Einem niedergelassenen Arzt wurde kürzlich in einem Beratungsgespräch mit einem Vertreter für Praxissoftware empfohlen, eine separate Archivierungssoftware zu erwerben. Begründet wurde diese Empfehlung damit, dass die normale elektronische Akte in der eigenen Praxissoftware nicht sicher sei – schließlich könne man an den Einträgen darin nachträglich Änderungen vornehmen, die im Falle eines Rechtsstreits nicht nachverfolgt werden könnten. Nun fragt er sich, ob er ein Archivsystem kaufen muss, um eine revisionssichere Archivierung seiner Patientendokumentation zu gewährleisten.

Revisionssichere Archivierung bedeutet dabei, dass Berichtigungen und Änderungen von Eintragungen in der Patientenakte nur dann zulässig sind, wenn daneben der ursprüngliche Inhalt erkennbar bleibt und der Zeitpunkt der Änderungen dokumentiert ist. Um das zu beurteilen, muss man sich eigentlich nur fragen, was man tun müsste, um einen Datensatz der Patientenakte spurlos aus der Datenbank verschwinden zu lassen.

Das Kriterium: wie aufwändig wäre es, Daten vollständig verschwinden zu lassen?

Die Datenbank eines Praxissystems kann man sich wie eine große Excel-Tabelle vorstellen, aus der jederzeit Zeilen entfernt, deren Zeileninhalte geändert oder in die neue Zeilen hinzugefügt werden. Einfache, nicht revisionssichere Datenbanken führen diese Änderungen ohne weiteres aus. Nachträglich lässt sich dann nicht mehr feststellen, dass ein ursprünglich vorhandener Eintrag gelöscht wurde. Um die Anforderungen des Patientenrechtegesetzes umzusetzen, haben viele Systeme ein „Logbuch“ eingeführt, in dem alle Änderungen protokolliert werden. Über die Einträge in diesen sogenannten Transaktionslogs lässt sich dann nachvollziehen, ob und wann und von wem ein Datensatz erzeugt, verändert oder gelöscht wurde. Um einen Datensatz verschwinden zu lassen, muss hier nicht nur der eigentliche Eintrag aus der Datenbank gelöscht werden, sondern auch der Logbucheintrag, der dieses Löschen protokolliert. Mit etwas Erfahrung ist das aber nicht schwer, insbesondere dann, wenn die Logbücher auf dem gleichen Server gespeichert werden wie die eigentlichen Daten.

Sehr viel schwieriger wird es, wenn wie bei RED Medical eine andere Art der Datenbank verwendet wird, in der Datensätze nicht überschrieben werden. In diesen Systemen wird bei jeder Änderung ein neuer Datensatz angelegt, wodurch die gesamte Historie des Datensatzes nachvollziehbar wird. Hier müssten, um einen Datensatz komplett zu tilgen, seine gesamte Historie sowie alle begleitenden Protokolle gelöscht werden. Noch schwieriger wird es, wenn die Software und ihre Speichermedien getrennt werden, etwa durch Auslagerung der Datenbank in ein sicheres Rechenzentrum. Um in einem solchen Szenario Daten zu löschen, müsste man zusätzlich zu allem anderen noch den Administrator der Server dazu bewegen.

Was tun?

Und wie lautet nun die abschließende Empfehlung?  Um für gerichtliche Auseinandersetzungen gewappnet zu sein, gibt es, wenn die Praxissoftware selbst keine revisionssichere Datenspeicherung bietet, zwei Möglichkeiten. Die schlechtere Alternative ist der Einsatz eines zusätzlichen externen Archivsystems. Dabei sollte durch entsprechende Prozesse und Verfahren nachweislich sichergestellt werden, dass die gespeicherten Daten nicht manipuliert werden können. Die bessere Alternative ist, zu einem System wie RED Medical zu wechseln, das von Haus aus Revisionssicherheit bietet.

Weitere Details finden Sie in unserem Artikel in „Der Allgemeinarzt“ vom 20.09.2016.