Dieser Beitrag beschreibt ausnahmsweise mal keine Fakten zur
bestehenden ePA-Lösung, sondern einen Vorschlag, wie ein aus meiner Sicht sinnvolles
Berechtigungskonzept zur Rechtevergabe durch den Versicherten für Folgestufen der ePA (ab v2.0) aussehen könnte und wie
sich dieses auf die Roadmap der ePA auswirken würde. Da dieses
Berechtigungskonzept auf Wünschen der Versicherten beruht, ist es dann aber
doch wieder ein Stück weit ein Fakten-Dokument 😉.
Auf Grund der Komplexität des Themas ist dieser Beitrag "etwas" länger und in folgende Abschnitte untergliedert
1. Rückblick auf ePA v1.0
2. Anforderungen an eine feingranulare Berechtigung aus Sicht des Versicherten
2.1 Zwei grundlegende Basismuster
2.2 Dokumente gruppieren können
2.3 Unterschiedliche Zugriffsvarianten
2.4 Benötigte Hilfsfunktionen für eine gute UX
3. Umsetzung
3.1 Benötigte neue Grundfunktionen
3.2 Berechtigungsvergabe in der App sowie vor Ort in der Praxis
4. Vorschlag für eine Roadmap
5. Und nun? Vorschlag für ein weiteres Vorgehen.
(Lesezeit für diesen Artikel: 25 Minuten)
Kurzer Rückblick: In der ersten Version der ePA (Start in 2021) kann der Versicherte nur eine Art von Zugriff auf seine ePA gewähren: „Je Praxis alles oder nichts“ – naja, zumindest fast: Wenn er einer Praxis ein zeitlich begrenztes Zugriffsrecht erteilt, kann er entscheiden, auf welchen der drei „Datentöpfe“ er Zugriff gewähren will: Nur auf Dokumente von Leistungserbringern (LE-Dokumente), nur auf Dokumente von ihm selbst (Vers-Dokumente), nur auf Dokumente seiner Krankenkasse (KK-Dokumente) oder auf Kombinationen davon. Die Zugriffsberechtigung auf LE-Dokumente umfasst immer das Recht zum Lesen & Schreiben & Löschen, während die Zugriffsberechtigung auf Kassen- und Vers-Dokumente immer das Recht zum Lesen & Löschen der Dokumente umfasst.
Selbstverständlich wünschen sich viele Versicherte zu Recht,
dass sie genauer steuern können, wer was zu sehen bekommen soll. Entsprechende Funktionen,
um dies zu ermöglichen, waren für die ePA ab v2.0 ohnehin vorgesehen und sind
gemäß Referentenentwurf des Patientendatenschutzgesetzes (PDSG) ab 2022
bereitzustellen. Aber was genau wünschen wir 73 Mio. Versicherte uns eigentlich?
Mit Sicherheit jeder etwas ein klein wenig anderes.
Daher ist es wichtig, eine Lösung zu finden, die
unterschiedliche Anforderungen kombiniert und dem Versicherten die Wahl lässt,
welche der Berechtigungsvergaben er wie und wann nutzen möchte.
Was er auf jeden Fall nicht braucht, sind die aktuellen Konzeptüberlegungen für eine feingranularen Berechtigung ausschließlich auf Ebene von 12-14 vordefiniertenKategorien in der Art, dass der Versicherte beispielsweise Praxen den Zugriff begrenzt auf „Laborbefunde“, „Arztbriefe“ oder Mutterpass freigeben kann. In solchen Dokumenten dieser Kategorie-Betrachtung gehen potenziell stigmatisierende Befunde munter mit „normalen“ Befunden durcheinander. Entsprechend macht eine alleinige Berechtigung auf dieser Ebene wenig Sinn. Außerdem wird eine Begrenzung ausschließlich auf vordefinierten Kategorien niemals die wesentlichen Anforderungen der Versicherten an eine selbstbestimmte Berechtigungsvergabe im Sinne der Patientensouveränität erfüllen können. Hier braucht es doch mehr Flexibilität. Wenn dann zudem das Berechtigungsmodell auch noch verlangt, dass der Versicherte ausschließlich über Kategorien berichtigen kann und er immer Kategorien für Berechtigungen auswählen muss, dann geht das Konzept augenscheinlich vollständig an den Wünschen der Versicherten vorbei.
Was also macht für ein Berechtigungskonzept Sinn?
Wenn ich die verschiedenen Behandlungs- und
Lebenssituationen betrachte und die vielen von mir geführten Gespräche Revue
passieren lasse, komme ich auf diverse beispielhafte Situationen und entsprechende
Anforderungen an Mustern, Dokumentgruppierungen, Zugriffsvarianten und
„Hilfsfunktionen“. Diese möglichen Szenarien schildere ich nachfolgend aus der
Sicht des Versicherten mit exemplarischen Beispielen:
„Ich bin nicht mehr im Stande (oder habe einfach keine Lust) alles aussteuern zu können (oder zu wollen). Es ist für mich absolut OK, dass jeder meiner behandelnden Ärzte, die ich für einen Zugriff auf meine ePA berechtige, alle Dokumente in meiner ePA sehen kann. Ich vertraue ihnen. Und für die 1-2 Dokumenten die mir peinlich sein, untersage ich einfach die Speicherung in meiner ePA.“
„Eigentlich habe ich ein gutes Verhältnis zu meinem Hausarzt, daher soll er prinzipiell alle Dokumente sehen können, die ich in der ePA habe. Allerdings gibt es da ein paar Dokumente, die mir peinlich sind. Die soll er bitte nicht sehen können. Aber für ausgewählte Fachkollegen sind diese Dokumente wichtig, daher möchte ich schon, dass die Dokumente in der ePA für diese Fachkollegen sichtbar und nutzbar sind. Nur eben nicht für meinen Hausarzt.
Und wenn ich die befristete Freigabe erteilt habe möchte ich, dass er auch auf die Dokumente zugreifen kann, die während seiner Zugriffserlaubnis neu hinzukommen.“
„Ich bin bei einem neuen Facharzt für X. Vermutlich (hoffentlich) werde ich diesen speziellen Arzt anschließend nie mehr wiedersehen (müssen). Ich möchte daher nicht, dass er alles in meiner ePA sehen kann. Allerdings braucht er für mein aktuelles Problem schon ein paar Dokumente. Diese soll er sehen können. Außerdem soll er neue Dokumente einstellen können, damit mein Hausarzt die Dokumente dieses Facharztes später auch sehen kann.“
Dies sind alle notwendigen Basismuster. Das Basiszugriffsmuster X ist in ePA v1.0 bereits umgesetzt. Das Muster „Alles für jeden, den ich berechtige“ (X) entspricht dabei natürlich dem Muster „Alle Dokumente, außer…“ (A), bei dem anschließend keine Ausschlussdokumente festgelegt werden.
Aber was bedeutet „die / diese Dokumente“ in den obigen Beispielen eigentlich? Auch hier gibt es unterschiedlichste Anforderungen, wenn es darum geht, bei einer Berechtigungsvergabe das eine Dokument oder die Gruppe von Dokumenten benennen zu können, auf die die Berechtigung wirken soll:
„Ich kann in meiner App die betreffenden Dokumente innerhalb der Liste von Dokumenten ganz konkret benennen / auswählen. Das könnte zum Beispiel ein bestimmter Laborbefund, mein Blutdrucktagebuch, der Notfalldatensatz oder mein Impfpass sein, für die ich eine Zugriffserlaubnis erteilen will oder auf die ich die Zugriffe durch eine Praxis verbieten möchte.“
Was hierbei auffällt:
Aus Sicht des Versicherten als Eigentümer der ePA gibt es Dokumente, die er als einzelnes Dokument betrachtet, obwohl es kontinuierlich fortgeschrieben wird. Das Blutdrucktagebuch, der Notfalldatensatz oder der Impfpass sind Beispiele dafür. „Fortschreiben“ bedeutet in der ePA aber tatsächlich, dass mit jeder neuen Version, die hochgeladen wird, ein neues, eigenständiges Dokument in der ePA landet (denn echte Dokumentänderungen in der ePA sind aus Gründen der Konsistenz mit gekoppelten Systemen nicht sinnvoll und nicht vorgesehen). Selbstverständlich soll die Berechtigung aber nicht auf dem alten Dokument / der alten Version des Dokuments „hängen“ bleiben. Vielmehr will der Versicherte entweder, dass immer ausschließlich nur auf das neueste Dokument des benannten Typs zugegriffen werden kann (immer die neueste Version des Blutdrucktagebuchs) oder auf alle Versionen dieses „einen“ Dokuments. Also beispielsweise auf den aktuellen Medikationsplan sowie alle vorherigen Medikationspläne, beispielsweise weil der Arzt den Verlauf checken können und eventuell Fehler der aktuellen Version, die ein Arztkollege (oder dessen Primärsystem) aus Versehen „eingebaut“ hat, erkennen und beseitigen können soll. Dabei will der Versicherte die Berechtigung einmal vergeben und nicht mit jeder neuen Dokumentversion manuell nachziehen müssen.
„Ich möchte einfach den Zugriff auf alle Laborwerte und radiologischen Aufnahmen freigeben können, unabhängig davon, von wem oder für was diese Laborwerte und Aufnahmen erstellt wurden.“
Richtig ‚rund‘ wird diese Freigabeform erst, wenn auch die Möglichkeit zur Definition vertraulicher Dokumente gegeben wird. Denn nur so können trotz einer recht generellen Freigabe einzelne potenziell stigmatisierende oder schlicht aus persönlicher Sicht peinliche Dokumente ausgeblendet werden. (siehe Dokumentengruppe 6). Alternativ können auch einzelne Dokumente ausgeblendet werden (Dokumentengruppe 1).
„Ich bin mit einem komplizierten Beinbruch im Krankenhaus und muss anschließend in die Reha. Ich möchte, dass das Krankenhaus sowie nach meiner Entlassung die Reha-Einrichtung auf genau die Dokumente zugreifen kann, die im Kontext dieser Behandlung entstanden sind und noch entstehen. Und zusätzlich noch auf den Medikationsplan, da auch meine Dauermedikation im Rahmen dieser Behandlung angepasst werden musste (wegen Unverträglichkeiten). Auf weitere Dokumente soll die Reha-Einrichtung nicht zugreifen können.“
Oder auch:
„Ich als Diabetiker möchte, dass bestimmte Ärzte auf alle diabetes-bezogenen Dokumente zugreifen können. Welche Dokumente das genau sind? Keine Ahnung, ich bin ja kein Arzt! Gehen muss es trotzdem!“
„Ich gehe zum Zahnarzt / zum Endodontologen / zum Kieferchirurg / zum Kieferorthopäden und möchte, dass dieser Zugriff auf meine zahnärztlichen Dokumente hat und neue zahnärztliche Dokumente einstellen können soll. Dabei möchte ich nicht zwischen Zahnarzt, Kieferchirurg und Kieferorthopäden unterscheiden müssen. Aus meiner Sicht sind das alles Zahnärzte und ich will diese alle im Rahmen der Berechtigungsvergabe einfach als Zahnärzte adressieren können. Anschließend sollen sie alle Zugriff auf die Dokumente ihrer zahnärztlichen Kollegen haben.“
„Ich muss zum Facharzt, mein Hausarzt hat die Voruntersuchungen gemacht und mich dann überwiesen. Ansonsten geht’s mir gut, d.h. die einzigen Dokumente, die die letzten 6 Wochen in meiner ePA angefallen sind, sind die zu dieser aktuellen Beschwerde. Entsprechend möchte ich den Facharzt lediglich für einen Zugriff auf die Dokumente der letzten 6 Wochen berechtigen. Mehr muss er nicht sehen.“
„Es gibt Dokumente, die beschreiben etwas, was mir entweder peinlich ist oder von dem ich befürchte, dass es mir Nachteile bringt, wenn Leistungserbringer sie sehen können, obwohl sie genau diese Dokumente eigentlich nicht sehen müssten. Dennoch sind diese Dokumente für einige meiner Ärzte für eine gute Behandlung wichtig, daher möchte ich diese auch in meiner ePA halten – für genau diese Ärzte (wobei bei „diesen“ Ärzten auch mal ein neuer Arzt hinzukommt oder ein bestehender nicht mehr dazugehören soll). Von diesen Dokumenten habe ich ein paar. Alle von unterschiedlichen Ärzten, alles unterschiedliche Dokumenttypen und zeitlich weit auseinander liegend, und ab und zu kommt ein weiteres Dokument dazu. Ich will diese Dokumente als ‚streng vertraulich‘ kennzeichnen können. Alle so gekennzeichneten Dokumente bilden die Gruppe der ‚streng vertraulichen Dokumente‘. Einsehen sollen die Dokumente dieser Gruppe nur die von mir ausgewählten Ärzte. Die restlichen Dokumente dürfen von allen Ärzten gesehen werden, denen ich Zugriff gewähre.
Dabei soll die Gruppe der ‚vertraulichen Dokumente‘ um neue Dokumente wachsen können und ich muss auch Dokumente aus dieser Vertraulichkeitsgruppe wieder in den ‚allgemeinen Bereich‘ verschieben können – ohne dass ich all diese Dokumente jedes Mal neu auswählen muss. Ich will für ein neues oder bestehendes Dokument einfach seine Zugehörigkeit zur Gruppe der streng vertraulichen Dokumente festlegen können.
Und meine Ärzte sollen ebenso von ihnen eingestellte Dokumente als ‚streng vertraulich‘ markieren können, damit ich das nicht immer nachgelagert machen muss.
Und wenn es diese Funktion schon gibt: Nur eine einzige Gruppe ‚streng vertraulich‘ anlegen zu können, reicht mir nicht. Vielmehr will ich beliebig viele solcher Dokumentgruppen definieren können, weil eben nicht die Gesamtheit aller ‚streng vertraulichen‘ Dokumente wirklich von allen Ärzten einer Gruppe gesehen werden soll. Entsprechend möchte ich pro vertraulicher Dokumentengruppe getrennt, die für die jeweilige Gruppe berechtigten Praxen festlegen können.“
„Die ePA ist auch meine eigene Ablage für meine eigenen medizinischen Dokumente. Darunter gibt es solche, die ich niemals mit Ärzten teilen möchte. Meine ganz persönlichen Aufzeichnungen. Diese möchte ich kennzeichnen oder in einem speziellen Ordner ablegen können und sicher sein, dass diese Dokumente niemals von einem meiner Ärzte eingesehen werden können – auch dann nicht, wenn mir ein Bedienfehler in der Vergabe von Zugriffsrechten an meine Arztpraxen unterlaufen ist. Dokumente in diesem Ordner sehe immer nur ich. Punkt.“
Die ePA ist als gemeinschaftliche Akte des Versicherten und seiner Ärzte ausgelegt. Sie soll auch das Patient Empowerment stärken.
„Für mich als Patient bedeutet ‚Patient Empowerment‘ auch, dass ich dabei unterstützt werde, mir Notizen zu Arzt-Dokumenten machen zu können. Beispielsweise Notizen über erlebte Nebenwirkungen von Medikamenteneinnahmen (also Notizen zum Medikationsplan) oder Notizen von Fragen zum kürzlich in meine ePA aufgenommenen Laborbefund oder Entlassbrief. Existieren solche Notizdokumente zu einem von mir für die Praxis freigegebenen Dokument, will ich einstellen können, ob die Praxis auch meine Notizdokumente einsehen können soll. In diesem Fall soll die Praxis auch auf meine Notizen aufmerksam gemacht werden, wenn sie z.B. den Medikationsplan sieht.“
Der Notfalldatensatz der eGK (NFD) stellt die erste Ausbaustufe der Bereitstellung notfallrelevanter Informationen dar. Dies könnte für die ePA umfangreich ausgebaut werden:
„Ich möchte in meiner ePA einen Notfallordner, über den ein Notfallarzt einfach auf all die Dokumente zugreifen kann, die meine anderen Ärzte im Vorfeld als notfallrelevante Dokumente eingestuft haben. Neben den NFD können das radiologische Aufnahmen, Implantatspässe oder andere Informationen sein. Ich möchte das grundsätzliche Zugriffsrecht vergeben können, dass jeder Arzt in einem Notfall auch ohne meine vorherige Zugriffserlaubnis auf genau diese Dokumente des Notfallordners zugreifen können soll. Dabei muss sichergestellt werden, dass wirklich nur Ärzten der Zugriff gewährt wird und dass ich nach erfolgtem Zugriff umgehend aktiv über diesen Notfallzugriff (z.B. per Mail) informiert werde, damit ich eventuellen Missbrauch außerhalb einer Notfallsituation sofort erkennen kann.“
Neben den obigen Varianten zur Auswahl und Gruppierung von Dokumenten sind auch einige Varianten in der Art des erlaubten Zugriffs bzw. in der Adressierung der Zugriffsvergabe notwendig:
„Ich möchte genauer steuern können, wer was mit den Dokumenten machen darf. Ich könnte mir z.B. vorstellen, dass der Apotheker zwar die freigegebenen Dokumente lesen aber nicht löschen können soll. Das Hinzufügen, sowie das Löschen der von Ihm hinzugefügten Dokumente soll aber auch möglich sein. Nur Fremddokumente soll er eben nicht löschen können.“
„Es gibt Dokumente (oder Dokumentgruppen), von denen möchte ich nicht, dass das Praxispersonal oder andere Ärzte dieser Praxis das Dokument lesen können. Nur Doktor X soll der Zugriff gewährt werden. Ich weiß, dass das für die Praxisabläufe schlecht ist und normalerweise mache ich das auch nicht so, aber bei diesem Dokument ist mir das eben extrem wichtig.“
„Ich möchte die beschriebenen Zugriffsvarianten möglichst beliebig kombinieren können. Ich möchte z.B. meiner Gynäkologin nur Zugriff auf Dokumente dieser einen Fachgruppe gewähren (z.B. Gynäkologie), zusätzlich dazu aber auch Leserechte auf eine bestimmte Gruppe streng vertraulicher Dokumente einräumen (z.B. zu meiner Depression, weil das auch eng mit meinen Wechseljahren und der Hormontherapie meiner Gynäkologin zusammen hängt). Außerdem soll diese Praxis auch meine Notizen zu den so freigegebenen Dokumenten sehen können. Das ganze aber bitte nur auf die Dokumente der letzten 2 Jahre begrenzt. Länger zurück ist nicht nötig und will ich auch nicht. Und in der Gruppe der Dokumente dieser Fachgruppe ist ein Dokument, das will ich für diese Praxis auch extra verbergen (weil es eine Vergleichsuntersuchung einer anderen Gynäkologin war und ich meine Hauspraxis nicht verärgern will).“
Sicher stellt dieses Kombinationsbeispiel eine sehr umfangreiche und detaillierte Steuerung der Zugriffsrechte dar, die nicht jeder Versicherte nutzen wird. Entscheidend ist aber, dass es Versicherte gibt, die einen solchen Wunsch nach Steuerung haben. Da es sich um ihre ePA handelt und somit um ihre Daten, sollten sie auch in komplexeren Fällen genau bestimmen können, wer was mit ihren Daten machen darf.
Die Bedarfe für eine gute Zugriffsrechteverwaltung enden aber nicht bei der Vergabe der Zugriffsberechtigung selbst. Ein paar „Hilfsfunktionen“ werden benötigt, wenn die Verwaltung als praktikabel empfunden werden soll:
„Berechtigte ich als Versicherter nach einiger Zeit eine Praxis, die ich zuvor schon einmal berechtigt hatte, will ich, dass die beim letzten Mal für diese Praxis gültigen Zugriffsrechte jetzt wieder in der gleichen Form gelten. Ich will nichts neu einstellen müssen, wohl aber bei Bedarf anpassen können.“
Nichts ist schlimmer, als einmal erledigte Aufgaben immer wieder neu erledigen zu müssen. Zugriffsrechte an Praxen sind in der ePA immer zeitlich befristet – von einem Tag bis zu 18 Monaten. Der Defaultwert beträgt 7 Tage. Das führt dazu, dass ein und dieselbe Praxis (z.B. die eigene Haus- oder Zahnarztpraxis) im Verlauf mehrerer Jahre immer wieder neu ein befristetes Zugriffsrecht erteilt bekommt. Müssten im Rahmen dessen das spezifische Recht auf Dokumentengruppen sowie besondere Einschränkungen (womöglich noch auf Ebene einzelner Dokumente) immer wieder aufs Neue vergeben werden, wäre dies extrem frustrierend. Entsprechend muss sich die ePA die für eine Praxis vergebenen speziellen Zugriffsrechte an diese Praxis merken.
Muster wiederholen sich. „Habe ich für einen Zahnarzt ein bestimmtes Zugriffsmuster definiert, ist die Wahrscheinlichkeit hoch, dass ich beispielsweise im Urlaub einem Vertretungs-Zahnarzt oder dem Kieferchirurgen, den ich aufsuchen muss, die gleichen Zugriffsrechte erteilen will. Ich möchte also bei der Erteilung eines Zugriffsrechts an eine Praxis angeben können, dass diese Praxis die gleichen Rechte erhalten soll wie eine andere Praxis, die ich schon einmal berechtigt hatte. Dazu soll mir das System zur Auswahl der ‚Kopiervorlage‘ bevorzugt die Praxen der gleichen Fachrichtung anzeigen.“
Statt die Berechtigung immer individuell einrichten oder von einer anderen Praxis kopieren zu müssen, möchten Versicherte auch „Schablonen“ von Zugriffsrechten anlegen können, die sie anschließend bei einer konkreten Rechtevergabe an eine Praxis auswählen können:
„Ich habe meine ePA und die Zugriffsrechte, die ich dazu vergeben möchte, einmal durchgeplant. Ich weiß genau, was ich wie meinen Zahnärzten, Apothekern, Haus- und Fachärzten zugänglich machen will. Auch die Sonderregeln für die vertraulicheren Dokumente habe ich für mich festgelegt. Ich möchte nun von mir benennbare Zugriffsrechte einmal definieren können, z.B. ‚Zugriffsrechte Zahnärzte‘, und bei der Rechtevergabe an eine konkreten Zahnarztpraxis einfach auf die Schablone ‚Zugriffsrechte Zahnärzte‘ verweisen können. Die so von mir definierten Zugriffsrechte-Schablonen will ich einfach und übersichtlich verwalten können.“
„Wenn ich für eine Praxis Zugriffsrechte vergeben habe (oder eine Schablone für Zugriffsrechte definiert habe), möchte ich prüfen können, wie diese wirken. Ich möchte also sehen können, wie die Praxis unter den von mir erteilten Zugriffsrechten meine ePA sieht. Auf diesem Wege möchte ich Einstellungsfehler erkennen und die Rechte anschließend enger oder freier wählen können – oder so belassen, wenn mir gefällt, was ich sehe.“
Diesen Artikel teilen auf:
