Man stößt ja häufig auf die Aussage (sinngemäß), dass allein der Patient entscheidet, wer wann auf welche Daten (der ePA) beispielweise zugreifen darf. Diese Behauptung zielt auf die diversen Paragraphen, welche missbräuchlichen Zugriff auf Daten verhindern sollen. Was ist mit der gegenteiligen Fragestellung:
Wenn ein Patient (keine Notfallsituation) bei Aufnahme in's KH belegbar und dokumentiert erklärt, dass alle involvierten Personen unabhängig davon, ob sie einen eHBA besitzen oder nicht der gemäß §339 SGB V autorisiert wurden oder nicht, auf die Daten, die in der ePA gespeichert sind, zugreifen dürfen, so ist der Kreis der Berechtigten, den er hiermit festlegt, mit großer Wahrscheinlichkeit deutlich größer, als der, Kreis, der sich aus der Gesetzeslage (SGB V) ergibt. Was gilt nun? Hat jemand ein Einschätzung dazu?
Der Gesetzgeber regelt, dass nur die an der Behandlung beteiligten auf die ePA zugreifen dürfen (auch wenn technisch durch die Architektur alle Mitarbeiter einer berechtigten Einrichtung aus Konnektorsicht zugreifen könnten - was aber (hoffentlich) das KIS/PVS auf Basis seines Rechte- & Rollen-Modell technisch unterbindet).
An der Behandlung beteiligte Personen wären für mich auf Verwaltungsangestellte, die beispielweise die Aufnahme der Patienten an einer Leitstelle durchführen. Ich denke, die sind im Gesetzestext auch mitgemeint. Und im Grund genommen wird die Frage nun zweidimensional:
1) Grundsatzdebatte: darf der Staat darüber bestimmen, wem ich meine Daten zur Verfügung stelle? Wenn meine Meinung nicht über der des SGB V steht, tut er dies ja eindeutig.
Diese Frage kam aber bei uns lediglich im Kontext einer konkreten Prozessdiskussion auf, und damit sind wir bei der nächsten Dimension der Frage:
2) Wie wird das in anderen HKs konkret gehandhabt: Haben die im Vorfeld der eigentlichen Behandlung tätigen Personen (nicht Ärtze) einen eHBA, oder wurden sie autorisiert gemäß §339, Absatz 5, SGB V, oder wird auf die ePA tatsächlich erst im Behandlungskontext durch einen Arzt eingelesen?
Eigentlich regelt es das Patientendaten-Schutz-Gesetz (PDSG). Das Bundesministerium für Gesundheit sagt dazu:
"Mit der elektronischen Patientenakte entscheidet allein der Patient, was mit seinen Daten geschieht. Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert und welche wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf. "
Es stellt sich natürlich die Frage, wie der Patient dieses Recht umsetzen kann und diesen Personenkreis willentlich einschränkt, daher ist das sicherlich eine Frage im Rahmen einer Prozessdiskussion in einer medizinischen Einrichtung.
Um auf die Eingangsfrage zu antworten: Wenn der Patient (keine Notfallsituation) bei Aufnahme in's KH belegbar und dokumentiert erklärt, dass alle involvierten Personen unabhängig davon, ob sie einen eHBA besitzen oder nicht der gemäß §339 SGB V autorisiert wurden oder nicht, dann ist das seine Willenserklärung.
Ich bin am 21.02. genau zu diesem Thema in einem Fachseminar. Werde im Rahmen der Diskussion mal hinterfragen.
Tatsächlich ist es so, dass der Gesetzgeber den abschließenden Rahmen vorgibt, wen / welche Rollen der Patienten überhaupt berechtigen kann. Lediglich die in § 352 genannten Personengruppen sind berechtigungsfähig. Das wird entsprechend auch durch die ePA durchgesetzt - soweit es geht.
Was meine ich damit? Bei der ePA werden Zugriffsrechte für eine Einrichtung erteilt, auf Ebene der SMC-B. Danach könnten aus Sicht der ePA alle Personen dieser Einrichtung Zugriff auf die berechtigte ePA nehmen. Rechtlich wäre dies aber nicht zulässig, da der Personenkreis eben eingeschränkt ist. Nach gängiger Rechtsauffassung gehören insbesondere administrative Kräfte nicht dazu. (das mögen am Ende aber Gerichte entscheiden)
Einrichtungen, die keine SMC-B bekommen oder eine Rollenkennung in ihrer SMC-B haben, die nicht in § 352 aufgeführt sind, können durch den Versicherten nicht berechtigt werden. Zugriff dort also technisch ausgeschlossen. Auch wenn es vielleicht sinnvoll oder vom Versicherten gewünscht wäre. Beispiele könnten hier sein: Managementgesellschaften im Rahmen der besonderen Versorgung oder med-KI-Dienstleister.
Wie gesagt, dies ist die gesetzliche Vorgabe. Ob das sinnvoll ist oder nicht, steht auf einem anderen Blatt... 😉