieder und immer mehr Thema - die haben aber auch eigene IT-Sicherheitsabteilungen die sich genau damit befassen.
Ich kenne aus den letzten 10-15 Jahren zwei Fälle, bei denen es relevant gewesenm wäre, wer innerhalb auf Daten eines bestimmten Patienten (in einem bestimmten Zeitfenster) zugegriffen hat. In beiden Fällen ließ sich diese Frage nicht - tragfähig - beantworten. Das ist natürlich keine tragfähige Statistik, bringt mich aber zu der Annahme, dass es in Kliniken mit der IT-Sicherheit in der Breite und in der Praxis (!) auch nicht wesentlich anders aussieht als bei (anderen) Unternehmen und Behörden, Anwaltskanzleien und Arztpraxen. Da gibt es manchmal völlig überraschende Lichtblicke (USB-Ports, die nur Geräte aus einer Whitelist akzeptieren, und eine IT, die sowohl USB-Platten mit Hardwareverschlüsselung zur Hand hat als auch Geräte freischalten kann), aber im Schnitt vor allem viel Schatten.
-
[...] In beiden Fällen ließ sich diese Frage nicht - tragfähig - beantworten. [...]
Hatte das irgendwelche Konsequenzen für Arbeitnehmer oder Arbeitgeber?
-
Ist halt ein weiteres schönes Beispiel wie man es nicht macht.
Insbesondere der PW Wechsel ist ja schon seit 10 Jahren überholt.
Stimmt.. nur alle 6 Monate.. Dafür mindestens 16 Zeichen usw..
Was man dann natürlich auch für jede Anordnung, etc eingeben muß.. vieeel besser.
Ansonsten ist es ziemlich genauso wie bei olleHoop
Gute IT im KH halt ich tatsächlich auchfür ein Einhorn.
-
Die elektronische Patientenakte löst nicht die bisherigen klinikinternen Systeme ab, sondern soll mit diesen kompatibel sein. Die Vorbefunde werden soweit notwendig in diese Systeme geladen und sind damit für jeden Mitarbeiter, der dazu berechtigt ist, einsehbar. Heute erhält ja auch nicht jeder Mitarbeiter eine Kopie des Arztbriefes, sondern greift über das Kliniksystem auf die Patientendaten zu.Heißt das, dass (weil man die Relevanz vorab ja nicht kennt) standardmäßig die vollständige ePA ins jeweilige Krankenhaussystem kopiert wird und dann dem dortigen Datenschutz anheimfällt? Technisch wäre ein Datentransfer ja nicht notwendig, ein Zugriff auf das Gematic-System. würde ausreichen.
-
Heißt das, dass (weil man die Relevanz vorab ja nicht kennt) standardmäßig die vollständige ePA ins jeweilige Krankenhaussystem kopiert wird und dann dem dortigen Datenschutz anheimfällt? Technisch wäre ein Datentransfer ja nicht notwendig, ein Zugriff auf das Gematic-System. würde ausreichen.
Wie das letztlich in der einzelnen Praxis und Klinik umgesetzt wird, weiß ich nicht. Der alleinige Zugriff bzw. das alleinige Dokumentieren in der ePA ist aktuell ja schon deswegen nicht sinnvoll, weil Patienten den Zugriff einschränken können bzw. die ePA an sich komplett abgelehnt werden kann.
-
Um auf die Daten aus der ePa zuzugreifen, müsste diese jedesmal vorgelegt werden, das macht keinen Sinn.
Kopie der Daten ins eigene Netz ist das einzig sinnvolle.
Zumindest in der Klinik, in der ich gearbeitet habe, hat das mit dem Login ganz gut geklappt.
Jeder Arbeitsplatz mit PC, einloggen hat weniger Sekunden gedauert und da man das hunderte Male jeden Tag gemacht hat, war das einfach Teil der Routine.
-
Die organisatorischen Abläufe leuchten mir ein. Was rechtlich interessant ist: geht es, standardmäßig die komplette ePA auf (ggf. im Laufe eines Patientenlebens viele) IT-Strukturen aller möglichen Behandler zu spiegeln? Das wird nämlich aus Gründen der Bequemlichkeit das sein, was die Software auf Behandlerseite tun wird. Und dann entsteht die nachvollziehbare Besorgnis, dass sich relativieren könnte, wie gut die ePA abgesichert ist. Weil die Daten bei Behandlern angreifbar sind.
Das sind die elektrischen Patientenakten bei Behandlern heute natürlich auch. Die enthalten aber ggf keine komplette Historie. Beispiel: jemand hat eine umfangreiche Behandlungsgeschichte zu einer PTSB. Die möchte er möglicherweise nicht gegenüber jemandem offenlegen, der ihn wegen eines Unterarmbruchs versorgt. Oder wegen einer Gastritis. Und da fällt mir auch kein Grund ein, weshalb das relevant sein könnte.