Dienstag, 14. April 2009

Gütesiegel für SpeechMagic, Version 1.0 (ehemals MBS-easy)

13-11/2005

Rezertifiziert am 14.04.2009
Befristet bis 14.04.2011
Erstzertifizierung 16.11.2005

Verarbeitung und Verwaltung von digitalen ärzlichen Diktaten.

Kurzgutachten:

 

Kurzgutachten
MBS-easy, Version 3.6.0.0

Zeitpunkt der Prüfung

Juli 2005 – Oktober 2005

Adresse des Antragstellers

Kuhlmann Informations-Systeme GmbH 
Otto-Hahn-Str. 9a
25337 Elmshorn

Tel.: + 49 - (0)4121 - 800 48 - 0
Fax: + 49 - (0)4121 - 800 48 - 18

Adressen des/der Sachverständigen

Rechtsanwalt Stephan Hansen-Oest 
Speicherlinie 40 
24937 Flensburg

sh@datenschutzkontor.de

Dipl. Inf. (FH) Andreas Bethke 
An de Au 6 
25548 Mühlenbarbek

ab@datenschutzkontor.de

Kurzbezeichnung des IT-Produktes

MBS-easy (Version 3.6.0.0)

Detaillierte Bezeichnung des IT-Produktes

Das Produkt "MBS-easy" ist eine digitale Diktataufnahme- und -verwaltungslösung für den Bereich des Gesundheitswesens. Es unterstützt Fachkräfte im medizinischen Bereich bei der Erstellung von medizinischen Befunden und der Durchführung entsprechender Arbeitsabläufe. MBS-easy ist eine Software-Applikation für die Aufnahme von digitalen Diktaten, deren Verwaltung und deren weitere Verarbeitung, dem Erstellen von Abschriften.

Das Produkt verfügt über eine lernfähige Online-Spracherkennung und eine Hintergrund-Spracherkennung, die speziell auf den medizinischen Sprachgebrauch abgestimmt sind. Das Produkt wird in der Regel in ein bestehendes Krankenhaus-Informations-System (KIS) integriert, kann aber auch eigenständig eingesetzt werden. Darüber hinaus ist eine Anbindung von Heim-Arbeitsplätzen und externen Schreibbüros möglich um Abschriften der digitalen Diktate zu erstellen.

Das Berechtigungskonzept des MBS-easy ordnet sich in Integrationen auf Wunsch dem übergeordneten Informationssystem vollständig unter, so dass ein durchgängiger und nicht durch ständiges An- und Abmelden unterbrochener Workflow gewährleistet ist.

Jedes Diktat, das mit MBS-easy erstellt wird, hat einen Autoren und einen Empfänger. Während der Autor immer als Person angegeben wird, kann der Empfänger eines Diktats eine bestimmte Person, eine Gruppe oder "alle" im Programm angelegten Personen beinhalten. Durch die konkrete Ausgestaltung des Produktes ist gewährleistet, dass nur berechtigte Personen (z.B. eingeschränkt auf Abteilungsebene oder Behandlungsteams) Zugriff auf die jeweiligen Diktate haben.

Für die Umsetzung eines mehrstufigen, hierarchischen Berechtigungskonzepts wurden alle am Prozess der Erstellung von Dokumenten beteiligten Personen der realen Welt (z.B. in einem Krankenhaus, oder einer Arzt-Praxis) berücksichtigt. Dies gilt insbesondere für den Datenschutzbeauftragten der datenverarbeitenden Stelle, dem Möglichkeiten zur Revision oder andere Kontrollrechte gegeben werden können. Somit ist ein durchgängiger Zugangsschutz in vorbildlicher Weise gewährleistet.

Für die Spracherkennung wird das Produkt "SpeechMagic™" der Firma Philips eingesetzt,

das nicht Gegenstand der Zertifizierung ist.

Durch die Kapselung der integrierten Spracherkennung durch das MBS-easy wird als Gesamtlösung auch hier der Datenschutz gewährleistet.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

  • Microsoft Visual Studio
  • Microsoft SQL-Server

Zweck und Einsatzbereich

Zweck des Produktes ist es, Ärzten das digitale Diktieren, die Online-Spracherkennung und die Hintergrund-Spracherkennung zu ermöglichen und die Ergebnisse einem geschlossenen Benutzerkreis unter Wahrung der ärztlichen Schweigepflicht zur Verfügung zu stellen.

Da das Produkt grundsätzlich auch für Ärzte in öffentlich-rechtlich organisierten Krankenhäusern und bei Amtsärzten einsetzbar ist, ist das Produkt auch grundsätzlich zum Einsatz bei öffentlichen Stellen des Landes Schleswig-Holstein geeignet.

Modellierung des Workflows

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Version 1.2

Zusammenfassung der Prüfungsergebnisse

Das Produkt "MBS-easy" wird im medizinischen Umfeld eingesetzt. Positiv hervorzuheben ist die Dokumentation des Produktes. Hier lässt der Hersteller große Transparenz walten; dies gilt in besonderem Maße für die Schnittstellenbeschreibung und für die Installationsanweisung für Server und Workstation.

Bei einem Produkt, das Dateien zentral auf einem Server ablegt, besteht immer die Gefahr, dass diese Dateien von Unberechtigten verändert werden. Hier greift der Hersteller auf eine Technologie zurück, die gewährleistet, dass nur ein "versteckter Benutzer" das ausschließliche Änderungsrecht bekommt und dieser Benutzer von einem Dienst, der auf einer berechtigten Arbeitsstation läuft, aus aufgerufen wird. Die Integrität der Daten kann somit gewährleistet werden. Die Diktate werden so, ohne eine Zugriffsmöglichkeit anderer Benutzer oder Programme, auf dem Datenserver gespeichert. Informationen zu diesen Diktaten werden in einer abgesicherten Datenbank gehalten. Somit ist nicht nur ein sicherer Zugriff gewährleistet, sondern ebenso eine sinnvolle Verteilung der Datenmengen umgesetzt worden.

Zur optimalen Datenvermeidung werden alle nicht mehr benötigten Informationen zeitgerecht gelöscht.

Das Produkt "MBS-easy" genügt somit den datenschutzrechtlichen Anforderungen in insgesamt vorbildlicher Art und Weise.

Sollen Daten an externe Dritte übermittelt werde, so ist darauf zu achten, dass diese nur pseudonymisiert oder anonymisiert (§ 203 StGB)   übermittelt werden. Das Produkt bietet hier eine Unterstützung an, die im Handbuch beschrieben ist.

Bei der Möglichkeit der Einbindung von externen Schreibbüros sind für die Einhaltung der ärztlichen Schweigepflicht ergänzende organisatorische Maßnahmen durch die datenverarbeitende Stelle (z.B. Krankenhaus) zu treffen, um schon bei der Aufnahme von Diktaten durch Ärzte zu gewährleisten, dass kein direkter Personenbezug durch die Diktatinhalte entsteht. Da der Hersteller hier keinen Einfluss auf die Einhaltung der organisatorischen Maßnahmen hat, kann von einer adäquaten Umsetzung gesprochen werden. Der Hersteller hat jedoch in seiner Produktdokumentation Sorge dafür getragen, dass die das Produkt einsetzende Stelle auf diese Punkte hingewiesen wird, damit entsprechende Maßnahmen eingeleitet werden können.

Auch bei der Wahrung der Betroffenenrechte hängt die konkrete Einhaltung der Vorgaben von der datenverarbeitenden Stelle ab. Hierauf hat der Produkthersteller keinen Einfluss, so dass auch hier von einer adäquaten Umsetzung gesprochen werden kann.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Produkt fördert den Datenschutz durch eine gelungene technische Umsetzung von Anforderungen an die Integrität von Daten und der Steuerung von Zugriffen auf Daten durch die Möglichkeit der sehr differenzierten Vergabe von Berechtigungen aller am Prozess beteiligten Gruppen und Personen.

Hierdurch wird es der datenverarbeitenden Stelle, die das Produkt einsetzt, möglich, Berechtigungen innerhalb der medizinischen Einrichtung optimal technisch abzubilden. Aus diesem Grunde kann gewährleistet werden, dass die Vorgaben zur Einhaltung der ärztlichen Schweigepflicht mit dem Produkt umgesetzt werden können, da Berechtigungen differenziert an Personen, Abteilungen oder Behandlungsteams erteilt werden können. Für den Einsatz externer Schreibbüros können mögliche Patientendaten für die weitere Verarbeitung pseudonymisiert werden, so dass die Vorgaben von Datenschutz und ärztlicher Schweigepflicht eingehalten werden können.