Informationen zu Krankenhaus-IT: Defizite beim Datenschutz
Es gibt wohl wenige Informationen, die so sensibel sind wie Patientendaten. Daher sieht das Datenschutzrecht auch vor, dass nur Personen Zugriff darauf haben, die an der Behandlung medizinisch, pflegerisch oder zur verwaltungsmäßigen Abwicklung beteiligt sind. Auch die eingesetzten IT-Lösungen und deren Konfiguration, Betrieb und Nutzung in den Krankenhäusern müssen dem entsprechen. Die Krankenhäuser stehen daher in der Pflicht, ihre Krankenhausinformationssystem (KIS) datenschutzgerecht zu betreiben und die Hersteller sind gehalten, entsprechende Lösungen anzubieten.
Dem kommen die Krankenhäuser jedoch noch unzureichend nach, wie die Beilage „Datenschutz und IT-Sicherheit in Arztpraxis und Klinik“ der Zeitschrift <kess> berichtet. So haben Kontrollen der Datenschutzbeauftragten bei Krankenhäusern unterschiedlicher Größe und Betreibermodelle ergeben, dass nach wie vor in der Krankenhaus-IT Defizite bestehen. Diese liegen sowohl in der Verantwortung der Hersteller als auch der Betreiber und betreffen vor allem die Bereiche:
· zu weit gefasste Zugriffsrechte in den KIS-Systemen,
· fehlende Sperr- und Löschfunktionen,
· mangelnde Nachvollziehbarkeit der Zugriffe auf Patientendaten.
Oft liegen dem unzureichende konzeptionelle Überlegungen bzw. ein fehlendes Sicherheits- und Datenschutzkonzept zugrunde.
Auch fanden die Datenschützer häufig eine „Deadlock“-Situation vor: Defizite wurden seitens der Krankenhäuser meist mit fehlenden Funktionen der jeweiligen KIS-Lösung begründet und seitens der Hersteller damit, dass von den Kunden keine entsprechenden Anforderungen gestellt wurden. Ein Großteil der am Markt angebotenen Lösungen bliebe nach den Erkenntnissen der Datenschutzbeauftragten damit hinter den datenschutzrechtlichen Anforderungen zurück.
Grundlage der Prüfungen waren die Empfehlungen der „Orientierungshilfe Krankenhausinformationssysteme“, die es Betreibern und Herstellern solcher Systeme erleichtern soll, den gesetzlichen Anforderungen gerecht zu werden. Mehr Informationen dazu und über weitere Themen zum Datenschutz und IT-Sicherheit berichtet das neue <kes>-Special. Das Heft „Datenschutz und IT-Sicherheit in Arztpraxis und Klinik“ kann unter www.kes.info/e-health gratis angefordert werden.
Dem kommen die Krankenhäuser jedoch noch unzureichend nach, wie die Beilage „Datenschutz und IT-Sicherheit in Arztpraxis und Klinik“ der Zeitschrift <kess> berichtet. So haben Kontrollen der Datenschutzbeauftragten bei Krankenhäusern unterschiedlicher Größe und Betreibermodelle ergeben, dass nach wie vor in der Krankenhaus-IT Defizite bestehen. Diese liegen sowohl in der Verantwortung der Hersteller als auch der Betreiber und betreffen vor allem die Bereiche:
· zu weit gefasste Zugriffsrechte in den KIS-Systemen,
· fehlende Sperr- und Löschfunktionen,
· mangelnde Nachvollziehbarkeit der Zugriffe auf Patientendaten.
Oft liegen dem unzureichende konzeptionelle Überlegungen bzw. ein fehlendes Sicherheits- und Datenschutzkonzept zugrunde.
Auch fanden die Datenschützer häufig eine „Deadlock“-Situation vor: Defizite wurden seitens der Krankenhäuser meist mit fehlenden Funktionen der jeweiligen KIS-Lösung begründet und seitens der Hersteller damit, dass von den Kunden keine entsprechenden Anforderungen gestellt wurden. Ein Großteil der am Markt angebotenen Lösungen bliebe nach den Erkenntnissen der Datenschutzbeauftragten damit hinter den datenschutzrechtlichen Anforderungen zurück.
Grundlage der Prüfungen waren die Empfehlungen der „Orientierungshilfe Krankenhausinformationssysteme“, die es Betreibern und Herstellern solcher Systeme erleichtern soll, den gesetzlichen Anforderungen gerecht zu werden. Mehr Informationen dazu und über weitere Themen zum Datenschutz und IT-Sicherheit berichtet das neue <kes>-Special. Das Heft „Datenschutz und IT-Sicherheit in Arztpraxis und Klinik“ kann unter www.kes.info/e-health gratis angefordert werden.