Im ersten Teil des Artikels habe ich die aus meiner Erfahrung bestehenden Anforderungen der verschiedenen Versicherten an ein nutzerorientiertes Berechtigungskonzept beschrieben. Teil 2 des Artikels beschreibt nun die Umsetzung dieser sowie einen Vorschlag für eine gestufte Bereitstellung.
Die gute Nachricht: So ziemlich alle der als Anforderung geschilderten Szenarien, Varianten und Hilfsfunktionen lassen sich grundsätzlich mit der gewählten Architektur der ePA in Folgestufen umsetzen!
(Lediglich Hilfsfunktion 4 könnte etwas schwieriger werden)
Wichtig dazu ist jedoch eine Oberflächengestaltung der App, die es dem Versicherten einfach macht, die Verwaltung vorzunehmen. Rechtevergaben über 7 Verschachtelungsebenen sind da wenig hilfreich. Aber auch diese Herausforderung lässt sich meistern.
Damit sich die oben beschriebenen Szenarien und Varianten umsetzen lassen, werden einige Grundfunktionen benötigt, die in ePA v1.0 bislang nicht enthalten sind. Diese Funktionen müssten also zwingend in die Roadmap aufgenommen werden, damit eine bedarfsgerechte Rechtevergabe möglich wird. Dabei müssten nicht alle Szenarien und Varianten unbedingt in Version 2.0 der ePA bereitgestellt werden. Ich persönlich hielte es für akzeptabel, wenn sich auch die Zugriffsrechtevergaben über v2.0 und v3.0 kontinuierlich entwickeln würden. Wie ich mir eine solche Stufung vorstelle, findet sich am Ende dieses Beitrags.
Folgende neue Grundfunktionen werden für die in Teil 1 beschriebenen Berechtigungsvergaben benötigt:
Es ist wichtig, Struktur in die Dokumentenablage zu bekommen. Die ab v1.0 in der ePA vorhandenen Metadaten je Dokument bilden hierfür die erste wichtige Grundlage. Es gibt jedoch auch den medizinischen Bedarf, Dokumente fachlogisch gruppieren zu können, unabhängig von den Metadaten, die jeweils ein einzelnes Dokument beschreiben. Die Lösung, die wir aus dem alltäglichen Leben hierfür kennen, nennt sich Ordner. Dabei ist es erst einmal nachrangig, ob zur optischen Strukturierung der ePA (technisch gesehen) tatsächlich Ordner oder Tags als Metadaten zum Einsatz kommen. Entscheidend ist, dass den Nutzern (hier Versicherte und Arzt) mit den Ordnern bekannte Interaktionsmuster angeboten werden. Diese „Gruppen“ von Dokumenten müssen mit freien Bezeichnungen versehen werden können, also z.B. „Schienbeinbruch 20.09.2019“ oder „Diabetes mellitus, Typ 2“ aber auch „streng vertrauliche Dokumente“.
Damit sich Ärzte in allen ePA‘s aller Versicherten zurechtfinden, sind vordefinierte Ordner mit festen Bezeichnungen sinnvoll. Die Liste muss fachlich abgestimmt sein und bei Bedarf kontinuierlich ePA-übergreifend ergänzt werden können. Kandidaten für Ordner sind: „Gynäkologische Dokumente“, „Zahnärztliche Dokumente“, aber auch „Psychotherapeutische Dokumente“ sowie „Private Dokumente“. Dabei sollten Ordner für Dokumente, die als potenziell stigmatisierend angesehen werden können, grundsätzlich und nicht löschbar in jeder ePA angelegt sein, auch wenn keine Dokumente dort enthalten sind. Entsprechend gäbe es in jeder ePA z.B. den Ordner „Psychotherapeutische Dokumente“. Somit kann über die pure Existenz eines solchen Ordners kein Rückschluss über dort tatsächlich vorhandene Dokumente gezogen werden.
Ärzte müssen sich gut in der ePA zurechtfinden und beschwerdebezogen relevante Dokumente auffinden können. Dazu gehört, dass Ärzte ihre eigenen Dokumente mit Hinweisen auf die in den Dokumenten enthaltenen Diagnosen kennzeichnen können müssen. Versicherte können so anschließend Berechtigungen auf Krankheitsebene vergeben (Dokumentengruppe 3).
Einem Dokument müssen entsprechend die im Dokument enthaltenen bzw. zuordenbaren Diagnosen als Metadatum mitgegeben werden können (z.B. ICD- oder SNOMED-codiert). Beispielsweise könnten sowohl Laborwerte als auch Befunde des Diabetologen sowie des Haus- oder Hautarztes mit der Diagnose „Diabetes mellitus Typ 2, komplikationslos“ (z.B. ICD-10:E11.90) versehen werden. Ein anderes Beispiel wären die Dokumente, die durch den Zahnarzt, den Kieferorthopäden sowie den Physiotherapeuten bezüglich der „Craniomandibulären Dysfunktion“ (CMD, ICD-10:K07.6) anfallen. Auch hier finden sich unterschiedlichste Dokumenttypen zu einem fachrichtungsübergreifenden Krankheitsbild. Durch die Kennzeichnung entstehen fachliche Gruppen, die gesucht, gruppiert und berechtigt werden können. Auch hier ist diese Funktion daher nicht ausschließlich für die Vergabe von Zugriffsrechten relevant, sondern dient auch dem effizienten Umgang mit der ePA in der medizinischen Versorgung.
Für einen flexiblen Umgang mit den Codierungen muss das ePA-System Berechtigungen und Suchen auf Teilen der Codierung zulassen. Am obigen Beispiel des „Diabetes mellitus Typ 2, komplikationslos“ muss es z.B. möglich sein, nicht nur nach „E11.90“, sondern auch nach „E11.“ suchen zu können, da sich die Komplikationen und damit die spezifischen Codes über die Zeit verändert haben können. Über „E11.“ werden entsprechend alle Dokumente identifiziert, die grundsätzlich der Diagnose „Diabetes mellitus Typ2“ zugeordnet wurden.
Dokumente stehen oftmals in Beziehung zueinander:
Diese Information über die Beziehung zwischen zwei Dokumenten kann als Assoziation in der ePA gespeichert werden. So können sowohl der Versicherte als auch der Arzt ausgehend von einem Dokument erkennen, welche weiteren Dokumente in welcher Beziehung zum aktuell fokussierten Dokument stehen.
Neben der Unterstützung für die Vergabe von Zugriffsrechten ist diese Funktion auch wesentlich für die strukturierte Ablage fachlich zusammengehöriger Dokumente in der ePA. Beispielsweise können Befundberichte und Therapiepläne auf diesem Wege mit den zugehörig verordneten, in der ePA gespeicherten eRezepten verknüpft werden. Listet der Versicherte oder ein anderer Arzt später die in der ePA gespeicherten eRezepte, kann er so zu den die Verordnung verursachenden Diagnosen und Therapieplänen zurückgeführt werden. In diesem Fall wäre die Dokumentenassoziation zwar kein Berechtigungsaspekt, aber dennoch ausgesprochen hilfreich für eine effiziente Nutzung der ePA.
Dokumente müssen versioniert werden können. Da jede neue Version eines Dokuments der Art nach ein neues Dokument innerhalb der ePA darstellt, müssen die fachlichen Versionen eines Dokuments als eine Art „zeitliche Kette“ eines einzigen Dokuments abgebildet werden können. Gelöst werden kann dies über eine spezielle Assoziationsart zwischen zwei Dokumenten (siehe oben).
Wichtig ist, dass auch die Oberflächengestaltung darauf ausgelegt wird, dass es versionierte Dokumente gibt. Entsprechend müsste immer lediglich das neueste Dokument einer Versionskette angezeigt und nur auf Wunsch die ganze Liste der Vorgängerdokumente angezeigt werden. Die Unterstützung der Versionierung als eigenständige Funktion ist fachlich auch deshalb erforderlich, weil es auch Fälle gibt, in denen sowohl „alte“ wie auch „neue“ Fassungen eines Dokuments nebeneinander aufgelistet werden müssen, statt sie als Versionen eines einzelnen Dokuments zu betrachten. Dies ist beispielsweise bei vorläufigen und finalen Entlassbriefen der Fall. Entsprechend muss der Mensch und nicht das System selbst beim Hochladen eines Dokuments die fachliche Entscheid treffen, ob es sich bei dem Dokument um eine neuere Version eines bestehenden Dokuments oder um ein weiteres, eigenständiges Dokument handelt.
Von manchen Dokumenttypen kann es beliebig viele geben, z.B. von Laborbefunden oder Arztbriefen. Für andere Dokumenttypen sollte aus Gründen der Eineindeutigkeit systemseitig sichergestellt werden, dass es nur genau ein Dokument davon gibt (sowie dessen ältere, versionierte Stände).
Beispiele hierfür sind die aktuell gültigen Notfalldaten, der aktuell gültige Medikationsplan sowie der aktuelle Impfpass.
Vielleicht gibt es hin und wieder den Bedarf, einen bestimmten Stand als „historischen Schnappschuss“ außerhalb der Versionskette direkt sichtbar machen zu wollen. Aber die jeweils aktuelle Fassung muss eindeutig erkennbar sein. Es darf nicht möglich sein, dass durch falsche Bedienung (oder Funktion) der Frontends ein zweiter Medikationsplan „neben“ den aktuellen gestellt werden kann. Diese Redundanz erhöht die Gefahr, dass nachfolgende Ärzte (aus Versehen) auf unterschiedlichen Versionen aufsetzen und diese getrennt weiterschreiben, mit negativen Auswirkungen für die Versorgung.
Die Liste der dem ePA-System bekannten Unique-Dokumente müsste
kontinuierlich zentral fortgeschrieben werden. Erste Einträge in dieser Liste
wären: Notfalldaten (NFD), elektronischer Medikationsplan (eMP), Impfpass,
Zahnbonusheft. Kandidaten für eine nachfolgende Erweiterung könnten z.B. die
zahnärztliche Materialliste sowie der Implantat-Pass sein.
Wird ein Dokument mit einer Unique-Kennung hochgeladen,
setzt das System automatisch eine Version-Assoziation zu dem letzten bereits
vorhandenen Dokument der gleichen Unique-Kennung. Das neue Dokument wird zum
aktuellen, die vorherige Fassung „verschwindet“ in der Versionshistorie.
Wird ein Dokument durch eine Praxis in die ePA eingestellt, wird die Fachrichtung der Praxis sowie die Fachgruppe des Arztes aus einer Liste erlaubter Fachgruppen pro Dokument durch den einstellenden Arzt frei vergeben. Natürlich können die Werte, die mit einem hochzuladenden Dokument gespeichert werden sollen, im Primärsystem vordefiniert werden, sodass der Arzt seine Fachgruppe nicht jedes Mal neu auswählen muss. Entscheidend ist, dass die Praxis die Werte für sich und ihre Ärzte selbst festlegt. Dabei kann sie auch selbst entscheiden, ob sie eine übergeordnete Fachgruppe wählt (z.B. „Zahnarzt“) oder eine Untergruppe (z.B. „Endodontologe“).
Für eine Vergabe von Zugriffsrechten auf Fachgruppenebene (und für eine sinnvolle Suchfunktion auf Fachgruppenebene) muss das System die Hierarchie der Fachgruppen kennen und automatisch eventuell vorhandene untergeordneten Fachgruppen bei Zugriffsrechtsvergaben und Suchfunktionen mit einbeziehen. Vergibt ein Versicherter z.B. Zugriffsrechte auf „Dokumente, die von Ärzten der Fachgruppe Zahnarzt eingestellt wurden“, müssen dieser Dokumentengruppe z.B. automatisch auch die Dokumente des Endodontologen zugeordnet sein.
Im Referentenentwurf des Patientendaten-Schutzgesetz (PDSG) wird sinnvoller Weise bereits zwischen einer feingranularen Berechtigungsvergabe durch den Versicherten über seine App und einer „mittelgranularen“ Berechtigungsvergabe vor Ort in der Praxis differenziert. Dies scheint erforderlich, weil in der Berechtigungserteilung in der Praxis für den Versicherten nur das dortige Kartenterminal nutzbar ist, und bei diesem sind die Anzeige- und Interaktionsmöglichkeiten natürlich begrenzt. Entsprechend können Zugriffsrechte auf einzeln ausgewählte Dokumente nur über das Frontend des Versicherten vergeben werden.
Wie könnte eine sinnvolle mittelgranulare Berechtigung nun aussehen? Welche der obigen Muster, Dokumentengruppen und Varianten können über eine Freigabe mittels Kartenterminal sinnvoll angeboten werden?
Hierzu muss man verstehen, wie eine Ad-hoc-Berechtigung vor Ort in der Praxis technisch abläuft. Möchte ein Versicherter vor Ort der Praxis Zugriffsrechte auf seine ePA erteilen, so muss dies technisch am Primärsystem der Praxis ausgelöst werden. Hierzu stimmt der Mitarbeiter der Praxis den Freigabewunsch des Versicherten mit diesem ab und löst eine entsprechende ePA-Berechtigungsanfrage über das Primärsystem aus. Im Kartenterminal muss die eGK des Versicherten gesteckt sein. Dort wird (auf dem begrenzten Display des Kartenterminals) dem Versicherten angezeigt, welche Art von Zugriff und welche Zugriffsdauer die Praxis anfragt. Bestätigt er dies mit „OK“, muss er anschließend zur Bestätigung seiner Einwilligung noch die PIN seiner eGK eingeben. Anschließend ist das Zugriffsrecht gemäß der Anfrage erteilt.
Ein mittelgranulares Zugriffsrecht zur Ad-hoc-Berechtigung in der Praxis muss entsprechend:
Die Begrenzungen des Kartenterminals für eine ausgedehntere Zugriffsvergabe (Punkt 2) kann umgangen werden, wenn die ausgewählten Zugriffsrechte übersichtlich ausgedruckt würden. Der Patient könnte diesen Ausdruck sichten. Anschließend bestätigt er - wie gehabt - die Freigabe am Kartenterminal durch PIN-Eingabe. Damit er sehen kann, dass er am Kartenterminal das bestätigt, was er auf dem Ausdruck sieht, wird sowohl auf dem Ausdruck als auch am Kartenterminal ein zufälliger, temporärer Code angezeigt (z.B.: KRV-864), den er leicht vergleichen kann.
Die Versicherten, die ihre ePA gänzlich ohne eigenes Smartphone und ePA-App benutzen, könnten diesen Ausdruck auch mitnehmen, um auch später nachlesen zu können, wem sie bis wann welche Zugriffsrechte erteilt haben.
Um Papier (und Zeit für den Ausdruck) zu sparen könnte die Anzeige der freizugebenden Zugriffsreche auch über ein dem Patienten zugewandtes Display / Tablet erfolgen. Der Ausdruck wäre dann optional für die Versicherten, die eine Information über die erteilte Zugriffsberechtigung mitnehmen möchten.
Nutzt man diesen Papier-/Display-Ansatz, können mit Hilfe
eines einfach und übersichtlich aufgebauten Berechtigungsdialogs im
Primärsystem die folgenden Berechtigungen Ad hoc vom Versicherten angefragt
werden. Dabei gilt, dass die Zugriffsrechte immer unter Ausschluss der als
„vertraulich“ eingestuften Dokumente gelten. Soll ein Zugriff auf vertrauliche
Dokumente gewährt werden, muss dieser immer explizit angegeben werden (nachfolgend
Nummer 4).
Die Zugriffserlaubnis erfolgt ausgehend von einem der
folgenden 3 Hauptpunkte und kann dann um weitere Aspekte (1-10) eingeschränkt oder
erweitert werden:
Bei Bedarf (bzw. zwingend bei 1) kann der Zugriff durch Mehrfachauswahl aus folgenden Punkten weiter konkretisiert werden:
Neben der obigen „Neudefinition“ einer Zugriffsrechtskombination
für die Praxis sollte auch angeboten werden, dass eine „alte“ (abgelaufene oder
noch bestehende, aber zu verlängernde) Zugriffsrechtskombination erneuert
werden kann. In dieser Variante kann der Versicherte zuvor sogar erstmalig ein
ausdifferenziertes feingranulares Zugriffsrecht auf Dokumentenebene mit Hilfe
seiner App erzeugt haben. Anschließend kann er diese Konfiguration unter
Nutzung der eGK einfach am Tresen der Praxis jedes Mal erneuern. Für das
Praxispersonal ist dies dann gleichzeitig der geringste Aufwand.
Abschließend muss unverändert immer die Berechtigungsdauer
mit angegeben werden (1 Tag bis 18 Monate), da Zugriffsrechte auf die ePA immer
zeitlich begrenzt sein müssen.
Standardmäßig würde die Anfrage nach Zugriffsrecht aus Sicht
des Versicherten immer für die aktuell besuchte Praxis (technisch betrachtet
für die SMC-B der Praxis) eingeholt werden. Im Rahmen der Ad-hoc-Berechtigung
könnte auf Wunsch des Versicherten aber auch lediglich ein Zugriffsrecht für
einen einzelnen Arzt (auf Basis dessen HBA) eingeholt werden. Auch eine
Kombination in Form von zwei aufeinanderfolgenden ad-hoc-Zugriffsberechtigungen
wäre möglich: Zuerst die allgemeine Berechtigung für die Praxis und
anschließend die Freigabe z.B. auf die vertraulichen Dokumente nur für den Arzt
X.
Wie man sieht, ließe sich auch im Rahmen der sogenannten mittelgranularen Ad-hoc-Zugriffsberechtigung vor Ort fast alles umsetzen, was auch im Rahmen der feingranularen Zugriffsberechtigung am Smartphone des Versicherten möglich ist. Lediglich die gezielte Auswahl einzelner Dokumente sowie die Rechtevergabe an für vom Versicherten frei benannte Dokumentengruppen ist nicht möglich.
Da die für eine Umsetzung verfügbare Zeit für Version 2.0
der ePA knapp bemessen ist und zusätzlich zur Etablierung der feingranularen
Zugriffsrechte in nur einem Jahr noch weitere Funktionen implementiert,
getestet und freigegeben werden müssen (Vertreterberechtigung, Anbieterwechsel,
Einspielen von Kassendaten, Passdokumente, Zugriff für Pflege/ Hebammen/
Physiotherapeuten), müssen die Optionen für feingranulare Zugriffsrechte gestuft
eingeführt werden. Ich schlage hierfür folgende Stufung vor:
ab 2022:
ab 2023:
ab 2024:
Insgesamt ist diese Beschreibung als (detaillierter) Entwurf zu verstehen. Für eine Umsetzung müssten noch ein paar Details näher betrachtet und einige Ansätze durch MockUps auf gute Bedienbarkeit validiert werden. So gesehen soll dieser Artikel einen Beitrag zur Diskussion über notwendige und alltagstaugliche Berechtigungsmöglichkeiten für den Versicherten liefern - und er soll die Messlatte für die kommende Lösung ab ePA 2.0 auf ein sinnvolles Niveau heben.
Die Diskussion ist eröffnet.
(hoffentlich!)
Diesen Artikel teilen auf:
