Welche Anforderung stellen die neuen eHealth-Anwendungen an die Kommunikationsinfrastruktur ?

Gerhard Pisl, Stefan Resch, Siemens AG


Nach § 291a SGB V sind die verpflichtenden Kernanwendungen der elektronischen Gesundheitskarte die elektronische Übermittlung ärztlicher Verordnungen und die Verwaltung der Versichertendaten.

Darüber hinaus muss die Karte (eGK/ HBA) weitere Funktionen unterstützen, welche der Versicherte auf freiwilliger Basis nutzen kann. Hierbei handelt es sich um

• die Bereitstellung von Notfalldaten
• Daten der Arzneimitteldokumentation eines Versicherten
• den elektronischen Transport von Arztbriefen
• das Führen einer elektronischen Patientenakte
• ein Patientenfach
• die Patientenquittung.

Hinzu kommen werden noch so genannte Mehrwertdienste, deren Unterstützung aber nicht explizit im Rahmen des § 291a gefordert ist.

Aus den datenschutzrechtlichen Vorgaben sowie im Hinblick auf die Akzeptanz durch die Nutzer, ergeben sich aus den geplanten Anwendungen eine Reihe von Anforderungen an die Kommunikationsinfrastruktur. Schlagwortartig sind in diesem Zusammenhang die Eigenschaften Verfügbarkeit, Interoperabilität, Wirtschaftlichkeit und Sicherheit zu nennen. Insbesondere der Sicherheit kommt aufgrund der gesetzlichen Vorgaben, aber auch in Bezug auf die Akzeptanz durch die Versicherten, welche letztendlich mitentscheidend für den Erfolg des Gesamtprojektes sind, eine herausragende Bedeutung zu.

Da es sich bei den zu bearbeitenden Daten in erster Linie um Personen spezifische Daten handelt, sind gesetzliche Vorgaben des Datenschutzes bei Zugriff, Transport und Verarbeitung zu beachten, die sich in der IT-Sicherheit des Gesamtsystems wieder finden.

Zusammenfassend sind folgende Forderungen bei Zugriff, Transport und Verarbeitung der Daten besonders beachtenswert:

• Authentizität der beteiligten Personen/ Prozesse: Der Zugang zu den Systemen wird nur durch 2-Faktor-Authentifizierung gewährt.
• Autorisierter Zugriff und Verarbeitung: Wird von einer dem System bekannten Person (oder Prozess) ein Dienst angefordert, so muss festgestellt werden, ob die Person überhaupt dazu autorisiert ist
• Integrität der Daten: Das Gesamtsystem muss Mechanismen enthalten, die ein versehentliches oder unautorisiertes Ändern/Manipulieren der Daten verhindert und somit die Integrität der Daten schützt
• Vertraulichkeit der Daten: Werden die Daten über öffentliche Netze transportiert, so dürfen sie durch Abhören nicht kompromittiert werden
• Einfache Bedienung: Die Systeme müssen möglichst einfach bedient werden können. Das gilt im Speziellen für wiederholtes Log-In an unterschiedlichen Systemen (Single Sign On)
• Zukunftssicherheit: Die immer wieder kehrende Funktionalität des Log-In/ Authentifizierung, der Verschlüsselung, der Autorisierung etc. müssen in einer gemeinsamen Sicherheitsinfrastruktur zusammengefasst werden, die für die Applikationen weitestgehend transparent ist. Somit ist die einfache Integration von Neu- wie auch Alt-systemen gewährleistet. Auch Teile der Infrastruktur müssen austauschbar sein, ohne die Funktionalität der angrenzenden Module in Mitleidenschaft zu ziehen (Investitionsschutz)

Um diesen Forderungen gerecht zu werden, ist eine IT-Sicherheitsinfrastruktur als Plattform für Fachapplikationen zu etablieren. Grundforderung an eine Infrastruktur ist eine möglichst allgemeine und wenn möglich bereits standardisierte Schnittstelle zur Aufnahme der Systeme, welche hierauf aufsetzen sollen. Ferner müssen die Schichten der Sicherheitsinfrastruktur so transparent sein, dass diese von den aufgesetzten Applikation nicht wahrgenommen werden. Dies garantiert auch die Aufnahme und Sicherung von bereits vorhandenen Applikationen (Legacy Applications).


Architektur „Allgemeingültige IT-Sicherheitsinfrastruktur“

Im Folgenden wird die Architektur „Allgemeingültige IT-Sicherheitsinfrastruktur“ in groben Zügen skizziert und erläutert.

Hierbei handelt es sich um eine modulare und dadurch hochflexible Architektur für den Datenaustausch zwischen Client- und Server-Applikationen über öffentliche Netzwerke (Internet). Die modulare Trennung der einzelnen Schichten ist insbesondere aus Sicht der Systemwartung und somit der Systemverantwortlichkeit besonders wichtig. ...

Gesundheitstresor®

Integrationsframework und Open-Source-Toolbox für sichere medizinische Anwendungen im vernetzen Gesundheitswesen insbesondere für Mehrwertdienste und Anwendung im Rahmen der zukünftigen Telematikplattform

Claus Köster, Gi Gesundheitsinformatik GmbH


Einleitung

Ursprung der Gesundheitsinformatik und Innovationsmotor für gesicherte Anwendungen im Medizinischen Datenmanagement

Aus dem Gesundheitsnetz Rhein-Neckar-Dreieck und in konsequenter Weiterentwicklung des Projekts Gesundheitsforum Rheinland-Pfalz, einem Gewinner des Multimedia-Wettbewerbs des Landes im Jahre 1999, wurde ein medizinisches Datenmanagement für integrierte und interdisziplinäre Versorgungsmodelle aufgebaut. Dazu hatte sich der heutige Geschäftsführer der Gi Gesundheitsinformatik GmbH, Dr. med. Claus Köster (Arzt, Medizinische Informatik) als Arzt mit dem Zusatz medizinische Informatik niedergelassen und kooperiert im Verbund mit etablierten Hochsicherheitsrechenzentren. Somit wird der sichere Systembetrieb über die Gesundheitsinformatik GmbH gewährleistet.

Durch die Kombination von ärztlicher Kompetenz, Medizinischer Informatik und den Erfahrungen spezialisierter Rechenzentren wurde mit dem Einsatz medizinischer Datenmanagementsysteme eine optimale Basis für Speicherung, Übermittlung und Verarbeitung von Patientendaten geschaffen. Das ärztliche Datenmanagement ist für Teilkomponenten der interdisziplinären und interinstitutionellen Zusammenarbeit und Archivierung von Patientendaten erforderlich. Ärztliches Datenmanagement und technische Kompetenz sind Garant für den Schutz personenbezogener medizinischer Daten sowie die Gewähr der ärztlichen Schweigepflicht. Damit können Gesundheitseinrichtungen, Krankenhäuser oder Gesundheitsnetze Anwendungen, wie z. B. den elektronischen Arztbrief, die elektronische Krankenakte und interdisziplinäre Archive betreiben.

Die medizinischen Datenmanagementsysteme machen mit Teilkomponenten den Aufbau und Betrieb von Datenbanken mit Patientendaten und die Integration in medizinische Anwendungen möglich. So zum Beispiel Teilbereiche für den Aufbau eines Patienteninformationsdienstes und Anwendung von Tools zur Unterstützung der Prävention und Behandlung.

Damit wurde die ärztliche Einrichtung im Verbund mit Rechenzentrumskompetenzen eine ideale Mittlerkomponente zum laufenden medizinischen Betrieb der Kliniken oder medizinischer Institutionen auf der einen Seite und den Managementeinheiten und Service-Unternehmen/ Bereiche auf der anderen Seite. Die Unternehmung konnte Werkzeuge und Lösungen für das medizinische und ärztliche Datenmanagement zwischen den verschiedenen medizinischen Einheiten generieren. Hierbei sind die medizinischen Anwendungsserver in gesicherten Rechenzentren installiert.

In einer Umfrage unter niedergelassenen Ärzten, Apothekern und weiteren Teilnehmern im Gesundheitswesen trat deutlich zutage, dass unter allen ein großes Interesse an sicherem Datentransport und sicherer Datenspeicherung gerade von Patientendaten besteht. Insbesondere bestehen z. T. Aufbewahrungszeiten für erhobene und verarbeitete Daten von 30 Jahren und mehr. Dies war der Ursprung zur Realisierung des Frameworks „Gesundheitstresor“ und das Dienstleistungsportfolio der Gi Gesundheitsinformatik GmbH.


Problematik

Das deutsche Gesundheitssystem steht aufgrund der ständigen Weiterentwicklung von Diagnostik und Therapie, der demographischen Veränderungen und der gestiegenen Qualitätsansprüche vor großen Herausforderungen. Diese werden zusätzlich durch die begrenzten finanziellen Mittel und durch ständig erweiterte Möglichkeiten und damit steigende Kosten erschwert. Die vorhandenen und begrenzten Ressourcen zwingen zu einer verbesserten Koordination und Kooperation im Gesundheitswesen, insbesondere durch eine Optimierung der medizinischen Versorgungsketten.

In der täglichen Praxis wird die rechtzeitige Verfügbarkeit der benötigten Informationen (z. B. Arzt- und Überleitungsbriefe) und die Erreichbarkeit von Ärzten häufig nicht zufrieden stellend sichergestellt. Zum Beispiel erreichen Arztbriefe den weiterbehandelnden Arzt erst nach Wochen oder der Operateur ist für Fragen des niedergelassenen Kollegen nicht erreichbar. Befunde, OP-Berichte oder Akten sind häufig im Notfall nicht vorhanden. Im Sinne der Behandlungsqualität bedarf dieser Punkt einer Verbesserung.

Sektorenübergreifende Behandlungsabläufe bedürfen einer Optimierung. Dazu gehören auch die Verkürzung der stationären Aufenthalte und der ambulanten Behandlungszeiten. Hierzu kann eine sinnvoll verzahnte Informationslogistik und eine rechnerunterstützte medizinische Datenübermittlung beitragen. Zur Durchführung zielgerichteter Behandlungen gehören auch eine Vermeidung von Doppeluntersuchungen, Hinweise zur Medikation oder zu medizinischen Sachverhalten, die der Patient nicht ohne weiteres als Laie wiedergeben kann.

Die integrierte Versorgung von Patienten wird durch die bestehende Informationstechnologie noch nicht befriedigend unterstützt. In den einzelnen Sektoren, dem stationären, rehabilitativen und ambulanten Bereich, gibt es Unzulänglichkeiten bei der Informationsversorgung, wie Inkompatibilitäten und Grenzen zwischen den Softwaresystemen. Die vorhandenen Informationssysteme können zur Zeit nicht flächendeckend und interoperabel für die integrierte Versorgung eingesetzt werden. Die Informationssysteme im Gesundheitswesen greifen bei der Abbildung von Behandlungsprozessen sowie bei der Übermittlung von Informationen noch nicht nahtlos ineinander. Eine Rechnerunterstützung bei einer institutionsübergreifenden Behandlung eines Patienten ist heute so gut wie nicht realisiert.

Der Aufbau von sektorenübergreifenden digitalen Patientenakten bietet eine gute Grundlage für die möglichst schnelle Einführung einer elektronischen Gesundheitskarte. Im Umkehrschritt bietet auch die Einführung der Gesundheitskarte eine technische Basis für die Anwendung der elektronischen Patientenakte insbesondere zur Patientenidentifikation. Diese soll zum Jahre 2006 eingeführt werden. Nach dem geplanten Gesetz zur Modernisierung des Gesundheitssystems (GMG) hat die elektronische Gesundheitskarte die Bereitstellung und Nutzung von Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichte in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (z. B. elektronischer Arztbrief ) zu unterstützen. Ferner soll sie die Bereitstellung und Nutzung von weiteren durch den Versicherten selbst zu Verfügung gestellten Daten unterstützen. ...

Minimierung von Sicherheitsrisiken beim vernetzten Arbeiten im Gesundheitswesen

Felix Gerdes, Cisco Systems GmbH


Schließen Sie bei Auslandsreisen Ihren Reisepass vorm Verlassen des Hotels weg? Oder lassen Sie ihn auf dem Nachttisch liegen? Sicherlich führen Sie dieses nur mit erheblichem Aufwand zu ersetzende Dokument mit sich oder es wird – trotz des beschränkt möglichen Zutritts zum Hotelzimmer – zusätzlich unter Verschluss gebracht. So mache ich es jedenfalls – angepasst an den Risikograd. In manchen Situationen erscheint ein abgeschlossener Koffer als Aufbewahrungsort als ausreichend sicher. In einem Land hatte ich jedoch auch bei der Aufbewahrung im Hoteltresor kein sehr gutes Gefühl. Wir passen fast immer unsere eigenen Sicherheitsmaßnahmen intuitiv den gegebenen Situationen an.

Patientenakten, sofern sie noch in Papierform existieren, werden ebenso spätestens am Ende des Tages unter Verschluss gebracht. So hofft man zumindest. Tagsüber werden Akten, die gerade gebraucht werden, nicht völlig unbeaufsichtigt offen liegen gelassen. Ärzte, Schwestern und Arzthelfer verringern das Risiko der Einsicht durch Unbefugte oder den Diebstahl der Akte durch ihr Handeln. Sie passen ihr Handeln am Arbeitsplatz, sei es in der Praxis oder in der Klinik, der Risikoeinschätzung an. Die Anweisungen zum sicheren Umgang mit Patientendaten, die die Mitarbeiter erhalten, beruhen auf formal oder weniger formal und intuitiv durchgeführten Bedrohungsanalysen: „Liegt diese Akte hier sicher ? Merken ich oder meine Mitarbeiter es, falls die Akte verschwindet? Ist der Zugang von Patienten in diesem Bereich eingeschränkt und kontrolliert?“

Nun werden bald, dank der elektronischen Gesundheitskarte, Patientendaten elektronisch kommuniziert. Die Einführung des elektronischen Rezepts bedeutet für eine Praxis oder Apotheke ein Wechsel von Papier auf elektronische Versandmedien. Der Zugang zum Gesundheitsnetzwerk erfordert daher eine neue Risikoeinschätzung. Das neue, vernetzte Arbeiten im Gesundheitswesen, von dem wir uns alle Qualitätssprünge und Kosteneinsparungen erhoffen, verlangt, dass jeder, der einen Heilberuf ausübt und jedes Krankenhaus, jede Krankenversicherung, jede Apotheke und jedes zuliefernde Rechenzentrum sich zu Beginn der Einführung der elektronischen Gesundheitskarte Gedanken über die Risiken dieser neuen Arbeitsweise macht.

Vernetztes Arbeiten ist nicht per se risikoreicher als das Arbeiten ohne Netzzugang. Es wird generell sogar davon ausgegangen, dass trotz des vernetzten Arbeitens, Patientendaten noch sicherer bearbeitet, versendet und gespeichert werden. Um diesen Sicherheitsgrad zu erreichen, bedarf es jedoch, dass Teilnehmer am Gesundheitsnetzwerk ihre Arbeitsweise – bestimmte Abläufe und organisatorische Aspekte des täglichen Handelns – den neuen Medien anpassen.


Neue Technologien haben schon immer eine Anpassung unseres Handelns erforderlich gemacht

Genau wie der Computer mehr ist als eine Schreibmaschine, so ist das Gesundheitsnetzwerk viel mehr als ein Ersatz für Faxverkehr oder den Transfer von Daten per Diskette. Es wäre also ein Trugschluss zu glauben, man müsste seine Abläufe in der Praxis, der Apotheke oder in der Klinik kaum anpassen. Die Adoption von neuen Technologien (beispielsweise das Automobil, EC-Karten oder das Mobiltelefon) erfordert immer ein gewisses Umdenken und das Anpassen des eigenen Handelns in Zusammenhang mit der Technologie. Bei dieser Adoption einer neuen Technologie passen wir uns unbewusst oder bewusst und systematisch den neuen Gegebenheiten an. Die hohe Bedeutung, die dem Schutz von vertraulichen Patientendaten beigemessen wird, spricht dafür, dass Teilnehmer am Gesundheitsnetzwerk sich ebenfalls bewusst und systematisch auf die neue Arbeitsweise vorbereiten. Die notwendigen Vorkehrungen müssen weder verhältnismäßig teuer noch mit persönlichen Nachteilen verbunden sein. Konsequent durchgeführt bieten sie einen umfassenden Schutz vor Verlust von Patientendaten sowie unbefugtem Zugang zum Gesundheitsnetzwerk.

Die zu treffenden Sicherheitsmaßnahmen sollten aktuellen Risiken angemessen sein. Gleichzeitig sollten die Komplexität sowie der Aufwand dieser Maßnahmen handhabbar bleiben. Sowohl Großkliniken als auch kleinere Arztpraxen und Apotheken haben es mit Risiken durch Bedrohungen, Diebstahl, Verlust und Betriebsausfälle zu tun.

Vor einigen Jahren hatte ein Systemadministrator noch Wochen oder Tage Zeit, um Gegenmaßnahmen gegen Netzwerkbedrohungen einzuleiten. Das Zeitfenster für solche Maßnahmen hat sich heute auf Minuten oder Sekunden verringert. Der Internet-Wurm „Sapphire“ hatte im Januar 2003 nur 11 Minuten gebraucht, um sich weltweit zu verbreiten und einen immensen Schaden anzurichten. Das Herunterladen von Virenschutz-Updates kann daher nicht mehr die einzige Schutzmaßnahme für Netzwerke und Endgeräte sein. ...

Clinical PACS und Teleradiologie – Sind die Konzepte noch zeitgemäß und wie stellt sich die Radiologie den Anforderungen des GMG und der Integrierten Versorgung?

Peter Stritzke


Achtzig Prozent aller Diagnosen im Krankenhaus involvieren radiologische Untersuchungen mit Bild gebenden Verfahren. Damit ist die Radiologie einer der wichtigsten und teuersten Komponenten in der Versorgungskette eines Patienten. PAC-Systeme lösen unaufhaltsam die Befundung und Dokumentation mittels Film ab. Nun wird der Radiologe aufgefordert, „seine“ Bilder Kollegen auf Stationen und Überweisern in elektronischer Form zur Verfügung zu stellen. Die Radiologie löst diese Aufgaben mit einem eigens dafür bestimmten Web-Server, was allgemein als Bildverteilung bezeichnet wird. Diese Art der Zusammenarbeit mit Kollegen unterliegt in nahezu 100% der Vorstellung, Bilddaten in Analogie zum Postversand physikalisch über „Punkt zu Punkt“ Verbindungen verschicken zu müssen. Um diese Vorstellung herum ranken sich zahlreiche Konzepte und Modellprojekte, die unter dem Dach telemedizinischer Anwendungen in zahlreichen Varianten ihre Anwendung finden. Eines der am weitesten verbreiteten Konzepte ist der Versand mittels DICOM-E-Mail (1). Eine sehr beliebte Variante besteht darin, Befunde, Labordaten und Bilder den Kollegen 1, die in der Regel Angehörige gesellschaftsrechtlich verschiedener Institutionen sind, auf „Kommunikationsservern“ in Form von Web-Diensten zur Verfügung zu stellen (2). Von Radiologen offenbar nicht einzuordnen ist die durch das Gesundheitsmodernisierungsgesetz GMG vorgeschriebene elektronische Gesundheitskarte eGK, die nach Einschätzung aller Experten des deutschen Gesundheitswesens eine Chance für eine ökonomische, Sektoren übergreifende und Leistung orientierte Gesundheitsakte für jeden Patienten liefern soll. Nach Dierks & Bohle (3) ist die eGK nicht einfach ein Ausweis. Weitere Funktionen gegenüber der bisherigen Krankenversicherungskarte KVK kommen ihr als multifunktionelles Medium zu. Die eGK dient zur Authentisierung des Patienten. Zur Autorisierung des Leistungserbringers (Arztes), der mit der Nutzung der eGK einen Behandlungsvertrag mit dem Patienten schließt. Als Datenträger für Personen bezogene und Notfalldaten ist eGK zugleich Kommunikationsmedium und Speicher. Eine weitere wichtige Funktion ist die Möglichkeit, Zugangsschlüssel zur Gesundheitsakte des Patienten aufzunehmen.

Die Radiologie wird dort, wo Anstrengungen unternommen werden von Anfang an Teil der integrierten Versorgung sein und damit konzeptionell und praktisch Bestandteil von eGK und Gesundheitsakte werden. Große Probleme tun sich auf, da in der Radiologie bundesweit auf die Gesamtheit aller Patienten bezogen zwar relativ wenige Datensätze pro Jahr generiert werden, die aber um so größer sind und pro Institution mehrere Terra-Byte pro Jahr betragen können 2 . Entwicklungen in der Radiologie ranken sich um Standards zur Kommunikation und Speicherung mittels HL7 und DICOM und fi nden in den IHE-Frameworks (4) ihre theoretische und funktionelle Vollendung. Grundlage jeder radiologischen Einrichtung sind das PACS (Picture Archiving and Communication System) und das RIS (Radiologisches Informationssystem). Das RIS übernimmt die Leistungserfassung, Befundschreibung, Abrechnung und kommuniziert mit dem Krankenhausinformationssystem KIS, indem es über HL7 3 Aufträge entgegennimmt. Im PACS werden die Bilder online gehalten und können über DICOM-Schnittstellen von den Arbeitsstationen, den Workstations des Radiologen abgerufen werden. Die Bildverteilung für die Kliniker wird über eigens angeschlossene Web-Server bewerkstelligt, die nach festgelegten Regelwerken geladen und deren Nutzung über Usermanagementsysteme kontrolliert werden. Der Übergang vom Film zur vollständigen digitalen Verarbeitung von Patientenbildern erfolgt in der Regel in festgelegten Investitionssequenzen: Beginn mit PACS und digitaler Befundung mit gleichzeitiger Kopplung an RIS, Einrichten der Schnittstellen zum KIS. Erst dann erfolgt die Entscheidung, welche Art der Bildverteilung für die Kliniker in Frage kommen könnten. Große Ratlosigkeit besteht darin, Überweiser elektronisch zu versorgen. Dafür werden demilitarisierte Zonen, sog. DMZ geschaffen, die das Krankenhausnetz von der Außenwelt trennen und die nötige Sicherheit vor Einbruch und Viren schaffen, um die dort aufgestellten Server für externe Zugänge und Nutzung zur Verfügung stellen. Über die DMZ werden Hintergrunddienst, Notdienst, Überweiser und Einholen von Zweitmeinungen abgewickelt. Die Öffnung dieser Anlagen für die integrierte Versorgung muss zwangsläufi g scheitern, da die bisher erfolgreichen Standards zur Kommunikation DICOM, HL7, BDT, GDT nicht geeignet sind. Berücksichtigt man obendrein noch die rechtlichen Aspekte dieser Konzepte, so tun Hersteller gut daran, ihre Produkte den 19 Datenschützern (Landesdatenschützer, Bundesdatenschützer, Datenschützer der Kirchen) bekannt zu geben. ...