Von einem Mitglied der KV RLP, das die Ablösung seiner papiergestützten Dokumentation durch rechtssicheres Scannen vorgenommen hat, liegt der folgende Erfahrungsbericht vor, der ein Beispiel für eine gelungene Umstellung auf eine elektronische Dokumentation und somit eine hilfreiche Orientierung für Praxen, die ebenfalls eine Umstellung planen, darstellt:

Dr. med. Wolfgang Hauth MBA MSc

Rechtssicheres papierersetzendes Scannen in einer Arztpraxis

Die modernen Diagnostik-, Therapie- und Betreuungsprozesse komplexer, meist chronischer Erkrankungen, erfordern zunehmend die Zusammenarbeit zwischen verschiedenen ärztlichen Einrichtungen. Eine wesentliche Voraussetzung für Effektivität und Effizienz der einrichtungsübergreifenden Zusammenarbeit ist das Informationsmanagement. Das bedeutet, dass die erforderlichen Informationen über den Patienten in der richtigen Qualität, Quantität und Form zum richtigen Zeitpunkt am richtigen Ort dem Entscheider zur Verfügung stehen. Dazu ist in den einzelnen Einrichtungen ein effektives Dokumentenmanagement erforderlich, damit in der täglichen Sprechstunde jederzeit klar ist, welche Fremdbefunde, Arztbriefe, Krankenhausberichte und technischen Untersuchungsberichte aus welchem Zeitraum existieren und wo diese schnell zu finden sind. Unsere Erfahrung hat gezeigt, dass dies mit Dokumenten in Printform nur sehr aufwändig zu realisieren ist. Deshalb werden zunehmend Fremddokumente oder eigene Dokumente aus der Printform in digitale Dokumente umgewandelt, damit Dokumentenmanagementsysteme besser genutzt werden können.

Wenn Dokumente aus der Printform in die digitale Form übertragen werden, gilt es zahlreiche Vorschriften einzuhalten, um das digitalisierte Dokument in seiner Beweiskraft dem ursprünglichen Print-Dokument weitgehend anzunähern und eine doppelte Archivierung zu vermeiden.

In der Welt der digitalen Datenerfassung und –verarbeitung spielen sehr stark die Datenschutzaspekte eine Rolle, die aus der Informationsspeicherung in Printform stammen, in der digitalen Welt aber deutlich schwieriger zu realisieren sind:

  • Vertraulichkeit: Die Daten dürfen nur von Berechtigten erfasst, gelesen, ge-speichert, verarbeitet oder gelöscht werden können.
  • Authentizität: Es muss klar erkennbar sein, dass ein digitales Dokument auch von dem stammt, der vorgibt der Autor zu sein.
  • Integrität: Veränderungen an gespeicherten Daten dürfen nicht durchgeführt werden können – bei berechtigten Veränderungen muss klar erkennbar sein, wer, wann, welche Veränderungen durchgeführt hat.
  • Verbindlichkeit: Es muss erkennbar sein, wer welche Operationen an ge-speicherten Daten durchgeführt hat und wer die Daten dazu geliefert hat.
  • Originalität: Es handelt sich um das ursprüngliche Dokument und nicht um eine Kopie.
  • Verfügbarkeit: Die Daten und Datenverarbeitungssysteme müssen den Be-rechtigten auch zur Verfügung stehen
  • Kontrollierter Datenzugang: Der Zugang zu Daten durch Berechtigte muss durch ein Rollen-Rechte-Konzept geregelt werden.
  • Schutz vor Verlust: Dies umfasst alle Maßnahmen zur System- und Medien-sicherheit (z.B. Datensicherungskonzepte).

Zur Vereinfachung und Rechtskonformität des Übergangs von der Printbefundspeicherung zur Speicherung der Befunde in digitaler Form haben wir die Technische Richtlinie „Rechtssicheres papierersetzendes Scannen“ des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) in unserer Praxis umgesetzt und beschreiben hier beispielhaft unseren Prozess:

Welche Dokumente werden digitalisiert und welche Schutzziele müssen erreicht werden

Am Anfang steht die Überlegung, welche Dokumente digitalisiert werden sollen und welche Schutzziele dabei im Vordergrund stehen.

Bei der digitalen Transformation von Fremdbefunden (z.B.: Krankenhausbriefe, Arztbriefe, Fremdbefunde, Blutzuckerdokumentationen, Blutdruckdokumentationen, Anschreiben von Kostenträgern und anderen externen Stellen, die in Zusammenhang mit der Behandlung von Patienten stehen) steht die Integrität im Vordergrund. Die Dokumente dürfen nach dem Scanprozess nicht mehr verändert werden können, zumindest muss die nachträgliche Veränderung erkennbar sein. Das erreicht man durch die unmittelbar nach dem Scannen durchgeführte Signatur des Dokumentes mit einer fortgeschrittenen oder qualifizierten Signatur. Um die Beweiskraft der Unveränderbarkeit weiter zu erhöhen, wird das signierte Dokument zusätzlich mit einem Zeitstempel versehen.

Bei der digitalen Erzeugung eigener Arztbriefe und anderer Dokumente kommen als Datenschutz zusätzlich der Nachweis der Authentizität und Originalität zum Tragen. Das erfolgt durch den Einsatz einer qualifizierten Signatur in Verbindung mit einem Zeitstempel. Da Eintragungen in die elektronische Patientenakte derzeit nicht signiert werden können, dient der Änderungsdienst der Praxisverwaltungssoftware dem Nachweis, dass Eintragungen nicht verändert wurden bzw. dass Veränderungen nur von Berechtigten durchgeführt wurden. Der Änderungsdienst stellt die Daten vor uns nach der Änderung einander gegenüber. Deshalb muss der Änderungsdienst mit einer Verfahrensanweisung verbunden sein, die beschreibt, wer welche Änderungen in welchen Rubriken der elektronischen Patientenakte durchführen darf.

Wie sieht der Scan-Prozess aus

Danach erfolgt das Design des Scan-Prozesses. Wir haben uns dabei vom generischen Scan-Prozess, wie in der technischen Richtlinie beschrieben, leiten lassen.

Abbildung 1: Der generische Scanprozess
Abbildung 1: Der "generische Scanprozess"

Bei der Dokumentenvorbereitung muss geprüft werden:

  • Ist das Dokument für die Beantwortung der medizinischen Frage erforderlich, denn nur dann dürfen diese Daten überhaupt erfasst werden?
  • Ist das Dokument vollständig (alle Seiten sind vorhanden, Duplikate sind ggf. entfernt)?
  • Stehen alle Seiten aufrecht?
  • Ist die Reihenfolge der Seiten korrekt?
  • Ist das Schriftbild gut lesbar und das Dokument damit für den Scanprozess geeignet (problematisch sind z.B. Dokumente, die auf Thermopapier ausge-druckt und nach dem Scannen oft nicht lesbar sind)?
  • Sind alle Heftklammern entfernt?

Das so vorbereitete Dokument wird in einem Eingangskorb „Dokumentenscannen“ am Scan-Arbeitsplatz abgelegt.

Beim Scannen wird das Dokument in den Dokumentenscanner eingelegt und der Scanprozess gestartet. Unser Scanner ist ein Button-Scanner, der an einem Arbeitsplatz lokal installiert ist. Beim Scannen startet das Gerät automatisch eine Scan-Software, die die automatische Bildverbesserung durchführt und ein PDF/A erzeugt.

Nach dem Scannen wird die Signatursoftware automatisch gestartet und das Scanprodukt in einem Secure-Viewer der Software auf dem Bildschirm des Scan-Arbeitsplatzes angezeigt. Nun kommt der entscheidende Schritt, die Prüfung, dass das Dokument mit dem Original übereinstimmt. Dies erfolgt automatisch beim Lesen des Dokumentes und der Auswertung der Informationen für den Diagnostik- und/oder Behandlungsprozess. Unmittelbar nach dem Scannen und der Prüfung erfolgt die Signatur des Dokumentes mit einer qualifizierten oder fortgeschrittenen Signatur durch den Mitarbeiter, der eingescannt und geprüft hat. Mit dem Anbringen der Signatur kann zwar eine nachträgliche Veränderung nicht ganz verhindert werden, sie wird aber unmittelbar erkennbar. Eine zusätzliche Sicherheit schafft ein Zeit-stempel, den man über die Signatursoftware von einem Zeitstempelserver abrufen kann. Das signierte Dokument wird dann dem Dokumentenarchiv übergeben und der aktuellen elektronischen Patientenakte zugeordnet, so dass das Dokument aus der Akte aufgerufen werden kann. Fährt man mit der Maus über die Signatur des eingescannten Dokuments, kann man erkennen, wer wann signiert hat und ob die Integrität des Dokumentes gewahrt ist. Druckt man ein signiertes Dokument aus, wird über die Signatursoftware ein Barcode in dem Dokument erzeugt. Wird das Dokument in einer anderen Einrichtung erneut gescannt und mit dem Reader der Signatursoftware geöffnet, kann über den Barcode die Signatur geprüft werden.

Die eingescannten Dokumente werden in einer Ablage gesammelt und erst am Abend des Arbeitstages vernichtet und bleiben somit für den ganzen Tag zum Vergleich erhalten, es sei denn, es ist ein Dokument, das direkt zurückgegeben werden muss. Der Dokumentenschredder muss die Anforderungen der DIN 66399 erfüllen, also ein Crosscut Schredder sein. Die meisten handelsüblichen Schredder sind als Crosscut erhältlich.

Welche technischen Komponenten werden benötigt?

Nach der Festlegung des Prozesses und der Verfahrensanweisungen müssen die erforderlichen technischen Komponenten (Arbeitsplatz- oder Netzwerkscanner, technische Beschreibung des Arbeitsplatzcomputers, des Datenservers, des Kartenlesegerätes, der benötigten Anwendungen, des Netzwerks) definiert und geprüft sowie die sichere Verbindung der Komponenten über das lokale Netzwerk geprüft werden.

Abbildung 2: Technische Komponenten
Abbildung 2: Die benötigten technischen Komponenten

Bei uns befindet sich die Arbeitsstation für den Scanprozess im Arbeitszimmer des Arztes. Dieser Raum darf nur von diesem und seinen Mitarbeitern betreten werden. Hier werden keine Untersuchungen oder andere Maßnahmen an Patienten durchgeführt.

Verwendet wird ein Windows Rechner mit dem OS Windows 7 professional‘. Der Rechner ist Mitglied der Domäne des praxisinternen TCP/IP LANs.

Auf dem Rechner installiert ist die Praxisverwaltungssoftware. Die Datenbank des Praxisverwaltungssystems liegt auf einem Datenbank- und Applikationsserver mit Windows Server 2008R2 im gleichen Raum.

An den Rechner ist der Button-Scanner lokal über USB angeschlossen. Die Scanner-Software ist lokal installiert.

Für die Signatur stehen zwei Arten von Zertifikaten zur Verfügung. Der Arzt benutzt eine qualifizierte Signatur auf einer Signaturkarte. Die Karte wird über ein Smartboard gelesen. Die medizinischen Fachangestellten benutzen softwarebasierte Zertifikate, die im Zertifikatspeicher des Rechners hinterlegt sind.

Technische Sicherheit des Systems

Das LAN ist gegenüber dem Internet durch einen Hardware-Firewall-Router abgetrennt. Auf den Arbeitsstationen und Servern wird zusätzlich die Windows Firewall mit erweiterter Sicherheit eingesetzt, die mit speziellen Verbindungssicherheitsrichtlinien konfiguriert sind. Der Zugriff anderer Computer wird durch eine Verbindungsschichtfilterung auf dem DHCP-Server verhindert.

Alle Ausgänge der Geräte werden über einen Endpunktschutz überwacht, so dass nur angemeldete und genehmigte Geräte mit den Computern verbunden werden können. Für das Patch-Management sorgt der WSUS Server (Windows Server update Service) und ein Drittanbieter-Tool für die Nicht-Microsoft-Anwendungen, die auf einem Server installiert sind.

Die Datensicherung erfolgt nach einem Zeitplan über einen Backupmanagementserver auf ein NAS mit RAID 1 und als zweite Kopie auf eine externe Festplatte, die abends mitgenommen wird.

Der Zugang zu allen Rechnern erfolgt über individuelle Benutzernamen und Kenn-wörter der Komplexitätsstufe III. Die Kennwörter werden regelmäßig gewechselt.

Sensibilisierung der Mitarbeiter für Informationssicherheit

Nach meiner Erfahrung ist der entscheidende Punkt für die Einrichtung und Aufrechterhaltung eines Systems für Datenschutz und Datensicherheit die Sensibilisierung der Mitarbeiter für dieses Thema.

Arztpraxen sind Einrichtungen, deren Leistungsprozesse zum großen Teil auf der Anwendung von Wissen beruhen. Dazu gehört das Fach-, Methoden- und Anwendungswissen genauso wie das Wissen, das wir durch die Untersuchungen, Behandlungen und die oft jahrelange Begleitung unserer Patienten erwerben. Dieses Wissen, das organisational fortlaufend entwickelt werden muss, ist unser „Schatz“, unser Betriebskapital, das geschützt werden muss. Darüber hinaus gebietet der Respekt vor den Patienten und das Arztgeheimnis das, was sie uns anvertrauen, umfassend zu schützen.

Diese Sensibilisierung muss regelmäßig in Teambesprechungen erfolgen, aber vor allem von uns Ärzten vorgelebt werden. Die Schulungen umfassen auch immer wieder Übungen im richtigen Umgang mit den Scan-Komponenten, damit Fehler an den technischen Komponenten schnell erkannt und sofort gemeldet werden.

Regelungen für die technische Wartung des Systems

Sofern die technische Wartung des Systems nicht selbst durchgeführt werden kann, müssen Vereinbarungen mit externen Dienstleistern getroffen werden. Auch bei deren Einsatz sind wir als Auftraggeber und Prozessverantwortliche für den Scan-Prozess für die Einhaltung des Datenschutzes verantwortlich. Das bedeutet sicherzustellen, dass Wartungspersonal keinen Zugriff zu den Daten der Patienten hat (Rollen-Rechte-Konzept mit einem Wartungszugang).

Mögliche Gefährdungen und Fehlerquellen entlang des Prozesses

Das praxisinterne Netzwerk, seine Komponenten, die Anwendungen und die Prozesse müssen regelmäßig auf Fehler- und Schwachstellen hin untersucht werden. Dabei helfen genaue Prozessbeschreibungen, Verfahrensanweisungen und Arbeitsanleitungen, Checklisten zur Kontrolle von technischen Komponenten und oft ein kritischer Blick eines Externen, der den eigenen blinden Fleck ausgleicht.

Die TR Resiscan ist eine gute Anleitung, die Digitalisierung von Dokumenten rechtskonform durchzuführen und erhöht den Sicherheitsstandard erheblich. Da das Lesen der Dokumente teilweise beschwerlich ist, hilft der Erfahrungsaustausch mit Kollegen, vor allem auch bei der Auswahl der Komponenten, was auch bei den Investitionskosten eine Rolle spielt. Diese betrugen bei uns 1.046 €.



Der Autor ist Facharzt für Innere Medizin und Diabetologe DDG und betreibt eine Diabetologische Schwerpunktpraxis.