Geheimhaltung, Datenschutz und Sicherheit von Gesundheitsinformationen: Balancing interests

Posted by admin Articles

Geschrieben von Valerie S. Prater, MBA, RHIA, Clinical Assistant Professor
Biomedical and Health Information Sciences
University of Illinois at Chicago
Dezember 8, 2014

Drei wichtige und verwandte Konzepte werden oft austauschbar verwendet, wenn es um den Schutz von Gesundheitsinformationen im amerikanischen Gesundheitssystem geht: Vertraulichkeit, Datenschutz und Sicherheit. Jedes dieser Konzepte hat jedoch eine andere grundlegende Bedeutung und eine einzigartige Rolle.

Wenn es um den Schutz von Gesundheitsdaten geht, fällt einem meist „HIPAA“ ein; das Konzept der Patientenvertraulichkeit gibt es jedoch schon viel länger. In diesem Artikel wird kurz auf die Unterschiede in der Bedeutung von Datenschutz, Sicherheit und Vertraulichkeit von Gesundheitsinformationen eingegangen. Ausgewählte Beispiele von Rechtsquellen und Leitlinien werden in Bezug auf diese Konzepte vorgestellt. Es wird auf die Herausforderungen bei der Abwägung der Interessen von Einzelpersonen, Gesundheitsdienstleistern und der Öffentlichkeit sowie auf die Rolle von Fachleuten im Bereich des Gesundheitsinformationsmanagements eingegangen.

Vertraulichkeit

Vertraulichkeit im Gesundheitswesen bezieht sich auf die Verpflichtung von Fachleuten, die Zugang zu Patientenakten oder Kommunikation haben, diese Informationen vertraulich zu behandeln. Dieses Konzept hat seine Wurzeln in der Vertraulichkeit der Beziehung zwischen Patient und Arzt, die bis ins vierte Jahrhundert v. Chr. und zum Eid des Hippokrates zurückverfolgt werden kann, und bildet die Grundlage für die Vertraulichkeitsrichtlinien der medizinischen Fachkräfte (McWay, 2010, S. 174). Diese berufliche Verpflichtung, Gesundheitsinformationen vertraulich zu behandeln, wird in den Ethikkodizes von Berufsverbänden unterstützt, wie in Grundsatz I des Ethikkodex der American Health Information Management Association zu sehen ist: „Advocate, uphold, and defend the individual’s right to privacy and the doctrine of confidentiality in the use and disclosure of information“ (AHIMA, 2011).

Die Vertraulichkeit ist gesetzlich als privilegierte Kommunikation zwischen zwei Parteien in einer professionellen Beziehung anerkannt, wie zum Beispiel zwischen einem Patienten und einem Arzt, einer Krankenschwester oder einer anderen klinischen Fachkraft (Brodnik, Rinehart-Thompson, Reynolds, 2012). Als Patienten erwarten wir in diesen Beziehungen eine vertrauliche Kommunikation. Während die Anwendung in Gerichtsverfahren den Regeln der Beweisführung und der Berücksichtigung des öffentlichen Informationsbedarfs unterliegt, kann die Unterstützung der privilegierten Kommunikation in der Rechtsprechung gesehen werden. Ein Beispiel ist die Grundsatzentscheidung Jaffee gegen Redmond, in der der Oberste Gerichtshof der USA die Weigerung eines Therapeuten bestätigte, sensible Informationen über seinen Klienten während des Prozesses preiszugeben (Beyer, 2000). In seiner Mehrheitsmeinung sagte Richter Stevens:

Eine wirksame Psychotherapie… hängt von einer Atmosphäre der Zuversicht und des Vertrauens ab, in der der Patient bereit ist, offen und vollständig Auskunft zu geben… Das Psychotherapeutenprivileg dient dem öffentlichen Interesse, indem es die Bereitstellung einer angemessenen Behandlung für Personen erleichtert, die unter den Auswirkungen eines geistigen oder emotionalen Problems leiden (Jaffee v. Redmond, 1996, S. 9).

Bei der Betrachtung sensibler Gesundheitsinformationen, die besondere Vertraulichkeitsstufen erfordern, wie z. B. bei der Behandlung psychischer Erkrankungen, bieten staatliche Gesetze Anleitungen für Fachleute im Bereich des Gesundheitsinformationsmanagements. In Illinois beispielsweise enthält der Mental Health and Developmental Disabilities Confidentiality Act (Gesetz über die Vertraulichkeit psychischer Gesundheit und Entwicklungsstörungen) detaillierte Anforderungen für den Zugang, die Verwendung und die Offenlegung vertraulicher Patienteninformationen, auch für Gerichtsverfahren (MHDDCA, 1997).

Privatsphäre

Die Privatsphäre wird im Unterschied zur Vertraulichkeit als das Recht des einzelnen Klienten oder Patienten betrachtet, in Ruhe gelassen zu werden und selbst zu entscheiden, wie persönliche Informationen weitergegeben werden (Brodnik, 2012). Auch wenn die US-Verfassung kein „Recht auf Privatsphäre“ vorsieht, wurden die Rechte auf Privatsphäre in Bezug auf individuelle Entscheidungen im Gesundheitswesen und Gesundheitsinformationen in Gerichtsentscheidungen, in bundes- und einzelstaatlichen Gesetzen, in Richtlinien von Akkreditierungsorganisationen und in berufsethischen Kodizes dargelegt.

Das bekannteste Beispiel ist die bundesstaatliche HIPAA Privacy Rule, die nationale Standards für den Schutz der Privatsphäre von Gesundheitsinformationen festlegt und „geschützte Gesundheitsinformationen“ definiert (HHSa, 2003, S. 1). Ein erklärtes Ziel der HIPAA Privacy Rule „…ist es, die Umstände zu definieren und einzuschränken, unter denen die geschützten Gesundheitsinformationen einer Person verwendet oder offengelegt werden dürfen…“ (HHSa, 2003, S. 4).

Eingerichtet gemäß dem umfassenderen Health Insurance Portability and Accountability Act von 1996 (HIPAA), wie er vom U.S. Department of Health and Human Services (HHS) beschrieben, findet die Privacy Rule „…ein Gleichgewicht, das wichtige Verwendungen von Informationen erlaubt und gleichzeitig die Privatsphäre von Menschen schützt, die Pflege und Heilung suchen“ (HHSa, 2003, S. 1). Dem Einzelnen werden einige Kontrollmöglichkeiten eingeräumt, wie z. B. das Recht auf Zugang zu seinen eigenen Gesundheitsinformationen in den meisten Fällen und das Recht, die Änderung unrichtiger Gesundheitsinformationen zu verlangen (HHSa, 2003, S. 12-13). In dem Versuch, ein Gleichgewicht zu finden, sieht die Vorschrift jedoch zahlreiche Ausnahmen für die Verwendung und Weitergabe geschützter Gesundheitsinformationen ohne die Zustimmung des Patienten vor, u. a. für die Behandlung, die Bezahlung, den Betrieb von Gesundheitsorganisationen und für bestimmte Aktivitäten im Bereich der öffentlichen Gesundheit (HHSa, 2003, S. 4-7).

Während die Debatte darüber, ob die HIPAA Privacy Rule die Datenschutzrechte des Einzelnen wesentlich gestärkt hat, noch andauert, hat sie mit Sicherheit das Bewusstsein für das Thema des Datenschutzes von Gesundheitsinformationen, für Fragen im Zusammenhang mit ihrem Schutz und für die Rolle des Patienten in diesem Prozess geschärft. Es steht außer Frage, dass sich die Verantwortung für die Einhaltung der HIPAA Privacy Rule auf die Rolle der Fachleute für das Management von Gesundheitsinformationen ausgewirkt hat. Mit Blick auf den zehnten Jahrestag der Privacy Rule und ihre jüngsten Änderungen gemäß demHealth Information Technology for Economic and Clinical Health (HITECH) Act stellte Daniel Solove fest:

Der HIPAA hat sich in den letzten zehn Jahren weiterentwickelt und wurde durch den HITECH Act von 2009 und seine im Januar 2013 veröffentlichten HIPAA-Änderungsvorschriften erheblich gestärkt. Was auch immer man über HIPAA denken mag, es ist schwer zu bestreiten, dass es in den letzten 10 Jahren einen enormen Einfluss auf Patienten, die Gesundheitsbranche und viele andere hatte – und noch viele weitere Jahre das Gesundheitswesen und die HIM-Fachleute prägen wird. (Solove, 2013)

Noch bevor HIPAA die Diskussion über den Datenschutz im Gesundheitswesen beherrschte, erkannte der Oberste Gerichtshof in einer wichtigen Entscheidung, Whalen v. Roe, das Recht auf den Schutz von Gesundheitsdaten an (1977). In diesem Fall ging es um ein staatliches Gesetz, das von Ärzten verlangte, Informationen über die Verschreibung bestimmter Arten von Arzneimitteln, bei denen die Gefahr eines Missbrauchs oder einer Überdosierung bestand, zur Eingabe in eine computergestützte Datenbank des New Yorker Gesundheitsministeriums zu melden. Eine Gruppe von Patienten und zwei Ärzteverbände reichten Klage ein, da dies gegen das geschützte Arzt-Patienten-Verhältnis verstoße (Whalen gegen Roe, 1977). Bei der Aufrechterhaltung dieses Gesetzes erkannte das Gericht das Interesse des Einzelnen am Schutz der Privatsphäre an, während es dem Recht des Staates, sich mit einem Problem von öffentlichem Interesse zu befassen, größeres Gewicht einräumte; die beim Gesundheitsministerium bestehenden Verfahren zum Schutz des Datenschutzes wurden ebenfalls als ein Faktor in der Entscheidung genannt (Whalen v. Roe, 1977).

Die Entscheidung des Obersten Gerichtshofs in Whalen v. Roe befasste sich mit dem Begriff des ausgewogenen Interesses, wie er in der späteren HIPAA-Datenschutzvorschrift zu finden ist. Mit der Feststellung, dass „die Weitergabe privater medizinischer Informationen an Ärzte, Krankenhauspersonal, Versicherungsgesellschaften und öffentliche Gesundheitsbehörden oft ein wesentlicher Bestandteil der modernen medizinischen Praxis ist“, gab das Gericht dem Einzelnen keine absolute Kontrolle über die Weitergabe seiner eigenen Gesundheitsinformationen (Whalen v. Roe, 1977). Interessanterweise wurde in der Whalen-Entscheidung auch auf die wachsende Besorgnis über die Sammlung privater Informationen in elektronischem Format und die Rolle regulatorischer Richtlinien hingewiesen. Wie die Richter feststellten:

Wir sind uns der Bedrohung der Privatsphäre, die mit der Anhäufung riesiger Mengen persönlicher Informationen in computergestützten Datenbanken einhergeht, durchaus bewusst….Das Recht, solche Daten für öffentliche Zwecke zu sammeln und zu verwenden, geht in der Regel mit einer begleitenden gesetzlichen oder behördlichen Verpflichtung einher, ungerechtfertigte Offenlegungen zu vermeiden (Whalen v. Roe, 1977).

Sicherheit

Sicherheit bezieht sich direkt auf den Schutz und insbesondere auf die Mittel, die eingesetzt werden, um die Privatsphäre von Gesundheitsdaten zu schützen und Fachleute bei der vertraulichen Behandlung dieser Daten zu unterstützen. Das Konzept der Sicherheit gilt seit langem für Gesundheitsakten in Papierform; verschlossene Aktenschränke sind ein einfaches Beispiel. Mit der zunehmenden Verwendung elektronischer Patientendatensysteme und der Übertragung von Gesundheitsdaten zur Unterstützung der Rechnungsstellung wurde der Bedarf an gesetzlichen Richtlinien speziell für elektronische Gesundheitsinformationen immer deutlicher. Mit der HIPAA-Sicherheitsvorschrift wurden die ersten nationalen Standards für den Schutz von Gesundheitsdaten festgelegt. Das erklärte Ziel der HIPAA Security Rule, die sich mit technischen und administrativen Sicherheitsvorkehrungen befasst, besteht darin, individuell identifizierbare Informationen in elektronischer Form – eine Untergruppe der von der Privacy Rule abgedeckten Informationen – zu schützen und gleichzeitig den Anbietern im Gesundheitswesen einen angemessenen Zugang zu Informationen und Flexibilität bei der Einführung von Technologien zu ermöglichen (HHS, 2003b). Auch hier findet sich der Gedanke des Gleichgewichts im Gesetz wieder: notwendiger Zugang für Gesundheitsdienstleister gegenüber dem Schutz der Gesundheitsdaten von Einzelpersonen.

Verstöße gegen die Vertraulichkeit werden jetzt mit schwereren Strafen geahndet, da sowohl die HIPAA-Datenschutz- als auch die Sicherheitsvorschriften nach der Veröffentlichung der endgültigen Bestimmungen des HITECH Acts geändert wurden. Bei der Ankündigung dieser Änderungen, die unter dem Namen Omnibus Rule bekannt sind, räumte die damalige HHS-Sekretärin Kathleen Sebelius ein, dass sich die Gesundheitsversorgung seit dem ursprünglichen Inkrafttreten des HIPAA verändert hat: „Die neue Regel wird dazu beitragen, die Privatsphäre der Patienten zu schützen und die Gesundheitsinformationen der Patienten in einem sich ständig erweiternden digitalen Zeitalter zu sichern“ (HHS, 2013).

Schlussfolgerung

Die hier genannten Rechtsquellen und Richtlinien sind nur Beispiele für viele Überlegungen zur Vertraulichkeit, zum Datenschutz und zur Sicherheit von Gesundheitsinformationen. Die Verwaltung elektronischer Gesundheitsdaten stellt besondere Herausforderungen an die Einhaltung von Vorschriften, an ethische Überlegungen und letztlich an die Qualität der Versorgung. In dem Maße, in dem die Nutzung elektronischer Patientendatensysteme ausgeweitet wird und mehr Daten gesammelt werden, z. B. von mobilen Gesundheitsgeräten, wird diese Herausforderung für Gesundheitsorganisationen noch größer.

Eine Antwort auf diese Herausforderung ist Information Governance, die als strategisches Management von unternehmensweiten Informationen beschrieben wird, einschließlich Richtlinien und Verfahren in Bezug auf die Vertraulichkeit, den Datenschutz und die Sicherheit von Gesundheitsinformationen; dies schließt die Rolle des Stewardship ein (Washington, 2010). Gesundheitsinformationsmanager sind in einzigartiger Weise qualifiziert, als Verwalter von Gesundheitsinformationen zu fungieren, da sie die verschiedenen Interessen an diesen Informationen kennen und mit den Gesetzen und Richtlinien in Bezug auf Vertraulichkeit, Datenschutz und Sicherheit vertraut sind. Die Rolle des Verwalters umfasst nicht nur die Sicherstellung der Richtigkeit und Vollständigkeit der Daten, sondern auch den Schutz der Privatsphäre und der Sicherheit (Washington, 2010).

Alle, die mit Gesundheitsinformationen arbeiten – Fachleute für Gesundheitsinformatik und Gesundheitsinformationsmanagement, Kliniker, Forscher, Geschäftsverwalter und andere – sind dafür verantwortlich, diese Informationen zu respektieren. Und als Patienten haben wir ein Recht auf Privatsphäre in Bezug auf unsere eigenen Gesundheitsinformationen und erwarten, dass unsere Informationen vertraulich behandelt und geschützt werden. Als Bürger kann unser öffentliches Interesse an Gesundheitsinformationen überwiegen, z. B. in Situationen, in denen es um öffentliche Gesundheit oder Kriminalität geht. Das Abwägen der verschiedenen Interessen an Gesundheitsinformationen und die Wahrung ihrer Vertraulichkeit, Privatsphäre und Sicherheit stellen eine ständige und wichtige Herausforderung im US-amerikanischen Gesundheits- und Rechtssystem dar und bieten Karrieremöglichkeiten für Fachleute im Gesundheitsinformationsmanagement.

AHIMA. (2011). American Health Information Management Association Code of Ethics.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000). „First Person“: Jaffee v. Redmond Therapist Speaks.“ American Psychoanalyst,
Volume 34, no. 3. Retrieved from http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson and R. Reynolds (2012). Fundamentals of Law for Health Informatics
and Information Management Professionals. Chicago: AHIMA Press. Chapter 1.

Jaffee v. Redmond. 518 U.S. 1; 116 S. Ct. 1923; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Abgerufen von
http://www.lexisnexis.com/hottopics/lnacademic.

Mental Health and Developmental Disabilities Confidentiality Act (MHDDCA) (740 ILCS 110). Gültig ab
Juli 1, 1997. Illinois General Assembly. Abgerufen von
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Developmental+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Legal and Ethical Aspects of Health Information, Third Edition. New York: Cengage Learning. Chapter 9.

Solove, D. (2013).HIPAA Turns 10. Analyzing the Past, Present and Future Impact. Journal of AHIMA 84, no.4 (April 2013): 22-28.

The American Psychoanalytic Association. (2014). Landmark Cases. Retrieved from
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

U.S. Department of Health and Human Services (HHSa), Office for Civil Rights. (2003). Zusammenfassung der HIPAA Privacy Rule. Abgerufen von http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

U.S. Department of Health and Human Services (HHSb), Office for Civil Rights. (2003). Zusammenfassung der HIPAA Security Rule. Abgerufen von http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

U.S. Department of Health and Human Services (HHS), Office for Civil Rights. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010). „From Custodian to Steward: Evolving Roles in the E-HIM Transition.“
Journal of AHIMA. (Volume 81, no.5: 42-43).

Whalen v. Roe. 429 U.S. 589; 97 S. Ct. 869; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.