BMA Sicherheitspolitik - Die neun Prinzipen

GESUNDHEITSDATENSCHUTZ

Die neun Prinzipien der Sicherheitspolitik für klinische Informationssysteme der British Medical Association (BMA)

Deutsche Übersetzung von Andreas von Heydwolff und dem
Verfasser der Sicherheitspolitik Ross Anderson (University of Cambridge, England)

Der Sicherheitspolitik der Britische Ärztevereinigung (Anderson & BMA, 1996) liegen primär ethische Überlegungen zugrunde. Sie ist geprägt von Bedrohungen der Privatheit und einer langen Geschichte von Computern, die eher von Bürokraten als von Ärzten geplant und zu spät, zu teuer und nicht selten unbrauchbar ausgeliefert wurden. Die Sicherheitspolitik der BMA, die auch von der europäischen Hausärztevereinigung UEMO angenommen wurde, liefert die von den deutschen Datenschutzbeauftragten gewünschte Alternative zu dem Denken, das den Patientendatenkarten zugrunde liegt (siehe die Stellungnahme der Datenschutzbeauftragten unter "Spezielle Themen" / "Chipkarten" auf dieser Site).

Ihr zentrales Anliegen ist die Patientenkontrolle über persönliche Gesundheitsdaten. Das bedeutet in der Praxis die Kontrolle durch einen benannten Arzt - meist den Hausarzt bei der lebenslangen Akte und den Leiter einer Abteilung bei Aufzeichnungen von stationären Behandlungen (Kopien oder Zusammenfassungen von elektronischen Akten von Krankenhausbehandlungen kommen in die elektronische Akte beim Hausarzt).

Die Sicherheitspolitik ist genügend abstrakt, um Raum für vielfältige technische Lösungen zu lassen - sie könnte sogar im einem System mit Schreibern und Federkielen umgesetzt werden - und ist konkret genug, um die Erzwingung der Trusted Computing Base (s.u.) für dezentral gehaltene, schwer verknüpfbare Patientendaten zu ermöglichen.

Die neun Prinzipien als Essenz der 30-seitigen Vollversion lauten wie folgt:

Prinzip 1: Zugangskontrolle

Jede personenbezogene klinische Akte soll mit einer Zugangskontrolliste versehen sein, die die Personen oder Personengruppen benennt, die die Akte lesen und ihr Daten anfügen dürfen. Das System soll verhindern, daß irgend jemand, der nicht auf der Liste steht, in irgendeiner Weise Zugang zur Akte findet.

Prinzip 2: Einrichten einer Akte

Eine Klinikerin kann eine Akte mit ihr selbst und mit dem Patienten auf der Zugangskontrolliste einrichten. Falls ein Patient überwiesen wurde, kann sie eine Akte mit ihr selbst, dem Patienten und der (den) zuweisenden Klinikerin(nen) auf der Zugangskontrolliste einrichten.

Prinzip 3: Kontrolle

Eine der Klinikerinnen auf der Zugangskontrolliste muß als verantwortlich markiert sein. Nur sie darf die Zugangskontrolliste verändern, und sie darf dieser ausschließlich andere im Gesundheitswesen Beschäftigte hinzufügen.

Prinzip 4: Einwilligung und Mitteilung

Die verantwortliche Klinikerin muß dem Patienten Mitteilung von den Namen auf der Zugangskontrolliste seiner Akte machen:

wenn die Akte eingerichtet wird,
bei allen nachfolgenden Hinzufügungen und
immer, wenn die Verantwortung weitergegeben wird.

Die Einwilligung des Patienten muß ebenfalls eingeholt werden, außer im Notfall und bei gesetzlichen Ausnahmen.

Prinzip 5: Fortbestand

Niemand soll klinische Informationen löschen können, bevor der vorgesehene Zeitraum abgelaufen ist.

Prinzip 6: Zuschreibung

Jeder erfolgte Zugang zu klinischen Akten soll in der Akte mit dem Namen des Betreffenden, Datum und Zeit eingetragen werden. Ein solcher "Audit-Vermerk" muß auch bei jeder Löschung erfolgen.

Prinzip 7: Informationsfluß

Information, die einer Akte A entnommen wurde, darf an eine Akte B dann und nur dann angefügt werden, wenn die Zugangskontrolliste von B in der von A enthalten ist.

Prinzip 8: Aggregationskontrolle

Es muß effektive Maßnahmen geben, mit denen die Aggregation (Ansammlung) von persönlichen Gesundheitsinformationen verhindert wird. Insbesondere müssen Patienten eine spezielle Benachrichtigung erhalten, wenn irgendeine Person, die als jemand vorgeschlagen wird, der der Zugangskontrolliste hinzugefügt werden kann, bereits Zugang zu den persönlichen Gesundheitsinformationen einer großen Anzahl von Personen hat.

Prinzip 9: Die Trusted Computing Base

(TCB, Vertrauenswürdige Einrichtung zur Datenverarbeitung)

Computersysteme, die persönliche Gesundheitsinformationen verarbeiten, sollen ein Untersystem haben, das auf effektive Weise die obengenannten Prinzipien erzwingt. Dessen Effektivität soll Gegenstand der Evaluation durch unabhängige Experten sein.

Anmerkungen

Zu Prinzip 1: 98% der Patienten werden die Standard-Zugangskontrolliste mit "alle Klinikerinnen in der Praxis" haben. Nur eine Ärztin auf ihrer Zugangskontrolliste haben Personen des öffentlichen Lebens und Familienangehörige von Praxisangestellten, deren Akten schon heute in der Schublade der Ärztin liegen. Es soll aber eine Lösung geben, wie auch diese Akten in das Praxissystem und damit in Rückruf- und andere Sicherheitsprozeduren einbezogen werden können. Der Mechanismus von Zugangskontrollisten erleichtert dies sehr.

Die in Prinzip 4 vorgeschlagenen Mitteilungen könnten einmal im Jahr schriftlich ausgegeben werden sowie immer nach einer uneindeutigen Situation, z.B. nach einer Notaufnahme mit der Datenweitergabe an eine der Hausärztin unbekannte Person in der Klinik.

Bei Prinzip 9, der Trusted Computing Base, wird "Trusted" mit "vertrauenswürdig" statt mit dem gängigen und unrichtigen "sicher" übersetzt. Die Vertrauenswürdige Einrichtung zur Datenverarbeitung ist ein Grundkonzept der Computersicherheit und umfaßt alle Hardware-, Software- und prozeduralen Komponenten, die eine Sicherheitspolitik durchsetzen. Sie besteht definitionsgemäß aus Elementen, die das Vertrauen durchbrechen können. Auch der Geheimdienstler, der auf dem Parkplatz Dokumente an einen Agenten des Gegners verkauft, ist "trusted", aber er ist nicht sicher.

home | BMA policy | Was Sie tun können