K. Adelhard1 · N. Swoboda2 · S. Nissen-Meyer3 · M. Reiser3
1 Institut für Medizinische Informationsverarbeitung, Biometrie und Epidemiologie,
Ludwig-Maximilians-Universität München2 Organisations- und Informationstechnik, Medizinische Fakultät der Ludwig-Maximilians-
Universität München3 Institut für Radiologische Diagnostik, Klinikum Großhadern, München
Einheitlicher Zugriffauf klinische Datenin einem verteilten SystemBeispiel Radiologie
kenhauses oder einer einzelnen Abtei-lung durchgeführt. Kommerzielle Kom-plettlösungen im klinischen-medizini-schen Bereich sind in Deutschland erstim Entstehen.
Klinikinformations-und Kommunikationssysteme
Die Entwicklung von Klinikinformati-ons- und Kommunikationssystemenbegann in den USA gegen Ende der60er Jahre. Es wurden Systeme zur Un-terstützung der administrativen undklinischen Aufgaben in Krankenhäu-sern entwickelt [1, 7]. Diese Systeme ba-sierten und basieren auf einem Zentral-rechner mit einer zentralen Datenbank.Alle Daten werden auf dieser zentralenEinheit gesammelt und den Benutzernüber feste Ausgabegeräte zur Verfügunggestellt. Damit kann ein einheitlicherZugang zu einer umfassenden Samm-lung von Patientendaten in einem gro-ßen Krankenhaus realisiert werden.Auch lassen sich Datenschutz und Zu-gangskontrolle auf einem Zentralrech-ner unproblematisch realisieren. Nochheute basieren viele Lösungen kom-merzieller Anbieter auf diesen oderähnlichen zentralen Konzepten [6].
Die bestmögliche Information derÄrzte und des Pflegepersonals auf denStationen und in den Ambulanzen ei-nes Krankenhauses ist das Ziel für denEinsatz von klinischen EDV-Systemen.Klinische und administrative Daten ausverschiedenen Kliniken, Instituten undAbteilungen müssen rund um die Uhrund an jedem Ort verfügbar sein. DerZugang zu diesen Daten erfolgt immerüber die Auswahl eines Patienten [11, 12]und nicht primär über die Leistungs-stelle, von der diese Daten erzeugt wur-den. Ein einheitliches zentrales Autho-risierungs- und Zugangssystem unter-stützt die Bedürfnisse der Kliniker undberücksichtigt die Aspekte des Daten-schutzes und der Vertraulichkeit derPatientendaten. Radiologische Untersu-chungen mit den dazugehörigen Be-funden sind für die Krankenversorgungvon großer Bedeutung. Dabei ist derzeitnahe Zugriff auf aktuelle Befundegenauso wichtig wie deren Vollständig-keit. Ein klinisches EDV-System kanndiese Aufgaben unterstützen.
Stand der Technik
Der Stand der Informationstechnologieist in einzelnen Krankenhäusern sehrunterschiedlich. Er reicht von reinenEDV-Lösungen für die Verwaltung bishin zu Programmen, die auf allen Sta-tionen und in den Ambulanzen durch-gängig verfügbar sind. Traditionellwurden viele Einzelentwicklungen fürdie speziellen Bedürfnisse eines Kran-
Uniform access to clinical data ina distributed environment: radiology
Summary
Purpose: Providing medical reports on
wards and ambulatory settings in electronic
form can improve the quality of health care
delivery. Radiology was chosen as an exam-
ple to demonstrate how to implement uni-
form access to clinical data in a hospital.
Method: Medical professionals at the uni-
versity hospital in Munich, Großhadern, have
access to all radiological reports of their pa-
tients.Web browsers are used as a front end.
A centralized administration of users and pa-
tients is in place.
Results: Centralized access control and pa-
tient selection guarantee uniform access to
all applicable data via intranet and controls
access rights.The high acceptance of this
service is reflected by the high number of
150 requests per day.
Discussion: Access to radiological reports
within the Grosshadern University Clinics
was enabled via web browsers in a short
time.The high acceptance of the system also
proves its easy use. Integration of the system
in a centralized user and patient identifica-
tion system supports the unified access to
clinical data.
Key words
Hospital information system · Intranet ·
Radiology information systems · Report
transmission
die Anwendungsprogramme auf denStationen oder Ambulanzen kümmernzu müssen.
Datenschutzund Zugangskontrolle
Computernetzwerke verändern dieStruktur von EDV-Systemen in wichti-gen Aspekten. Die Grenzen herkömmli-cher Zentralrechner sind durch diephysischen Abmessungen des Gerätsund seine Ein- und Ausgabegeräte defi-niert. Die Sicherheit solcher Systemewir daher von dem physischen Zugangund den Benutzerrechten bestimmt.Der Schutz der Außengrenzen desRechners durch Kennungen und Paß-wörter ist ausreichend, wenn das Sy-stem über adäquate interne Sicher-heitsmethoden verfügt.
Die Grenzen eines verteilten Com-putersystems können demgegenübernur schwer definiert werden. Für die Si-cherheit des Gesamtsystems ist wieder-um die interne Sicherheit jedes einzel-nen Rechners von großer Bedeutung.Die Verwaltung der Kennungen kannallerdings nicht auf jedem der einzel-nen Rechner getrennt durchgeführtwerden. Diese wäre sowohl unpraktischals auch risikoreich. Ein zentrales Sy-stem für die Benutzerverwaltung ist da-her unbedingt notwendig [2, 10].
Authentisierung und Authorisierung
Ein Sicherheitssystem verhindert denunerlaubten Zugriff auf Ressourcen ei-nes Informationssystems und sichertdie Vertraulichkeit, Integrität und Ver-fügbarkeit. Die Authentisierung ist nurein Bestandteil eines sicheren WWW-basierten Informationssystems. Sieprüft die Identität eines Benutzers, derauf ein Informationssystem zugreifenwill. Die Prüfung basiert im Allgemei-nen auf der Kenntnis geheimer Infor-mationen (z.B. Kennung und Paßwort),dem Besitz bestimmter Gegenstände(z.B. Ausweis, Chipkarte) oder biome-trischen Attributen (z.B. Fingerab-druck).
Nach der Identifizierung wird durchdie Authorisierung festgelegt, auf wel-che geschützten Ressourcen zugegrif-fen werden darf. Außerdem werden dieAktivitäten des Benutzers protokolliert,um unerlaubte Zugriffe oder Ein-bruchsversuche erkennen zu können.
Abteilungssysteme
Das Gegenstück zu zentralen Informa-tionssystemen für große medizinischeEinrichtungen stellen Abteilungssyste-me dar, die speziell für die Zwecke einerStation, Klinik oder Leistungsstelle er-stellt wurden. Sie sind auf den organisa-torischen Ablauf in dieser Abteilung,spezielle gesetzliche Regelungen unddie lokalen Informationsbedürfnisseoptimiert. Diese Systeme tauschen tra-ditionell Daten nur mit einer festgeleg-ten Zahl von anderen Systemen aus. Sofinden sich zum einen Anbindungen anGeräte innerhalb der Abteilung. In derRadiologie können z.B. bilderzeugendeModalitäten angebunden sein, um diePatientendaten in die Bilder zu übertra-gen und Belichtungsdaten zurückzu-senden. Auf der anderen Seite existie-ren Anbindungen an zentrale Patien-tenverwaltungssysteme. So können Ab-teilungssysteme automatisch über Auf-nahme, Verlegung oder Entlassung vonPatienten sowie Korrekturen von Pati-entendaten, informiert werden. Auchallgemeine Meldungen, wie z.B. Ände-rung des Versicherungsverhältnisses,können zugestellt werden [3].
Intranet
Die Kombination der Vorteile der un-terschiedlichen Ansätze, ohne daß de-ren Nachteile übernommen werdenmüssen, wäre für den klinischen Alltagwünschenswert. Eine verteilte Daten-haltung mit Vernetzung der unabhängi-gen lokalen Datenbanken erscheintvielversprechend. Damit könnten Ab-teilungssysteme zu einem homogenen,krankenhausweiten Informationspoolintegriert werden. Die Zuständigkeitder jeweiligen Abteilungen für ihre Da-ten könnte gewahrt bleiben. Informati-onsangebote im Internet dienen alsVorbild für eine solche Konzeption.Dort können viele, höchst unterschiedli-che Dienste über eine einheitliche Be-nutzerschnittstelle, den Web-Browser,abgefragt werden [5]. Durch einfacheStandards, wie HTML und HTTP, fürden Datenaustausch werden Informa-tionen weltweit zugänglich. Diese Tech-nik kann auch innerhalb eines Kran-kenhauses Verwendung finden.
Jede Abteilung kann den Zugriffauf ihre lokale Datenbank über dieseTechnik selbst erlauben, ohne sich um
Die meisten WWW-basierten In-formationssysteme entwickeln sich stän-dig weiter und sind nie abgeschlossen.Die Implementierung eines Siche-rungssystems sollte daher folgende Ei-genschaften erfüllen:
● Einfachheit: Die Konzeption baut aufexistierenden, standardisierten Tech-nologien auf.
● Konsistenz: Zugriffsrechte und Be-nutzerkennungen der einzelnen Sub-systeme werden zentral verwaltet. Be-stehende Zugangsberechtigungen wer-den in ein neues System übernommen.
● Erweiterbarkeit: Es werden sowohlkleine als auch große Implementie-rungen unterstützt. Die Rechte vonindividuellen Benutzern und Grup-pen können leicht angepaßt werden.
● Bedienungskomfort: Eine einzigeKennung reicht für den Zugriff aufalle erlaubten Informationsquellenaus. Die Verwaltung der Benutzer-
Der Server überprüft die eingegebenenInformationen mit der Hilfe einer lo-kalen Liste erlaubter Benutzer. DieNachteile dieses Standardverfahrenssind:
● Kennung und Paßwort werden un-verschlüsselt über das Netzwerk über-tragen.
● Für jede Informationsquelle muß dieIdentität des Nutzers erneut über-prüft werden. Der Nutzer muß erneutKennung und Paßwort eingeben. DieKennung kann für jeden Server un-terschiedlich sein.
● Die Verwaltung einer großen Anzahlvon Benutzern auf unterschiedlichenRechnern ist aufwendig und wenigübersichtlich. Benutzerinformationenmüssen auf jedem Rechner getrenntgehalten werden.
● Die Protokollierung der Zugriffekann nur lokal auf jedem Server ge-trennt durchgeführt werden. Da aufjeden Server für die Benutzer eigeneKennungen angelegt werden müssen,können die Protokolldateien auchnicht zusammengeführt werden.
Um die Übertragung von Kennung undPaßwort über offene Netzwerke sicherzu machen, sollten die Daten verschlüs-
kennungen und der Zugriffsrechtekann auf mehrere Systemverwalteraufgeteilt werden.
● Flexibilität: Für jede Informations-quelle kann ein eigener Sicherheits-standard definiert werden. Das zentra-le Authorisierungssystem liefert deneinzelnen Systemen die notwendigenInformationen, damit die lokalen Sub-systeme die Kontrolle der Zugriffs-rechte selbst durchführen können.
● Übertragbarkeit: Die Technologiekann auf unterschiedlichen Hard-wareplattformen und Betriebssyste-men eingesetzt werden.
● Performanz: Das Sicherheitssystemverschlechtert die Performanz (Ant-wortzeiten) nicht nachhaltig.
Die Sicherung von geschützten Res-sourcen erfolgt im Augenblick stan-dardmäßig über Benutzerkennungenund Paßwörter, die von Informations-servern im Internet verwaltet werden.
Abb. 1 m Der Benutzer meldet sich ein einziges Mal an der zentralen Benutzerdatenbank an. Er erhältvon der Benutzerverwaltung eine entsprechende elektronische Autorisierung, die lokal an seinemArbeitsplatz hinterlegt wird. Bei jedem Zugriff auf die einzelnen Informationsdienste im Haus wirddiese Autorisierung weitergereicht und dort lokal ausgewertet. Die Benutzerdatenbank liefert dienotwendigen Informationen (Name, Klinik, Station, Arzt, Pflegedienst, Verwaltung etc.) über denBenutzer. Somit kann jede Einrichtung selbst bestimmen, wie die Zugriffskontrolle realisiert werdensoll
Der Radiologe 4·99 | 301
selt werden. Dieses Verfahren erlaubt es,Daten zu speichern oder Nachrichten zuübertragen und dabei Vertraulichkeitund Authentizität zu garantieren. Ver-traulichkeit bedeutet, daß nur die be-rechtigten Empfänger einer Nachrichtin der Lage sind, den Inhalt zu lesen.Au-thentizität bedeutet, daß die Nachrichtnicht von einer dritten Person unter fal-schem Namen abgeschickt wurde.
Realisierung
Um radiologische Befunde in einer grö-ßeren medizinischen Einrichtung flä-chendeckend zur Verfügung stellen zukönnen, muß die notwendige techni-sche und organisatorische Infrastruk-tur zur Verfügung stehen. Das Sicher-heitskonzept muß durch die technischeAusstattung realisiert werden. Dies istzum einen die Unterstützung und Er-fassung der Abläufe in der Radiologieselbst. Zum anderen benötigen die Am-bulanzen und Stationen eine ausrei-chende Ausstattung mit Computerar-beitsplätzen, die mit den anderen Syste-men im Haus vernetzt sind. Diese An-forderungen werden im Folgenden ein-zeln diskutiert.
mit der Zuordnung zu den Kliniken be-nötigt. Die Überprüfung der Zugriffs-rechte erfolgt in den einzelnen Subsy-stemen.
Zentrale Benutzerdatenbank
Die zentrale Benutzerdatenbank ent-hält alle Mitarbeiter des KlinikumGroßhadern mit der Zuordnung zu ih-rem Tätigkeits- und Funktionsbereich.Diese Datenbank ist direkt an die EDV-Verfahren des Hauses (SAP ISH) ange-schlossen, so daß alle Änderungen undNeueinträge zentral erfaßt und verar-beitet werden. Damit werden auchidentische Paßwörter für Aufnahme,Entlassung und Verlegung von Patien-ten sowie der Leistungserfassung ver-wendet. Die individuellen Subsystememüssen keine eigenen Benutzerken-nungen für externe Anwender verwal-ten. Lokal werden nur Systemadmini-stratoren eingetragen.
Damit ist eine einheitliche Benut-zeridentifikation für alle Informations-quellen im Klinikum möglich.Ärzte undPfleger benötigen nur eine einzige Ken-nung und Paßwort für den Zugriff aufalle Informationsdienste im Klinikum.
Der Benutzer identifiziert sichüber eine Eingabemaske (Abb. 1) an sei-
Sicherheitskonzept
Der Zugriff auf Daten der Radiologiesoll den klinischen Ablauf unterstützen.Schon allein aus rechtlichen Gründendarf nur den behandelnden Ärzte undderen Hilfspersonal der Zugriff auf diePatientendaten gestattet werden. Behan-delnde Ärzte sind aber nicht nur die Ärz-te auf Station bzw. in den Ambulanzen,sondern auch Konsiliarärzte innerhalbdes Hauses. Diese Mitbehandlung wirdvom Patienenverwaltungssystem nichterfaßt, so daß eine spezielle Freigabe derDaten für diese Personengruppe nichterfolgen kann. Für den Zugriff wurdendaher folgende Regeln aufgestellt:
● Anfragen dürfen nur durch das ärzt-liche oder pflegerische Personal (Er-füllungsgehilfen) des Klinikum Groß-hadern gestellt werden.
● Ärzte dürfen Anfragen für Patientenstellen, die aktuell im Klinikum auf-genommen sind.
● Ärzte dürfen Anfragen zu Patientenstellen, die in ihrer Klinik behandeltwerden oder wurden.
Zur Realisierung dieses Sicherungskon-zeptes wird ein Verzeichnis des medizi-nischen und pflegerischen Personals
Abb. 2 b Stationsauswahlüber WWW-Browser imKlinikum Großhadern(Name und Fallnummerder Patienten wurdenunkenntlich gemacht)
| Der Radiologe 4·99
PACS
302
nem WWW-Browser. Die Eingabenwerden an die zentrale Benutzerver-waltung übermittelt und geprüft. DieZugriffsrechte des Benutzers werdenvon der Zentrale an den Benutzer rück-übermittelt und in dem lokalen Web-Browser abgelegt. Bei jeder Abfrage vonwerden diese Zugriffsrechte an den je-weiligen Server übertragen und dortausgewertet. Technisch wird dies übersog. Cookies realisiert.
Stationsübersicht
Der einheitliche Zugang zu Patienten-daten ist eine wichtige Voraussetzungfür die Akzeptanz eines klinischen In-formationssystems. Über eine Stations-übersicht können weitere Informatio-nen abgerufen oder eingegeben wer-den. Der Zugriff auf Patienten fremderStationen ist nur mit spezieller Autori-sierung möglich. Durch die Einschrän-kung können wichtige Fragen des Da-tenschutzes gelöst werden.
Wird der Benutzer als ärztlicheroder pflegerischer Mitarbeiter auf einerStation oder in einer Ambulanz identi-fiziert, erscheint automatisch die Über-sicht aller Patienten, die aktuell auf die-ser Einheit aufgenommen sind (Abb. 2).Aus dieser Liste können einzelne Pati-
Nutzung
Die Möglichkeit der Abfrage radiologi-scher Leistungen und Befunde wurdesofort nach seiner Einführung im Mai1997 positiv aufgenommen und breiteingesetzt. Heute werden durchschnitt-lich 3500 Befunde im Monat abgerufen.Die häufigsten Zugriffe erfolgen durchdie Nuklearmedizin (18%), Orthopädie(10%), Kardiologie/Pneumologie/Ne-phrologie (10%), Gynäkologie (9%),Chirurgie (9%), Onkologie (8%), Ga-stroenterologie/Hepathologie/Endokri-nologie (7%), Radioonkologie (6%),Neuroradiologie (6%), Hals-Nasen-Oh-ren-Klinik (5%), Physikalische Medizin(3%) und die Urologie (3%).
Diskussion
Die Verwendung der WWW-Technolo-gie für Informationssysteme in abge-schlossenen Computernetzen von klini-schen Einrichtungen findet immer grö-ßere Verbreitung. Beispiele dafür liegennicht nur aus den USA, sondern auchaus Europa [13] und Deutschland vor.Im Inselspital in Bern wurde ein ähnli-ches System installiert [9]. In das Pilot-projekt wurden neben klinischen Berei-chen (Viszeralchirurgie, Frauenklinik,
enten ausgewählt werden und weitereInformationsdienste abgefragt werden.
Radiologie
Für jeden Patienten können alle Lei-stungen und Befunde abgefragt wer-den, die in der Vergangenheit in der Ra-diologie erbracht wurden (Abb. 3). Da-bei spielt es keine Rolle, wenn der jewei-lige Patient bei vorangegangenen Auf-enthalten im Klinikum Großhadern inverschiedenen Kliniken aufgenommenwar. Überprüft wird nur, ob der Patientvon der anfragenden Klinik aktuell be-handelt wird. Diese Klinik hat dann Zu-griff auf alle radiologischen Leistungenund Befunde dieses Patienten.
Über die Liste der radiologischenLeistungen können einzelne Befundeangefordert werden (Abb. 4). Diese Be-funde sind als „vorläufig“ gekennzeich-net. Nach wie vor haben nur die unter-schriebenen schriftlichen Befunde, dievon der Radiologie an die Kliniken ver-sandt werden, juristische Gültigkeit. DieMitarbeiter im Klinikum wurden aufdiesen Umstand besonders hingewie-sen. In den „Hinweisen zur Benutzung“ist dies auch eindeutig dargestellt.
Abb. 3 b Übersicht derradiologischen Leistungeneines Patienten im Intra-net des Klinikum Groß-hadern. Dargestelltwerden das Datum derUntersuchung, die Art derUntersuchung, der radio-logische Organisations-bereich (CT, MR, konv.Röntgen etc.), die Journal-nummer, die Art derAufnahme (Stationär,Ambulant) und die anfor-dernde Station
Der Radiologe 4·99 | 303
Innere Medizin) und Instituten (Radio-logie, Nuklearmedizin) auch zentraleDienste (z.B. Direktionsstab, Ressour-cenzentrum, Direktionen Krankenpfle-ge, Dienste und Betrieb) einbezogen.Das Projekt hatte zum Ziel, innerhalbdes bestehenden Computernetzwerkeswährend einer Phase von einem halbenJahr ein Corporate Intranet einzurich-ten. Dabei sollte darauf geachtet wer-den, daß den beteiligten Bereichen einhohes Maß an Eigenständigkeit bei derBewirtschaftung ihrer Intranet-Seiteneingeräumt wird und daß keine Daten-schutzbestimmungen verletzt werden.
Im Klinikum Großhadern wurdebereits vor mehreren Jahren mit denAufbau einer Infothek begonnen. Dortsind u.a. der Zugang zu medizinischerLiteratursuche (Medline), Informatio-nen über die Pflege und Empfehlungendes Tumorzentrums München reali-siert [8]. Dieses Medium wird zuneh-mend auch für die Abfrage von Patien-tendaten genutzt. So sind Ergebnissedes Klinischen Labors und der Mikro-biologie verfügbar. Im Klinikum Groß-hadern fehlt derzeit noch die Übertra-gung radiologischer Bilder auf Station.Mit der Implementierung der Befund-übertragung und der dazugehörigen
8. Dugas M, Überla K (1997) Bereitstellung undNutzung medizinischer Inhalte mit einemuniversellen Klinikinformationsserver desIBE – Erfahrungen auf 50 Stationen imKlinikum. Proc. GMDS 97 (ed. Muche et al.).MMV, S 40–43
9. Ludwig CA (1993) Das computerbasiertePatientendossier. Schweiz Ärztez
74:631–634
10. Miller RA, Schaffner KF, Meisel A (1985) Ethicaland legal issues related to the use ofcomputer programs in clinical medicine.Ann Int Med 102:529–536
11. Safran C (1994) Defining clinical work-station. Int J Biomed Comput 34:261–265
12. Safran C (1994) Patient-Centered Compu-ting: An Imperative. MD-Computing
11:133–134
13. Scherrer JR, Baud R, Brisebarre A et al. (1989)
A hospital information system incontinuous operation and expansion.In: Orthner HF, Blum BI (eds) Implementing
Health Care Information Systems. Springer,
Berlin Heidelberg New York, pp 100–122
Sicherheitskonzepte kann mit Realisie-rung der Bildübertragung als nächsterSchritt begonnen werden [4].
Literatur1. Ball MJ, Collen MF (1992) (eds) Aspects of the
computer-based patient record. Springer,
Berlin Heidelberg New York
2. Bakker AR (1993) Security in MedicalInformation Systems. In: van Bemmel JH,
McCray AT (eds) IMIA Yearbook of Medical
Informatics. Schattauer, Stuttgart New York,
pp 52–60
3. Bemmel van JH, Musen MA (1997) Handbookof Medical Informatics. Springer, Berlin
Heidelberg New York
4. Breant CM,Taira RK, Huang HK (1993)
Interfacing Aspects between the PictureArchiving Communication Systems, Radio-logy Information Systems, and HospitalInformation Systems. J Digit Imaging
6:88–94
5. Cimino JJ, Socratous SA, Clayton PD (1995)
Internet as a Clinical Information System:Application Development using the WorldWide Web. J Am Med Inform Ass 2:273–284
6. Collen MF (1991) A brief historical overviewof Hospital Information System (HIS)Evolution in the United States.Int J Biomed Comput 29:169–189
7. Dick RS, Steen EB (eds) (1997) The Computer-based Patient Record. An EssentialTechnology for Health Care, 2nd edn.National Academy Press,Washington DC
Abb. 4 b RadiologischerBefund. Darstellung aufStation
