Hinweis für dich
Du verlässt jetzt die Webseite der BERGISCHEN Krankenkasse. Für die Inhalte sind die jeweiligen Betreiber verantwortlich.
Abbrechen
Datenschutzhinweise der BERGISCHEN Krankenkasse für die elektronische Patientenakte (ePA) sowie Pflichtinformationen gemäß § 343 Absatz 1 SGB V
A. Allgemeines
A. Allgemeines
Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes ausführlich beschrieben.
Vorbemerkung
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
• „Versicherter“
• „Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.
A. 1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
BERGISCHE KRANKENKASSE
Körperschaft des öffentlichen Rechts
Heresbachstraße 29, 42719 Solingen
Telefon 0212 2262-0
Telefax 0212 2262-411
E-Mail: info@bergische-krankenkasse.de
Website: www.bergische-krankenkasse.de
A. 2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
Datenschutzbeauftragte der BERGISCHEN KRANKENKASSE
Heresbachstraße 29
42719 Solingen
Telefon 0212 2262-176
E-Mail: datenschutz@bergische-krankenkasse.de
A. 3 Zuständige Aufsichtsbehörde für den Datenschutzes
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
A. 4 Zuständige Rechts- und Fachaufsichtsbehörde
Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen
Fürstenwall 25
40219 Düsseldorf
Telefon: 0211 8555
E-Mail: aufsicht.nrw@mags.nrw.de
A. 5 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem SGB V. Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden.
A. 6 Einbindung von Dritten
Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich um Unternehmen der BITMARCK Unternehmensgruppe. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
A. 7 Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union durch uns findet nicht statt.
A. 8 Betroffenenrechte
Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden. Unsere Versicherten haben das Recht auf Berichtigung oder Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht. Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben. Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
A. 9 Löschung von Daten
Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unsere Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
A. 10 Automatisierte Entscheidungsfindung
Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.
A. 11 Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer der in Ziffer 3 benannten Aufsichtsbehörden zu beschweren.
A. 12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Gegenüber der Krankenkasse jederzeit schriftlich oder auf elektronischem Weg über die ePA-App ohne Angabe von Gründen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.
B. Bereitstellung der ePA durch die Krankenkasse
B. 1 Beschreibung und Umfang der Datenverarbeitung
Nach Erteilung der ausdrücklichen schriftlichen oder elektronischen (über die ePA-App) Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in seiner ePA eine oder mehrere vertretende Personen, hinzufügen, siehe hierzu Kapitel D2.
Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
• Art und Nummer eines amtlichen Ausweisdokuments:
- Aufenthaltstitel
- oder Personalausweis
- oder Reisepass
• Anzahl der aktiven elektronischen Gesundheitskarten (eGK). Die Anzahl der aktiven eGK, die dem identifizierten Versicherten im eGK-System zugeordnet sind. Eine Karte gilt dabei im eGK-System als aktiv, wenn sie weder gesperrt oder logisch gelöscht ist. In der Regel ist immer nur eine eGK aktiv.
• Name, Vorname
• Geburtsdatum des Versicherten
• Versichertenart (z. B.: Mitglied, Familienversicherter, Rentner)
• Beginn und Ende Versicherungsverhältnis
• IdentDataTime (Zeitstempel für die vollzogene Identifizierung des Versicherten)
• Schutzklasse für die Identifikation (mit oder ohne eGK)
• Identifizierungsverfahren (im Kundenzentrum)
• Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer
• Ende der Registrierung / Ja oder Nein
• Zeitpunkt Registrierungsbeginn
• Titel
• Namenszusatz
• Vorsatzwort (z. B.: „von“, „de“, „van“)
• Geschlecht
• VIP – Kennzeichen
• ICCSN (Kartenkennnummer auf der Rückseite der eGK)
• istNfcEgk (dieser Wert gibt an, ob die im Aufruf bezeichnete eGK für „Near Field Communication“ (NFC) ausgerüstet ist)
• istPinBriefVersandt (dieser Wert gibt an, ob zu der im Aufruf bezeichneten eGK ein PIN-Brief versandt wurde)
• pinBriefVersandDatum (Zeitpunkt zu dem der PIN-Brief-Versand dem KAMS (Kartenanwendungsmanagementsystem) gemeldet wurde)
B. 2 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
B. 3 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß den gesetzlichen Vorgaben nach SGB V. In diesem Zusammenhang bedarf es der Zuordnung einer konkreten ePA zu unserem Versicherten.
B. 4 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
B. 5 Widerrufsmöglichkeit für die Nutzung der ePA
Unser Versicherter kann seine Einwilligung zur Bereitstellung der ePA jederzeit widerrufen und gegenüber der BERGISCHEN die Löschung der ePA verlangen. Der Versicherte erklärt den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder persönlich in unserer Geschäftsstelle.
C. IAM Registrierungsprozess für die ePA
Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind zur Bereitstellung der ePA zwingend erforderlich.
C. 1 Beschreibung und Umfang der Datenverarbeitung
Zur rechtssicheren Einrichtung für die Bereitstellung einer ePA für unseren Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Diese Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der Versicherte installiert die ePA App und startet diese.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Los geht`s“ an.
3. Schritt: Der Versicherte klickt, wenn bereits ein Benutzerkonto besteht, auf „Anmelden bei der BERGISCHEN“, oder muss sich zuerst über den Funktionsbutton „Registrieren“ ein Benutzerkonto anlegen.
4. Schritt: Um mit der Registrierung zu starten, klickt der Kunde auf „Jetzt loslegen“
5. Schritt: Der Versicherte gibt die folgenden Daten, gemäß der vorgegebenen Felder ein:
- E-Mail-Adresse
- Versichertennummer
- PLZ
- Auswahl eines individuellen Passwortes
- Passwort Wiederholung
- Eingabe der letzten 6 Stellen der Kennnummer der eGK (ICCSN)
6. Schritt: Der Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen IAM sowie die Akzeptanz der Einwilligung IAM, um die Registrierung abzuschließen.
7. Schritt: Der Versicherte muss die E-Mail-Adresse bestätigen und muss dafür in der versendeten E-Mail den Link aufrufen, um fortfahren zu können.
8. Schritt: Der Versicherte legt einen App-Code als weiteres Sicherheitsmerkmal fest.
9. Schritt: Der Versicherte kann die biometrische Anmeldung aktivieren.
10. Schritt: Es wird die Identität überprüft mit einem der zur Verfügung gestellten Verfahren.
11. Schritt: Patientenakte einrichten
- Ohne meine Gesundheitskarte
- Mit meiner Gesundheitskarte
12. Schritt: Gerät und App verknüpfen
- Eine Gerätebindung, das heißt die App mit dem Gerät zu verknüpfen, ist entsprechend der Sicherheitsvorgaben notwendig.
13. Schritt: Im Anschluss wird dem Versicherten die Freigabe zur Nutzung angezeigt und damit sind die Voraussetzungen für die Einrichtung der ePA abgeschlossen. Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert. Nach Verifikation der eingegebenen Daten durch die BERGISCHE wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der BERGISCHEN.
C.2 Erfassung der Daten für einen Fehlerreport
Wir benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss.
C.2.1 Automatisiert übermittelte Daten
Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt und dieser wird automatisch an das Business Service Management (BSM) versendet. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
C.2.2 Manuell übermittelte Daten
Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen Report erstellt. Zusätzlich zu dem automatisiert übermittelten Report können Nutzer die folgenden Daten manuell an das Business Service Management (BSM) versenden. Die folgenden Informationen können zusätzlich im Fehlerfall an das BSM übermittelt werden. Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
C.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für den IAM Registrierungsprozess der ePA und die hierbei verarbeiteten Daten ist die Einwilligung unseres Versicherten nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
C.4 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.
C.5 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde.
C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrierung der ePA gleichwohl jederzeit widerrufen und gegenüber uns die Löschung der ePA verlangen. Hierzu muss der Versicherte in der ePA-App seine Einwilligung widerrufen oder den Widerruf schriftlich an uns senden.
D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App
D.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten
D.1.1 Start mit Login Maske
Der Versicherte startet die App, nach erfolgter Registrierung und Identifizierung. Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versichertennummer und Passwort sowie App-Code) eingibt.
D.1.2 Nutzung der ePA
Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über seine Patientenakte.
Auf der „Willkommen“-Seite kann der Versicherte seine Patientenakte öffnen, zudem kann er über „Weitere Patientenakten“ für seine Patientenakte ihn vertretende Personen, das heißt einen oder mehrere Vertreter, benennen und diese freischalten.
In der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
1. Bereich Dokumente
2. Bereich Berechtigungen
3. Bereich Aktivitäten
Nach der Erläuterung zu „Profil“ werden die Bereiche in den Kapiteln D1.4 bis D1.6 kurz dargestellt. Der Versicherte kann in jedem Bereich verschiedene Aktionen durchführen.
D.1.3: Profil
Über das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine Einstellungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem kann er unter Informationen auf die folgenden Menüpunkte zugreifen
a. Über die ePA
b. Interaktive App-Demo
c. Kontakt
d. Hilfe
e. Sicherheitshinweise
f. Hinweise zur Datenerfassung
g. Zusatzfunktionen
h. App-Bericht senden
sowie unter „Rechtliche Hinweise“ auf
i. Lizenzen Dritter
j. Impressum
k. Datenschutzerklärung
Zusätzlich steht die Information zur aktuell genutzte App Version bereit.
D.1.4 Bereich 1: Dokumente
Dokumente können durch den Versicherten selbst oder von durch den Versicherten berechtigen Leistungserbringern in die Patientenakte eingestellt werden. Bestimmte medizinische Daten können ausschließlich von Leistungserbringer in die elektronische Patientenakte eingestellt werden, sogenannte medizinische Informationsobjekte (MIO). Zum Beispiel gehören hierzu der Impfpass, der Mutterpass oder der Zahnbonus.
Im Bereich Dokumente sieht der Versicherte in seiner Patientenakte eine Ansicht aller von ihm oder von Dritten hochgeladenen Dokumente. Es stehen die folgenden Aktionen zur Verfügung:
• Suche, Filtern und Sortieren
• Dokumente hochladen und hinzufügen
• Import von Dokumenten aus dritter Quelle
Der Versicherte kann die eingestellten Dokumente ansehen, herunterladen und an-schließend ausdrucken. Auch können die Dokumente vom Versicherten gelöscht werden.
D.1.5 Bereich 2: Berechtigungen
In dieser Ansicht sind die folgenden Informationen und Funktionen enthalten.
Für Praxen und Einrichtungen:
• Der Versicherte kann zunächst über „hinzufügen“ Berechtigungen für Praxen und Einrichtungen vergeben
Wenn Berechtigungen für Praxen und Einrichtungen vergeben sind:
• Welche Berechtigungen wurden durch den Versicherten schon vergeben.
• Es können Berechtigungen bearbeitet oder neu eingerichtet werden.
Wenn der Versicherte eine vertretende Person eingerichtet hat:
• Welche vertretenden Personen eingerichtet sind
• Es können weitere vertretende Personen hinzugefügt werden
• Die Möglichkeit zur Bearbeitung
Der Versicherte kann die Krankenkasse berechtigen, die Leistungsdaten in die Patientenakte einzustellen.
D.1.6 Bereich 3: Aktivitäten
Der Versicherte kann in diesem Bereich alle bislang erfolgten Zugriffe auf sein Aktenkonto einsehen. Hier kann der Versicherte feststellen, welcher Leistungserbringer oder vertretende Personen wann welche Dokumente eingestellt oder auf diese zugegriffen haben.
Es werden die Daten gespeichert, die der Versicherte in seine digitale Patientenakte einstellt, bzw. die von Dritten dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.
D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen
Versicherte können für ihre Patientenakte einen oder mehrere vertretende Personen berechtigen. Die vertretende Person nutzt die eigene ePA-App seiner Krankenkasse zur Wahrnehmung der Vertretung. Bei der Einrichtung wird der Name, die E-Mail-Adresse und die Versichertennummer (KVNr) angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten ausgeführt werden.
Vertretende Personen können keine weiteren vertretenden Personen für die vertretene Patientenakte einrichten und auch nicht die Patientenakte für den Versicherten insgesamt löschen.
Bei der Vertretung innerhalb der ePA erfolgt eine Datenverarbeitung wie in Kapitel D1 beschrieben.
D.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Speicherung personenbezogener Daten in der ePA ist die Einwilligung des Versicherten nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
D.3.1 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Verwendung seiner individuellen Gesundheitsinformationen.
D.3.2 Dauer der Speicherung
Die Daten werden durch den Versicherten gelöscht, wenn er entscheidet, dass die in der ePA gespeicherte Daten nicht mehr benötigt werden.
D.3 Widerspruchsmöglichkeit
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung der ePA zwingend durch unseren Versicherten erforderlich. Der Versicherte kann seine Einwilligung zur Nutzung der ePA gleichwohl jederzeit widerrufen, per Entfernen des gesetzten Bestätigungshakens in der ePA-App oder schriftlich oder persönlich bei uns.
E. Kontaktvarianten
E.1 Beschreibung und Umfang der Datenverarbeitung
In der ePA ist ein Kontaktkanal enthalten, die von dem Versicherten für die elektronische Kontaktaufnahme mit der BERGISCHEN genutzt werden kann.
E.2 Kundenservice
An verschiedenen Stellen innerhalb der ePA gibt es die Möglichkeit auf das Wort KUNDENSERVICE zu klicken. Der Versicherte wird dann auf die Website der BERGISCHEN direkt zum dort eingebundenen Kontaktformular geleitet. Eine Übergabe von Daten aus der ePA an das Kontaktformular erfolgt in diesem Zusammenhang nicht.
Pflichtinformationen
gemäß § 343 Absatz 1 SGB V
Inhaltsverzeichnis
2. Was ist die elektronische Patientenakte?
3. Wie sicher ist die elektronische Patientenakte?
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?
4.1 Ist die ePA verpflichtend?
4.2 Wer bietet die ePA an und betreibt sie?
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
4.4.1 Das Verwaltungsprotokoll
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will?
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
5. Was kann ich in meiner elektronischen Patientenakte speichern?
5.1 Wie melde ich mich bei der ePA an?
5.2 Was benötige ich zum Zugriff auf meine Daten?
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?
5.5 Wie kann ich Daten aus einer digitalen Gesundheitsanwendung in der ePA speichern?
6. Wer hat wie Zugriff auf die elektronische Patientenakte?
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret?
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?
10. Welche weiteren Möglichkeiten bieten mir die ePA und die ePA-Anwendung meiner Krankenkasse?
10.1 Direkter Zugriff auf das nationale Gesundheitsportal aus der ePA-Anwendung.
10.2 Freigabe der Daten für die Forschung (voraussichtlich ab dem 1. Juli 2024)
10.4 Weitere Funktionen der ePA (voraussichtlich ab dem 1. Oktober 2024)
10.5 Daten zur pflegerischen Versorgung (voraussichtlich ab dem 1. Januar 2024)
Dieses Dokument informiert dich über die elektronische Patientenakte (ePA). Die ePA steht dir seit 2021 als Angebot deiner Krankenkasse zur Verfügung. Ob du sie nutzen möchtest oder nicht, ist allein deine freiwillige Entscheidung. Welche Möglichkeiten dir die ePA aktuell bietet, möchten wir dir im Folgenden zeigen. Einige der vorgestellten Funktionen stehen erst zukünftig zur Verfügung. Das geplante Datum der Bereitstellung ist bei den betroffenen Funktionen jeweils mit aufgeführt. Deine Krankenkasse aktualisiert diesen Informationstext fortlaufend und setzt dich rechtzeitig über neue Funktionen der ePA und deren sichere Benutzung in Kenntnis.
2. Was ist die elektronische Patientenakte?
Die elektronische Patientenakte (ePA) ist eine von dir geführte elektronische Akte. In die ePA kannst du und die an deiner Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, dort lesen, auslesen, verwenden und selbstverständlich auch wieder löschen. Deine Krankenkasse stellt dir eine ePA-Anwendung in Form einer eigenständigen App, als spezielle Anwendung innerhalb einer bestehenden App deiner Krankenkasse oder aber als Desktop-Anwendung zur Verfügung. Wenn du die von deiner Krankenkasse zur Verfügung gestellte ePA-Anwendung nutzt, hast du jederzeit die Möglichkeit, deine in die ePA eingestellten Gesundheitsdaten einzusehen.
Die ePA-Anwendung baut über das Internet eine Verbindung zur Telematikinfrastruktur auf, in der die ePA liegt. An dieses Netzwerk sind bzw. werden die verschiedenen Leistungserbringer im deutschen Gesundheitswesen angeschlossen.
Leistungserbringer werden alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen z. B. Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Krankenhäuser und Apotheken. Einrichtungen, in denen Leistungserbringer tätig sind, werden im Folgenden als Leistungserbringereinrichtungen bezeichnet. Dies können Arztpraxen, Apotheken, Krankenhäuser, Medizinische Versorgungszentren und andere Einrichtungen des Gesundheitswesens sein. Aber auch einzelne Organisationseinheiten, wie etwa die Abteilung eines Krankenhauses oder eine bestimmte Fachrichtung eines Medizinischen Versorgungszentrums, können eine eigene Leistungserbringereinrichtung darstellen.
Die von deiner Krankenkasse zur Verfügung gestellte ePA-Anwendung ist sicherheitsgeprüft und von der Gesellschaft für Telematik (gematik) zugelassen. Die ePA-Anwendung lässt sich auf Smartphones und Tablets mit Android- oder iOS-Betriebssystem installieren sowie auf Desktop-Computern und Laptops mit sicheren und geeigneten Betriebssystemen wie z. B. Windows, macOS und gegebenenfalls Linux. Für die Sicherheit Ihrer Anwendungsumgebung – also Smartphone, PC-Hardware oder Betriebssystem, auf denen die Anwendung installiert wird – bist du als Nutzerin bzw. Nutzer selbst verantwortlich (s. 4.7).
Falls du kein mobiles Endgerät bzw. keinen PC/Laptop besitzt oder aber die ePA-Anwendung deiner Krankenkasse aus anderen Gründen nicht verwenden willst, kannst du die ePA dennoch nutzen. Allerdings stehen dir in diesem Fall einige Funktionen nur eingeschränkt oder gar nicht zur Verfügung. Beispielsweise kannst du ohne eine ePA-Anwendung keine Dokumente persönlich in die ePA einstellen. Über die Möglichkeiten und Einschränkungen der ePA-Nutzung ohne eine dazugehörige Anwendung informieren wir dich in Kapitel 9.
In deine ePA kannst du selbst mittels der ePA-Anwendung Dokumente hochladen. Oder du bittest beispielsweise deine behandelnden Ärztinnen und Ärzte in der Praxis oder im Krankenhaus darum, Kopien der relevanten Unterlagen in deine Akte zu übertragen. Aus rechtlichen Gründen verbleibt die Originaldokumentation deiner Behandlung aber immer bei dem dich behandelnden Leistungserbringer. Zusätzlich kannst du deine Krankenkasse berechtigen, Informationen über von dir in Anspruch genommene Leistungen in die ePA einzustellen. Nur du selbst und von dir selbst Berechtigte können in die ePA Einblick nehmen. Die Berechtigung und damit die Einwilligung in die Bereitstellung der Daten kann jederzeit von dir widerrufen werden. In keinem Fall kann die Krankenkasse Informationen in deiner Akte einsehen. Wenn du digitale Gesundheitsanwendungen nutzt, kannst du diesen erlauben, deine Daten aus deren Nutzung in der ePA zu speichern – vorausgesetzt der Hersteller der von dir eingesetzten digitalen Gesundheitsanwendung unterstützt diese Möglichkeit.
3. Wie sicher ist die elektronische Patientenakte?
Die Dokumente in Ihrer Akte sind stets verschlüsselt abgelegt und können nur auf den Endgeräten der von dir berechtigten Personen und deinen eigenen Endgeräten entschlüsselt werden. Der dazu notwendige (elektronische) Sicherheitsschlüssel ist sicher hinterlegt. Er besteht aus zwei Teilen, die an getrennten Orten aufbewahrt werden: beim Anbieter der elektronischen Patientenakte (ePA) und bei einem zentralen, von der Gesellschaft für Telematik (gematik) bestimmten Schlüsseldienstbetreiber. Für den Zugriff auf die ePA werden beide Schlüsselteile benötigt. Nur du und die von dir Berechtigten verfügen über den kompletten Schlüssel – weder der ePA-Anbieter noch der Schlüsseldienstbetreiber, die jeweils nur einen Teil des Schlüssels aufbewahren, können also auf die ePA zugreifen. Der Schlüssel befindet sich bewusst nicht auf deiner elektronischen Gesundheitskarte (eGK), damit du auch bei einem (geplanten oder ungeplanten) Austausch der eGK weiterhin Zugriff auf deine Akte hast.
Damit du und die von dir Berechtigten gezielt nach Dokumenten in deiner Akte suchen könnt, werden zusätzliche Informationen über Merkmale deiner Dokumente gespeichert – die sogenannten Metadaten. Die Metadaten umfassen z. B. die Autorin bzw. den Autor des Dokuments, deren bzw. dessen Institution, die Fachrichtung, die Dokumentenart (wie beispielsweise elektronischer Arztbrief, elektronischer Medikationsplan oder elektronischer Impfnachweis), technische Informationen zum Dokument (u. a. die im Rahmen der Berechtigungsvergabe genutzte Vertraulichkeitsstufe, die Dokumentengröße und die Dokumenten-ID). Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff haben.
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen?
Seit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten (ePA) an. Welche grundsätzlichen Rechte und Möglichkeiten gehen damit für dich einher?
4.1 Ist die ePA verpflichtend?
Die Nutzung der ePA ist für dich freiwillig. Entscheidest du dich dafür, bedarf es deiner Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Deine Einwilligung wird im Rahmen des Antrags zur Einrichtung deiner ePA abgefragt – noch bevor die Akte technisch eingerichtet und eröffnet wird.
4.2 Wer bietet die ePA an und betreibt sie?
Die ePA wird von den Krankenkassen zur Verfügung gestellt und dir als Versicherter oder Versichertem angeboten. Dabei arbeiten die Krankenkassen mit Industriepartnern zusammen, die die entsprechenden Akten nach den technischen und nicht-technischen Anforderungen, die die Gesellschaft für Telematik (gematik GmbH)[1] festlegt, entwickeln und betreiben. Alle ePA-Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität, Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.
Die BERGISCHE arbeitet mit der Firma Bitmarck zusammen, um dir die ePA bereitzustellen.
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen?
Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass du jederzeit das Recht hast, die in die Akte eingestellten Dokumente selbst zu löschen oder durch von dir berechtigte Leistungserbringereinrichtungen löschen zu lassen. Einen Löschvorgang könnte auf deinen ausdrücklichen Wunsch hin z. B. eine Ärztin oder ein Arzt vornehmen, die oder der dich behandelt. Weitere Informationen findest du in Kapitel 6.
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
Die ePA zeichnet Vorgänge, die von dir berechtigte Einrichtungen durchführen, in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen – das sogenannte Verwaltungsprotokoll – und Vorgängen, die unmittelbar im Zusammenhang mit deinen medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.
Wenn du die ePA-Anwendung deiner Krankenkasse nutzt, stellt dir diese die Inhalte beider Protokolle komfortabel und einheitlich dar, so dass du grundsätzlich nicht zwischen beiden Protokollen unterscheiden musst.
4.4.1 Das Verwaltungsprotokoll
Im Verwaltungsprotokoll speichert die ePA alle Vorgänge, die rein administrativen Charakter haben, die also nicht direkt ein Dokument oder dessen Metadaten betreffen. Dies sind beispielsweise die An- oder Abmeldung berechtigter Benutzerinnen und Benutzer. Ebenso umfasst das Verwaltungsprotokoll den technischen Zeitpunkt der Einrichtung der ePA sowie Einträge bei Schließung der Akte.
Auf die Einträge im Verwaltungsprotokoll kann der Anbieter – im Gegensatz zu den in der ePA abgelegten Daten – grundsätzlich zugreifen. Auf diese Weise kann der Anbieter dich beispielsweise bei technischen Problemen unterstützen. Der Zugriff auf das Verwaltungsprotokoll ist jedoch nur mit deiner Einwilligung zulässig.
Alle Einträge des Verwaltungsprotokolls, die älter als drei Jahre sind, werden automatisch durch das Aktensystem gelöscht. Diese Löschfrist gilt auch, wenn du die Akte schließt. Folglich liegen diese Protokolleinträge auch dann noch bis zu drei Jahre vor, wenn du die ePA bereits geschlossen hast.
4.4.4 Das Zugriffsprotokoll
Im Zugriffsprotokoll speichert deine ePA alle Zugriffe, die in direktem Zusammenhang mit deinen Dokumenten stehen, z. B. das Aufrufen, Einstellen oder Löschen eines Dokuments. Auch die Erteilung oder der Entzug von Berechtigungen werden hier gespeichert. Einträge im Zugriffsprotokoll sind dabei auf die gleiche Weise geschützt wie die Metadaten zu deinen Dokumenten (Näheres dazu in Kapitel 4.4). Die Daten werden drei Jahre nach Erstellung des Protokolleintrags tagesgenau automatisiert gelöscht. Dies gilt auch dann, wenn du die ePA ganz oder teilweise gelöscht hast.
Wenn du die ePA-Anwendung Ihrer Krankenkasse nutzt, stellt dir diese die Inhalte beider Protokolle einheitlich dar, so dass du einen Überblick darüber erhältst, wer auf deine Akte zugegriffen und wer welche Änderungen an deiner Akte vorgenommen hat. Bei Nutzung der ePA-Anwendung hast du außerdem die Möglichkeit, die Protokolldaten auf deinem eigenen Endgerät zu sichern. Die ePA-Anwendung bietet dir dazu eine entsprechende Funktion an.
4.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA?
Deine Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Du als Versicherte bzw. Versicherter kannst gegenüber deiner Krankenkasse die „Rechte der betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DSGVO). Ferner haben die Versicherten gemäß DSGVO folgende Rechte:
- das Recht auf Auskunft, ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse bzw. ihren Auftragnehmern verarbeitet werden (Art. 15 DSGVO)
- das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO)
- das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO)
- das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- das Widerspruchsrecht (Art. 21 DSGVO)
Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht, soweit die Krankenkasse als verantwortliche Stelle aufgrund der bestehenden Verschlüsselungsmechanismen technisch keinen Zugriff auf die in der ePA gespeicherten Daten hat. Für Daten, die nicht Ende-zu-Ende verschlüsselt sind, wie beispielsweise das Verwaltungsprotokoll, sind diese Rechte nicht ausgeschlossen. Dementsprechend kann die Krankenkasse Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme bilden Diagnosen zu in Anspruch genommenen Leistungen der Krankenkassen. Da diese Daten auf deinen Wunsch hin und mit deiner Einwilligung aus den Beständen der Abrechnungsdaten deiner Krankenkasse in deine ePA eingespielt werden, hast du bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigst du vom jeweiligen Leistungserbringer eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert dich deine Krankenkasse.
Die Krankenkasse stellt dir eine ePA-Anwendung zur selbstständigen Wahrnehmung deiner Rechte im Sinne der DSGVO zur Verfügung. Allerdings kannst du mithilfe der ePA-Anwendung nicht die von deinem Leistungserbringer zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wende dich bitte an den dich behandelnden Leistungserbringer. (Beachte in diesem Zusammenhang die Hinweise in den Kapiteln 4.4. und 9)
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus?
Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft deine Krankenkasse bzw. der Anbieter der ePA anhand deiner Krankenversichertennummer, ob bereits eine Patientenakte für dich existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten?
Die ePA-Anwendung ermöglicht dir den selbstständigen Zugriff auf deine Gesundheitsdaten über deine eigenen Endgeräte wie Smartphones, Laptops oder PCs. deine jeweilige ePA-Anwendung haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Zusätzlich durchläuft jede ePA-Anwendung eine Sicherheitsprüfung. Diese kann nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit deiner ePA-Daten zu gewährleisten, ist es unabdingbar, dass du ausschließlich eine von der gematik zugelassene ePA-Anwendung nutzt, die du aus einer vertrauenswürdigen Quelle heruntergeladen hast. Vertrauenswürdige Quellen sind der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die Website deiner Krankenkasse die vertrauenswürdigen Bezugsquellen. Diesbezüglich sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch im Hinblick auf die Übermittlung an Drittländer einzuhalten.
Nach der Installation muss deine ePA-Anwendung im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung über deine elektronische Gesundheitskarte (eGK) mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle, wie sie heute bereits auf vielen EC- und Kreditkarten zu finden ist, und der dazugehörigen PIN, die du von deiner Krankenkasse erhältst. Zur Nutzung deiner eGK an einem stationären Endgerät benötigst du in der Regel ein geeignetes Kartenlesegerät, das vom Betriebssystem deines Computers unterstützt wird. Dieses kannst du im Einzelhandel (z. B. in Elektronik-Fachgeschäften) auf eigene Kosten erwerben. Eine Erstattung der Kosten durch deine Krankenkasse ist nicht möglich. Aufgrund der besonderen Schutzwürdigkeit deiner medizinischen Daten in der ePA empfiehlt das BSI die Nutzung eines Kartenlesegeräts ab Sicherheitsklasse 2 (Geräte mit eigener Tastatur, ohne eigene Anzeige) und höher.
Eine weitere Möglichkeit ist die Freischaltung deiner ePA über einen von deiner Krankenkasse zur Verfügung gestellten alternativen Zugang ohne die eGK. Diese Aktivierung bleibt auch bei einem Wechsel des Endgeräts gültig, also auch dann, wenn du deine ePA mal über dein Smartphone, mal an deinem PC nutzen willst. Die Übermittlung des alternativen Zugangs ohne eGK ist kassenspezifisch. Bei Fragen dazu wende dich bitte an deine Krankenkasse.
Zudem solltest du deine ePA-Anwendung stets auf Endgeräten betreiben, die unter deiner Kontrolle stehen. Der Zugriff auf die ePA über einen öffentlichen PC, z. B. in einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, musst du zudem für den Schutz deiner jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die du hierfür ausführen musst, finden sich in der Dokumentation der ePA-Anwendung. Ebenso solltest du die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.
4.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen?
Dem Schutz dieser Zugangswege kommt besonders hohe Bedeutung zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-Anwendung müssen diese umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online).
4.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen?
Die ePA wird dir von deiner Krankenkasse angeboten. Solltest du die Krankenkasse wechseln und eine ePA auch bei deiner neuen Krankenkasse nutzen wollen, so kannst du die Daten aus der ePA in verschlüsselter Form übernehmen.
Im ersten Schritt musst du gegenüber der neuen Krankenkasse erklären, dass du deine ePA weiterhin nutzen willst. Dann musst du die bestehende ePA in den sogenannten Transportzustand versetzen. Dafür bietet die Anwendung selbst eine entsprechende Funktion. Nun verschlüsselt der Aktenbetreiber deiner bisherigen Krankenkasse die Akte so, dass deine medizinischen Daten sowie die Metadaten vertraulich vom Aktenbetreiber deiner alten zum Betreiber der neuen Krankenkasse übermittelt werden können. In diesem Zustand kann weder ein schreibender noch ein lesender Zugriff auf die Akte erfolgen. In der ePA-Anwendung der neuen Krankenkasse kannst du dann die Datenübernahme aus der alten ePA-Anwendung starten. Das Verfahren stellt dabei sicher, dass die Daten deiner alten ePA erst dann gelöscht werden, wenn die Daten vollständig beim Betreiber deiner neuen Krankenkasse angekommen sind. Die erteilten Berechtigungen sowie die Vertretungen (weitere Informationen zu Vertretungsregelungen s. Kapitel 8) werden dabei – wenn du dies wünschst – ebenfalls übernommen.
Bitte beachte, dass Informationen aus kassenspezifischen Anwendungen der ePA möglicherweise nicht automatisch übernommen werden. Entsprechende Daten solltest du bei Bedarf selbst sichern, damit diese nach deinem Krankenkassenwechsel noch zur Verfügung stehen. Deine Krankenkasse stellt dir hierfür weitere Informationen zur Datenübernahme beim Wechsel der Krankenkasse bereit.
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will?
Du hast grundsätzlich und jederzeit die Möglichkeit, deine ePA komplett zu schließen, also löschen zu lassen. Dazu musst du die erteilte Einwilligung zur Nutzung der ePA gegenüber deiner Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber deiner Krankenkasse in einer geeigneten Form ausgesprochen werden. Dies kann beispielsweise über die von deiner Krankenkasse bereitgestellte ePA-Anwendung geschehen. Zum genauen Vorgehen wende dich an deine Krankenkasse.
Von der Löschung betroffen sind alle Inhalte deiner Akte – sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge – mit Ausnahme der Einträge des Verwaltungsprotokolls (Näheres dazu in Kapitel 4.4). Die Verantwortung zur Sicherung der in deiner Akte gespeicherten Dokumente obliegt in diesem Fall dir als ePA-Nutzerin bzw. ePA-Nutzer. Wenn du bestimmte Dokumente auch nach Schließung deiner ePA behalten willst, musst du diese anderweitig speichern.
Nutzt du die von deiner Krankenkasse bereitgestellte ePA-Anwendung zum Zugriff auf die ePA, hast du die Möglichkeit, die Protokolldaten ebenfalls auf deinem eigenen Endgerät zu sichern. Die Anwendung bietet dir dazu eine entsprechende Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit du später nachvollziehen kannst, wer Zugriff auf deine Akte hatte.
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
Solltest du dich dazu entscheiden, die ePA nicht zu nutzen, entstehen dir hieraus keine Nachteile für deine Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.
Als Zusatzangebot sorgt die ePA aber für eine gesteigerte Transparenz deiner medizinischen Daten. So besitzt du im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen deiner Behandlung digital einsehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weitergeben zu können bzw. diesen den Zugriff auf deine Daten zu erlauben. Dieser durch dich initiierte und gesteuerte digitale Datenaustausch kann dabei helfen, deine medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in deiner ePA unterstützt du die behandelnden Ärztinnen und Ärzte und andere Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden sowie unnötige Behandlungen oder Doppeluntersuchungen zu vermeiden.
5. Was kann ich in meiner elektronischen Patientenakte speichern?
In der elektronischen Patientenakte (ePA) kannst du unter Verwendung der von der Krankenkasse bereitgestellten ePA-Anwendung eigene Gesundheitsdaten speichern. Dies können beispielsweise eigenständig geführte Diabetes-Tagebücher sein oder digitalisierte Befunde aus früheren Behandlungen, die dir deine Ärztinnen und Ärzte auf Papier bereitgestellt haben, oder aber auch eigene Aufzeichnungen zu deinem Gesundheitszustand. An deiner Behandlung beteiligte Leistungserbringer können, sofern du eine entsprechende Berechtigung erteilst, unter anderem die folgenden Daten in der ePA ablegen:
- medizinische Daten deiner Behandlung, z. B. Befunde, Diagnosen und Therapiemaßnahmen,
- Arztbriefe, die im Zuge einer (zahn-)ärztlichen Behandlung erstellt wurden
- Verordnungen und Dispensierinformationen deiner Arzneimittel
- elektronische Arbeitsunfähigkeitsbescheinigungen
- elektronischer Medikationsplan oder Notfalldatensatz, falls du diese bereits auf deiner elektronischen Gesundheitskarte (eGK) nutzt.
Wenn du eine Digitale Gesundheitsanwendung nutzt und der Hersteller deiner Anwendung diese Möglichkeit unterstützt, kannst du die Gesundheitsanwendung berechtigen, deine von der Gesundheitsanwendung erhobenen Daten in der ePA zu speichern. Der Hersteller deiner Gesundheitsanwendung erteilt dir über die Möglichkeiten der Datenspeicherung Auskunft.
5.1 Wie melde ich mich bei der ePA an?
Zur Anmeldung bei der ePA nutzt du die von deiner Krankenkasse bereitgestellte ePA-Anwendung sowie entweder die eGK mit PIN oder, auf deinen Wunsch hin, ein kassenspezifisches, den Vorgaben der Gesellschaft für Telematik (gematik) entsprechendes alternatives Zugangsverfahren ohne eGK. Deine Krankenkasse informiert dich über die jeweiligen Voraussetzungen zur Anmeldung ohne eGK in der ePA-Anwendung auf deinem Smartphone sowie zur Anmeldung ohne eGK an deinem Desktop-PC oder Laptop.
Das jeweilige Sicherheitsniveau der Anmeldung mit und ohne eGK ist unterschiedlich hoch. Höher ist es bei der Anmeldung mit der eGK, in diesem Fall entspricht es einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Sicherheitsstandard. Jedoch wird auch das alternative Verfahren ohne eGK für einen Übergangszeitraum vom BSI akzeptiert. Eine entsprechende Zertifizierung gibt es bei der Authentifizierung ohne eGK allerdings nicht. Deine Kasse informiert dich umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden. Wenn du dich für die Nutzung der alternativen Zugangsmöglichkeit ohne eGK entscheidest, musst du diesen Wunsch explizit gegenüber deiner Krankenkasse kommunizieren.
5.2 Was benötige ich zum Zugriff auf meine Daten?
Unabhängig davon, wie du dich bei der ePA authentifizierst, nutzt du eine von deiner Krankenkasse bereitgestellte ePA-Anwendung auf deinem Smartphone oder einem geeigneten Laptop/PC, um auf die ePA zuzugreifen. Die ePA-Anwendung ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr kannst du sämtliche Funktionen der ePA selbstständig nutzen, u. a. die folgenden:
- Dokumente einstellen, einsehen, herunterladen und löschen
- Berechtigungen erteilen und entziehen
- Vertretungen erstellen und entziehen
- Zugriffe auf die ePA anhand der Protokolldaten kontrollieren
- ePA vollständig schließen
- Übertragung der ePA zu einer neuen Krankenkasse veranlassen (bei Krankenkassenwechsel)
- als vertretungsberechtigte Person mit der ePA einer vertretenen Person arbeiten (vertretungsberechtigte und vertretene Person müssen nicht bei derselben Krankenkasse versichert sein)
Versicherte ohne geeignete Endgeräte können eine ePA bei ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (Näheres hierzu in Kapitel 6.3). Grundsätzlich kannst du diese Art der Berechtigungsvergabe vor Ort auch nutzen, wenn du über die ePA-Anwendung auf deine ePA zugreifst, etwa um eine Leistungserbringereinrichtung spontan zu berechtigen.
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern?
Die ePA bietet die Möglichkeit, Dokumente verschiedener Kategorien zu speichern. Die Kategorien werden dabei direkt bei der Speicherung von Dokumenten automatisch durch das Aktensystem vergeben. Folgende Unterscheidungen sind möglich:
- Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen, getrennt nach den folgenden Bereichen:
- Hausarzt
- Krankenhaus
- Labor und Humangenetik
- Physiotherapie
- Psychotherapie
- Dermatologie
- Urologie/Gynäkologie
- Zahnheilkunde und Mund-Kiefer-Gesichtschirurgie
- weitere fachärztliche Bereiche
- weitere nicht-ärztliche Berufe
- Daten des elektronischen Medikationsplans
- Daten des elektronischen Notfalldatensatzes
- elektronische Arztbriefe
- elektronisches Zahn-Bonusheft („eZahnbonusheft“)
- Daten zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder, „eUntersuchungsheft“)
- Daten über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass, „eMutterpass“)
- elektronische Impfdokumentation („eImpfdokumentation“)
- deine in die ePA übernommenen Daten aus einer von den Krankenkassen nach § 68 SGB V finanzierten elektronischen Gesundheitsakte
- von dir selbst zur Verfügung gestellte Gesundheitsdaten
- elektronische Rezepte und Informationen zu deren Einlösung
- sonstige Dokumente
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen?
Für jedes in die ePA eingestellte Dokument kannst du eine Vertraulichkeitsstufe festlegen. Die von dir, deinen Leistungserbringern oder deiner Krankenkasse in die ePA eingestellten Dokumente sind nach dem Einstellen zunächst standardmäßig der Vertraulichkeitsstufe „normal“ zugeordnet (Näheres dazu in Kapitel 6.3). Über deine ePA-Anwendung kannst du den Dokumenten selbstständig die Stufen „vertraulich“ oder „streng vertraulich“ zuweisen. Solltest du direkt beim Einstellen von Dokumenten in die ePA durch den Leistungserbringer eine höhere Vertraulichkeitsstufe wünschen, so kann dieser das auch direkt bei der Ablage in der ePA berücksichtigen. Bitte sprich das gegenüber deinem Leistungserbringer an.
Sowohl die Dokumentenkategorie als auch die Vertraulichkeitsstufe spielen bei der Vergabe von Berechtigungen eine wichtige Rolle (weitere Informationen zum Erteilen einer Berechtigung findest du in Kapitel 6.4).
5.5 Wie kann ich Daten aus einer digitalen Gesundheitsanwendung in der ePA speichern?
Manche digitalen Gesundheitsanwendungen bieten die Möglichkeit, Daten in die ePA zu übertragen. Damit eine digitale Gesundheitsanwendung Daten in deiner ePA speichern kann, musst du in beiden Anwendungen entsprechende Freigaben vornehmen. In der ePA-Anwendung deiner Krankenkasse musst du die gewünschte Gesundheitsanwendung zum Speichern von Daten berechtigen. In der Gesundheitsanwendung selbst musst du einwilligen, dass sie Daten an die ePA weitergeben darf. Weitere Informationen über die entsprechenden Einwilligungen und Einstellung in der digitalen Gesundheitsanwendung erhältst du vom Hersteller der digitalen Gesundheitsanwendung.
Bitte beachte, dass eine Gesundheitsanwendung ausschließlich Daten in Richtung deiner ePA übertragen kann. Der Hersteller deiner digitalen Gesundheitsanwendung hat jedoch keinen Zugriff auf die Daten in deiner ePA. Dies ist gesetzlich nicht erlaubt.
6. Wer hat wie Zugriff auf die elektronische Patientenakte?
Auf die elektronische Patientenakte (ePA) kannst du selbst, sofern du die ePA-Anwendung nutzr, sowie auch Mitarbeitende der von dir berechtigten Leistungserbringereinrichtungen zugreifen, z. B. deine Hausärztin bzw. dein Hausarzt sowie deren medizinische Fachangestellte. In welcher Art und Weise der Zugriff der berechtigten Leistungserbringereinrichtungen erfolgen kann, wird dir in den Kapiteln 6.2, 6.3 und 6.4 erläutert.
Die Berechtigung für den Zugriff auf deine ePA erteilst du stets den Leistungserbringereinrichtungen und nicht nur einzelnen Personen, wie z. B. der behandelnden Ärztin bzw. dem behandelnden Arzt. Bei größeren Leistungserbringereinheiten, wie beispielsweise einem Medizinischen Versorgungszentrum oder einem Krankenhaus, kann dies bedeuten, dass neben deiner behandelnden Ärztin oder deinem Arzt eine Vielzahl weiterer Personen des medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen, soweit dies tatsächlich zu Behandlungszwecken erforderlich ist. Überdies ist jede Leistungserbringereinrichtung gesetzlich verpflichtet, zu protokollieren, wer wann auf welche Daten deiner ePA zugegriffen hat.
Mit der Zugriffsberechtigung auf die ePA willigst du automatisch in die Verarbeitung deiner persönlichen Daten durch die jeweilige Leistungserbringereinrichtung ein. Dazu nutzt du die von deiner Krankenkasse bereitgestellte ePA-Anwendung. Du kannst den Zugriff aber auch direkt vor Ort, in der Praxis oder im Krankenhaus, mithilfe deiner elektronischen Gesundheitskarte (eGK) und der zugehörigen PIN auf den vor Ort verfügbaren Geräten gewähren. Solche Geräte, wie z. B. das Kartenterminal, sind von der Gesellschaft für Telematik (gematik) geprüft und zugelassen.
Zudem kann deine Krankenkasse – nachdem du sie dazu aufgefordert und berechtigt hast – Daten zu von dir in Anspruch genommenen Leistungen in der ePA ablegen. Diese Daten umfassen z. B. Diagnosen, eingelöste Rezepte u. Ä. Wie bei einer Leistungserbringereinrichtung kannst du auch deiner Krankenkasse eine einmal erteilte Zugriffsberechtigung jederzeit wieder entziehen. Die Beauftragung und Berechtigung der Krankenkasse zur Übermittlung der Leistungsauskunft sowie die Beendigung kannst du direkt über die ePA-Anwendung veranlassen. Ein Zugriff auf die Daten in der ePA ist für die Krankenkasse damit nicht verbunden. Neben Leistungserbringereinrichtungen kannst du auch Personen, denen du besonders vertraust, zum ePA-Zugriff berechtigen. Dies sind die sogenannten Vertreterinnen bzw. Vertreter. Deine Vertretung hat grundsätzlich die gleichen Zugriffsmöglichkeiten wie du selbst, kann Leistungserbringereinrichtungen Zugriffe gewähren oder entziehen und die Krankenkassen zur Datenbereitstellung auffordern. deine Vertretung kann deine ePA jedoch weder löschen noch weitere Vertreterinnen oder Vertreter benennen bzw. Vertretungen widerrufen (weitere Informationen zu Vertretungsregelungen findest du in Kapitel 8).
Gesetzliche Vertreterinnen und Vertreter können zudem auf die Akte der zu vertretenden Person zugreifen. So können beispielsweise Eltern eine ePA ihres mitversicherten Kindes führen.
Sofern du einwilligst, können auch Hersteller von digitalen Gesundheitsanwendungen deine in der jeweiligen Anwendung erhobenen Gesundheitsdaten in deine ePA übertragen. Der Hersteller der Gesundheitsanwendung wiederum hat keinen Zugriff auf die Daten in deiner ePA. Dies ist gesetzlich nicht erlaubt. Die zusätzlich erforderliche Erteilung der entsprechenden Berechtigung für eine digitale Gesundheitsanwendung führst du über die ePA-Anwendung deiner Krankenkasse durch. Weitere Informationen dazu erhältst du von deiner Krankenkasse.
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es?
Auch wenn du eine Berechtigung erteilt hast, darf ein Leistungserbringer (bzw. das medizinische Personal der Leistungserbringereinrichtung) nur auf Daten in deiner persönlichen ePA zugreifen, wenn dieser Leistungserbringer in deine Behandlung eingebunden ist und wenn die Daten aus deiner ePA für deine Versorgung erforderlich sind. Dies ist darin begründet, dass rechtlich zwischen der technischen Erteilung einer Zugriffsberechtigung und der „Erlaubnis“ zur Datenverarbeitung, der sogenannten Einwilligung, zu unterscheiden ist. Selbst wenn du eine technische Berechtigung für einen Leistungserbringer erteilt hast, der nicht in deine Behandlung eingebunden ist, darf dieser nicht ohne Weiteres auf deine ePA-Daten zugreifen. Denn der Zugriff setzt eine rechtsgültige Einwilligung voraus. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information der bzw. des Betroffenen und unmissverständlich abgegeben werden.
Du kannst gegenüber einer Leistungserbringereinrichtung die Einwilligung in die Verarbeitung deiner in der ePA gespeicherten Daten jederzeit widerrufen. Dies kannst du in der von deiner Krankenkasse zur Verfügung gestellten ePA-Anwendung durchführen. Falls du die ePA-Anwendung nicht nutzt, kannst du der betroffenen Leistungserbringereinrichtung diese Rechte beispielsweise bei deinem nächsten Besuch in der Praxis entziehen, indem du eine neue Berechtigung mit einer Dauer von einem Tag erteilst. Mit Ablauf des eingestellten Tages kann nicht länger auf die ePA zugegriffen werden.
Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass sie grundsätzlich nur bestimmte Informationen in deiner ePA einsehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus kannst du keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf eine Apothekerin bzw. ein Apotheker keine Daten aus deinem elektronischen Zahn-Bonusheft einsehen. Du kannst der Apothekerin bzw. dem Apotheker deshalb auch keinen Zugriff auf dein elektronisches Zahnbonusheft erlauben.
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen?
Welcher Leistungserbringer auf welche Daten zugreifen darf, hat der Gesetzgeber detailliert in § 352 SGB V geregelt. Diese Regelungen haben wir für dich in der Tabelle in diesem Kapitel zusammengefasst.
Natürlich ist der Zugriff auf die Daten in deiner ePA immer nur unter der Voraussetzung möglich, dass du die jeweilige Leistungserbringereinrichtung dazu berechtigt hast und diese an die TI angeschlossen ist. Wichtig ist, dass du bei Vergabe der Berechtigungen an deine behandelnden Leistungserbringer die Berechtigungen im Vergleich zur Tabelle weiter einschränken kannst. Die Vergabe von über die in der Tabelle dargestellten hinausgehenden Berechtigungen durch dich ist entsprechend den gesetzlichen Vorgaben jedoch nicht zulässig.
Anhand der im Kapitel 6.3 und 6.4 dargestellten Möglichkeiten kannst du auf Wunsch genau kontrollieren, welche der an deiner Behandlung beteiligten Leistungserbringereinrichtungen auf welche in deiner ePA gespeicherten Daten zugreifen darf. So kannst du beispielsweise Befunde, die du als besonders vertraulich einstufst, nur mit der Hausarztpraxis teilen und vor dem Zugriff anderer an deiner Behandlung beteiligter Leistungserbringereinrichtungen verbergen.
Ein auslesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet dabei immer, dass die Daten aus der ePA heruntergeladen und in die Behandlungsdokumentation des jeweiligen Leistungserbringers übernommen werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die Leistungserbringer in ihre Behandlungsdokumentation übernommen haben, für die ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür ist, dass sie die Daten durch die Übernahme aus der ePA heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus rechtlicher Sicht erforderlich, da Leistungserbringer ihre Behandlung medizinisch vollständig dokumentieren müssen.
Eine Übersicht der Zugriffsmöglichkeiten findest du in dieser Tabelle.
Beispiel 1: Die dargestellte Tabelle zeigt dir, dass beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen Leistungserbringereinrichtungen – ohne weitere Einschränkungen bei deiner Berechtigungsvergabe – auf alle Daten von Leistungserbringern schreibend, auslesend und löschend zugreifen können. Auf Daten, die von dir oder von weiteren Anbietern bereitgestellt werden, können an deiner Behandlung beteiligte Ärztinnen und Ärzte nur auslesend sowie zum Löschen zugreifen.
Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der Apotheke) haben – ohne weitere Einschränkungen bei deiner Berechtigungsvergabe – auf den elektronischen Medikationsplan, die elektronische Impfdokumentation sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden Zugriff, d. h., sie können diese Daten in deiner ePA anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich auslesend zugreifen.
Beispiel 3: Heilmittelerbringer inkl. Personal, wie z. B. Physiotherapeutinnen und Physiotherapeuten, können mit Ausnahme der Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in der ePA auslesen. Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen können von Physiotherapeutinnen und Physiotherapeuten geschrieben werden. Auch das Löschen ist möglich. Schreiben und Löschen können Physiotherapeutinnen und Physiotherapeuten aber nur solche Daten, die sie selbst oder andere Physiotherapeutinnen und Physiotherapeuten in deine Akte eingestellt haben.
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret?
Mit der von deiner Krankenkasse bereitgestellten ePA-Anwendung kannst du deine ePA bequem verwalten. Dort stellst du ein, wer welche Daten in deiner ePA einsehen kann. Du bestimmst auch, wie lange du den Zugriff erlauben willst. Voreingestellt sind sieben Tage. Du kannst dabei eine Dauer von einem Tag bis „unbegrenzt“ wählen. Nach Ablauf der von dir gewählten Zeit endet die Berechtigung für die jeweilige Leistungserbringereinrichtung automatisch. Sie kann die Dokumente dann nicht mehr in der ePA einsehen. Für die Praxisdokumentation lokal heruntergeladene Kopien sind allerdings für den Leistungserbringer weiterhin verfügbar. Grundsätzlich kannst du einmal erteilte Berechtigungen jederzeit wieder entziehen. Wenn du Hilfe bei der Bedienung der ePA-Anwendung brauchst, hilft dir deine Krankenkasse gerne weiter.
Wenn du keine ePA-Anwendung nutzt oder wenn du dein Endgerät z. B. beim Arztbesuch einmal nicht zur Hand hast, kannst du trotzdem Zugriffe auf deine ePA erlauben. Dazu benötigst du deine eGK und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend gibst du deine PIN ein und bestätigst so, welche Daten die Leistungserbringereinrichtung einsehen darf. Die Vergabe von Berechtigungen auf Kategorienbasis (mittelgranular) bei der Leistungserbringereinrichtung überschreibt feingranulare Berechtigungsvergaben aus dem Frontend der bzw. des Versicherten, falls solche schon erfolgt sind. Solltest du die PIN nutzen wollen, aber noch keine erhalten haben, wende dich bitte an deine Krankenkasse.
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret?
Die Mitarbeitenden einer Leistungserbringereinrichtung können auf die Daten, die in deiner persönlichen ePA gespeichert sind, erst dann zugreifen, wenn du der Einrichtung hierzu eine Berechtigung erteilt hast. Das Erteilen der Berechtigung über die ePA-Anwendung oder das Kartenterminal in der Arztpraxis oder im Krankenhaus entspricht der Einwilligung in die Datenverarbeitung. Sämtliche Berechtigungen, die du erteilst, werden in deiner ePA gespeichert. Mithilfe der von der Krankenkasse bereitgestellten ePA-Anwendung kannst du diese jederzeit einsehen und bei Bedarf anpassen.
Wen du berechtigen darfst, regelt der Gesetzgeber in § 352 SGB V (vgl. Kapitel 6.2). Dort werden die Einrichtungen und Personengruppen genannt. Die im Folgenden genannten Personengruppen sind bereits an die Telematikinfrastruktur (TI) angeschlossen:
- Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten sowie Angestellte dieser Berufsgruppen
- Apothekerinnen und Apotheker sowie Personen, die bei diesen beschäftigt sind
- Krankenhäuser
Die nachfolgenden Gruppen werden Schritt für Schritt an die TI angeschlossen, so dass du ihnen dann auch eine Zugriffsberechtigung erteilen kannst:
- Gesundheits- und Krankenpflegerinnen und -pfleger, Gesundheits- und Kinderkrankenpflegerinnen und -pfleger, Altenpflegerinnen und -pfleger, Pflegefachfrauen und Pflegefachmänner sowie deren Helferinnen und Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind
- Hebammen, Entbindungspfleger und Physiotherapeutinnen und -therapeuten sowie deren angestellte Helferinnen und Helfer sowie Auszubildende
- Ärztinnen und Ärzte sowie andere Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz erforderlich ist
- Fachärztinnen und Fachärzte für Arbeitsmedizin sowie Betriebsärztinnen und Betriebsärzte
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung?
Du hast die Möglichkeit, den Zugriff auf die ePA mittels verschiedener Berechtigungen zu steuern. Dazu stehen dir die folgenden Möglichkeiten zur Verfügung.
Grobgranulare Erteilung von Berechtigungen
Über die Erteilung von Berechtigungen in der ePA-Anwendung steuerst du, welche Leistungserbringereinrichtung auf welche Dokumente zugreifen kann. Eine Möglichkeit ist die Steuerung anhand der bereits genannten Kategorien. In diesem Fall berechtigst du Leistungserbringereinrichtungen dazu, auf eine oder mehrere Kategorien zuzugreifen (Näheres dazu in Kapitel 5.3). Die Mitarbeitenden einer Leistungserbringereinrichtung erhalten dann Zugriff auf die Dokumente in der Vertraulichkeitsstufe „normal“, sofern du nichts anderes festlegst (vgl. Kapitel 5.4).
Mittelgranulare Erteilung von Berechtigungen
Weitere Möglichkeiten der Zugriffssteuerung über die ePA-Anwendung ergeben sich durch die Auswahl einer Kategorie in Kombination mit einer Vertraulichkeitsstufe. Dies können die Vertraulichkeitsstufen „normal“ oder „vertraulich“ sein. Im Zuge der Berechtigung einer Leistungserbringereinrichtung legst du fest, auf welche Dokumentenkategorie mit welcher Vertraulichkeitsstufe der Zugriff gewährt werden soll. Die Erteilung von Zugriffen auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist damit nicht möglich.
Feingranulare Erteilung von Berechtigungen
Die feinste Abstufung hinsichtlich der Zugriffsrechte in der Anwendung erhältst du, indem du auf Ebene einzelner Dokumente bestimmst, wer darauf zugreifen darf. Dadurch kannst du beispielsweise Zugriff auf Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ gewähren.
Zusammenfassend
Die grobgranulare Berechtigungsvergabe bezeichnet die Erteilung von Berechtigungen auf Basis der Kategorien. Bei der mittelgranularen Berechtigungsvergabe erteilst du Berechtigungen auf eine der in Kapitel 5.3 genannten Kategorien und Bereiche in Kombination mit den Vertraulichkeitsstufen „normal“ oder „vertraulich“. Bei der feingranularen Berechtigungsvergabe berechtigst du auf Basis eines einzelnen Dokuments. Dokumente, die du mit der Vertraulichkeitsstufe „streng vertraulich“ versehen hast, kannst du nur mithilfe der feingranularen Berechtigungsvergabe deinen Leistungserbringern zugänglich machen.
Die Möglichkeiten der grob- und mittelgranularen Berechtigungsvergabe stehen dir sowohl in der ePA-Anwendung als auch beim Leistungserbringer zur Verfügung. Feingranulare Berechtigungen kannst du ausschließlich in der ePA-Anwendung vergeben.
Zudem kannst du in der ePA-Anwendung auch festlegen, welche Vertraulichkeitsstufe eingestellte Dokumente standardmäßig bekommen sollen. Diese gilt dann für alle von deinen Leistungserbringern oder dir selbst eingestellten Dokumente. Selbstverständlich kannst du diese Voreinstellung beim Einstellen eines Dokuments auch individuell überschreiben, indem du eine andere Vertraulichkeitsstufe wählst. Außerdem kannst du in deiner ePA-Anwendung die Vertraulichkeitsstufe eines Dokuments jederzeit ändern.
Wenn du eine Berechtigung erteilst, legst du in der ePA-Anwendung auch fest, wie lange diese gelten soll. Du hast die Wahl zwischen einer Berechtigungsdauer von mindestens einem Tag bis unbegrenzt.
6.4.2 Wie erteile ich Berechtigungen ohne die ePA-Anwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze?
Ohne ePA-Anwendung kannst du Berechtigungen direkt vor Ort in der Leistungserbringereinrichtung erteilen. Sprich dazu das Personal der Einrichtung an und teile mit, für welche Kategorie (vgl. Kapitel 5.3 und für welchen Zeitraum du Berechtigungen erteilen möchten.
Zur Kontrolle der Erteilung der Berechtigungen zeigt dir das Kartenterminal des Leistungserbringers die von ihm angeforderten Berechtigungen Schritt für Schritt an. Zur Erteilung der Berechtigung bestätigst du diese auf dem Kartenterminal. Durch diesen Prozess hast du auch in der Leistungserbringerumgebung die Kontrolle darüber, wen du zu welchem Zugriff berechtigst. Bitte denk daran, dass du zur Erteilung von Berechtigungen in der Arztpraxis deine eGK und die zugehörige PIN benötigst.
Bitte beachte, dass du bei einer in der Leistungserbringereinrichtung direkt vor Ort erteilten Zugriffsberechtigung ausschließlich Berechtigungen für die Vertraulichkeitsstufen „normal“ und „vertraulich“ erteilen kannst. Eine Erteilung von Berechtigungen für Dokumente mit der Vertraulichkeitsstufe „streng vertraulich“ ist vor Ort beim Leistungserbringer nicht möglich. Dies dient dem Schutz deiner als „streng vertraulich“ gekennzeichneten Daten.
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
Die elektronische Patientenakte (ePA) lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für dich und deine behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die du selbst einspeist, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen deiner Behandlungen bei Ärztinnen bzw. Ärzten oder im Krankenhaus erhoben werden.
Du hast gegenüber deinen behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch darauf, dass die im Rahmen der Behandlung anfallenden Daten an deine ePA übermittelt und darin gespeichert werden. Zuvor musst du allerdings eine Berechtigung zum Zugriff auf deine ePA erteilt haben (siehe hierzu Kapitel 6.4).
Zudem hast du einen Anspruch darauf, dass deine behandelnden Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Psychotherapeutinnen und -therapeuten dich bei der Erstbefüllung der ePA unterstützen. Die Unterstützungsleistung umfasst die Übermittlung medizinischer Daten an die ePA und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.
Darüber hinaus kannst du von deinen Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten oder Apothekerinnen und Apothekern die Speicherung der Daten aus dem Notfalldatensatz und des elektronischen Medikationsplans verlangen. Ändert sich etwas in deinem Medikationsplan oder in deinem Notfalldatensatz, hast du das Recht, dass deine Ärztin bzw. dein Arzt diese Daten sowohl in der ePA als auch auf der elektronischen Gesundheitskarte (eGK) aktualisiert. Sprich deien Ärztin bzw. deinen Arzt darauf an, wenn du hierzu Fragen hast.
Du hast das Recht, dass an deiner Behandlung beteiligte Leistungserbringer weitere medizinische Informationen in strukturierter Form in der ePA speichern. Dies sind insbesondere folgende:
- das eZahnbonusheft
- das eUntersuchungheft für Kinder
- der eMutterpass
- die Impfdokumentation
- Verordnungsdaten und Einlöse-Informationen zu deinen eRezepten
- Daten zu deiner Arbeitsunfähigkeit in Form der elektronischen Arbeitsunfähigkeitsmeldung („eAU“)
- sonstige von den Leistungserbringern für den Versicherten bereitgestellte Daten, insbesondere Daten, die sich aus der Teilnahme des Versicherten an strukturierten Behandlungsprogrammen bei chronischen Krankheiten ergeben
Du hast außerdem das Recht, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in deine ePA hochgeladen haben.
Neben dem Anspruch gegenüber Leistungserbringern kannst du auch von deiner Krankenkasse verlangen, dass Daten zu von dir in Anspruch genommenen Leistungen in die ePA eingestellt werden. Dazu gehören auch Informationen zu Diagnosen und Medikamenten, die deine Krankenkasse im Rahmen der Abrechnung der an deiner Behandlung beteiligten Leistungserbringer erhält. Bitte beachte, dass diese Informationen deiner Krankenkasse erst mit erheblichem zeitlichen Verzug vorliegen. Um deiner Krankenkasse die Datenbereitstellung zu ermöglichen, musst du gegenüber der Krankenkasse in die Datenbereitstellung einwilligen sowie die entsprechende Berechtigung zum Zugriff auf die ePA erteilen. Nur dann kann deine Krankenkasse ausschließlich zur Ablage dieser Informationen auf deine ePA zugreifen.
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun?
Der Gesetzgeber sieht vor, dass du über die von deiner Krankenkasse bereitgestellte ePA-Anwendung Vertreterinnen bzw. Vertreter für die Handhabung deiner elektronischen Patientenakte (ePA) berechtigen kannst. Diese haben dann annähernd die gleichen Rechte wie du selbst. Deine Vertreterinnen und Vertreter können aber keine weiteren Vertretungen benennen und sind nicht befugt, die Akte zu schließen. Deine Vertretung kann beispielsweise Zugriffsrechte an Leistungserbringereinrichtungen (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a.) vergeben und die in deiner Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass du diese verantwortungsvolle Aufgabe nur an Personen überträgst, denen du vollständig vertraust und denen du beispielsweise auch eine Vorsorgevollmacht erteilen würdest. Vertretungen können – anders als Berechtigungen für Leistungserbringereinrichtungen – nicht zeitlich befristet vergeben werden und laufen daher nicht ab. Du musst deine Vertreterin bzw. deinen Vertreter daher aktiv über die ePA-Anwendung deiner Krankenkasse von der Vertretung entbinden. Deine Krankenkasse erläutert dir die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen noch einmal genauer.
9. Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich?
Die Nutzung der elektronischen Patientenakte (ePA) ist auch ohne die von der Krankenkasse bereitgestellte ePA-Anwendung und ohne Vertretungsperson möglich. Allerdings ergeben sich dann einige Veränderungen, die auch Auswirkungen auf die Wahrnehmung deiner Rechte als datenschutzrechtlich betroffene Person haben.
Wenn du die ePA-Anwendung nicht nutzt, hast du keine Möglichkeit, Einsicht in deine in der ePA gespeicherten Daten zu nehmen. Dies umfasst neben den Dokumenten auch die erteilten Berechtigungen sowie die Zugriffsprotokolle, in denen die ePA aufzeichnet, wer wann welche Interaktionen mit deiner Akte bzw. den darin gespeicherten Daten vorgenommen hat. Die Krankenkassen haben weder die gesetzliche Befugnis noch die Möglichkeiten, die Daten der ePA auszulesen.
Zudem hast du keine Möglichkeit, Daten selbstständig in der ePA zu speichern. Dokumente können ausschließlich durch die von dir berechtigten Leistungserbringereinrichtungen in die ePA eingestellt werden. Gleiches gilt für die Löschung: Nur berechtigte Leistungserbringereinrichtungen können in deinem Auftrag Dokumente aus der ePA löschen. Somit hast du auch keine Möglichkeit zur Erstellung einer Sicherheitskopie auf deinem eigenen Endgerät. Dies betrifft sowohl die Dokumente als auch die Protokolle (vgl. Kapitel 4.4).
Die Berechtigung für Leistungserbringereinrichtungen erteilst du ohne ePA-Anwendung ausschließlich direkt beim Leistungserbringer mithilfe deiner elektronischen Gesundheitskarte (eGK) und deiner PIN im Dialog mit dem Praxispersonal.
Um einer berechtigten Leistungserbringereinrichtung auch ohne ePA-Anwendung den Zugriff zu entziehen, bestehen folgende Optionen:
- Da rechtlich die Einwilligung unabhängig von der technischen Berechtigungsvergabe widerrufen werden kann, kannst du diese unabhängig von den Zugriffsrechten gegenüber dem jeweiligen Leistungserbringer widerrufen. Da du die Berechtigung nicht selbstständig entziehen kannst, ist es möglicherweise hilfreich, die Berechtigung zeitlich begrenzt in der Arztpraxis oder dem Krankenhaus zu vergeben.
- Um auch technisch sicherzustellen, dass der betroffene Leistungserbringer keine Möglichkeit zum Zugriff auf deine Daten mehr hat, kannst du beispielsweise bei deinem nächsten Besuch bei dem Leistungserbringer, dem du die Berechtigung entziehen wollen, die Berechtigung neu vergeben und die Mindestgültigkeitsdauer für Berechtigungen von einem Tag wählen. Mit Ablauf des Tages kann der Leistungserbringer nicht mehr auf die in der ePA gespeicherten Daten zugreifen. Wie bei der Berechtigungsverwaltung mit der ePA-Anwendung auch behält der Leistungserbringer sämtliche aus der ePA heruntergeladenen Daten jedoch in seinem IT-System.
Eine Übernahme der Daten bei Wechsel der Krankenkasse ist in der ePA nur über die ePA-Anwendung möglich. Wenn du weder eine ePA-Anwendung noch eine Vertretung nutzt, besteht beim Wechsel der Krankenkasse somit für dich keine Möglichkeit der Datenübernahme. Zudem kannst du die Möglichkeiten zur Datenfreigabe für Forschungszwecke (vgl. 10.2) und die Datenbereitstellung von digitalen Gesundheitsanwendungen in die ePA nicht nutzen.
10. Welche weiteren Möglichkeiten bieten mir die ePA und die ePA-Anwendung meiner Krankenkasse?
Neben den hier dargestellten Möglichkeiten der Datenspeicherung in der ePA bietet dir die ePA-Anwendung weitere Zugriffsmöglichkeiten auf gesundheitsrelevante Dienste und Informationen. Diese führt deine Krankenkasse nach und nach ein.
10.1 Direkter Zugriff auf das nationale Gesundheitsportal aus der ePA-Anwendung
Um dir zusätzliche Informationen für deine Gesundheit anzubieten, ist ein direkter Zugriff aus der ePA-Anwendung auf das nationale Gesundheitsportal vorgesehen. Weitere Informationen zum nationalen Gesundheitsportal findest du unter https://gesund.bund.de.
10.2 Freigabe der Daten für die Forschung (voraussichtlich ab dem 1. Juli 2024)
Die in deiner ePA gespeicherten Gesundheitsdaten kannst du in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben freiwillig und ausschließlich in pseudonymisierter Form möglich. Der Gesetzgeber muss die rechtlichen Details zur Datenfreigabe für Forschungsvorhaben noch in geeigneter Form regeln. Deine Krankenkasse stellt dir die aktuellen Informationen vor der Einführung dieser Funktion gesondert bereit.
Neben der Nutzung für die ePA wird die ePA-Anwendung deiner Krankenkasse zukünftig auch eine Funktion zur sicheren Übermittlung von Sofortnachrichten an Ihre Krankenkasse umfassen und kann – falls die an deiner Behandlung beteiligten Leistungserbringer dies wünschen – auch zur Kommunikation mit deinen Leistungserbringern genutzt werden.
10.4 Weitere Funktionen der ePA (voraussichtlich ab dem 1. Oktober 2024)
Der Gesetzgeber sieht vor, dass du über einen online gespeicherten elektronischen Medikationsplan und eine elektronische Patientenkurzakte mit deinen wichtigsten medizinischen Informationen verfügen kannst. Zugriff darauf hast du jedoch über die ePA-Anwendung deiner Krankenkasse. Du kannst die Daten einsehen und gegebenenfalls löschen, Zugriffsberechtigungen verwalten sowie Protokolldaten über Zugriffe und Veränderungen der Daten nachsehen.
Die Funktionen umfassen auch die Möglichkeit der Einsichtnahme in die Protokolldaten über Zugriffe und Veränderungen der Daten.
10.5 Daten zur pflegerischen Versorgung (voraussichtlich ab dem 1. Januar 2024)
Der Gesetzgeber sieht die Speicherung pflegerischer Informationen, wie beispielsweise Pflegeberichte oder Pflegeüberleitungsbögen, vor. Damit können an deiner Versorgung beteiligte Pflegedienste oder Pflegeeinrichtungen mit deiner Berechtigung die entsprechenden Dokumente in deiner ePA bereitstellen und nutzen. Voraussetzung dafür ist, dass der Pflegedienst oder die Pflegeeinrichtung an die Telematik-Infrastruktur angeschlossen sind.
Du erhältst zukünftig die Möglichkeit, deine Erklärung zur Organspende im Organspende-Register über deine ePA-Anwendung abzugeben. Die Erklärung als solche wird nicht in der ePA gespeichert, sondern in dem dafür vorgesehenen Register abgelegt. Weitere Informationen zur Organ- und Gewebespende erhältst du auf der Website des Bundesministeriums für Gesundheit: https://www.bundesgesundheitsministerium.de/themen/praevention/organspende.html