Spätestens 2020 werden sich Spitäler, Pflegeheime, Hausärzte, Labore mit dem elektronischen Patientendossier (EPD) auf die digitale Zukunft ausrichten müssen. Dazu sind sie gesetzlich verpflichtet. Über die Tücken zur Einführung des EPD und was es genau zu beachten gilt, darüber unterhielten wir uns mit Claudio Fuchs, Managing Director Switzerland and Austria der IAM-Spezialistin IPG. Fuchs gilt als Experte für das Berechtigungsmanagement im Gesundheitswesen.
ICTkommunikation: Mit dem elektronischen Patientendossier (EPD) ändert sich ja rund um das Benutzer- und Berechtigungsmanagement einiges, da ab April 2020 die Spitäler erstmals ein Identitätenmanagement betreiben müssen. Was versteht man konkret darunter?
Claudio Fuchs: Vorab zwei Punkte: Die Patienten kontrollieren in jedem Fall die Zugriffe und die elektronische Verwaltung besonders schützenswerter Daten. Der Patient soll also die volle Kontrolle über seine eigenen Daten erhalten. Das heisst, dass die Leistungserbringer die Namen des behandelnden Personals angeben müssen, damit die Patienten über deren Zugriffe Bescheid wissen und diese auf Wunsch unterbinden können. In der Schweiz ist vorgesehen, dass die Patienten positive und negative Berechtigungen auf einzelne Berichte setzen können.
Nun aber der Reihe nach. Generell muss man zwischen der klassischen Patientenakte als Primär-Dokumentation und dem neuen Dossier als Sekundär-Dokumentation unterscheiden. Das EPD muss bei der Einweisung der Patienten aus einem zentralen Verzeichnis der Stammgemeinschaft heruntergeladen werden, damit es ergänzt und beim Austritt wieder hochgeladen werden kann. Der Patient bestimmt dabei, welche Teile des Dossiers für welche Spitäler oder Ärzte sichtbar sind und hat damit die Kontrolle über seine eigenen Daten, sein elektronisches Dossier. Die Spitäler und die nachfolgenden am Behandlungsprozess Teilnehmenden sind gesetzlich verpflichtet, per April 2020 an eine Stammgemeinschaft angeschlossen zu sein. Dabei stellen die komplexen Strukturen sowie auch die hohen Fluktuationsraten beim Personal die grössten Herausforderungen dar. Aus Sicht des Benutzer- und Berechtigungsmanagements ergeben sich zwei wesentliche Handlungsfelder:
Die Identifikation und Authentisierung des medizinischen Personals und des Hilfspersonals für den Zugriff aufs Dossier bei der Stammgemeinschaft und die Ausgabe der erforderlichen Identifikationsmittel (Schnittstelle ITI-40 nach IHE Referenzarchitektur).
Die Übermittlung der aktuellen und korrekten Personaldaten des relevanten medizinischen Personals und der Hilfspersonen zur Stammgemeinschaft (Schnittstelle ITI-59 nach IHE Referenzarchitektur).
ICTkommunikation: Das sind doch einige recht komplexe und anspruchsvolle Herausforderungen. Sind die Spitäler den überhaupt dazu bereit und was sind die grössten Hemnisse in Bezug auf das EPD-Benutzer- und -Berechtigungsmanagements?
Claudio Fuchs: Es gibt Spitäler, die bereits viele Aspekte des EPD eingehend beleuchtet haben, etwa auch das Benutzer- und Berechtigungsmanagement. Andere stehen noch ganz am Anfang und realisieren erst langsam, welche Veränderungen das EPD mit sich bringt. Ein grosses Hemniss ist die Vorbereitung und das Gestalten eines Identitätsmanagements. Denn jeder Spitalmitarbeiter muss als elektronische Identität abgebildet werden. Damit erlaubt man die digitale Verwaltung der dazugehörigen Benutzerkonten in den Systemen und Applikationen sowie der Identifikationsmittel wie etwa Badge oder SuisseID. Diese Identität muss korrekt mit Attributen wie Name, Beruf, Titel, eindeutiger Ärztenummer oder Institut befüllt und regelmässig an eine Stammgemeinschaft übermittelt werden. All das geht nur mit einem automatisierten IAM-System. Die Krankenhäuser und Spitäler haben also sehr grosse Herausforderungen zu bewältigen. Bei einer hohen Fluktuationsrate beispielsweise ist die zeitlich exakte Meldung über das aktuell behandelnde Personal nur sehr schwer vollständig und zuverlässig zu erbringen. Das IAM-System bietet automatisierte Schnittstellen und hilft mittels zentraler Prozesse, die Übersicht zu behalten und ausgewählte Personaldaten in der korrekten Qualität regelmässig an die Provider der Akten zu übermitteln.
ICTkommunikation: Wie schätzen Sie die Situation konkret ein? Sind denn die Spitäler diesen Aufgaben tatsächlich gewachsen?
Claudio Fuchs: Viele kämpfen genau mit solchen prozessualen und organisatorischen Herausforderungen, um ein wirkliches Management der Identitäten effektiv umzusetzen, etwa mit einer rollenbasierten Berechtigungszuweisung. Die Prozesse rund um Eintritt, Übertritt, Austritt oder auch Wiedereintritt von Mitarbeitenden müssen effizient und zuverlässig funktionieren. Ansonsten lässt es sich in einem IT-gestützten Umfeld kaum mehr arbeiten. Die Digitalisierung der Spitäler verlangt ein wirksames Management der Identitäten, da wir uns im Umfeld der besonders schützenswerten Daten befinden.
ICTkommunikation: Das heisst im Klartext, dass die Spitälern unbedingt eine Lösung zur Authentisierung benötigen. Was empfehlen Sie - „make or buy“?
Claudio Fuchs: Dies ist aktuell noch ein grosser, offener Punkt. Deshalb rate ich davon ab, jetzt bereits dazu einen Entscheid zu treffen. Ich empfehle, intern die zuständigen Stellen für die Ausgabe solcher Identifikationsmittel anzudenken und auch in den Mitarbeiterprozessen für Eintritt und Austritt entsprechende Aufgaben vorzusehen, aber technisch noch keine Beschaffung vorzunehmen. Es ist auch zu erwarten, dass noch einige Anbieter auf dem Markt auftauchen und neue Kompetenzen ins Spiel bringen. Wenn also ein Spital die Möglichkeit hat, als Identitätsprovider aufzutreten, kann es grundsätzlich selbst über Prozess und Technik der Identifikationsmittel entscheiden. Diese Identifikationsmittel müssen auch nicht mehr physischer Natur sein sondern können beispielsweise mit Apps und Smartphone durchaus funktionieren. Einige Spitäler haben bereits Mehrfaktor-Authentisierung im Einsatz. Unter Umständen kann diese so ausgeweitet werden, dass die Anforderungen erfüllt sind und Mitarbeitende sehr flexibel damit ausgestattet werden können. Aber auch umgekehrt - für kleinere Spitäler kann es sein, dass dieser Aufwand und die Kosten zu gross und zu teuer sind und sie sich deshalb auf dem freien Markt eindecken. Das Spitalmanagement tut gut daran, die verschiedenen Möglichkeiten genau zu prüfen.
ICTkommunikation: Und wie fuktioniert das EPD tatsächlich? Gibt es schon Projekte und allenfalls ein Fazit?
Claudio Fuchs: Ja, das gibt es. Der Kanton Genf hatte eine Art „EPD light“ als Pilotprojekt gestartet und 2017 ausgewertet. Es zeigte sich, dass wahrscheinlich in städtischen Agglomerationen viele Patienten auf die digitale Zukunft setzen. Innert kurzer Zeit waren rund 28'000 Patienten registriert, was in etwa 5 Prozent der Genfer Bevölkerung entspricht.
Ein Fazit, wenn Sie so fragen, ist die rechtzeitge, systematische Planng. Besonders für die Spitäler empfiehlt es sich, bereits heute damit zu starten. Wichtige prozessuale Fragen bei der Einstellung des Personals bis hin zur Darstellung von Mehrfachanstellungen (z.B. als Oberarzt und gleichzeitig als Belegarzt) sind anzugehen. Die organisatorischen Zuständigkeiten müssen früh geregelt werden. HR, IT, Ärzte und Pflege müssen eng zusammenarbeiten, denn isolierte Prozesse auf eine Abteilung bezogen sind nicht zielführend. Die HR-Abteilungen geraten dabei zuerst in den Fokus. Wie bei einer Bank müssen Eintritte frühzeitig komplett gemeldet werden, und die IT hat die Identifikationsmittel sowie die relevanten Personen korrekt in der Stammgemeinschaft zu registrieren.
ZUR PERSON:
Claudio Fuchs verantwortet und koordiniert als Managing Director Switzerland and Austria von IPG das Projektgeschäft der IPG in der Schweiz und in Österreich. Mit einem Informatik-Studium als Grundlage und dem Nachdiplomstudium MAS in Information Security verfügt er über ein breites Wissen. Seit rund 12 Jahren beschäftigt er sich mit dem Thema IAM. Fuchs ist in der Nebenbeschäftigung als Dozent für Projekt und Qualitätsmanagement in einer Schweizer Hochschule tätig.
