Donnerstag, 11. Dezember 2003

Gütesiegel für MOBILE-Doctor, Version 1.5

9-12/2003

Zertifiziert am 11.12.2003
Befristet bis 10.12.2005

Mobile Datenhaltung auf Pocket-PCs in der fachlichen Ausprägung einer mobilen Datenbankanwendung für ärztliche Kernprozesse, bei der eine Synchronisation mit dem originären Datenbank-Server erfolgt.

Kurzgutachten
MOBILE-Doctor 1.5
der Firma plan business healthcare GmbH

 

Zeitpunkt der Prüfung

April bis Oktober 2003

 

Adresse des Antragstellers

plan business healthcare GmbH (pbhc)
Osterfeldstr. 11
22529 Hamburg

 

Adressen des/der Sachverständigen

Rechtsanwalt Stephan Hansen-Oest

Speicherlinie 40
24937 Flensburg

Tel.: 0461 -2 13 53
Fax: 0461 -2 21 42

eMail: sh@datenschutzkontor.de

 

Dipl. Inf. (FH) Andreas Bethke

An de Au 6
25548 Mühlenbarbek

Tel.: 04822 -33 19
Fax: 04822 -378 904

eMail: ab@datenschutzkontor.de

 

Kurzbezeichnung des IT-Produktes

MOBILE-Doctor 1.5

 

Detaillierte Bezeichnung des IT-Produktes

Mit dem Produkt "MOBILE-Doctor 1.5" wird eine mobile Datenhaltung auf Pocket-PCs realisiert (also Offline), bei der eine Synchronisation mit dem originären Datenbank-Server erfolgt.

Da grundsätzlich eine Vielzahl von denkbaren personenbezogenen Daten auf dem Pocket-PC selbst gespeichert werden können, werden die Daten auf dem Pocket-PC durch ein Verfahren, das an den technischen Leistungsfähigkeiten von Pocket-PCs ausgerichtet ist, vor der unberechtigten Kenntnisnahme Dritter gesichert.

"MOBILE-Doctor 1.5" bietet eine mobile Datenbankanwendung für ärztliche Kernprozesse.

Hintergrund der Entwicklung des Produktes sind auch die gesetzlichen Novellierungen im Bereich der Krankenhausfinanzierung, die gravierende Änderungen für die Abrechnungspraxis der Krankenhäuser ergeben haben. Mit dem Inkrafttreten des Fallpauschalengesetzes (FPG) und der konkretisierenden Verordnung zum Fallpauschalensystem (KFPV) ist das bisherige Abrechnungssystem für den Krankenhaussektor grundlegend novelliert worden. Es wurden sog. Diagnosis-Related-Groups (DRG) eingeführt, die die Abrechnungspraxis nicht unerheblich verändern. Insgesamt ist der Dokumentationsaufwand für die Abrechnung von Leistungen durch Krankenhäuser angestiegen.

Das Produkt "MOBILE-Doctor 1.5" soll den behandelnden Ärzten die Eingabe der abrechnungsrelevanten Diagnosen und erforderlichen Dokumentationen unter Berücksichtigung der besonderen Schutzbedürftigkeit dieser Daten erleichtern.

Die Architektur des "MOBILE-Doctor 1.5" umfasst folgende Komponenten:

  • MOBILE-DoctorPPC
  • MOBILE-DoctorIKS
  • MOBILE-DoctorABV
  • MOBILE-DoctorOKT
  • MOBILE-DoctorBKS

 

In folgender Abbildung ist das datenschutzrelevante technisch-organisatorische Umfeld dargestellt:

Technisch-organisatorisches Umfeld
Für eine vergrößerte Version bitte auf das Bild klicken.

Für die Zweckerfüllung wird - neben den von pbhc entwickelten Komponenten - noch ein Krankenhausinformationssystem (KIS) im Backend, sowie ein GatewayPC oder alternativ ein LocalAreaNetwork (LAN) als Verbindung vom mobilen Endgerät zum Server benötigt. In Abhängigkeit von dem KIS muss die Schnittstelle MOBILE-DoctorBKS entsprechend angepasst werden.

 

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Für die Entwicklung wurden folgende Werkzeuge eingesetzt:

  • Microsoft Visual Studio .NET 2003 Enterprise Architect mit Microsoft .NET-Framework 1.1
  • Microsoft eMbedded Visual Tools 3.0 mit Microsoft SDK für PocketPC2002
  • Microsoft Visio for Enterprise Architect 2003
  • Microsoft SQLServer 2000 Query Analyzer
  • Microsoft SQLServer 2000 Enterprise Manager.

 

Zweck und Einsatzbereich

Die Anwendung "MOBILE-Doctor 1.5" stellt eine mobile Datenbankanwendung für ärztliche Kernprozesse im Krankenhaus dar.

Mit dem Produkt "MOBILE-Doctor 1.5" wird eine mobile Datenhaltung auf Pocket-PCs realisiert, bei der eine Synchronisation mit einem originären Datenbank-Server erfolgen kann. Um den Schutz von Daten vor der unberechtigten Kenntnisnahme Dritter zu gewährleisten, werden die Daten auf dem Pocket-PC verschlüsselt. Die Art und Weise der Verschlüsselung der Daten auf dem Pocket-PC soll auch die Verarbeitung besonders schutzwürdiger personenbezogener Daten auf dem Pocket-PC in datenschutzrechtlich zulässiger Weise ermöglichen.

Zweck des Produktes ist, Ärzten eine sichere mobile Datenhaltung auf PocketPCs für Zwecke der vorläufigen Dokumentation von Diagnosen vor Ort zu realisieren, um die positiven Mobilitäts- und Effektivitätseffekte von PocketPCs zu nutzen und zugleich den Schutz vor unberechtigter Kenntnisnahme der Daten durch Dritte zu gewährleisten. Dabei erhält der eingebende Arzt zusätzlich Eingabehilfen auf Grundlage der einschlägigen medizinischen Schlüsselkataloge (ICD-10, OPS 301) sowie der Deutschen Kodierrichtlinien und Diagnosis-Related-Groups (DRG) in der gesetzlichen Form; integriert ist ferner auch eine Plausibilitätskontrolle, um Fehleingaben bei der Kodierung vermeiden zu helfen.

Schon bei der Behandlung können patientengebundene Daten wie Diagnosen, Prozeduren und Anordnungen in dem PocketPC erfasst und später mit dem originären Datenbankserver (und ggf. eine Weiterübertragung über eine individuell zu implementierende Schnittstelle zu einem Krankenhausinformationssystem (KIS)) abgeglichen werden. Dies soll den behandelnden Ärzten mehr Zeit für die Behandlung durch weniger Aufwand bei der Nachdokumentation verschaffen. Außerdem soll die Anwendung dazu dienen, die Behandlung des Patienten durch die sofortige Dokumentation von Daten, die der Therapiesicherung dienen, zu verbessern ("kein Vergessen bei der Nachdokumentation" ).

"MOBILE-Doctor" kann auch in Krankenhäusern eingesetzt werden, die öffentlich-rechtlich organisiert sind. Damit ist das Produkt auch grundsätzlich für den Einsatz bei bzw. durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.

 

Modellierung des Datenflusses

Der Datenfluss erfolgt in der Applikation zwischen so genannten "Schichten" , die im Überblick in der folgenden Abbildung dargestellt sind.

Modellierung des Datenflusses
Für eine vergrößerte Version bitte auf das Bild klicken.

Grundlegend teilt sich die Datenbank in vier Schichten: Die Speicherschicht, die Backend Ein- und Ausgabeschicht, die mobile Ein- und Ausgabeschicht und die Kontrollschicht.

In der Speicherschicht sind die Tabellen und Prozeduren enthalten, die mit den produktiven Daten umgehen. Diese Schicht lässt sich wiederum in drei Bereiche einteilen: 
Katalog-, Organisations- und Falldaten. Katalogdaten sind die Daten, die ausschließlich durch plan business healthcare zur Verfügung gestellt werden. Dabei handelt es sich um die gemeinfreien Kataloge ICD-10 und OPS-301, sowie die Deutschen Kodierrichtlinien und die DRG in der gesetzlichen Form.

Unter Organisationsdaten werden die Daten verstanden, die die Organisationsstruktur des Krankenhauses in Bezug auf die Prozesse widerspiegeln. Dazu gehören z.B. Fachabteilungen und Stationen, aber auch Hilfsobjekte wie Diagnosetypen und -merkmale. Die Falldaten stellen die konkrete Datenbasis zur Verfügung mit der gearbeitet wird. Diese enthalten also alle benötigten Informationen zum Patienten, Fall, Bewegung, Diagnosen und Prozeduren.

Die Backend Ein- und Ausgabeschicht enthält Tabellen und Prozeduren für den Datenaustausch mit dem Backend. Dabei werden die empfangenen und zu sendenden Nachrichten in je einer Tabelle gespeichert und durch an das jeweilige Backend angepasste Prozeduren weiterverarbeitet.

Die mobile Ein- und Ausgabeschicht enthält Tabellen und Prozeduren für den Datenaustausch mit dem mobilen Endgerät. Der Datenaustausch wird hier über die Standardverfahren des SQLServer abgewickelt. Bei der Synchronisation vom Server zum mobilen Gerät erfolgt noch eine Verdichtung. Ansonsten wird auf die originalen Tabellen zugegriffen, damit ein möglichst genaues Abbild des Servers entsteht. Bei der Replikation vom mobilen Gerät zum Server wird eine spezielle Form der Massenverarbeitung eingesetzt, da hier der Verarbeitung in die Tabellen der Speicherschicht ein explizites Konfliktmanagement vorgeschaltet ist. Das Konfliktmanagement enthält Nachbildungen von Teilen der Businesslogik.

Die Kontrollschicht enthält Tabellen und Prozeduren zur Kontrolle der Abläufe in der gesamten Lösung. Sie erfüllt die Aufgaben Fehlermanagement, Steuerung der Anwendungen und Management der verteilten Datenbanken.

 

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog v 1.0a

 

Zusammenfassung der Prüfungsergebnisse

Das Produkt "MOBILE-Doctor 1.5" wird den Ansprüchen an eine Anwendung für mobile Datenverarbeitung im Sinne des Datenschutzes in insgesamt vorbildlicher Weise gerecht.

Neben den technischen Maßnahmen, die bisweilen zum Standard einer Datenbank-anwendung gehören (Benutzerauthentifizierung mit Berechtigungskonzept), hat die Firma plan business healthcare GmbH die besondere Schutzbedürftigkeit der zu verarbeitenden Daten erkannt und schafft mit ihrem Konzept und seiner Umsetzung eine Lösung, die technisch gesehen über dem Durchschnitt liegt.

Insbesondere im Bereich der Verschlüsselung von mobilen Datenbanken bietet pbhc ein brauchbares und praxisorientiertes Konzept, das dem Stand der Technik entspricht. Darüber hinaus kann das Verschlüsselungskonzept leicht an strengere Standards angepasst werden, soweit die Technik im Sinne des Datenschutzes bzw. des Patientengeheimnisses und der Datensicherheit dies erforderlich machen sollte.

Im organisatorischen Bereich steht bei "MOBILE-Doctor 1.5" nicht das technisch Machbare im Vordergrund, sondern es findet sehr wohl eine Abwägung mit Aspekten von Datenschutz und Datensicherheit statt, um dann eine Lösungsmöglichkeit zu schaffen, die für den Anwender etwas "unbequemer" ist. So findet mit dem Produkt kein Online-Zugriff auf eine zentrale Datenbank per Funk/WLAN statt, sondern es werden Datenbanken synchronisiert.

Das Produkt erfüllt in rechtlicher Hinsicht insbesondere die hohen Anforderungen, die an die Verarbeitung personenbezogener, sensitiver Daten, die zudem der ärztlichen Schweigepflicht unterliegen, gestellt werden. Die vom Hersteller bei der Produktentwicklung verwendeten technischen Maßnahmen für die Authentifizierung und Verschlüsselung gewährleisten, dass keine unbefugte Offenbarung von Patientendaten an unberechtigte Dritte erfolgen kann.

Der Hersteller hat außerdem Sorge dafür getragen, dass Protokollierungen von Eingaben vorgenommen werden, die eine Integrität und Authentizität der Daten gemäß der ärztlichen Dokumentationspflicht gerade für Zwecke der Therapiesicherung sicherstellen.

 

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Produkt "MOBILE-Doctor 1.5" entspricht den technischen und rechtlichen Anforderungen an IT-Systeme im medizinischen Bereich. Der Produkthersteller hat, soweit dies in seinem Einflussbereich liegt, die Gesichtspunkte von Datenschutz und Datensicherheit stets bedacht. Hierbei sind besonders die Art und Weise der Verschlüsselung sowie das Berechtigungskonzept positiv zu würdigen. Der Hersteller hat insbesondere auch das besondere Gefährdungspotential mobiler Datenverarbeitung erkannt und neben der Verschlüsselung der personenbezogenen Daten auch für eine etwaige Entwendung bzw. einen Verlust des PocketPCs Sicherheitsmaßnahmen für den Schutz vor unberechtigter Kenntnisnahme Dritter gesorgt. So werden die in der Datenbank gespeicherten Daten nach mehrfacher fehlgeschlagener Fehlauthentifizierung gelöscht.