In seinem 27. Tätigkeitsbericht, nimmt sich der Bayerische Landesbeauftragte für den Datenschutz diesem Thema an. Immer wieder fragen Betroffene, welche Zugriffsmöglichkeiten Beschäftigte von Krankenhäusern auf Patientendaten im konkreten Fall haben und ob und wie missbräuchliche Zugriffe festgestellt werden können.

GRUNDSÄTZLICH GILT…

…dass Beschäftigte eines Krankenhauses nur auf die Daten zugreifen können dürfen, die sie für ihre jeweilige Aufgabenerfüllung benötigen. Wie dies genau für die verschiedenen Bereiche des Krankenhauses ausgestaltet werden muss, ist ausführlich in der „Orientierungshilfe Krankenhausinformationssysteme (2. Fassung)“ dargelegt. Bei der Erstellung und Umsetzungskonzepten von Berechtigungskonzepten ist zu beachten, dass keine Gruppenkennungen verwendet werden dürfen. Ansonsten wäre trotz Protokollierung nicht feststellbar, wer tatsächlich zu welchem Zeitpunkt den Computer benutzt und auf Daten zugegriffen hat.

PROTOKOLLIERUNG

Deshalb ist eine umfassende Protokollierung lesender Zugriffe in den Krankenhaussystemen erforderlich.
So können Anschuldigungen geklärt werden, dass Beschäftigte des Krankenhauses unerlaubt Einsicht in Daten genommen hätten. Das Krankenhaus kann so auch dem gesetzlichen Anspruch von Betroffenen auf Auskunft nachkommen, um zu klären, wer auf ihre Daten zugegriffen hat. Darum müssen auch im Krankenhaus IT-Systeme eingesetzt werden, die eine derartige Protokollierung ermöglichen.

AUSWERTUNG DER PROTOKOLLE

Die Protokolle dürfen anlassbezogen ausgewertet werden. Also z. B. im Falle einer Beschwerde oder eines Auskunftsbegehrens. Gleichzeitig ist aber auch eine regelmäßige Auswertung in Stichproben erforderlich. Nur so lassen sich unbefugte Zugriffe feststellen, die nicht anderweitig auffallen. Diese Auswertung darf allerdings nicht alle Zugriffe umfassen und auch nicht dauerhaft stattfinden, sondern hat in festgelegten zeitlichen Abständen und mit festgelegtem Umfang zu erfolgen.

STICHPROBENKONZEPT

In einem Stichprobenkonzept sollte geregelt werden, wie ein unbefugter Zugriff erkannt werden kann, wie und durch wen die Auswertung der Protokolle erfolgen darf und wie oft sowie in welchem Umfang dies passieren soll.
Es ist zudem schriftlich festzulegen, dass diese Auswertungen nicht zur Verhaltens- und Leistungskontrolle verwendet werden dürfen. Daher ist auch die Personalvertretung bzw. der Betriebsrat frühzeitig zu beteiligen.

Ähnliche Beiträge

Richtige E-Mail...

Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

Datenschutzerklärung für...

Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

Datenschutz und WhatsApp? Wo...

Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...