Datenschutzhinweise
der BKK exklusiv
für die elektronische Patientenakte (ePA)
sowie Pflichtinformationen gemäß § 343
Absatz 1 SGB V
Inhalt
A.1 Name
und Anschrift des Verantwortlichen
A.2
Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
A.3
Zuständige Datenschutzaufsicht
A.5
Allgemeines zur Datenverarbeitung
A.7
Datenverarbeitung außerhalb der Europäischen Union
A.10
Automatisierte Entscheidungsfindung
A.11
Beschwerderecht bei einer Aufsichtsbehörde
A.12 Recht
auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
B. Bereitstellung
der ePA durch die BKK exklusiv
B.1
Beschreibung und Umfang der Datenverarbeitung.
B.2
Rechtsgrundlage für die Datenverarbeitung
B.3
Zweck der Datenverarbeitung
B.5
Widerrufsmöglichkeiten für die Nutzung der ePA..
C.1
Beschreibung und Umfang der Datenverarbeitung.
C.2
Rechtsgrundlage für die Datenverarbeitung
C.3
Zweck der Datenverarbeitung
C.5
Widerrufsmöglichkeiten für die Nutzung der Anwendung E-Rezept-Moduls
D. IAM
Registrierungsprozess für die ePA
D.1
Beschreibung und Umfang der Datenverarbeitung.
D.2
Erfassung der Daten für einen Fehlerreport
D.2.1 Automatisiert übermittelte Daten
D.2.2 Manuell übermittelte Daten
D.3
Rechtsgrundlage für die Datenverarbeitung
D.4
Zweck der Datenverarbeitung
D.6
Widerrufsmöglichkeiten für die Registrierung in der ePA-App
E. Nutzung
der ePA-App und Datenspeicher über die App
E.1 Beschreibung und
Umfang der Datenverarbeitung für den Versicherten
E.1.5
Nutzung Organspende-Register (OGR)
E.2
Beschreibung und Umfang der Datenverarbeitung für vertretende Personen
E.3
Rechtsgrundlage für die Datenverarbeitung
E.3.1
Zweck der Datenverarbeitung
F.1
Beschreibung und Umfang der Datenverarbeitung.
F.3
Vorgangsbearbeitungssystem (ITSM)
F.4
Rechtsgrundlage für die Datenverarbeitung
F.5
Zweck der Datenverarbeitung
F.7
Speicherorte aller ePA spezifischen Daten
2. Was ist
die elektronische Patientenakte?
3. Wie
sicher ist die elektronische Patientenakte?
4. Was muss
ich grundsätzlich zur elektronischen Patientenakte wissen?
4.1 Ist die
ePA verpflichtend?
4.2 Wer
bietet die ePA an und betreibt sie?
4.3 Kann ich
Dokumente in der ePA oder die ganze Akte löschen?
4.4 Wie
behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat?
4.4.1 Das
Verwaltungsprotokoll
4.6 Welche
Daten tauscht die BKK exklusiv mit dem Betreiber der ePA aus?
4.7 Was muss
ich bei Nutzung der ePA-Anwendung beachten?
4.10 Was muss
ich tun, wenn ich die ePA nicht mehr will?
4.11 Habe ich
Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze?
5. Was kann
ich in meiner elektronischen Patientenakte speichern?
5.1 Wie
melde ich mich bei der ePA an?
5.2 Was
benötige ich zum Zugriff auf meine Daten?
5.3 Zu
welchen Kategorien kann ich Dokumente in der ePA speichern?
5.4 Kann ich
Vertraulichkeitsstufen für Dokumente festlegen?.
5.5 Wie kann
ich Daten aus einer digitalen Gesundheitsanwendung in der ePA speichern?
6. Wer hat
wie Zugriff auf die elektronische Patientenakte?.
6.1 Welche
rechtlichen Vorgaben für Leistungserbringer gibt es?
6.2 Welcher
Leistungserbringer darf auf welche Daten in der ePA zugreifen?
6.3 Wie
funktioniert die Erteilung von Berechtigungen konkret?
6.4 Wie
berechtige ich eine an meiner Behandlung beteiligte
Leistungserbringereinrichtung konkret?
6.4.1 Wie
erteile ich Berechtigungen in der ePA-Anwendung?.
7. Wer muss
Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche?
8. Ich
benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was
kann ich tun?
10. Welche
weiteren Möglichkeiten bieten mir die ePA und die ePA-Anwendungen meiner BKK
exklusiv?
10.1 Direkter
Zugriff auf das nationale Gesundheitsportal aus der ePA-Anwendung
10.2 Freigabe
der Daten für die Forschung (voraussichtlich ab dem 15. Juli 2025)
10.4 Weitere
Funktionen der ePA (voraussichtlich ab dem 15. Januar 2025 oder 15. Juli 2025)
10.5 Daten
zur pflegerischen Versorgung (voraussichtlich ab dem 01. Januar 2024)
10.6 Abgabe
und Zugriff auf Ihre Erklärung zur Organ- und Gewebespende
Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes
ausführlich beschrieben.
Im Sinne einer besseren Lesbarkeit und einem
vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch
die einheitliche Verwendung der Formulierungen:
· „Versicherter“
· „Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer
ohne Einschränkung alle Geschlechter gemeint.
Der Verantwortliche im Sinne von §§ 341 Abs. 4
Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der
Datenschutz-Grundverordnung ist die:
|
BKK exklusiv vertreten durch
den Vorstand Zum Blauen See 7 31275 Lehrte Telefon: +49
(0)5132/5001-0 Telefax: +49 (0)5132/5001-12 Mail: info@bkkexklusiv.de |
|
BKK exklusiv Der
Datenschutzbeauftragte Zum Blauen See 7 31275 Lehrte Telefon: +49
(0)5132/5001-0 Telefax: +49
(0)5132/5001-12 Mail: datenschutz@bkkexklusiv.de |
Der/Die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit
Graurheindorferstraße 153
53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de
Bundesamt für Soziale
Sicherung
Friedrich-Ebert-Allee
38
53113 Bonn
Telefon: +49 (0)228-619-0
Telefax +49
(0)228619-1870
Wir verarbeiten personenbezogene Daten unserer
Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer
funktionsfähigen ePA erforderlich ist. Sofern die
Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage
einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden
gesetzlichen Verpflichtung aus dem SGB V. Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich
nicht zugelassen.
Die Nutzung der ePA ist für
unsere Versicherten freiwillig. Ihnen entsteht kein Nachteil, sofern sie sich
gegen die Nutzung der ePA entscheiden.
Wir
geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir
setzen verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich
um Unternehmen der BITMARCK Unternehmensgruppe. In diesem Zusammenhang kann es
vorkommen, dass ein solcher technischer Dienstleister Kenntnis von
personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus
und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine
zulässige Datenverarbeitung. Die beauftragen Dienstleister sind ebenfalls
verpflichtet, alle datenschutzrechtlichen Maßnahmen einzuhalten und werden im
Rahmen einer Vereinbarung zur Auftragsverarbeitung (AV) verpflichtet.
Eine Verarbeitung der Daten unserer Versicherten außerhalb
der europäischen Union findet nicht statt.
Unsere Versicherten haben das Recht auf Auskunft über die
sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere
Versicherten jederzeit an uns wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder
Löschung, oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht
gesetzlich zusteht.
Unsere Versicherten haben ein Widerspruchsrecht gegen die
Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf
Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.
Wir löschen die ePA unseres Versicherten
grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht.
Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt
werden, um die ePA für unsere Versicherten weiterhin bereitstellen
zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung
erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Wir
setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten
Entscheidungsfindung einschließlich Profiling gem.
Art. 22 DSGVO beruhen.
Unsere Versicherten haben das Recht, sich über die
Verarbeitung personenbezogener Daten bei einer der Ziffer A.3 und A.4 genannten
Aufsichtsbehörden zu beschweren.
Unseren Versicherten steht das Recht zu, ihre
datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der
Widerruf kann wie folgt erklärt werden: Gegenüber der BKK exklusiv jederzeit
schriftlich oder auf elektronischem Weg über die ePA-App
ohne Angabe von Gründen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit,
der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht
berührt.
Nach Erteilung der
ausdrücklichen schriftlichen oder elektronischen (über die ePA-App)
Einwilligung unseres Versicherten legen wir eine individuelle und
ausschließlich von unserem Versicherten verwendete elektronische Patientenakte
(ePA) an, welche unser Versicherter eigenständig
souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in
seiner ePA eine oder mehrere vertretende Personen,
hinzufügen, siehe hierzu Kapitel E1.
Bei der
Bereitstellung der ePA werden folgende
personenbezogene Daten unseres Versicherten verarbeitet:
·
Anzahl der aktiven
elektronischen Gesundheitskarten (eGK). Die Anzahl der aktiven eGK, die dem
identifizierten Versicherten im eGK-System zugeordnet sind. Eine Karte gilt
dabei im eGK-System als aktiv, wenn sie weder gesperrt oder logisch gelöscht
ist. In der Regel ist immer nur eine eGK aktiv.
·
Geburtsdatum des Versicherten
·
Geburtsort des
Versicherten
·
Versichertenart (z. B.: Mitglied,
Familienversicherter, Rentner)
·
Beginn und Ende
Versicherungsverhältnis
·
IdentDataTime (Zeitstempel für die
vollzogene Identifizierung des Versicherten)
·
Schutzklasse für die
Identifikation (mit oder ohne eGK)
·
Identifizierungsverfahren
(z. B. in der Filiale oder Postident)
·
Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer;
·
Ende der Registrierung / Ja oder Nein
·
Zeitpunkt Registrierungsbeginn
·
Titel
·
Namenszusatz
·
Vorsatzwort (z. B.: „von“,
„de“, „van“)
·
Geschlecht
·
je nach verwendetem
Authentisierungsmittel:
§ ein Pseudonym bei Nutzung der Online-Ausweisfunktion.
Dabei ruft der verwendete Anbieter erstmalig alle uns zugänglichen Daten des
Personalausweises zum Personenabgleich ab und erzeugt ein Pseudonym. Jedes
weitere mal erfolgt der Abgleich durch das vom Anbieter erzeugte Pseudonym.
§ das Zertifikat der eGK bei Nutzung der elektronischen
Gesundheitskarte
·
VIP – Kennzeichen
·
ICCSN (Kartenkennnummer
auf der Rückseite der eGK)
·
istNfcEgk (Dieser Wert gibt an, ob die im Aufruf bezeichnete eGK
für „Near Field Communication“ (NFC) ausgerüstet ist.)
·
istPinBriefVersandt (Dieser Wert gibt an, ob zu der im Aufruf bezeichneten
eGK ein PIN-Brief versandt wurde.)
· pinBriefVersandDatum (Zeitpunkt zu dem der PIN-Brief-Versand dem KAMS (Kartenanwendungs-managementsystem) gemeldet wurde.)
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6
Abs. 1 lit. a DSGVO i.V.m.
§§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß den gesetzlichen Vorgaben nach SGB V. In diesem
Zusammenhang bedarf es der Zuordnung einer konkreten ePA
zu unserem Versicherten.
Die Daten werden gelöscht, sobald sie für die Erreichung
des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine
Aufbewahrungspflichten mehr bestehen.
Unser Versicherter
kann seine Einwilligung zur Bereitstellung der ePA
jederzeit widerrufen und gegenüber der BKK exklusiv die Löschung der ePA verlangen. Der Versicherte erklärt
den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder
persönlich in einer unserer Geschäftsstellen.
Der Versicherte kann in der ePA-App
über das E-Rezept-Modul alle elektronischen Verordnungen, die von Ärztinnen und
Ärzten sowie Zahnärztinnen und Zahnärzten ausgestellt wurden, über den
Fachdienst E-Rezept abrufen.
Dabei werden die Daten wie in Kapitel B.1 beschrieben
verarbeitet sowie Standortdaten und Versichertennummer.
Die Anmeldung am Fachdienst E-Rezept erfolgt über einen
elektronischen Identitätsnachweis (z. B. elektronische Gesundheitskarte oder
2D-Code) welches Versichertenstammdaten (z. B. Name und Versichertennummer)
enthält.
Kommunikation
zwischen ePA-App und Apotheken
Rezepte: Apotheken erhalten das Zugriffsrecht für das im Fachdienst
E-Rezept gespeicherte E-Rezept. Eine direkte Kommunikation zwischen ePA-App und Apotheke erfolgt dabei nicht da die ePA-App direkt mit dem Kommunikationssystem der Apotheke
kommuniziert.
Mitteilungen: die Kommunikation mit der Apotheke läuft
über den Fachdienst E-Rezept, der die Mitteilungen archiviert. Die ePA-App lädt die Mitteilungen vom Fachdienst E-Rezept und
speichert sie auf dem Gerät.
Rechtsgrundlage
für die Nutzung des E-Rezept-Moduls ist die Einwilligung unseres Versicherten
gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 360 Abs. 10 SGB V.
Zweck
der Datenverarbeitung ist die Nutzung der Anwendung E-Rezept durch den
Versicherten zum Abruf und zur Einlösung von ausgestellten Rezepten.
Für den Versicherten besteht die Möglichkeit Rezepte
selbst zu löschen, ansonsten werden die Rezepte nach 100 Tagen durch den
Fachdienst E-Rezept gelöscht (§ 360 Abs. 11 SGB V). Zugriffsprotokolle im Fachdienst
E-Rezept werden nicht auf dem Gerät gespeichert und können nicht gelöscht
werden. (Automatische Löschung nach drei Jahren (§ 309 SGB V))
Die unter diesem Abschnitt beschriebenen
Datenverarbeitungen sind zur Nutzung des E-Rezept-Moduls durch den Versicherten
zwingend erforderlich. Der Versicherte kann seine Einwilligung zur Nutzung des
E-Rezept-Moduls jederzeit widerrufen, durch Entfernen des gesetzten
Bestätigungshakens in der ePA-App.
Die in den nachfolgenden Abschnitten beschriebenen
Datenverarbeitungsprozesse sind zur Bereitstellung der ePA
zwingend erforderlich.
Zur rechtssicheren Einrichtung für die Bereitstellung einer
ePA- für unseren Versicherten
ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu
überprüfen, ob die Person, die sich für eine ePA
registriert auch tatsächlich unser Versicherter ist. Diese
Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der
Versicherte installiert die ePA App und startet diese.
2. Schritt: Der
Versicherte klickt den Funktionsbutton „Los geht`s“ an.
3. Schritt: Der
Versicherte klickt, wenn bereits ein Benutzerkonto besteht,
auf
„Anmelden bei der BKK exklusiv“, oder muss sich zuerst
über
den Funktionsbutton „Registrieren“ ein Benutzerkonto
anlegen.
4. Schritt: Um
mit der Registrierung zu starten, klickt der Kunde auf
„Jetzt
loslegen“
5. Schritt: Der
Versicherte gibt die folgenden Daten, gemäß der
vorgegebenen
Felder ein:
-
E-Mail-Adresse
-
Versichertennummer
-
PLZ
-
Auswahl eines individuellen Passwortes
-
Passwort Wiederholung
- Eingabe der letzten 6 Stellen der Kennnummer der eGK
(ICCSN)
6. Schritt: Der
Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen
IAM sowie die Akzeptanz der Einwilligung
IAM, um die Registrierung abzuschließen.
7. Schritt Der
Versicherte muss die E-Mail-Adresse bestätigen und muss
dafür in der versendeten E-Mail den Link aufrufen, um
fortfahren
zu können.
8. Schritt Der
Versicherte legt einen App-Code als weiteres
Sicherheitsmerkmal fest.
9. Schritt Es wird die Identität überprüft mit
einem der zur Verfügung
gestellten Verfahren.
10. Schritt Patientenakte
einrichten
-
Höchster Komfort mit
App-Code
-
Höchste Sicherheit mit
Gesundheitskarte
11. Schritt Gerät und App verknüpfen
-
Bei der Einrichtung der Patientenakte
via App-Code
-
Eine Gerätebindung, das
heißt die App mit dem Gerät zu verknüpfen, ist entsprechend der
Sicherheitsvorgaben notwendig.
12. Schritt Im Anschluss
wird dem Versicherten die Freigabe zur
Nutzung angezeigt und damit sind die Voraussetzungen für die
Einrichtung der ePA abgeschlossen.
Beim
Registrierungsverfahren werden vorstehende Daten in einem technischen Container
temporär gespeichert.
Nach Verifikation der
eingegebenen Daten durch die BKK exklusiv wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der
Versicherte erhält hierzu eine Bestätigung der BKK exklusiv.
Wir
benötigten die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen
Fehler meldet und die Ursache analysiert werden muss.
Für
die ePA
Apps für IOS und Android sowie die Desktop App wird im Fehlerfall einen
Report erstellt und dieser wird automatisch an das Business Service Management
(BSM) versendet.
Diese
übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.
|
Daten |
Wert |
Beispiel |
||||||||||||||||||||||||||||||||||||||||||||||||
|
DEVICE bezogene Daten |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||
|
APP bezogene Daten |
Start Time |
2021-08-18T07:52:25.904Z |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Bundle ID |
com.rise_world.epa.integration.debug |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Bundle
Name |
ePA |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Version |
1.2.0 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Build |
123070 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
OPERATING SYSTEM |
Name |
Android |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Version |
10 (00EEA_2_290) |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Kernel
Version |
4.9.186-perf+ |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Rooted |
No |
Für die ePA Apps für IOS und Android sowie die Desktop App wird im
Fehlerfall einen Report erstellt. Zusätzlich zu dem automatisiert übermittelten
Report können Nutzer die folgenden Daten manuell an das Business Service Management
(BSM) versenden.
Die folgenden Informationen können zusätzlich im
Fehlerfall an das BSM übermittelt werden. Diese übermittelten Daten werden
ausschließlich zur Fehlerbehebung analysiert.
|
Daten |
Wert |
Beispiel |
Erläuterung |
|
USERID
bezogene Daten |
Die UserId ist eine UUID und wird pro App
Session neu generiert. |
||
|
TAGS |
ID |
66cfbd07-1881-4975-bc2f-41a81f9d0907 |
|
|
|
androidSDK |
29 |
Android SDK Version |
|
|
applicationId |
com.rise_world.epa.integration.debug |
App bundle name |
|
|
buildJob |
epa-android/develop |
Gitlab build job |
|
|
device |
Nokia 4.2 |
Gerätebezeichnung |
|
|
device.family |
Nokia |
Produktgruppe |
|
|
dist |
123070 |
Gitlab-Pipeline-ID |
|
|
environment |
debug |
Umgebung |
|
|
fdvSdk |
1.2.0 |
Android SDK |
|
|
fdvSdkModule |
1.2.2 |
C++ SDK |
|
|
flavor |
epaIntegration |
App flavor |
|
|
gitHash |
bc5853d |
Git Hash |
|
|
level |
error |
Loglevel |
|
|
os Android |
10 |
Android Version |
|
|
Android |
Betriebsystemname |
|
|
|
os.rooted |
no |
Gerootetes Gerät |
|
|
release |
1.2.0 |
App Release Version |
|
|
supportId |
B88G-KDVD-YNEK |
Support-Code |
|
|
user |
id:66cfbd07-1881-4975-bc2f-41a81f9d0907 |
UserId |
|
StackTrace |
Umfasst die technische Beschreibung des aufgetretenen Fehlers. |
||
Rechtsgrundlage für den IAM
Registrierungsprozess der ePA und die hierbei
verarbeiteten Daten ist die Einwilligung unseres Versicherten nach Art. 6
Abs. 1 lit. a DSGVO i.V.m.
§§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
Zweck der Datenverarbeitung ist die
rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten-
und Identitätsmissbrauch.
Die
Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung
nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.
Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde sowie die Einwilligung
weiterer Anwendungen widerrufen wurde.
Die
unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung
der ePA-App zwingend erforderlich. Unser Versicherter
kann seine Einwilligung zur Registrierung der ePA-App
gleichwohl jederzeit widerrufen und gegenüber uns die Löschung der ePA-App verlangen. Hierzu muss der Versicherte
in der ePA-App seine Einwilligung widerrufen oder den
Widerruf schriftlich an uns senden.
Der
Versicherte startet die App, nach erfolgter Registrierung und Identifizierung.
Zuerst
erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versichertennummer
und Passwort sowie zur Auswahl App-Code, Gesundheitskarte oder Personalausweis)
eingibt.
Beim Start der App erhält der
Versicherter einen Überblick über die Funktionen und die Nutzungsmöglichkeiten
der ePA-App. Der Versicherte kann zwischen den
folgenden Anwendungen wählen:
- Anwendung der elektronischen Patientenakte
- Anwendung E-Rezept-Modul
- Anwendung Organspende-Register (OGR)
Diese Anwendungen können unabhängig
voneinander genutzt werden. Die Anmeldeinformationen werden dabei in die
jeweilige Anwendung übernommen.
Beim
ersten Start der ePA-Anwendung erhält der Versicherte
einen ersten Überblick über die Nutzungsmöglichkeiten seiner ePA.
In
der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild
auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
1.
Bereich
Dokumente
2.
Bereich
Berechtigungen
3.
Bereich
Aktivitäten
4.
Bereich
„Meine Einrichtungen und Praxen“
Der Versicherte kann die BKK exklusiv
berechtigen, die Leistungsdaten in die Patientenakte einzustellen.
Es werden die Daten gespeichert, die
der Versicherte in seine digitale Patientenakte einstellt, bzw. die von Dritten
dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach
Artikel 9 der DSGVO handeln.
Der Versicherte kann in der ePA-App über das E-Rezept-Modul alle elektronischen
Verordnungen, die von Ärztinnen und Ärzten sowie Zahnärztinnen und Zahnärzten
ausgestellt wurden, über den Fachdienst E-Rezept abrufen. Zusätzlich kann der
Versicherte weitere Inhalte wie z. B. Medikament und Einnahmehinweise einsehen
sowie mit der Apotheke kommunizieren.
Die ePA-App enthält einen
Absprung zur Website des OGR. Wechselt der Nutzer aus der ePA-App
in das OGR, wird die Gesundheits-ID zur Authentisierung an das Webportal weitergleitet,
um die Anmeldung zu vereinfachen.
Über
das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine
Einstellungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem
kann er unter Informationen auf die folgenden Menüpunkte zugreifen
a.
Einrichtung
und Zugriff auf vertretende Patientenakten
b.
Über
die ePA
c.
Interaktive
App-Demo
d.
Kontakt
e.
Hilfe
f.
Sicherheitshinweise
g.
Hinweise
zur Datenerfassung
h.
Zusatzfunktionen
i.
App-Bericht
senden
sowie
unter „Rechtliche Hinweise“ auf
j.
Lizenzen
Dritter
k.
Impressum
l.
Datenschutzerklärung
Zusätzlich
steht die Information zur aktuell genutzte App Version bereit.
Versicherte
können für Ihre Patientenakte einen oder mehrere vertretende Personen
berechtigen. Die vertretende Person nutzt die eigene ePA-App
seiner BKK exklusiv zur Wahrnehmung der Vertretung. Bei der Einrichtung wird
der Name, die E-Mail-Adresse und die Versichertennummer (KVNr)
angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als
Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten
ausgeführt werden.
Vertretende
Personen können keine weiteren vertretenden Personen für die vertretene
Patientenakte einrichten und auch nicht die Patientenakte für den Versicherten
insgesamt löschen.
Bei
der Vertretung innerhalb der ePA erfolgt eine
Datenverarbeitung wie in Kapitel E1 beschrieben.
Rechtsgrundlage für die Speicherung personenbezogener
Daten in der ePA ist die Einwilligung des Versicherten
nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 DSGVO
i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.
Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Verwendung seiner
individuellen Gesundheitsinformationen.
Die Daten werden durch den Versicherten gelöscht, wenn er
entscheidet, dass die in der ePA gespeicherte Daten
nicht mehr benötigt werden.
Die unter diesem Abschnitt beschriebenen
Datenverarbeitungen sind zur Nutzung der ePA zwingend
durch unseren Versicherten erforderlich. Der Versicherte kann seine
Einwilligung zur Nutzung der ePA gleichwohl jederzeit
widerrufen, per Entfernen des gesetzten Bestätigungshakens in der ePA-App oder schriftlich oder persönlich bei uns.
In der ePA sind diverse
Kontaktkanäle enthalten, die von dem Versicherten für die elektronische
Kontaktaufnahme mit uns genutzt werden können.
Die Beantwortung von Fragen zur ePA
kann über einen automatisierten Chatbot erfolgen. Ein Chatbot ist ein digitaler
Assistent, mit dem Sie durch Text- oder Spracheingabe kommunizieren können. Über
den Chatbot erhalten die Versicherten Zugang zu standardisierten
Supportprozessen und Leistungsinhalten des Versichertenhelpdesks (VHD) im
Rahmen der ePA. Die grundsätzliche Funktionalität
umfasst dabei
a.
die Beantwortung
von Fragen zur ePA,
b. den Dialog zur Annahme von Störungen mit Hinweis auf
bestehende Störungen und der Möglichkeit, sich zu einer solchen über die
Erstellung eines Tickets zu registrieren,
c. die Möglichkeit zum Übergang in einen Live-Chat-Dialog,
d. die Möglichkeit zur Platzierung eines Rückrufwunsches und
e.
die Hinweisfunktion,
dass hier keine Beratung zum Versicherungsverhältnis stattfindet.
Verarbeitete Daten sind hierbei die
bereits vom Versicherten hinterlegten Verifikationsdaten, sowie die von ihm freiwillig,
im Chatbot eingegebenen Daten. Anfragen werden im Chatbot geloggt. Eine
Erfassung von Kontaktdaten sowie eine Dokumentation als Ticket erfolgt nicht.
Kann eine Frage zur ePA nicht im Chat mit dem Chatbot beantwortet werden oder
benötigt der Versicherte anderweitige direkte Unterstützung – beispielsweise
bei der Meldung einer Störung – besteht die Möglichkeit, diese ad hoc über einen
Live-Chat anzufordern oder einen Rückrufwunsch anzugeben.
Alle Anfragen, welche über den Chatbot
nicht gelöst werden können, werden zur weiteren Bearbeitung mit Hilfe eines
sog. Vorgangsbearbeitungssystems erfasst und dokumentiert. Diese Anfragen
werden persönlich von unseren Supportmitarbeitern bearbeitet.
Sollte der Versicherte diesbezüglich
einen Rückruf wünschen, muss noch optional eine Telefonnummer angegeben werden.
Gegebenenfalls muss zusätzlich noch eine Vorgangsbearbeitungsnummer
auf Nachfrage durch den Versicherten angegeben werden; diese wird durch das Vorgangsbearbeitungssystem
automatisch erzeugt und dem Versicherten übergeben.
Sollten die gemeldeten Themen nicht durch diese Variante
beantwortet werden können, wird ebenfalls automatisiert ein anlassbezogenes
internes Bearbeitungsticket erstellt. Je nach Bedarf wird diese Anfrage an
einen verantwortlichen Mitarbeiter weitergeleitet und – insofern diese Option
durch den Versicherten gewählt wurde – ein Rückruf initiiert.
Nimmt ein Versicherten die Möglichkeit des Rückrufs wahr,
so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und
gespeichert.
Die folgenden Daten sind durch den Versicherten einzugeben:
a.
Name,
b.
Kassenzugehörigkeit,
c.
E-Mail-Adresse und
d.
Telefonnummer.
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6
Abs. 1 lit. b DSGVO, da die im Rahmen der
Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße
Abwicklung des Nutzungsvertrags mit dem Versicherten über die ePA erforderlich sind.
Die in diesem Abschnitt beschriebene Verarbeitung
personenbezogener Daten wird durchgeführt, um Kontaktaufnahmen unserer
Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über
die ePA mit dem Versicherten durchführen zu können.
Die Daten werden gelöscht, sobald sie
für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und
keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die
Krankenkasse entscheidet, dass spätestens drei Jahre nach Schließung des
Vorgangstickets diese Daten gelöscht werden sollen.
|
Betreiber |
Anwendung |
Datentyp |
|
BITMARCK Service GmbH RZ Essen |
IAM Modul |
Digitale Identität und den damit verbundenen
Stammdaten |
|
SigD
(Signaturdienst) |
Al.vi (Alternative Versichertenidentität) |
|
|
PKI und OCSP-Responder |
Zertifikate für eGK und
al.vi, Zertifikatsstatus |
|
|
EGS (Elektronisches Gesundheitssystem) |
Verifikation des Versicherten als IAM Nutzer und der damit verbundenen Stammdaten |
|
|
KVS (Kontenverwaltungssystem) |
Metadaten der elektronischen Akte |
|
|
Aktensystem (inkl.
Schlüsselgenerierungsdienst 1 |
Verschlüsselungsdaten |
|
|
Nutzerbezogene Dokumente und deren Metadaten, |
Die hier verwendeten
Begriffe und technischen Systembezeichnungen sind in unserem Glossar erläutert.
Pflichtinformationen gemäß § 343
Absatz 1 SGB V
Dieses
Dokument informiert Sie über die elektronische Patientenakte (ePA). Die ePA steht Ihnen seit 2021 als Angebot Ihrer BKK exklusiv
zur Verfügung. Ob Sie sie nutzen möchten oder nicht, ist allein Ihre
freiwillige Entscheidung. Welche Möglichkeiten Ihnen die ePA
aktuell bietet, möchten wir Ihnen im Folgenden zeigen. Einige der vorgestellten
Funktionen stehen erst zukünftig zur Verfügung. Das geplante Datum der
Bereitstellung ist bei den betroffenen Funktionen jeweils mit aufgeführt. Ihre BKK
exklusiv aktualisiert diesen Informationstext fortlaufend und setzt Sie
rechtzeitig über neue Funktionen der ePA und deren
sichere Benutzung in Kenntnis.
Die elektronische Patientenakte (ePA)
ist eine von Ihnen geführte elektronische Akte. In die ePA
können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer
persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen,
speichern, dort lesen, auslesen, verwenden und selbstverständlich auch wieder
löschen. Ihre BKK exklusiv stellt Ihnen eine ePA-Anwendung
in Form einer eigenständigen App, als spezielle Anwendung innerhalb einer
bestehenden App Ihrer BKK exklusiv oder aber als Desktop-Anwendung zur
Verfügung. Wenn Sie die von Ihrer BKK exklusiv zur Verfügung gestellte ePA-Anwendung nutzen, haben Sie jederzeit die Möglichkeit,
Ihre in die ePA eingestellten Gesundheitsdaten
einzusehen.
Die ePA-Anwendung baut über das
Internet eine Verbindung zur Telematikinfrastruktur auf, in der die ePA liegt. An dieses Netzwerk sind bzw. werden die
verschiedenen Leistungserbringer im deutschen Gesundheitswesen angeschlossen.
Leistungserbringer werden alle Personengruppen und
Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV)
Leistungen erbringen. Hierzu zählen z. B. Ärztinnen und Ärzte, Zahnärztinnen
und Zahnärzte, Krankenhäuser und Apotheken. Einrichtungen, in denen
Leistungserbringer tätig sind, werden im Folgenden als
Leistungserbringereinrichtungen bezeichnet. Dies können Arztpraxen, Apotheken,
Krankenhäuser, Medizinische Versorgungszentren und andere Einrichtungen des
Gesundheitswesens sein. Aber auch einzelne Organisationseinheiten, wie etwa die
Abteilung eines Krankenhauses oder eine bestimmte Fachrichtung eines
Medizinischen Versorgungszentrums, können eine eigene
Leistungserbringereinrichtung darstellen.
Die von Ihrer BKK exklusiv zur Verfügung gestellte ePA-Anwendung ist sicherheitsgeprüft und von der
Gesellschaft für Telematik (gematik) zugelassen. Die ePA-Anwendung lässt sich auf Smartphones und Tablets mit
Android- oder iOS-Betriebssystem installieren sowie auf Desktop-Computern und
Laptops mit sicheren und geeigneten Betriebssystemen wie z. B. Windows, macOS und gegebenenfalls Linux. Für die Sicherheit Ihrer
Anwendungsumgebung - also Smartphone, PC-Hardware oder Betriebssystem, auf
denen die Anwendung installiert wird - sind Sie als Nutzerin bzw. Nutzer selbst
verantwortlich (s. 4.7).
Falls Sie kein mobiles Endgerät bzw. keinen PC/Laptop
besitzen oder aber die ePA-Anwendung Ihrer BKK
exklusiv aus anderen Gründen nicht verwenden wollen, können Sie die ePA dennoch nutzen. Allerdings stehen Ihnen in diesem Fall
einige Funktionen nur eingeschränkt oder gar nicht zur Verfügung.
Beispielsweise können Sie ohne eine ePA-Anwendung
keine Dokumente persönlich in die ePA einstellen.
Über die Möglichkeiten und Einschränkungen der ePA-Nutzung
ohne eine dazugehörige Anwendung informieren wir Sie in Kapitel 9.
In Ihre ePA können Sie selbst mittels der ePA-Anwendung Dokumente hochladen. Oder Sie bitten beispielsweise Ihre behandelnden Ärztinnen und Ärzte in der Praxis oder im Krankenhaus darum, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Aus rechtlichen Gründen verbleibt die Originaldokumentation Ihrer Behandlung aber immer bei dem Sie behandelnden Leistungserbringer. Zusätzlich können Sie Ihre BKK exklusiv berechtigen, Informationen über von Ihnen in Anspruch genommene Leistungen in die ePA einzustellen. Nur Sie selbst und von Ihnen selbst Berechtigte können in die ePA Einblick nehmen. Die Berechtigung und damit die Einwilligung in die Bereitstellung der Daten kann jederzeit von Ihnen widerrufen werden. In keinem Fall kann die BKK exklusiv Informationen in Ihrer Akte einsehen. Wenn Sie digitale Gesundheitsanwendungen nutzen, können Sie diesen erlauben, Ihre Daten aus deren Nutzung in der ePA zu speichern – vorausgesetzt der Hersteller der von Ihnen eingesetzten digitalen Gesundheitsanwendung unterstützt diese Möglichkeit.
Die Dokumente in Ihrer Akte sind stets verschlüsselt abgelegt
und können nur auf den Endgeräten der von Ihnen berechtigten Personen und Ihren
eigenen Endgeräten entschlüsselt werden. Der dazu notwendige (elektronische)
Sicherheitsschlüssel ist sicher hinterlegt. Er besteht aus zwei Teilen, die an
getrennten Orten aufbewahrt werden: beim Anbieter der elektronischen
Patientenakte (ePA) und bei einem zentralen, von der
Gesellschaft für Telematik (gematik) bestimmten
Schlüsseldienstbetreiber. Für den Zugriff auf die ePA
werden beide Schlüsselteile benötigt. Nur Sie und die von Ihnen Berechtigten
verfügen über den kompletten Schlüssel - weder der ePA-Anbieter
noch der Schlüsseldienstbetreiber, die jeweils nur einen Teil des Schlüssels
aufbewahren, können also auf die ePA zugreifen. Der
Schlüssel befindet sich bewusst nicht auf Ihrer elektronischen Gesundheitskarte
(eGK), damit Sie auch bei einem (geplanten oder ungeplanten) Austausch der eGK
weiterhin Zugriff auf Ihre Akte haben.
Damit Sie und die von Ihnen Berechtigten gezielt nach
Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über
Merkmale Ihrer Dokumente gespeichert - die sogenannten Metadaten. Die Metadaten
umfassen z. B. die Autorin bzw. den Autor des Dokuments, deren bzw. dessen
Institution, die Fachrichtung, die Dokumentenart (wie beispielsweise
elektronischer Arztbrief, elektronischer Medikationsplan oder elektronischer
Impfnachweis), technische Informationen zum Dokument (u. a. die im Rahmen der Berechtigungsvergabe
genutzte Vertraulichkeitsstufe, die Dokumentengröße und die Dokumenten-ID).
Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau
sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung, auf die weder
der Aktenbetreiber noch die BKK exklusiv Zugriff haben.
Seit Beginn des Jahres 2021 bieten die Krankenkassen ihren
Versicherten elektronische Patientenakten (ePA) an.
Welche grundsätzlichen Rechte und Möglichkeiten gehen damit für Sie einher?
Die Nutzung der ePA ist für Sie
freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die
Datenverarbeitung gegenüber der BKK exklusiv. Ihre Einwilligung wird im Rahmen
des Antrags zur Einrichtung Ihrer ePA abgefragt –
noch bevor die Akte technisch eingerichtet und eröffnet wird.
Die ePA wird von den Krankenkassen
zur Verfügung gestellt und Ihnen als Versicherten angeboten. Dabei arbeiten die
Krankenkassen mit Industriepartnern zusammen, die die entsprechenden Akten nach
den technischen und nicht-technischen Anforderungen, die die Gesellschaft für
Telematik (gematik GmbH) festlegt, entwickeln und
betreiben. Alle ePA-Anbieter müssen mit ihrem
Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren
gegenüber der gematik durchlaufen, bei dem die
Einhaltung aller Anforderungen an Funktionalität, Betrieb, Sicherheit und
Datenschutz nachgewiesen werden muss.
Ihre BKK exklusiv arbeitet mit der Firma
BITMARCK-Unternehmensgruppe, Kruppstraße 64, 45145 Essen zusammen, um Ihnen die
ePA bereitzustellen.
Das Prinzip der Freiwilligkeit bedeutet auch, dass Sie
jederzeit das Recht haben, die in die Akte eingestellten Dokumente selbst zu
löschen oder durch von Ihnen berechtigte Leistungserbringereinrichtungen
löschen zu lassen. Einen Löschvorgang könnte auf Ihren ausdrücklichen Wunsch
hin z. B. eine Ärztin oder ein Arzt vornehmen, die oder der Sie behandelt.
Weitere Informationen finden Sie in Kapitel 6.
Die ePA zeichnet Vorgänge, die von
Ihnen berechtigte Einrichtungen durchführen, in einem Protokoll auf. Dabei
unterscheidet die ePA die Protokollierung von
Verwaltungsvorgängen – das sogenannte Verwaltungsprotokoll – und Vorgängen, die
unmittelbar im Zusammenhang mit Ihren medizinischen Daten stehen – das
sogenannte Zugriffsprotokoll.
Wenn Sie die ePA-Anwendung Ihrer BKK
exklusiv nutzen, stellt Ihnen diese die Inhalte beider Protokolle komfortabel
und einheitlich dar, so dass Sie grundsätzlich nicht zwischen beiden
Protokollen unterscheiden müssen.
Im Verwaltungsprotokoll speichert die ePA
alle Vorgänge, die rein administrativen Charakter haben, die also nicht direkt
ein Dokument oder dessen Metadaten betreffen. Dies sind beispielsweise die An-
oder Abmeldung berechtigter Benutzerinnen und Benutzer. Ebenso umfasst das
Verwaltungsprotokoll den technischen Zeitpunkt der Einrichtung der ePA sowie Einträge bei Schließung der Akte.
Auf die Einträge im Verwaltungsprotokoll kann der Anbieter –
im Gegensatz zu den in der ePA abgelegten Daten -
grundsätzlich zugreifen. Auf diese Weise kann der Anbieter Sie beispielsweise
bei technischen Problemen unterstützen. Der Zugriff auf das
Verwaltungsprotokoll ist jedoch nur mit Ihrer Einwilligung zulässig.
Alle Einträge des Verwaltungsprotokolls, die älter als drei
Jahre sind, werden automatisch durch das Aktensystem gelöscht. Diese Löschfrist
gilt auch, wenn Sie die Akte schließen. Folglich liegen diese Protokolleinträge
auch dann noch bis zu drei Jahre vor, wenn Sie die ePA
bereits geschlossen haben.
Im Zugriffsprotokoll speichert Ihre ePA
alle Zugriffe, die in direktem Zusammenhang mit Ihren Dokumenten stehen, z. B.
das Aufrufen, Einstellen oder Löschen eines Dokuments. Auch die Erteilung oder
der Entzug von Berechtigungen werden hier gespeichert. Einträge im
Zugriffsprotokoll sind dabei auf die gleiche Weise geschützt wie die Metadaten
zu Ihren Dokumenten (Näheres dazu in Kapitel 4.4). Die Daten werden drei Jahre
nach Erstellung des Protokolleintrags tagesgenau automatisiert gelöscht. Dies
gilt auch dann, wenn Sie die ePA ganz oder teilweise
gelöscht haben.
Wenn Sie die ePA-Anwendung Ihrer BKK
exklusiv nutzen, stellt Ihnen diese die Inhalte beider Protokolle einheitlich
dar, so dass Sie einen Überblick darüber erhalten, wer auf Ihre Akte
zugegriffen und wer welche Änderungen an Ihrer Akte vorgenommen hat. Bei
Nutzung der ePA-Anwendung haben Sie außerdem die
Möglichkeit, die Protokolldaten auf Ihrem eigenen Endgerät zu sichern. Die ePA-Anwendung bietet Ihnen dazu eine entsprechende Funktion
an.
Ihre Rechte gegenüber der BKK exklusiv ergeben sich aus den
gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Im Sinne
dieser Verordnung ist die BKK exklusiv „Verantwortlicher“. Sie als Versicherte
bzw. Versicherter können gegenüber Ihrer BKK exklusiv die „Rechte der
betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere,
dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung
von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DSGVO). Ferner
haben die Versicherten gemäß DSGVO folgende Rechte:
·
das Recht auf Auskunft, ob und ggf. zu welchem Zweck
bestimmte personenbezogene Daten von der BKK exklusiv bzw. ihren Auftragnehmern
verarbeitet werden (Art. 15 DSGVO)
·
das Recht auf Berichtigung unrichtiger
personenbezogener Daten (Art. 16 DSGVO)
·
das Recht auf Löschung personenbezogener Daten (Art.
17 DSGVO)
·
das Recht auf Einschränkung der Verarbeitung (Art. 18
DSGVO)
·
das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
· das
Widerspruchsrecht (Art. 21 DSGVO)
Dabei ist zu beachten, dass der Gesetzgeber diese Rechte
ausgeschlossen hat, wenn deren Wahrnehmung von der BKK exklusiv als
datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von
Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung,
gewährleistet werden kann. Diese Einschränkung besteht, soweit die BKK exklusiv
als verantwortliche Stelle aufgrund der bestehenden Verschlüsselungsmechanismen
technisch keinen Zugriff auf die in der ePA
gespeicherten Daten hat. Für Daten, die nicht Ende-zu-Ende verschlüsselt sind,
wie beispielsweise das Verwaltungsprotokoll, sind diese Rechte nicht
ausgeschlossen. Dementsprechend kann die BKK exklusiv Auskunfts- oder
Korrekturbitten seitens der Versicherten zu den in der ePA
gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme
bilden Diagnosen zu in Anspruch genommenen Leistungen der Krankenkassen. Da
diese Daten auf Ihren Wunsch hin und mit Ihrer Einwilligung aus den Beständen
der Abrechnungsdaten Ihrer BKK exklusiv in Ihre ePA
eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur
durch die BKK exklusiv. Dazu benötigen Sie vom jeweiligen Leistungserbringer
eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert
Sie Ihre BKK exklusiv.
Die BKK exklusiv stellt Ihnen eine ePA-Anwendung
zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DSGVO zur Verfügung.
Allerdings können Sie mithilfe der ePA-Anwendung
nicht die von Ihrem Leistungserbringer zur Verfügung gestellten Daten
korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie
sich bitte an den Sie behandelnden Leistungserbringer. (Beachten Sie in diesem
Zusammenhang die Hinweise in den Kapiteln 4.4. und 9)
Um Ihre ePA einzurichten, tauschen
die BKK exklusiv und der jeweilige Industriepartner administrative
personenbezogene Informationen aus. Zudem prüft Ihre BKK exklusiv bzw. der
Anbieter der ePA anhand Ihrer
Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein
Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht
statt.
Die ePA-Anwendung ermöglicht Ihnen
den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen
Endgeräte wie Smartphones, Laptops oder PCs. Ihre jeweilige ePA-Anwendung
haben die Krankenkassen nach den Vorgaben der gematik
und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt.
Zusätzlich durchläuft jede ePA-Anwendung eine
Sicherheitsprüfung. Diese kann nur von Prüfstellen durchgeführt werden, die bei
der gematik und dem BSI akkreditiert sind. Um die
Sicherheit Ihrer ePA-Daten zu gewährleisten, ist es
unabdingbar, dass Sie ausschließlich eine von der gematik
zugelassene ePA-Anwendung nutzen, die Sie aus einer
vertrauenswürdigen Quelle heruntergeladen haben. Vertrauenswürdige Quellen sind
der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für
Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die
Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die
Website Ihrer BKK exklusiv die vertrauenswürdigen Bezugsquellen. Diesbezüglich
sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch
im Hinblick auf die Übermittlung an Drittländer einzuhalten.
Nach der Installation muss Ihre ePA-Anwendung
im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich
zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung über Ihre
elektronische Gesundheitskarte (eGK) mit NFC-Übertragungsstandard, also mit
einer kontaktlosen Schnittstelle, wie sie heute bereits auf vielen EC- und
Kreditkarten zu finden ist, und der dazugehörigen PIN, die Sie von Ihrer BKK
exklusiv erhalten. Zur Nutzung Ihrer eGK an einem stationären Endgerät
benötigen Sie in der Regel ein geeignetes Kartenlesegerät, das vom
Betriebssystem Ihres Computers unterstützt wird. Dieses können Sie im
Einzelhandel (z. B. in Elektronik-Fachgeschäften) auf eigene Kosten erwerben.
Eine Erstattung der Kosten durch Ihre BKK exklusiv ist nicht möglich. Aufgrund
der besonderen Schutzwürdigkeit Ihrer medizinischen Daten in der ePA empfiehlt das BSI die Nutzung eines Kartenlesegeräts ab
Sicherheitsklasse 2 (Geräte mit eigener Tastatur, ohne eigene Anzeige) und
höher.
Eine weitere Möglichkeit ist die Freischaltung Ihrer ePA über einen von Ihrer BKK exklusiv zur Verfügung
gestellten alternativen Zugang ohne die eGK. Diese Aktivierung bleibt auch bei
einem Wechsel des Endgeräts gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal an Ihrem PC nutzen wollen.
Die Übermittlung des alternativen Zugangs ohne eGK ist kassenspezifisch. Bei
Fragen dazu wenden Sie sich bitte an Ihre BKK exklusiv.
Zudem sollten Sie Ihre ePA-Anwendung
stets auf Endgeräten betreiben, die unter Ihrer Kontrolle stehen. Der Zugriff
auf die ePA über einen öffentlichen PC, z. B. in
einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, müssen Sie
zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende
Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation
der ePA-Anwendung. Ebenso sollten Sie die
Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür
ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.
Dem Schutz dieser Zugangswege kommt besonders hohe Bedeutung
zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-Anwendung müssen
diese umgehend bei der BKK exklusiv gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür
verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online).
Die ePA wird Ihnen von Ihrer BKK
exklusiv angeboten. Sollten Sie die Krankenkasse wechseln und eine ePA auch bei Ihrer neuen Krankenkasse nutzen wollen, so
können Sie die Daten aus der ePA in verschlüsselter
Form übernehmen.
Im ersten Schritt müssen Sie gegenüber der neuen Krankenkasse
erklären, dass Sie Ihre ePA weiterhin nutzen wollen.
Dann müssen Sie die bestehende ePA in den sogenannten
Transportzustand versetzen. Dafür bietet die Anwendung selbst eine
entsprechende Funktion. Nun verschlüsselt der Aktenbetreiber Ihrer bisherigen
Krankenkasse die Akte so, dass Ihre medizinischen Daten sowie die Metadaten
vertraulich vom Aktenbetreiber Ihrer alten zum Betreiber der neuen Krankenkasse
übermittelt werden können. In diesem Zustand kann weder ein schreibender noch
ein lesender Zugriff auf die Akte erfolgen. In der ePA-Anwendung
der neuen Krankenkasse können Sie dann die Datenübernahme aus der alten ePA-Anwendung starten. Das Verfahren stellt dabei sicher,
dass die Daten Ihrer alten ePA erst dann gelöscht
werden, wenn die Daten vollständig beim Betreiber Ihrer neuen Krankenkasse
angekommen sind. Die erteilten Berechtigungen sowie die Vertretungen (weitere
Informationen zu Vertretungsregelungen s. Kapitel 8) werden dabei – wenn Sie dies
wünschen - ebenfalls übernommen.
Bitte beachten Sie, dass Informationen aus kassenspezifischen
Anwendungen der ePA möglicherweise nicht automatisch
übernommen werden. Entsprechende Daten sollten Sie bei Bedarf selbst sichern,
damit diese nach Ihrem Krankenkassenwechsel noch zur Verfügung stehen. Ihre BKK
exklusiv stellt Ihnen hierfür weitere Informationen zur Datenübernahme beim
Wechsel der Krankenkasse bereit.
Sie haben grundsätzlich und jederzeit die Möglichkeit, Ihre ePA komplett zu schließen, also löschen zu lassen. Dazu
müssen Sie die erteilte Einwilligung zur Nutzung der ePA
gegenüber Ihrer BKK exklusiv widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer BKK
exklusiv in einer geeigneten Form ausgesprochen werden. Dies kann
beispielsweise über die von Ihrer BKK exklusiv bereitgestellte ePA-Anwendung geschehen. Zum genauen Vorgehen wenden Sie
sich an Ihre BKK exklusiv.
Von der Löschung betroffen sind alle Inhalte Ihrer Akte -
sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge - mit
Ausnahme der Einträge des Verwaltungsprotokolls (Näheres dazu in Kapitel 4.4).
Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente
obliegt in diesem Fall Ihnen als ePA-Nutzerin bzw. ePA-Nutzer. Wenn Sie bestimmte Dokumente auch nach
Schließung Ihrer ePA behalten wollen, müssen Sie
diese anderweitig speichern.
Nutzen Sie die von Ihrer BKK exklusiv bereitgestellte ePA-Anwendung zum Zugriff auf die ePA,
haben Sie die Möglichkeit, die Protokolldaten ebenfalls auf Ihrem eigenen
Endgerät zu sichern. Die Anwendung bietet Ihnen dazu eine entsprechende
Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der
Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit Sie später
nachvollziehen können, wer Zugriff auf Ihre Akte hatte.
Sollten Sie sich dazu entscheiden, die ePA
nicht zu nutzen, entstehen Ihnen hieraus keine Nachteile für Ihre
Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten
Verfahren gewährleistet bleiben.
Als Zusatzangebot sorgt die ePA
aber für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen
Sie im Rahmen einer ePA-Nutzung den Vorteil, die
Dokumente, Befunde oder Informationen Ihrer Behandlung digital einsehen und an
ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser
weitergeben zu können bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser
durch Sie initiierte und gesteuerte digitale Datenaustausch kann dabei helfen,
Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante
Gesundheitsdaten in Ihrer ePA unterstützen Sie die
behandelnden Ärztinnen und Ärzte und andere Leistungserbringer dabei, die
bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte
Wirkungen abzuwenden sowie unnötige Behandlungen oder Doppeluntersuchungen zu
vermeiden.
In der
elektronischen Patientenakte (ePA) können Sie unter
Verwendung der von der BKK exklusiv bereitgestellten ePA-Anwendung
eigene Gesundheitsdaten speichern. Dies können beispielsweise eigenständig
geführte Diabetes-Tagebücher sein oder digitalisierte Befunde aus früheren
Behandlungen, die Ihnen Ihre Ärztinnen und Ärzte auf Papier bereitgestellt
haben, oder aber auch eigene Aufzeichnungen zu Ihrem Gesundheitszustand. An
Ihrer Behandlung beteiligte Leistungserbringer können, sofern Sie eine
entsprechende Berechtigung erteilen, unter anderem die folgenden Daten in der ePA ablegen:
·
medizinische Daten Ihrer Behandlung, z. B. Befunde,
Diagnosen und Therapiemaßnahmen,
·
Arztbriefe, die im Zuge einer (zahn-)ärztlichen
Behandlung erstellt wurden
·
Verordnungen und Dispensierinformationen Ihrer
Arzneimittel
·
elektronische Arbeitsunfähigkeitsbescheinigungen
·
elektronischer Medikationsplan oder Notfalldatensatz,
falls Sie diese bereits auf Ihrer elektronischen Gesundheitskarte (eGK) nutzen.
Wenn Sie
eine Digitale Gesundheitsanwendung nutzen und der Hersteller Ihrer Anwendung
diese Möglichkeit unterstützt, können Sie die Gesundheitsanwendung berechtigen,
Ihre von der Gesundheitsanwendung erhobenen Daten in der ePA
zu speichern. Der Hersteller Ihrer Gesundheitsanwendung erteilt Ihnen über die
Möglichkeiten der Datenspeicherung Auskunft.
Zur
Anmeldung bei der ePA nutzen Sie die von Ihrer BKK
exklusiv bereitgestellte ePA-Anwendung sowie entweder
die eGK mit PIN oder, auf Ihren Wunsch hin, ein kassenspezifisches, den
Vorgaben der Gesellschaft für Telematik (gematik)
entsprechendes alternatives Zugangsverfahren ohne eGK. Ihre BKK exklusiv
informiert Sie über die jeweiligen Voraussetzungen zur Anmeldung ohne eGK in
der ePA-Anwendung auf ihrem Smartphone sowie zur
Anmeldung ohne eGK an Ihrem Desktop-PC oder Laptop.
Das
jeweilige Sicherheitsniveau der Anmeldung mit und ohne eGK ist unterschiedlich
hoch. Höher ist es bei der Anmeldung mit der eGK, in diesem Fall entspricht es
einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
zertifizierten Sicherheitsstandard. Jedoch wird auch das alternative Verfahren
ohne eGK für einen Übergangszeitraum vom BSI akzeptiert. Eine entsprechende
Zertifizierung gibt es bei der Authentifizierung ohne eGK allerdings nicht.
Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden
Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden. Wenn
Sie sich für die Nutzung der alternativen Zugangsmöglichkeit ohne eGK
entscheiden, müssen Sie diesen Wunsch explizit gegenüber Ihrer BKK exklusiv
kommunizieren.
Unabhängig
davon, wie Sie sich bei der ePA authentifizieren,
nutzen Sie eine von Ihrer BKK exklusiv bereitgestellte ePA-Anwendung
auf Ihrem Smartphone oder einem geeigneten Laptop/PC, um auf die ePA zuzugreifen. Die ePA-Anwendung
ist nach den Vorgaben des BSI und der gematik
erstellt und sicherheitsgeprüft. Mit ihr können Sie sämtliche Funktionen der ePA selbstständig nutzen, u. a. die folgenden:
·
Dokumente einstellen, einsehen, herunterladen und
löschen
·
Berechtigungen erteilen und entziehen
·
Vertretungen erstellen und entziehen
·
Zugriffe auf die ePA anhand
der Protokolldaten kontrollieren
·
ePA vollständig schließen
·
Übertragung der ePA zu einer
neuen Krankenkasse veranlassen (bei Krankenkassenwechsel)
·
als vertretungsberechtigte Person mit der ePA einer vertretenen Person arbeiten
(vertretungsberechtigte und vertretene Person müssen nicht bei derselben
Krankenkasse versichert sein)
Versicherte
ohne geeignete Endgeräte können eine ePA bei Ihrer BKK
exklusiv beantragen und anlegen lassen. In diesem Fall erfolgt die
Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im
Krankenhaus oder bei einem anderen Leistungserbringer (Näheres hierzu in
Kapitel 6.3). Grundsätzlich können Sie diese Art der Berechtigungsvergabe vor
Ort auch nutzen, wenn Sie über die ePA-Anwendung auf
Ihre ePA zugreifen, etwa um eine
Leistungserbringereinrichtung spontan zu berechtigen.
Die ePA bietet die
Möglichkeit, Dokumente verschiedener Kategorien zu speichern. Die Kategorien
werden dabei direkt bei der Speicherung von Dokumenten automatisch durch das
Aktensystem vergeben. Folgende Unterscheidungen sind möglich:
·
Daten zu Befunden, Diagnosen, durchgeführten und
geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte
und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen,
getrennt nach den folgenden Bereichen:
o Hausarzt
o Krankenhaus
o Labor und
Humangenetik
o Physiotherapie
o Psychotherapie
o Dermatologie
o Urologie/Gynäkologie
o Zahnheilkunde
und Mund-Kiefer-Gesichtschirurgie
o weitere
fachärztliche Bereiche
o weitere
nicht-ärztliche Berufe
·
Daten des elektronischen Medikationsplans
·
Daten des elektronischen Notfalldatensatzes
·
elektronische Arztbriefe
·
elektronisches Zahn-Bonusheft („eZahnbonusheft“)
·
Daten zur Früherkennung von Krankheiten bei Kindern
(elektronisches Untersuchungsheft für Kinder, „eUntersuchungsheft“)
·
Daten über die ärztliche Betreuung während der
Schwangerschaft und nach der Entbindung (elektronischer Mutterpass, „eMutterpass“)
·
elektronische Impfdokumentation („eImpfdokumentation“)
·
Ihre in die ePA übernommenen
Daten aus einer von den Krankenkassen nach § 68 SGB V finanzierten
elektronischen Gesundheitsakte
·
von Ihnen selbst zur Verfügung gestellte
Gesundheitsdaten
·
elektronische Rezepte und Informationen zu deren
Einlösung
·
sonstige Dokumente
Für jedes in die ePA
eingestellte Dokument können Sie eine Vertraulichkeitsstufe festlegen. Die von
Ihnen, Ihren Leistungserbringern oder Ihrer BKK exklusiv in die ePA eingestellten Dokumente sind nach dem Einstellen
zunächst standardmäßig der Vertraulichkeitsstufe „normal“ zugeordnet (Näheres
dazu in Kapitel 6.3). Über Ihre ePA-Anwendung können
Sie den Dokumenten selbstständig die Stufen „vertraulich“ oder „streng
vertraulich“ zuweisen. Sollten Sie direkt beim Einstellen von Dokumenten in die
ePA durch den Leistungserbringer eine höhere
Vertraulichkeitsstufe wünschen, so kann dieser das auch direkt bei der Ablage
in der ePA berücksichtigen. Bitte sprechen Sie das
gegenüber Ihrem Leistungserbringer an.
Sowohl die Dokumentenkategorie als auch die
Vertraulichkeitsstufe spielen bei der Vergabe von Berechtigungen eine wichtige
Rolle (weitere Informationen zum Erteilen einer Berechtigung finden Sie in
Kapitel 6.4).
Manche digitalen Gesundheitsanwendungen bieten die
Möglichkeit, Daten in die ePA zu übertragen. Damit
eine digitale Gesundheitsanwendung Daten in Ihrer ePA
speichern kann, müssen Sie in beiden Anwendungen entsprechende Freigaben
vornehmen. In der ePA-Anwendung Ihrer BKK exklusiv
müssen Sie die gewünschte Gesundheitsanwendung zum Speichern von Daten
berechtigen. In der Gesundheitsanwendung selbst müssen Sie einwilligen, dass
sie Daten an die ePA weitergeben darf. Weitere
Informationen über die entsprechenden Einwilligungen und Einstellung in der
digitalen Gesundheitsanwendung erhalten Sie vom Hersteller der digitalen
Gesundheitsanwendung.
Bitte beachten Sie, dass eine Gesundheitsanwendung
ausschließlich Daten in Richtung Ihrer ePA übertragen
kann. Der Hersteller Ihrer digitalen Gesundheitsanwendung hat jedoch keinen
Zugriff auf die Daten in Ihrer ePA. Dies ist
gesetzlich nicht erlaubt.
Auf die
elektronische Patientenakte (ePA) können Sie selbst,
sofern Sie die ePA-Anwendung nutzen, sowie auch
Mitarbeitende der von Ihnen berechtigten Leistungserbringereinrichtungen
zugreifen, z. B. Ihre Hausärztin bzw. Ihr Hausarzt sowie deren medizinische
Fachangestellte. In welcher Art und Weise der Zugriff der berechtigten Leistungserbringereinrichtungen
erfolgen kann, wird Ihnen in den Kapiteln 6.2, 6.3 und 6.4 erläutert.
Die
Berechtigung für den Zugriff auf Ihre ePA erteilen
Sie stets den Leistungserbringereinrichtungen und nicht nur einzelnen Personen,
wie z. B. der behandelnden Ärztin bzw. dem behandelnden Arzt. Bei größeren
Leistungserbringereinheiten, wie beispielsweise einem Medizinischen
Versorgungszentrum oder einem Krankenhaus, kann dies bedeuten, dass neben Ihrer
behandelnden Ärztin oder Ihrem Arzt eine Vielzahl weiterer Personen des
medizinischen Fachpersonals der gleichen Leistungserbringereinheit rein
technisch auf die Daten zugreifen können. Ein Zugriff darf jedoch nur erfolgen,
soweit dies tatsächlich zu Behandlungszwecken erforderlich ist. Überdies ist
jede Leistungserbringereinrichtung gesetzlich verpflichtet, zu protokollieren,
wer wann, auf welche Daten Ihrer ePA zugegriffen hat.
Mit der
Zugriffsberechtigung auf die ePA willigen Sie
automatisch in die Verarbeitung Ihrer persönlichen Daten durch die jeweilige
Leistungserbringereinrichtung ein. Dazu nutzen Sie die von Ihrer BKK exklusiv
bereitgestellte ePA-Anwendung. Sie können den Zugriff
aber auch direkt vor Ort, in der Praxis oder im Krankenhaus, mithilfe Ihrer
elektronischen Gesundheitskarte (eGK) und der zugehörigen PIN auf den vor Ort
verfügbaren Geräten gewähren. Solche Geräte, wie z. B. das Kartenterminal, sind
von der Gesellschaft für Telematik (gematik) geprüft
und zugelassen.
Zudem kann
Ihre BKK exklusiv – nachdem Sie sie dazu aufgefordert und berechtigt haben –
Daten zu von Ihnen in Anspruch genommenen Leistungen in der ePA
ablegen. Diese Daten umfassen z. B. Diagnosen, eingelöste Rezepte u. Ä. Wie bei
einer Leistungserbringereinrichtung können Sie auch Ihrer BKK exklusiv eine
einmal erteilte Zugriffsberechtigung jederzeit wieder entziehen. Die
Beauftragung und Berechtigung der BKK exklusiv zur Übermittlung der
Leistungsauskunft sowie die Beendigung können Sie direkt über die ePA-Anwendung veranlassen. Ein Zugriff auf die Daten in der
ePA ist für die BKK exklusiv damit nicht verbunden.
Neben Leistungserbringereinrichtungen können Sie auch Personen, denen Sie
besonders vertrauen, zum ePA-Zugriff berechtigen.
Dies sind die sogenannten Vertreterinnen bzw. Vertreter. Ihre Vertretung hat
grundsätzlich die gleichen Zugriffsmöglichkeiten wie Sie selbst, kann
Leistungserbringereinrichtungen Zugriffe gewähren oder entziehen und die
Krankenkassen zur Datenbereitstellung auffordern. Ihre Vertretung kann Ihre ePA jedoch weder löschen noch weitere Vertreterinnen oder
Vertreter benennen bzw. Vertretungen widerrufen (weitere Informationen zu
Vertretungsregelungen finden Sie in Kapitel 8).
Gesetzliche
Vertreterinnen und Vertreter können zudem auf die Akte der zu
vertretenden Person zugreifen. So können beispielsweise Eltern eine ePA ihres mitversicherten Kindes führen.
Sofern Sie
einwilligen, können auch Hersteller von digitalen Gesundheitsanwendungen Ihre
in der jeweiligen Anwendung erhobenen Gesundheitsdaten in Ihre ePA übertragen. Der Hersteller der Gesundheitsanwendung
wiederum hat keinen Zugriff auf die Daten in Ihrer ePA.
Dies ist gesetzlich nicht erlaubt. Die zusätzlich erforderliche Erteilung der
entsprechenden Berechtigung für eine digitale Gesundheitsanwendung führen Sie
über die ePA-Anwendung Ihrer BKK exklusiv durch.
Weitere Informationen dazu erhalten Sie von Ihrer BKK exklusiv.
Auch wenn
Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer (bzw. das
medizinische Personal der Leistungserbringereinrichtung) nur auf Daten in Ihrer
persönlichen ePA zugreifen, wenn dieser
Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus
Ihrer ePA für Ihre Versorgung erforderlich sind. Dies
ist darin begründet, dass rechtlich zwischen der technischen Erteilung einer
Zugriffsberechtigung und der „Erlaubnis“ zur Datenverarbeitung, der sogenannten
Einwilligung, zu unterscheiden ist. Selbst wenn Sie eine technische
Berechtigung für einen Leistungserbringer erteilt haben, der nicht in Ihre
Behandlung eingebunden ist, darf dieser nicht ohne Weiteres auf Ihre ePA-Daten zugreifen. Denn der Zugriff setzt eine
rechtsgültige Einwilligung voraus. Diese muss freiwillig, für einen konkreten
Fall, nach ausreichender Information der bzw. des Betroffenen und
unmissverständlich abgegeben werden.
Sie können
gegenüber einer Leistungserbringereinrichtung die Einwilligung in die
Verarbeitung Ihrer in der ePA gespeicherten Daten
jederzeit widerrufen. Dies können Sie in der von Ihrer BKK exklusiv zur
Verfügung gestellten ePA-Anwendung durchführen. Falls
Sie die ePA-Anwendung nicht nutzen, können Sie der
betroffenen Leistungserbringereinrichtung diese Rechte beispielsweise bei Ihrem
nächsten Besuch in der Praxis entziehen, indem Sie eine neue Berechtigung mit
einer Dauer von einem Tag erteilen. Mit Ablauf des eingestellten Tages kann
nicht länger auf die ePA zugegriffen werden.
Für einige
Leistungserbringer hat der Gesetzgeber festgelegt, dass sie grundsätzlich nur
bestimmte Informationen in Ihrer ePA einsehen dürfen.
Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine
Berechtigung zum Zugriff erteilen. Zum Beispiel darf eine Apothekerin bzw. ein
Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie
können der Apothekerin bzw. dem Apotheker deshalb auch keinen Zugriff auf Ihr
elektronisches Zahnbonusheft erlauben.
Welcher
Leistungserbringer auf welche Daten zugreifen darf, hat der Gesetzgeber
detailliert in § 352 SGB V geregelt. Diese Regelungen haben wir für Sie in der
Tabelle in diesem Kapitel zusammengefasst.
Natürlich
ist der Zugriff auf die Daten in Ihrer ePA immer nur
unter der Voraussetzung möglich, dass Sie die jeweilige
Leistungserbringereinrichtung dazu berechtigt haben und diese an die TI
angeschlossen ist. Wichtig ist, dass Sie bei Vergabe der Berechtigungen an Ihre
behandelnden Leistungserbringer die Berechtigungen im Vergleich zur Tabelle
weiter einschränken können. Die Vergabe von über die in der Tabelle
dargestellten hinausgehenden Berechtigungen durch Sie ist entsprechend den
gesetzlichen Vorgaben jedoch nicht zulässig.
Anhand der
im Kapitel 6.3 und 6.4 dargestellten Möglichkeiten können Sie auf Wunsch genau
kontrollieren, welche der an Ihrer Behandlung beteiligten
Leistungserbringereinrichtungen auf, welche in Ihrer ePA
gespeicherten Daten zugreifen darf. So können Sie beispielsweise Befunde, die
Sie als besonders vertraulich einstufen, nur mit der Hausarztpraxis teilen und
vor dem Zugriff anderer an Ihrer Behandlung beteiligter
Leistungserbringereinrichtungen verbergen.
Ein
auslesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet dabei
immer, dass die Daten aus der ePA heruntergeladen und
in die Behandlungsdokumentation des jeweiligen Leistungserbringers übernommen
werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die
Leistungserbringer in ihre Behandlungsdokumentation übernommen haben, für die
ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür
ist, dass sie die Daten durch die Übernahme aus der ePA
heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus
rechtlicher Sicht erforderlich, da Leistungserbringer ihre Behandlung
medizinisch vollständig dokumentieren müssen.
|
|
|
Daten
von Leistungserbringern |
Ihre
Daten |
Daten
weiterer Anbieter |
|||||||||||||||||||||||||||||||||
|
|
Dokumentenart |
Daten zu Befunden, Diagnosen,
durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten
und sonstige untersuchungs- und |
Elektronischer Medikationsplan |
Elektronische Notfalldaten |
Elektronische Arztbriefe |
Elektronisches Zahnbonusheft |
Elektronisches Untersuchungsheft für
Kinder |
Elektronischer Mutterpass |
Elektronische Impfdokumentation |
Verordnungsdaten und
Dispensierinformationen elektronischer Verordnungen |
Durch die Versicherten zur Verfügung
gestellte Daten |
Daten aus einer Gesundheitsakte der
Krankenkasse |
Daten über in Anspruch genommene
Leistungen |
||||||||||||||||||||||||
|
Zugreifende Personengruppe |
Art des Zugriffs |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
Schreiben |
Auslesen |
Löschen |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ärztinnen/Ärzte inkl. med. Personal |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
Zahnärztinnen/Zahnärzte inkl. med.
Personal |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
Apotheker/-innen inkl. med. Personal |
|
|
x |
|
x |
x |
x |
|
x |
|
|
x |
|
|
|
|
|
x |
|
|
x |
|
x |
x |
x |
x |
x |
x |
|
x |
|
|
x |
|
|
x |
|
|
Psychotherapeutinnen/-therapeuten
inkl. med. Personal |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
Gesundheits- &
Krankenpfleger/-innen, Gesundheits- & Kinderkrankenpfleger/-innen inkl.
med. Personal |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
Altenpfleger/-innen inkl. med.
Personal |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
Pflegefachfrauen/Pflegefachmänner
inkl. med. Personal |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
Hebammen |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
|
|
x |
x |
x |
x |
x |
x |
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
Heilmittelerbringer (z. B.
Physiotherapeutinnen/-therapeuten) inkl. med. Personal |
|
(x) |
x |
(x) |
|
x |
|
|
x |
|
|
x |
|
|
|
|
|
x |
|
|
x |
|
|
|
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
Ärztinnen/Ärzte u. a. Personen im
Öffentlichen Gesundheitsdienst |
|
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
Fachärztinnen/-ärzte der Arbeits-
/Betriebsmedizin |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
x |
|
x |
x |
x |
|
x |
|
|
x |
|
|
x |
|
|
x |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Versicherte (und deren Vertreter) |
|
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
|
x |
x |
x |
x |
x |
x |
x |
x |
|
x |
x |
Legende:
x Recht vollständig vorhanden
(x) Recht gilt nur für Untermengen von Dokumenten wie bspw. Dokumente
einer bestimmten Fachgruppe (bspw. physiotherapeutische Dokumente)
Schreiben umfasst das Hochladen, Importieren und Aktualisieren von
Dokumenten in der ePA
Auslesen umfasst das Lesen, Herunterladen, Exportieren sowie
die Übernahme in die Dokumentation des Leistungserbringers (d.
h. also das Speichern und Verwenden)
Löschen umfasst das Entfernen von Dokumenten aus der ePA
Beispiel 1: Die dargestellte Tabelle zeigt Ihnen, dass
beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen
Leistungserbringereinrichtungen - ohne weitere Einschränkungen bei Ihrer
Berechtigungsvergabe - auf alle Daten von Leistungserbringern schreibend,
auslesend und löschend zugreifen können. Auf Daten, die von Ihnen oder von
weiteren Anbietern bereitgestellt werden, können an Ihrer Behandlung beteiligte
Ärztinnen und Ärzte nur auslesend sowie zum Löschen zugreifen.
Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der
Apotheke) haben - ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe -
auf den elektronischen Medikationsplan, die elektronische Impfdokumentation
sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden
Zugriff, d. h., sie können diese Daten in Ihrer ePA
anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte
Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich
auslesend zugreifen.
Beispiel 3: Heilmittelerbringer inkl. Personal, wie z. B.
Physiotherapeutinnen und Physiotherapeuten, können mit Ausnahme der
Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in
der ePA auslesen. Daten zu Befunden, Diagnosen,
durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten
und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen
können von Physiotherapeutinnen und Physiotherapeuten geschrieben werden. Auch
das Löschen ist möglich. Schreiben und Löschen können Physiotherapeutinnen und
Physiotherapeuten aber nur solche Daten, die sie selbst oder andere
Physiotherapeutinnen und Physiotherapeuten in Ihre Akte eingestellt haben.
Mit der von
Ihrer BKK exklusiv bereitgestellten ePA-Anwendung
können Sie Ihre ePA bequem verwalten. Dort stellen
Sie ein, wer welche Daten in Ihrer ePA einsehen kann.
Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt
sind sieben Tage. Sie können dabei eine Dauer von einem Tag bis „unbegrenzt“
wählen. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für die
jeweilige Leistungserbringereinrichtung automatisch. Sie kann die Dokumente
dann nicht mehr in der ePA einsehen. Für die
Praxisdokumentation lokal heruntergeladene Kopien sind allerdings für den
Leistungserbringer weiterhin verfügbar. Grundsätzlich können Sie einmal
erteilte Berechtigungen jederzeit wieder entziehen. Wenn Sie Hilfe bei der
Bedienung der ePA-Anwendung brauchen, hilft Ihnen
Ihre BKK exklusiv gerne weiter.
Wenn Sie
keine ePA-Anwendung nutzen oder wenn Sie Ihr Endgerät
z. B. beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe
auf Ihre ePA erlauben. Dazu benötigen Sie Ihre eGK
und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang
funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die
eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend
geben Sie Ihre PIN ein und bestätigen so, welche Daten die
Leistungserbringereinrichtung einsehen darf. Die Vergabe von Berechtigungen auf
Kategorienbasis (mittelgranular) bei der Leistungserbringereinrichtung
überschreibt feingranulare Berechtigungsvergaben aus dem Frontend der bzw. des
Versicherten, falls solche schon erfolgt sind. Sollten Sie die PIN nutzen
wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre BKK
exklusiv.
Die
Mitarbeitenden einer Leistungserbringereinrichtung können auf die Daten, die in
Ihrer persönlichen ePA gespeichert sind, erst dann
zugreifen, wenn Sie der Einrichtung hierzu eine Berechtigung erteilt haben. Das
Erteilen der Berechtigung über die ePA-Anwendung oder
das Kartenterminal in der Arztpraxis oder im Krankenhaus entspricht der
Einwilligung in die Datenverarbeitung. Sämtliche Berechtigungen, die Sie
erteilen, werden in Ihrer ePA gespeichert. Mithilfe
der von der BKK exklusiv bereitgestellten ePA-Anwendung
können Sie diese jederzeit einsehen und bei Bedarf anpassen.
Wen Sie berechtigen dürfen, regelt der Gesetzgeber in §
352 SGB V (vgl. Kapitel 6.2). Dort werden die Einrichtungen und Personengruppen
genannt. Die im Folgenden genannten Personengruppen sind bereits an die
Telematikinfrastruktur (TI) angeschlossen:
·
Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte,
Psychotherapeutinnen und Psychotherapeuten sowie Angestellte dieser
Berufsgruppen
·
Apothekerinnen und Apotheker sowie Personen, die bei
diesen beschäftigt sind
·
Krankenhäuser
Die
nachfolgenden Gruppen werden Schritt für Schritt an die TI angeschlossen, so
dass Sie ihnen dann auch eine Zugriffsberechtigung erteilen können:
·
Gesundheits- und Krankenpflegerinnen und -pfleger,
Gesundheits- und Kinderkrankenpflegerinnen und -pfleger, Altenpflegerinnen und
-pfleger, Pflegefachfrauen und Pflegefachmänner sowie deren Helferinnen und
Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten
eingebunden sind
·
Hebammen, Entbindungspfleger und Physiotherapeutinnen
und -therapeuten sowie deren angestellte Helferinnen und Helfer sowie
Auszubildende
·
Ärztinnen und Ärzte sowie andere Personen, die bei
einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind,
soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz
erforderlich ist
·
Fachärztinnen und Fachärzte für Arbeitsmedizin sowie Betriebsärztinnen
und Betriebsärzte
Sie haben
die Möglichkeit, den Zugriff auf die ePA mittels
verschiedener Berechtigungen zu steuern. Dazu stehen ihnen die folgenden
Möglichkeiten zur Verfügung.
Grobgranulare
Erteilung von Berechtigungen
Über die
Erteilung von Berechtigungen in der ePA-Anwendung
steuern Sie, welche Leistungserbringereinrichtung auf welche Dokumente
zugreifen kann. Eine Möglichkeit ist die Steuerung anhand der bereits genannten
Kategorien. In diesem Fall berechtigen Sie Leistungserbringereinrichtungen
dazu, auf eine oder mehrere Kategorien zuzugreifen (Näheres dazu in Kapitel
5.3). Die Mitarbeitenden einer Leistungserbringereinrichtung erhalten dann
Zugriff auf die Dokumente in der Vertraulichkeitsstufe „normal“, sofern Sie nichts
anderes festlegen (vgl. Kapitel 5.4).
Mittelgranulare
Erteilung von Berechtigungen
Weitere
Möglichkeiten der Zugriffssteuerung über die ePA-Anwendung
ergeben sich durch die Auswahl einer Kategorie in Kombination mit einer
Vertraulichkeitsstufe. Dies können die Vertraulichkeitsstufen „normal“ oder
„vertraulich“ sein. Im Zuge der Berechtigung einer
Leistungserbringereinrichtung legen Sie fest, auf welche Dokumentenkategorie
mit welcher Vertraulichkeitsstufe der Zugriff gewährt werden soll. Die
Erteilung von Zugriffen auf Dokumente mit der Vertraulichkeitsstufe „streng
vertraulich“ ist damit nicht möglich.
Feingranulare
Erteilung von Berechtigungen
Die feinste
Abstufung hinsichtlich der Zugriffsrechte in der Anwendung erhalten Sie, indem
Sie auf Ebene einzelner Dokumente bestimmen, wer darauf zugreifen darf. Dadurch
können Sie beispielsweise Zugriff auf Dokumente mit der Vertraulichkeitsstufe
„streng vertraulich“ gewähren.
Zusammenfassend
Die
grobgranulare Berechtigungsvergabe bezeichnet die Erteilung von Berechtigungen
auf Basis der Kategorien. Bei der mittelgranularen Berechtigungsvergabe
erteilen Sie Berechtigungen auf eine der in Kapitel 5.3 genannten Kategorien
und Bereiche in Kombination mit den Vertraulichkeitsstufen „normal“ oder
„vertraulich“. Bei der feingranularen Berechtigungsvergabe berechtigen Sie auf
Basis eines einzelnen Dokuments. Dokumente, die Sie mit der
Vertraulichkeitsstufe „streng vertraulich“ versehen haben, können Sie nur
mithilfe der feingranularen Berechtigungsvergabe Ihren Leistungserbringern
zugänglich machen.
Die
Möglichkeiten der grob- und mittelgranularen Berechtigungsvergabe stehen Ihnen
sowohl in der ePA-Anwendung als auch beim
Leistungserbringer zur Verfügung. Feingranulare Berechtigungen können Sie
ausschließlich in der ePA-Anwendung vergeben.
Zudem
können Sie in der ePA-Anwendung auch festlegen,
welche Vertraulichkeitsstufe eingestellte Dokumente standardmäßig bekommen
sollen. Diese gilt dann für alle von Ihren Leistungserbringern oder Ihnen
selbst eingestellten Dokumente. Selbstverständlich können Sie diese Voreinstellung
beim Einstellen eines Dokuments auch individuell überschreiben, indem Sie eine
andere Vertraulichkeitsstufe wählen. Außerdem können Sie in Ihrer ePA-Anwendung die Vertraulichkeitsstufe eines Dokuments
jederzeit ändern.
Wenn Sie
eine Berechtigung erteilen, legen Sie in der ePA-Anwendung
auch fest, wie lange diese gelten soll. Sie haben die Wahl zwischen einer
Berechtigungsdauer von mindestens einem Tag bis unbegrenzt.
Ohne ePA-Anwendung können Sie Berechtigungen direkt vor Ort in
der Leistungserbringereinrichtung erteilen. Sprechen Sie dazu das Personal der
Einrichtung an und teilen Sie mit, für welche Kategorie (vgl. Kapitel 5.3 und
für welchen Zeitraum Sie Berechtigungen erteilen möchten.
Zur
Kontrolle der Erteilung der Berechtigungen zeigt Ihnen das Kartenterminal des
Leistungserbringers die von ihm angeforderten Berechtigungen Schritt für
Schritt an. Zur Erteilung der Berechtigung bestätigen Sie diese auf dem
Kartenterminal. Durch diesen Prozess haben Sie auch in der
Leistungserbringerumgebung die Kontrolle darüber, wen Sie zu welchem Zugriff
berechtigen. Bitte denken Sie daran, dass Sie zur Erteilung von Berechtigungen
in der Arztpraxis Ihre eGK und die zugehörige PIN benötigen.
Bitte
beachten Sie, dass Sie bei einer in der Leistungserbringereinrichtung direkt
vor Ort erteilten Zugriffsberechtigung ausschließlich Berechtigungen für die
Vertraulichkeitsstufen „normal“ und „vertraulich“ erteilen können. Eine
Erteilung von Berechtigungen für Dokumente mit der Vertraulichkeitsstufe
„streng vertraulich“ ist vor Ort beim Leistungserbringer nicht möglich. Dies
dient dem Schutz Ihrer als „streng vertraulich“ gekennzeichneten Daten.
Die elektronische Patientenakte (ePA)
lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind –
erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den
vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei
natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer
Behandlungen bei Ärztinnen bzw. Ärzten oder im Krankenhaus erhoben werden.
Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten
sowie anderen Leistungserbringern einen Anspruch darauf, dass die im Rahmen der
Behandlung anfallenden Daten an Ihre ePA übermittelt
und darin gespeichert werden. Zuvor müssen Sie allerdings eine Berechtigung zum
Zugriff auf Ihre ePA erteilt haben (siehe hierzu
Kapitel 6.4).
Zudem haben Sie einen Anspruch darauf, dass Ihre behandelnden
Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Psychotherapeutinnen und
-therapeuten Sie bei der Erstbefüllung der ePA
unterstützen. Die Unterstützungsleistung umfasst die Übermittlung medizinischer
Daten an die ePA und ist auf medizinische Daten aus
der konkreten aktuellen Behandlung beschränkt.
Darüber hinaus können Sie von Ihren Ärztinnen und Ärzten,
Zahnärztinnen und Zahnärzten oder Apothekerinnen und Apothekern die Speicherung
der Daten aus dem Notfalldatensatz und des elektronischen Medikationsplans
verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem
Notfalldatensatz, haben Sie das Recht, dass Ihre Ärztin bzw. Ihr Arzt diese
Daten sowohl in der ePA als auch auf der
elektronischen Gesundheitskarte (eGK) aktualisiert. Sprechen Sie Ihre Ärztin
bzw. Ihren Arzt darauf an, wenn Sie hierzu Fragen haben.
Sie haben das Recht, dass an Ihrer Behandlung beteiligte
Leistungserbringer weitere medizinische Informationen in strukturierter Form in
der ePA speichern. Dies sind insbesondere folgende:
·
das eZahnbonusheft
·
das eUntersuchungheft für
Kinder
·
der eMutterpass
·
die Impfdokumentation
·
Verordnungsdaten und Einlöse-Informationen zu Ihren eRezepten
·
Daten zu Ihrer Arbeitsunfähigkeit in Form der
elektronischen Arbeitsunfähigkeitsmeldung („eAU“)
·
sonstige von den Leistungserbringern für den
Versicherten bereitgestellte Daten, insbesondere Daten, die sich aus der
Teilnahme des Versicherten an strukturierten Behandlungsprogrammen bei
chronischen Krankheiten ergeben
Sie haben außerdem das Recht, von Ärztinnen und Ärzten sowie
anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen,
die diese in Ihre ePA hochgeladen haben.
Neben dem Anspruch gegenüber Leistungserbringern können Sie
auch von Ihrer BKK exklusiv verlangen, dass Daten zu von Ihnen in Anspruch
genommenen Leistungen in die ePA eingestellt werden.
Dazu gehören auch Informationen zu Diagnosen und Medikamenten, die Ihre BKK
exklusiv im Rahmen der Abrechnung der an Ihrer Behandlung beteiligten
Leistungserbringer erhält. Bitte beachten Sie, dass diese Informationen Ihrer BKK
exklusiv erst mit erheblichem zeitlichen Verzug
vorliegen. Um Ihrer BKK exklusiv die Datenbereitstellung zu ermöglichen, müssen
Sie gegenüber der BKK exklusiv in die Datenbereitstellung einwilligen sowie die
entsprechende Berechtigung zum Zugriff auf die ePA
erteilen. Nur dann kann Ihre BKK exklusiv ausschließlich zur Ablage dieser
Informationen auf Ihre ePA zugreifen.
Der Gesetzgeber sieht vor, dass Sie über die von Ihrer BKK
exklusiv bereitgestellte ePA-Anwendung Vertreterinnen
bzw. Vertreter für die Handhabung Ihrer elektronischen Patientenakte (ePA) berechtigen können. Diese haben dann annähernd die
gleichen Rechte wie Sie selbst. Ihre Vertreterinnen und Vertreter können aber
keine weiteren Vertretungen benennen und sind nicht befugt, die Akte zu
schließen. Ihre Vertretung kann beispielsweise Zugriffsrechte an
Leistungserbringereinrichtungen (Ärzte- und Zahnärzteschaft, Krankenhäuser,
Apotheken u. a.) vergeben und die in Ihrer Akte gespeicherten Dokumente
einsehen. Es ist daher wichtig, dass Sie diese verantwortungsvolle Aufgabe nur
an Personen übertragen, denen Sie vollständig vertrauen und denen Sie
beispielsweise auch eine Vorsorgevollmacht erteilen würden. Vertretungen können
– anders als Berechtigungen für Leistungserbringereinrichtungen – nicht
zeitlich befristet vergeben werden und laufen daher nicht ab. Sie müssen Ihre
Vertreterin bzw. Ihren Vertreter daher aktiv über die ePA-Anwendung
Ihrer BKK exklusiv von der Vertretung entbinden. Ihre BKK exklusiv erläutert
Ihnen die Möglichkeit und das Verfahren zur Vergabe von
Vertretungsberechtigungen noch einmal genauer.
Die Nutzung der elektronischen Patientenakte (ePA) ist auch ohne die von der BKK exklusiv bereitgestellte
ePA-Anwendung und ohne Vertretungsperson möglich.
Allerdings ergeben sich dann einige Veränderungen, die auch Auswirkungen auf
die Wahrnehmung Ihrer Rechte als datenschutzrechtlich betroffene Person haben.
Wenn Sie die ePA-Anwendung nicht
nutzen, haben Sie keine Möglichkeit, Einsicht in Ihre in der ePA gespeicherten Daten zu nehmen. Dies umfasst neben den
Dokumenten auch die erteilten Berechtigungen sowie die Zugriffsprotokolle, in
denen die ePA aufzeichnet, wer wann welche
Interaktionen mit Ihrer Akte bzw. den darin gespeicherten Daten vorgenommen
hat. Die Krankenkassen haben weder die gesetzliche Befugnis noch die
Möglichkeiten, die Daten der ePA auszulesen.
Zudem haben Sie keine Möglichkeit, Daten selbstständig in der
ePA zu speichern. Dokumente können ausschließlich
durch die von Ihnen berechtigten Leistungserbringereinrichtungen in die ePA eingestellt werden. Gleiches gilt für die Löschung: Nur
berechtigte Leistungserbringereinrichtungen können in Ihrem Auftrag Dokumente
aus der ePA löschen. Somit haben Sie auch keine
Möglichkeit zur Erstellung einer Sicherheitskopie auf Ihrem eigenen Endgerät.
Dies betrifft sowohl die Dokumente als auch die Protokolle (vgl. Kapitel 4.4).
Die Berechtigung für Leistungserbringereinrichtungen erteilen
Sie ohne ePA-Anwendung ausschließlich direkt beim
Leistungserbringer mithilfe Ihrer elektronischen Gesundheitskarte (eGK) und
Ihrer PIN im Dialog mit dem Praxispersonal.
Um einer berechtigten Leistungserbringereinrichtung auch ohne
ePA-Anwendung den Zugriff zu entziehen, bestehen
folgende Optionen:
· Da
rechtlich die Einwilligung unabhängig von der technischen Berechtigungsvergabe
widerrufen werden kann, können Sie diese unabhängig von den Zugriffsrechten
gegenüber dem jeweiligen Leistungserbringer widerrufen. Da Sie die Berechtigung
nicht selbstständig entziehen können, ist es möglicherweise hilfreich, die
Berechtigung zeitlich begrenzt in der Arztpraxis oder dem Krankenhaus zu
vergeben.
· Um auch
technisch sicherzustellen, dass der betroffene Leistungserbringer keine
Möglichkeit zum Zugriff auf Ihre Daten mehr hat, können Sie beispielsweise bei
Ihrem nächsten Besuch bei dem Leistungserbringer, dem Sie die Berechtigung
entziehen wollen, die Berechtigung neu vergeben und die Mindestgültigkeitsdauer
für Berechtigungen von einem Tag wählen. Mit Ablauf des Tages kann der
Leistungserbringer nicht mehr auf die in der ePA
gespeicherten Daten zugreifen. Wie bei der Berechtigungsverwaltung mit der ePA-Anwendung auch behält der Leistungserbringer sämtliche
aus der ePA heruntergeladenen Daten jedoch in seinem
IT-System.
Eine Übernahme der Daten bei Wechsel der Krankenkasse ist in
der ePA nur über die ePA-Anwendung
möglich. Wenn Sie weder eine ePA-Anwendung noch eine
Vertretung nutzen, besteht beim Wechsel der Krankenkasse somit für Sie keine
Möglichkeit der Datenübernahme. Zudem können Sie die Möglichkeiten zur
Datenfreigabe für Forschungszwecke (vgl. 10.2) und die Datenbereitstellung von
digitalen Gesundheitsanwendungen in die ePA nicht
nutzen.
Neben den hier dargestellten Möglichkeiten der
Datenspeicherung in der ePA bietet Ihnen die ePA-Anwendung weitere Zugriffsmöglichkeiten auf
gesundheitsrelevante Dienste und Informationen. Diese führt Ihre BKK exklusiv
nach und nach ein.
Um Ihnen zusätzliche Informationen für Ihre Gesundheit
anzubieten, ist ein direkter Zugriff aus der ePA-Anwendung
auf das nationale Gesundheitsportal vorgesehen. Weitere Informationen zum
nationalen Gesundheitsportal finden Sie unter https://gesund.bund.de.
Die in Ihrer ePA gespeicherten
Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur
Verfügung stellen. Die Datenbereitstellung ist dabei entsprechend den
gesetzlichen Vorgaben freiwillig und ausschließlich in pseudonymisierter Form
möglich. Der Gesetzgeber muss die rechtlichen Details zur Datenfreigabe für
Forschungsvorhaben noch in geeigneter Form regeln. Ihre BKK exklusiv stellt
Ihnen die aktuellen Informationen vor der Einführung dieser Funktion gesondert
bereit.
Neben der Nutzung für die ePA wird
die ePA-Anwendung Ihrer BKK exklusiv zukünftig auch
eine Funktion zur sicheren Übermittlung von Sofortnachrichten an Ihre BKK
exklusiv umfassen und kann – falls die an Ihrer Behandlung beteiligten
Leistungserbringer dies wünschen – auch zur Kommunikation mit Ihren
Leistungserbringern genutzt werden.
Der Gesetzgeber sieht vor, dass Sie über einen online
gespeicherten elektronischen Medikationsplan und eine elektronische
Patientenkurzakte mit Ihren wichtigsten medizinischen Informationen verfügen
können. Zugriff darauf haben Sie jedoch über die ePA-Anwendung
Ihrer BKK exklusiv. Sie können die Daten einsehen und gegebenenfalls löschen,
Zugriffsberechtigungen verwalten sowie Protokolldaten über Zugriffe und
Veränderungen der Daten nachsehen.
Die Funktionen umfassen auch die Möglichkeit der
Einsichtnahme in die Protokolldaten über Zugriffe und Veränderungen der Daten.
Der Gesetzgeber sieht die Speicherung pflegerischer
Informationen, wie beispielsweise Pflegeberichte oder Pflegeüberleitungsbögen,
vor. Damit können an Ihrer Versorgung beteiligte Pflegedienste oder
Pflegeeinrichtungen mit Ihrer Berechtigung die entsprechenden Dokumente in
Ihrer ePA bereitstellen und nutzen. Voraussetzung
dafür ist, dass der Pflegedienst oder die Pflegeeinrichtung an die
Telematik-Infrastruktur angeschlossen sind.
Sie erhalten zukünftig die Möglichkeit, Ihre Erklärung zur
Organspende im Organspende-Register über Ihre ePA-Anwendung
abzugeben. Die Erklärung als solche wird nicht in der ePA
gespeichert, sondern in dem dafür vorgesehenen Register abgelegt. Weitere
Informationen zur Organ- und Gewebespende erhalten Sie auf der Website des
Bundesministeriums für Gesundheit:
https://www.bundesgesundheitsministerium.de/themen/praevention/organspende.html