Patientenbezogene Daten schützen: Wie HIPAA-konforme Observability-Lösungen den Schritt zum digitalen Datenmanagement erleichtern
Die elektronische Patientenakte, der digitale Impfnachweis oder die Besprechung mit dem Hausarzt per Videochat – all diese Dinge sind heute längst keine Zukunftsmusik mehr: die Systeme sind da und bereit, genutzt zu werden. Die digitale Revolution des Gesundheitswesens liegt praktisch direkt vor uns – und trotzdem spüren viele Patient:innen davon bisher nur wenig. Hausärzte versenden ihre Patientendaten zum großen Teil immer noch per Fax an die zuständigen Krankenkassen und Termine werden dann doch gerne wieder persönlich in der Sprechstunde ausgemacht. Trotz Covid-19 und einem nach wie vor erhöhten Ansteckungsrisiko. Doch woran liegt das und was können Versicherer, Krankenhäuser, Verrechnungsstellen und Praxen tun, um in Zukunft sicherer und effizienter mit elektronischen Patientendaten arbeiten zu können? Wie können Organisationen den Schritt ins vollständig digitalisierte Patientenmanagement gehen, und dabei effizientere Angebote schaffen, ohne ein Datenschutzrisiko einzugehen? Observability-Plattformen können eine Lösung sein.
Unübersichtliche Gesetze und Anwendungen
Der Grund für die Unsicherheit heißt in den allermeisten Fällen: Datenschutz. Denn, obwohl Deutschland jede Menge Gesetze zum Schutz von Patientendaten zu bieten hat, sind diese oft noch unübersichtlich und damit kompliziert in der Einhaltung. Viele Unternehmen bleiben daher bei den altbewährten Lösungen zur Datenspeicherung- und Übermittlung, die sie seit Jahren kennen und rechtlich leichter abschätzen können. Erschwerend kommt hinzu, dass es in Deutschland bisher kein Gesetz gibt, das allgemeingültig für alle Einrichtungen gilt, die mit Patientendaten zu tun haben. Je nach Bereich können unterschiedliche Regeln und Fristen gelten. Viele medizinische Einrichtungen fürchten sich daher vor den Konsequenzen einer ungewollten Datenschutzverletzung oder eines Datendiebstahl durch Hacker. Das Vertrauen in die Sicherheit, die Anbieter digitaler Lösungen bieten, muss erst wachsen. Aber auch schon scheinbar banale Fehler in Healthtech-Systemen können mittel- und langfristig zu wirtschaftlichen Schäden führen. Eine abgestürzte Gesundheits-App beispielsweise kann dazu führen, dass ein Patient oder eine Patientin im falschen Moment nicht auf wichtige Daten zugreifen kann. Kommen solche Störungen häufiger vor, kann das direkten Einfluss auf die Reputation der Lösung und das Vertrauen der Nutzer haben.
Eine weitere Bremse für den breiten Einsatz von elektronischen Gesundheitslösungen ist die fehlende Übersichtlichkeit der Systeme, was das Risiko erhöht, Fehler und Missbräuche gar nicht oder zumindest zu spät zu erkennen. Denn bei aller Geschwindigkeit, die digitalisiertes Management von Patientendaten bietet, müssen IT-Security und Übersichtlichkeit dabei jederzeit gegeben sein. Viele Unternehmen, die mit Patientendaten in Berührung kommen arbeiten zwar bereits mit Datenbank-Management-Tools wie z. B. InterSystems, diese dienen aber in erster Linie der Bereitstellung und Verknüpfung von Anwendungen. Doch wie geht es danach weiter und wie können Unternehmen sicherstellen, dass Anwendungen fehlerfrei und vor allem datenschutzkonform funktionieren?
Der nächste Schritt: Observability
Eine Lösung hierfür könnte Observability heißen. Observability wird häufig mit dem Begriff Monitoring verwechselt. Allerdings gibt es hier einen klaren Unterschied: Während Monitoring Daten sammelt, um Probleme ausfindig zu machen, instrumentiert Observability die Systeme ganzheitlich, um die Ursache eines Problems zu finden und mögliche Fehlerquellen vorherzusagen. Observability ist dabei weniger eine Anwendung sondern vielmehr ein Zustand, den ein System erreichen muss, damit sein Output Echtzeit-Rückschlüsse über den Zustand in seinem Inneren geben kann. Besonders, wenn es um hochsensible, personenbezogene Daten geht, hat das Identifizieren von internen Fehlerquellen absolute Priorität.
Observability-Tools überwachen alle IT-Anwendungen innerhalb eines Unternehmens vollständig integriert, das heißt, sie führen die entstandenen Daten eigentlich unabhängiger Systeme in einem einzigen Dashboard zusammen. So entsteht eine Übersicht der Ergebnisse bzw. des Outputs aller Prozesse innerhalb der Organisation.
Zum Erreichen von Observability werden mehrere Arten von Telemetriedaten genutzt: Metriken, Logs, Events und Traces. Anhand ihres Outputs kann das System darauf schließen, ob es innerhalb der Anwendungen zu Fehlern oder Problemen gekommen ist und vor allem: warum. Damit dient Observability in erster Linie dazu, die Performance von IT-Anwendungen zu verbessern – im Hinblick auf den Datenschutz hilft sie aber auch dabei, mögliche Rechtsverletzungen zu entdecken und zuzuordnen.
Der amerikanische Softwareanbieter New Relic bietet seit Kurzem die erste und bisher einzige Observability-Plattform an, die nicht nur DSGVO- sondern sogar HIPAA-konform ist. Damit zielt sie speziell auf die Ansprüche von Unternehmen und Organisationen aus dem Healthcare- oder Healthtech-Sektor ab. Zwar ist HIPAA kein deutsches Gesetz, trotzdem bieten die damit verbundenen Richtlinien eine klare Orientierung und Schutz im Umgang mit sensiblen Daten: Im Gegensatz zu den unterschiedlichen und teilweise verwirrenden deutschen Gesetzen zum Schutz von Patientendaten, richtet HIPAA sich allgemeingültig an alle Institutionen, die in irgendeiner Weise mit dieser Art Daten zu tun haben. Zum einen wird dadurch Einheitlichkeit geschaffen, zum anderen sorgen klare und strenge Regeln dafür, dass insgesamt weniger Platz für Fehlinterpretationen bleibt. Besonders spannend ist Observability im Healthcare-Sektor für Versicherer, Unternehmen im Bereich Gesundheitserhaltung sowie Programme, Anbieter und Verrechnungsstellen der öffentlichen Hand.
Die strenge Ausrichtung der New Relic Plattform an HIPAA-Vorgaben bringt so auch deutsche Unternehmen automatisch näher an einen rechtskonformen und sicheren Umgang mit Patientendaten. Damit ist ein erster, wichtiger Schritt getan, um den patientenbezogenen Datenschutz in Deutschland zu erhöhen.
Quelle: Klaus Kurz, Director Solutions Consulting Central Europe bei New Relic
