[Metalab] Die Elektronische Gesundheitsakte -- ELGA!

Andreas v. Heydwolff listmail at sandpsych.at
Wed Jan 8 20:50:28 CET 2014 

Auch hallo an Alle,

habe den thread erst jetzt gefunden. Bin selbst Arzt in Wien, hab' im
Metalab mal einen Vortrag über das GIN (unser österreichisches
Gesundheitsinformationsnetz) abhalten dürfen. Hier ein Paper, das ich im
Herbst 2012 auf einer Privacy-Konferenz vortrug, mit der Geschichte von
ELGA und technischen und weiteren Details gegen Ende des papers:

 http://staff.science.uva.nl/~noordend/wees/2012/
 [2. Link, Not quite a waltz]

Ad GINA (Gesundheits Informations Netz [Adapter]): Erster Artikel auf
der Seite hat auch neuere Details darüber.

On 2014-01-05 00:33, BDuN at gmx.net wrote:
> bevor ich mir jetzt seitenlange Gesetzestexte antue(n muß):
> 
> Wenn ich diesen Widerruf begehre, verhindere ich damit das gesamte
> Anlegen der elektronischen Akte oder nur meine Möglichkeit, da
> reinzuschauen ?

das ist die britische "Spine"-Lösung, GPs (general practitioners) laden
ihre Daten rauf, eine Opt-out-Lösung, bei der vorhandene Daten
unsichtbar werden, wurde vor Jahren mühevoll erreicht, s.
www.thebigoptout.com. Hat geholfen zum Argumentieren für unsere Opt-Out
Lösung. Die Österr. Ärztekammer hat vergeblich versucht, Opt-In zu
erwirken. BM Stögers Argument, Opt-In sei nicht administrierbar, ist
nicht stichhaltig. Aber man weiß aus Tschechien, dass Opt-In nicht
ausreichend attraktiv ist, ELGA ist deshalb dort wieder eingegangen. In
den Niederlanden wurde Opt-Out als verfassungswidrig zugunsten von
Opt-In gekippt, aber der Konflikt ist m.W. noch nicht entschieden.

Bei uns werden im Laufe der Zeit vorhandene, dezentral gespeicherte
Daten inventorisiert und logisch zentral vernetzt werden. Die
Standardisierung der Eingabemasken ist Teil des Projekts. Die
Datenqualität bleibt abzuwarten, siehe u.a. http://tinyurl.com/pc3sstn.

Das ELGA-Gesetz ist nicht so lang, siehe
http://www.ris.bka.gv.at/Dokument.wxe?Abfrage=BgblAuth&Dokumentnummer=BGBLA_2012_I_111

(die Links zum Volltext sind rechts oben).

IT-Wissen ist unter uns Ärzten sehr unterschiedlich ausgeprägt und
verbreitet. Die meisten, glaube ich, wollen einfach etwas das
funktioniert, Zeit spart, nicht Zeit kostet, und das nicht zuviel
kostet, weenn es an die vorhandene Praxissoftware angeflanscht werden
kann (müssen wir Ärzte vorauss. selbst bezahlen). Mehr interessiert nur
wenige. Es wäre auch nicht so, dass wir uns vor Dokumentationspflichten
fürchten, die gibt es längst, aber der zusätzliche Aufwand ist absehbar
hoch, der Gewinn im Alltag dadurch noch nicht greifbar. Ad gesetzl.
Aufbewahrungsfristen für Unterlagen (bits/bytes): Spitäler 30 Jahre,
Ordinationen 10 Jahre.

ELGA wird von manchen begrüßt, von vielen kritisch bis ablehnend
gesehen, da ungeklärte haftungsrechtliche Fragen entstehen (die auch
einem guten, gewissenhaften Arzt Kopfzerbrechen und Ärgeres bescheren
könnten), und je nach Disziplin und Patientenkollektiv befürchten wir
mehr oder weniger eben den Zeitverlust durch eine erzwungene Anwendung.
Die Versuche in einigen Bezirken Wiens und Östererichs mit der
"E-Medikation" waren so grottenschlecht von der usability her, dass die
verpflichtende Interaktionsprüfung für Arzneimittel nicht ins Gesetz
geschrieben wurde (ist fachlich für 100% der Verordnungen auch
keinesfalls sinnvoll). In Apotheken gingen teils die Kunden wieder weg,
weil ihnen die erneute IA-Prüfung (mit den OTC-Präparaten nämlich,
"OTC"= "over the counter"= rezeptfrei) zu lange dauerte im Pilotversuch.

Die Postings hier im thread geben schlaglichtartig einen repräsentativen
Ausschnitt der pros und cons praktisch aller health-IT-Debatten wieder,
die ich seit mehr als 15 Jahren verfolge.

Ich halte es mit Schneier, security ist ein Kompromiss:

     Mehr usability <-> weniger Sicherheit.

Die Implementierung ist dann noch ein Kapitel für sich :\


> Wenn ich die gesamte Akte verhindere : Wie sieht das rechtlich aus,
> wenn zB bei einem Ärztefehler der Arzt dann behauptet,

Noch völlig ungeklärt. In einigen Jahren haben wir dann ein paar
ausjudizierte real-life Beispiele.

Und dann gibt es noch den Insidermissbrauch, function creep und
(nachträgliche) Legalisierungen von privacy-feindlichen Praktiken:

> Zudem ... wo Daten gesammelt sind, egal wie gesetzlich geschützt oder
> nicht - werden IMMER Begehrlichkeiten entstehen und dadurch IMMER
> Interessierte, sich als Vermittler dazwischenzuschalten.

Genau. Persönliche Gesundheitsdaten sind seit >20 Jahren Handelsware, am
unverblümtesten in den USA. Siehe z.B.
http://patientprivacyrights.org/true-stories/ und ein ganzes pdf dazu
(Link unten auf der Seite).

Für uns in Österreich am konkretesten: Die jüngste Kontroverse um
heimliche Datensammlung in einer bestimmten Praxissoftware, vgl. Absatz
"Datenschutz, Kritik und Ergebnis" zur Firma IMS Health in
http://de.wikipedia.org/wiki/IMS_Health

IMS, die auch bei uns dahinter stehen, wird mit 2014 eine
US-Akteingesellschaft:
http://www.modernhealthcare.com/article/20140103/NEWS/301039958/ims-health-files-for-ipo

Zitate hierzu aus den offiziell eingereichten Dokumenten von IMS,
http://www.sec.gov/Archives/edgar/data/1595262/000119312514000659/d628679ds1.htm:

"Our solutions, which are designed to provide our clients access to our
deep healthcare-specific subject matter expertise, take various forms,
including information, tailored analytics, subscription software and
expert services."  und

"With over 10 petabytes of proprietary data sourced from over 100,000
data suppliers covering over 780,000 data feeds globally, we have one of
the largest and most comprehensive collections of healthcare information
in the world, which includes 85% of the world’s prescriptions by sales
revenue and approximately 400 million comprehensive, longitudinal
anonymous patient records."

Kritischer Artikel dazu:
http://patientprivacyrights.org/2014/01/ims-health-files-ipo-legal/

Daraus ein paar Zeilen:

- IMS buys and aggregates sensitive “prescription” records, “electronic
medical records”, “claims data [=Abrechnungsdatensätze]”, and more to
create “comprehensive”, “longitudinal” health records on “400 million”
patients.

- All purchases and subsequent sales of personal health records are
hidden from patients.  Patients are not asked for informed consent or
given meaningful notice.

- IMS Health Holdings sells health data to “5,000 clients”, including
the US Government.


> und die Kosten dazu oder schütze ich mich lieber vor der
> wohlwollenden Vorsorge von Versicherungen, potentiellen Dienstgebern,

Wäre eine Möglichkeit.

Addiere dazu das Thema EU Data Protection Regulation (löst dann
nationales Recht und die EU-Richtlinie von 1995 ab). §§ 81 und 83 regeln
den Schutz von Gesundheitsdaten. Interessensverbände der oft von der
Industrie gesponsorten Forschungseinrichtungen wollen möglichst freien
Zugang zu Patientendaten europaweit, speziell in Großbritannien möchte
die Biotech-Industrie gerne an die NHS-Patientendaten heran
(NHS=National Healthh Service). Da stört Datenschutz. Der Teufel liegt
außerdem im Detail: Anonymisierung ist schwierig. Mit unsrer heutigen IT
sind Abgleiche von Datenbanken nicht so schwer, aggregierte Daten sind
bald einmal de-anonymisiert. Jan Albrecht hat da einen wichtigen
Stellenwert, leitet den LIBE-Ausschuss im EU-Parlament, kämpft mit gegen
eine Aufweichung von Definitionen, die den Schutz bieten, der
wesetnliche Player der Industrie stört. Wie Lobbyarbeit dabei aussieht,
dazu siehe
http://www.lightbluetouchpaper.org/2013/04/28/how-privacy-is-lost/

Bin nicht erst seit letztem Jahr recht ernüchtert, was das Umfeld
angeht, in dem EHRs (electronic health recors) implementiert werden.

In diesem Zusammenhang noch ein "plug", "Security Engineering" von Ross
Anderson, die 2. Auflage ist gratis herunterladbar:
http://www.cl.cam.ac.uk/~rja14/book.html . Schön zu lesen, sehr lehrreich.

Viele Grüße,

Andreas v. Heydwolff

More information about the Metalab mailing list