Der Berner Datenschützer äussert sich zum Einsatz des US-Klinik-Informationssystems Epic am Inselspital. Es führt zu einem Paradigmenwechsel, bei dem das Spital nachjustieren musste.
Praktisch gleichzeitig publizierte die Datenschutzaufsichtsstelle des Kantons Bern ihren Jahresbericht (PDF), indem sie auf den Einsatz von Epic am Spital eingeht. Darin schreibt die Behörde von einem Wechsel vom "fallorientierten zum patientenzentrierten Ansatz". Konkret gehts darum, dass die Behandlungsdokumentationen der Patientinnen und Patienten ganzheitlich in einer Akte zentral geführt werden und das medizinische Personal "weitgehende Zugriffsrechte" erhält.
Ueli Buri, Berns Datenschützer. Foto: Linkedin
Kontrolle und Protokolle statt technische Einschränkungen
"Das war das Hauptthema unserer Abklärungen", erklärt Datenschützer Ueli Buri im Gespräch mit inside-it.ch. Es handle sich um einen Paradigmenwechsel, weil technische Zugriffshürden gesenkt und Dokumentationen breiter zugänglich gemacht werden. "Zeitkritikalität und Patientensicherheit wird dadurch höher gewichtet", erklärt Buri. Dies, weil im Notfall und bei zunehmend interdisziplinären Behandlungsteams nicht erst noch Zugriffsrechte gewährt werden müssten. Ob dieser Wechsel eine Anforderung der Insel war oder durch das Epic-System quasi mitgebracht wurde, konnte Buri nicht sagen. Fakt sei aber, dass dies "in Epic so vorgesehen ist".
Aus Sicht des Datenschützers war es aber wichtig, dass das Inselspital geeignete Kompensationsmassnahmen definierte. Dazu gehört, dass eine Weisung festhält, wer in welchem Fall auf die Patientendaten zugreifen darf, und jeder Zugriff entsprechend protokolliert und auch kontrolliert wird, um Missbrauch zu verhindern. Bei der Definition der Kontrollmassnahmen hat das Inselspital "auf unsere Empfehlung hin nachjustiert", sagt Buri.
Datenschutz bei Transfer zwischen zwei Spitälern noch nicht angemessen gewährleistet
Zum ersten Mal mit dem Epic-System auseinandergesetzt hat sich die Berner Aufsichtsbehörde nach Aussage von Buri vor zwei Jahren, also weit vor der Einführung des Systems. Passiert ist diese vom Gesetz vorgeschriebene Vorabkontrolle auf Initiative des Inselspitals selbst. Dabei handelte es sich um eine reine dokumentenbasierte Kontrolle. Im Berichtsjahr fanden zwei Iterationen statt, wobei sich die Zahl der zunächst 86 offenen Befunde auf 25 reduzierte, heisst es dazu im Jahresbericht.
Einer dieser nach wie vor offenen Befunde war die Übergabe von Patientendaten von Spital A, in diesem Fall die Insel, an ein anderes Spital, das ebenfalls Epic als Klink-Informationssystem einsetzt – wie zum Beispiel das Luzerner Kantonsspital. Dieser Datenübertrag setze voraus, "dass Patientinnen und Patienten angemessen informiert werden und zustimmen", sagt Ueli Buri. Dies war bei Abschluss der Vorabkontrolle anfangs März noch nicht vollständig umgesetzt. Spannend dabei ist, dass dieser Datentransfer laut einer Mitteilung von Epic dennoch schon stattgefunden hat, zumindest versuchsweise. "Der erfolgreiche Test des Datenaustauschs zeigt das enorme Potenzial unserer Systeme", lässt sich Michael Stickel, CMIO der Insel Gruppe, darin zitieren.
Kein Thema der Datenschutzbehörde war die Cloud. Das Inselspital betreibt Epic On-Premises.