ELGA vor dem Start: "Alles läuft planmäßig"

Im November 2012 wurden die gesetzlichen Grundlagen für ELGA im Nationalrat beschlossen, nun soll es in wenigen Monaten soweit sein: ELGA wird Realität. Bis zum 1.1.2014 sollen das Zugangsportal für die zu speichernden Gesundheitsdaten, die Widerspruchsstellen für die Patienten, die ihre Daten ganz oder teilweise nicht gespeichert haben sollen, sowie eine ELGA-Ombudsstelle errichtet werden. „Der Termin wird halten. Wir liegen mit der Planung sogar ein bisschen vorne“, erklärte Hubert Eisl, Geschäftsführer der ELGA GmbH bei der Konferenz „Der große ELGA Roll-Out“ des Instituts für International Research (IIR) vergangene Woche in Wien.

Davor ist noch eine ELGA-Verordnung unter anderem zu den Themen Widerspruchsstelle und Serviceline, die künftig von der ITSV GmbH, die auch für Fragen rund um die E-Card zuständig ist, betreut wird, sowie der ELGA Ombudsstelle, die von den Patientenanwaltschaftschaften übernommen wird, verpflichtend. Hier erwartet Eisl „keine großen Widersprüche“.

Roll-Out wird sich verzögern

Mit ELGA sollen künftig Befunde und gesundheitsrelevante Dokumente gespeichert und für Ärzte und andere Gesundheitsdienstleister sowie für die Patienten selbst abrufbar sein. Die Einführung erfolgt allerdings schrittweise. Erst ab 2015 müssen Krankenhäuser und Pflegeeinrichtungen teilnehmen, ab 2016 alle Vertragsärzte und Apotheken (im Rahmen der E-Medikation) und ab 2017 die Privatkrankenanstalten. Den Termin 1.1.2015 hält Eisl sehr wohl gefährdet. „Wir werden es nicht schaffen, alle ELGA-Bereiche anzubinden. Das Roll-Out wird sich in das Jahr 2015 hineinziehen und dazu wird es nächstes Jahr eine eigene Verordnung geben“, so Eisl.

Opt-Out ab 1.1. 2014 möglich

Faktisch bedeutet dies, dass Bürger zwar ab Jänner 2014 ein „Opt-Out“ von ELGA in Anspruch nehmen können, es jedoch noch keine gesammelten Gesundheitsdaten gibt, deren Nutzung und Speicherung sie verweigern könnten. Denn die Datensammlung beginnt erst mit den ersten Krankenhäusern im Jahr 2015. Das bedeutet auch, dass Bürger, die ELGA von vornherein ablehnen, tatsächlich von der Datenerfassung befreit sein werden.

Wer aussteigen möchte, kann dies ab 1.1. 2014 über das ELGA-Bürgerportal mit seiner Bürgerkarte oder Handy-Signatur tun, oder offline bei einer der Widerspruchsstellen, die eingerichtet werden. Möglich wird in den weiteren Jahren dann auch, nur einzelne Befunde oder Behandlungsfälle oder Medikamente ausblenden zu lassen und den Zugriff auf diese speziellen Daten zu verweigern. Eisl geht davon aus, dass etwa sieben Prozent der Patienten aus ELGA aussteigen werden. „Das zeigen Umfragen und das gilt natürlich nur so lange, bis wir keinen Sicherheitsvorfall haben. Daher legen wir ein großes Augenmerk darauf, die Daten abzusichern“, so der Geschäftsführer der ELGA GmbH.

Sicherheitsvorfälle im Fokus

Sicherheit ist dank zahlreicher Vorfälle, die im Gesundheitsbereich in den letzten Tagen und Monaten aufgetreten sind, bei der Einführung von ELGA ein großes Thema. Um nur die jüngsten Sicherheitsvorfälle zu nennen: Erst vergangene Woche hat AnonAustria behauptet, Zugriff auf die Zentrale Partnerverwaltung der österreichischen Sozialversicherungen zu haben, das wären mehr als 14 Millionen Stammdateninformationen. Ende September gab es ein Datenleck bei einem Apotheken-Software-Server des Österreichischen Apotheker-Verlags mit einem geklauten Datensatz von 2000 Patientennamen und 14.000 Verkaufsdaten.

Medizinische Daten sind aber hochsensible Daten, die im Hinblick auf die elektronische Verarbeitung besondere Schutzmaßnahmen erfordern. „Datensicherheit ist ein wichtiger Punkt. Es darf nicht dazu führen, dass gewisse Krankheitsgruppen Ängste haben müssen, dass sie stigmatisiert werden. Dann wäre das System gescheitert“, erklärte Otto Spanger, Vorsitzender des medizinischen Selbsthilfezentrums Wien, der die Einführung von ELGA jedoch prinzipiell begrüßt.

Genaue Protokollierung

Um für Datensicherheit zu sorgen, sollen bei ELGA alle Zugriffe auf die Gesundheitsdaten genau geregelt sein und protokolliert werden. Damit sollen Patienten sehen können, wer wann auf welche ihrer Daten zugegriffen hat. Derzeit wird noch intern darüber diskutiert, ob dabei z.B. in Krankenhäusern der Name des behandelnden Arztes oder medizinischen Personals (z.B. Laborarzt) aufscheinen soll, oder nur der Krankenhausträger. Damit wäre im Fall eines Missbrauchs der Täter jedoch schwerer identifizierbar. „Die Protokollierung greift aber immer erst im Nachhinein, da kann es auch schon zu spät sein“, warnte Klaus Schindelwig, Datenschutzbeauftragter bei den Tiroler Landeskrankenanstalten.

"Können nur Versprechen abgeben"

Zum speziellen Sicherheitsfall von vergangener Woche, wo es sich nach Angaben des Hauptverbandes der Sozialversicherungsträger um einen internen Mitarbeiter gehandelt haben soll, der auf Patientendaten unbefugt zugegriffen haben soll (und der mittels einer exakten Protokollierung der Zugriffe ausgeforscht werden konnte), sagte Schindelwig: „Es gibt auch im Krankenhaus immer wieder Fälle, bei denen z.B. die Krankenschwester willentlich gegen ihre Pflichten verstößt. Es gibt kein Informationssystem, das Angriffe von innen abwehren kann. Es kann daher auch nicht garantiert werden, dass ELGA zu hundert Prozent sicher ist. Wenn Ihnen jemand böses will, hat er gute Chancen, zu Ihren Daten zu kommen. Auch Banken investieren viel in Sicherheit, trotzdem verschwinden Gelder. Wir können daher nur Versprechen abgeben, für nötige Sicherheitsstandards zu sorgen.“

Für Arbeitgeber, Betriebsärzte, Behörden, Versicherungen und Kassen-Chefärzte sollen die Daten tabu sein, der Zugriff soll auch technisch nicht möglich sein. Unklar ist derzeit noch, ob auch Pflegepersonal auf die ELGA-Gesundheitsdaten zugreifen kann. Hierzu gibt es noch interne Streitigkeiten. „Menschen sind fehlerbehaftet, es kann immer was passieren“, sagte Susanne Herbig von der ELGA GmbH. „Doch aus diesem Grund wurden auch die Strafbestimmungen im Strafgesetzbuch verschärft. Bei Missbrauch von ELGA-Daten drohen Strafen von bis zu 10.000 Euro“, so Herbig.

Krankenhäuser starten 2015

Wenn der ELGA-Zeitplan hält, werden die Krankenhäuser 2015 die ersten sein, die ELGA einsetzen werden. „Die Krankenhausanstalten sind gut vorbereitet“, meinte Alexander Schanner von der Organisationsentwicklung und IKT der Niederösterreichischen Landeskliniken Holding dazu. „Es wird allerdings eine aufwendige Überzeugungsarbeit für den Nutzen des Systems notwendig sein, da wir mit „leeren“ Datensätzen starten werden“, so Schanner.

Laut Werner Leodolter, Leiter der Abteilung Informations- und Prozessmanagement der Steiermärkischen Krankenanstalten GmbH, werden auf Dauer die vier vorgesehenen Datensätze nicht ausreichen. Diese Datensätze beinhalten die E-Medikation, den E-Befund Labor, den E-Befund Radiologie und den E-Arztbrief bzw. Patientenbrief. „Mittelfristig brauchen wir mehr als diese vier Datensätze“, erklärte Leodolter. Dieser Forderung stimmten auch weitere Krankenhaus-Manager bei der IIR-Tagung zu.

Christian Gierlinger, Leiter des Kompetenzbereichs IT, Innovation und Consulting bei der Vinzenz Gruppe, forderte: „Wir müssen künftig das Silodenken der einzelnen Krankenhäuser zu Hause lassen und in Kollaborationen einsteigen. Statt ein Röntgen nochmal zu machen, müssen wir die Arbeit aufteilen, sowie es die Automobilindustrie schon lange gemacht hat. Das wird auch im Gesundheitswesen mit ELGA kommen.“ Dafür notwendig sei eine Institutionalisierung der Prozesse und eine Dokumentenabstimmung.

Patientenvertreter Otto Spanger hofft, dass ELGA künftig „nicht nur als Steuerungselement gesehen wird, um Kosten zu sparen.“ Mit dieser Hoffnung ist Spanger wohl nicht alleine.