Handbuch für Primär-Versorgungs-Einheiten

Können Mitarbeiterinnen/Mitarbeiter extern auf Daten der PVE zugreifen, so ist sicherzugehen, dass die gleichen Regeln, die im internen Bereich gelten, auch extern zur Anwendung kommen:

  • Zugang nur über gesicherte Geräte oder ein Management, das gewährleistet, auch externe Geräte entsprechend sicher zu betreiben.
  • Sollte ein externes Gerät abhandenkommen, so ist dies sofort zu melden und es ist technisch sicherzugehen, dass kein Zugriff mehr von diesem Gerät erfolgen kann (z.B. durch Passwort-Reset oder Remote-Löschen).
  • Die bessere Lösung ist eine Klassifizierung von internen Daten (z.B. “normale Officedaten” wie allgemeiner Kalender und persönliche E-Mails versus “medizinische Daten”). In diesem Fall können die “normalen Daten” von PVE-Teammitgliedern von außerhalb bezogen werden, nicht jedoch die “medizinischen Daten”.

Für einen Zugriff von Patientinnen/Patienten auf ihre Befunde, die von der PVE zur Verfügung gestellt werden, gelten ebenfalls klare Datenschutzregelungen. Ein Versand medizinischer Daten via E-Mail ist ohne spezielle Schutzmechanismen (Verschlüsseltes Dokument/Versenden eines Links auf ein gesichertes Archiv) nicht gestattet. Folgende Möglichkeiten können genutzt werden, um datenschutzkonform mit der Patientin/dem Patienten sensible Daten auszutauschen:

  • Patientin/Patient bei Besuch der PVE mit einem persönlichen Account und Passwort ausstatten.
  • Per E-Mail einen Link auf das medizinische Dokument mit einer sogenannten generierter URL (Uniform Ressource Locator) verschicken. Patientin/Patient kann sich mit dieser URL einloggen und das Dokument beziehen.

Für elektronische Buchung von Terminen seitens Patientinnen/Patienten kann ein anonymes Buchungsformular mit Verifizierung über E-Mail oder Telefon (z.B. SMS) eingesetzt werden.

Hinsichtlich des Befundaustausches zwischen Gesundheitsdiensteanbieter gelten nachfolgende Empfehlungen:

  • Der ungerichtete Befundaustausch zwischen GDA sollte prinzipiell nur über ELGA abgewickelt werden. Ungerichtet bedeutet, dass die Empfängerin/der Empfänger zum Zeitpunkt der Ablage der Informationen nicht bekannt ist (z.B. CT-Bilder, die zu einem späteren Zeitpunkt in einer Verlaufskontrolle von anderen GDA genutzt werden).
  • Der gerichtete Austausch von Befunden (Senden von Befunden an weiterbehandelnde oder anfordernde GDA) sollte idealerweise über einen der Anbieter von gerichteter GDA-Kommunikation erfolgen:
    • z.B. medical.net oder DaMe
    • e-Card-Befundübertragung
  • Eine Befundübermittlung per E-Mail ist nicht erlaubt. Eine Übermittlung wie weiter obenbeschrieben ist jedoch erlaubt.
  • Befunde per Fax zu verschicken ist zwar mit einigen definierten Vorsichtsmaßnahmen per Gesetz erlaubt, aber aus sicherheits- und verfahrenstechnischen Gründen kein ideales Medium.[1]

 


[1] Siehe auch GTelG 2012: §27 Abs. 12