Question 2532 (4.2.2013) de M. Jean Colombera (Onofhängeg) concernant l’informatisation dans le secteur de la santé:

Im Kontext der Informatisierung im nationalen Gesundheitswesen möchte ich folgende Fragen stellen:

1. Wird es ein nationales Programm geben, das die Fragen des Datenschutzes im Rahmen der Informatisierung der Berichterstattung zwischen Dienstleistern regelt ?
2. Gibt es Standards, die von allen Dienstleistern eingehalten werden müssen?
3. Sind Broschüren des Ministeriums vorgesehen, die den einzelnen Patienten die Fragen und Antworten zum Datenschutz im Gesundheitswesen näherbringen?
4. Muss der Patient prinzipiell seine Zustimmung geben, um zu erlauben, dass Berichte zwischen Dienstleistern übermittelt werden?
5. Welche Agentur ist hier in Luxemburg zuständig für die Erstellung der Leitlinien in diesem Bereich?
6. Gibt es in den Kliniken spezialisierte Fachkräfte, die juristische sowie datenschutzrechtliche Fragen, die mit der elektronischen Dokumentation einhergehen, aufarbeiten können?
7. Gibt es ein Qualitätslabel, das die Dienstleister erwerben können nach erfolgreicher Auditierung ihrer Informationssysteme?

Réponse (19.3.2013) de M. Mars Di Bartolomeo, Ministre de la Santé, Ministre de la Sécurité sociale:

Zurzeit begleiten das Gesundheitsministerium und das Ministerium für soziale Sicherheit die Einführung einer verstärkten elektronischen Dokumentation sowie die Verbesserung der elektronischen Vernetzung der Akteure des Gesundheitswesens. Die sogenannten neuen Informations- und Kommunikationstechnologien bieten im Gesundheitswesen interessante neue Möglichkeiten zum Vorteil für den Patienten, den Leistungserbringer, für das Gesundheitssystem insgesamt sowie für die Forschung. Gesundheitsinformationssysteme können zum Beispiel dazu beitragen, dass lebenswichtige Gesundheitsinformationen schneller und zuverlässiger am richtigen Ort zur Verfügung stehen. Sie unterstützen anerkanntermaßen die Sicherheit und die Qualität von Prävention, Diagnose, Behandlung des Patienten. Sie tragen auch zur allgemeinen Effizienz, Nachhaltigkeit und Transparenz des Gesundheitswesens bei und erschließen neue Möglichkeiten für die Forschung. Ziel der aktuellen nationalen Bemühungen in diesem Bereich ist es, diese Vorteile durch angepasste und datenschutzkonforme Instrumente verstärkt zu erschließen. Trotz der anerkannten Vorteile muss selbstverständlich beachtet werden, dass medizinische Patientendaten besonders empfindliche Daten sind, welche einen besonderen Schutz erfor¬dern. Es gilt die mit der elektronischen Verarbeitung von Gesundheitsdaten verbundenen Risiken durch den Einsatz adäquater technischer Lösungen zu minimieren und einen möglichst hohen Datenschutz zu gewährleisten. In Luxemburg werden die allgemeinen Bestimmungen betreffend die Fragen des Datenschutzes durch das abgeänderte Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung festgelegt („Datenschutzgesetz“). Laut Datenschutzgesetz obliegt die Überwachung der Einhaltung der Bestimmungen des Datenschutzgesetzes der Na¬tionalen Kommission für den Datenschutz („Datenschutzkommission“). Das Datenschutzgesetz legt unter anderem die genauen Bedingungen fest, die erfüllt werden müssen, damit eine Verarbeitung empfindlicher Daten im Gesundheitsbereich rechtmäßig ist. Es regelt die möglichen Zweckbestimmungen (Erbringung von Gesundheits und Pflegedienstleistungen; wissenschaftliche Forschung und Verwaltung der Gesundheitsdienste) sowie die Personengruppen, die diese Verarbeitungen von Gesundheitsdaten durchführen dürfen (medizinische Instanzen, Sozialversicherungseinrichtungen; Personen, die im sozialen, familiären und therapeutischen Bereich tätig sind). Eine Übermittlung von Gesundheitsdaten an andere Gesundheitsdienstleister kann auch prinzipiell nicht gegen den Willen des Patienten geschehen. Das Gesetzesprojekt über die Rechte und Pflichten des Patienten sieht in diesem Zusammenhang vor, dass die Übermittlung von Gesundheitsdaten im Interesse der Behandlung nicht gegen die Schweigepflicht verstößt, sofern der Patient hierüber informiert ist und der Übermittlung nicht widersprochen hat. Prinzipiell obliegt es in erster Linie jedem Leistungserbringer sicherzustellen, dass in seinem Wirkungsbereich die Bestimmungen des Datenschutzes eingehalten werden. Das Datenschutzgesetz bestimmt klar Verpflichtungen für die verantwortlichen Stellen (u.a. Krankenhäuser), welche eine Datenverarbeitung vornehmen (ob in Papier oder elektronischer Form). Dies beinhaltet unter anderem sicherzustellen, dass die Daten durch den Einsatz adäquater technischer und organisatorischer Maßnahmen gesichert sind, und dafür Sorge zu tragen, dass ihre Mitarbeiter die Daten unter Einhaltung der gesetzlichen Bestimmungen verarbeiten und deren Schutz gewährleisten. Zurzeit haben alle Luxemburger Krankenhäuser intern Verantwortliche für Fragen des Daten¬schutzes eingesetzt, welche in ihrem Wirkungsbereich die Einhaltung des Datenschutzes unter Aufsicht der Datenschutzkommission gewährleisten sollen. Gemäß Artikel 60ter und 60quater des Sozialgesetzbuches („Code de la sécurité sociale“) ist die eHealthAgentur („Agence eSanté“) mit der Umsetzung einer nationalen elektronischen Infrastruktur für den Austausch von Gesundheitsdaten beauftragt. In diesem Rahmen erfolgt zurzeit die technische Detailplanung zur Umsetzung der elektronischen Austauschakte des Patienten („dossier de soins partagé“). Auch plant die eHealth Agentur die Bereitstellung einer besonders abgesicherten Lösung für den direkten elektronischen Datenaustausch zwischen den Gesundheitsdienstleistern. Für die ersten Bausteine der zukünftigen nationalen Infrastruktur wurde mit der öffentlichen Ausschreibung begonnen. Als verantwortliche Stelle für diese wichtigen neuen Instrumente ist die eHealth Agentur gemäß Bestimmungen des Sozialgesetzbuches zur Einhaltung besonders hoher Sicherheitsmaßnahmen verpflichtet. Sie wird die Sicherheit ihrer Infrastruktur vor Inbetriebnahme testen und durch eine externe, spezialisierte Firma auditieren lassen. Die eHealth Agentur hat Arbeitsgruppen eingesetzt, welche sich mit den technischen Fragen der Infrastruktur sowie mit der Einhaltung der ethischen, deontologischen und rechtlichen Fragen befassen. Diese Arbeitsgruppen behandeln insbesondere auch die Fragen des Datenschutzes und die der Patientenrechte. Dabei wird auch darauf geachtet, die Grundsätze des „privacy by design“ (Datenschutz durch Technik) und „privacy by default“ (datenschutzfreundliche Voreinstellungen) zu berücksichtigen. Vor Inbetriebnahme der nationalen elektronischen Infrastruktur für den Austausch von Gesundheitsdaten ist eine Informationskampagne durch die eHealth Agentur geplant, anhand von Broschüren, aber auch über das Internet und andere Medien. Ziel ist es, den Patienten und den Leistungserbringer über Fragen zum Datenschutz, aber auch zur generellen Funktionsweise zu informieren. Artikel 60ter (1) des Sozialgesetzbuches beauftragt generell die nationale eHealthAgentur mit der Förderung der Interoperabilität und Datensicherheit, unter anderem durch die Erarbeitung von Leitlinien und Standards für Gesundheitsinformationssysteme. Ein erster Vorentwurf ist in Vorbereitung und wird in den Arbeitsgruppen der eHealth Agentur weiter beraten werden. Die Akteure des Gesundheitswesens, das Gesundheitsministerium, das Ministerium für soziale Sicherheit, die Gesundheitskasse sowie die Datenschutzkommission sind in die Arbeitsgruppen der eHealth Agentur durch Vertreter eingebunden und begleiten die vorerwähnten laufenden Arbeiten konstruktiv. Die Einführung eines nationalen Qualitätslabels nach Auditierung von Gesundheitsinformationssystemen ist zurzeit jedoch nicht geplant.