Informationstechnik im Krankenhaus ist ein sensibles Thema. Es geht hier nicht nur um Datenschutz, auch nicht nur um den Schutz der Vertraulichkeit der Arzt-Patienten-Beziehung, sondern auch um Gesundheitsschutz: Fehlende oder falsche Daten können fatale medizinische Konsequenzen für die Patienten haben. Dagegen schützt nur ein durchdachtes Datenschutzmanagement.

Datenschutz im Krankenhaus

Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise chaotische Zustände: Patientenunterlagen liegen für Besucher einsehbar im Stations- oder Behandlungszimmer. In Patientenaktenarchiven gehen Menschen unkontrolliert ein und aus. EDV-Dienstleister können ungehindert auf Daten zugreifen und diese lesen, sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per E-Mail verschickt. In der Klinik findet keine Abschottung der sensiblen Informationen statt.

Aus dem Datenschutzrecht ergeben sich für die Zugriffsrechte auf Patientendaten im Krankenhaus die folgenden Grundsätze: Patientendaten dürfen nur im Rahmen der Zweckbestimmung des Behandlungsvertrages und den damit verbundenen gesetzlichen Regelungen erhoben und verarbeitet, nicht aber uneingeschränkt – d. h. über die unmittelbare Zweckbindung hinaus – ausgetauscht und verwendet werden, auch nicht innerhalb des Krankenhauses. Das Krankenhaus ist in diesem Sinne keine informationelle Einheit.

Das Prinzip der Erforderlichkeit ist hier streng zu beachten, das auch als Prinzip der minimalen Rechte oder „need-to-know“-Prinzip bezeichnet wird. Insbesondere ist hier zwischen dem Arzt und seinen berufsmäßig tätigen Gehilfen einerseits sowie den sonstigen Gehilfen andererseits zu unterscheiden. Das medizinische Fachpersonal trägt die Verantwortung für die korrekte Verwendung der Daten. Der Patient hat, sofern das zuständige Krankenhausgesetz nichts anderes bestimmt, das Recht, Daten für bestimmte Zugriffe sperren zu lassen, wobei er auf eventuell für ihn entstehende Nachteile hinzuweisen ist. Er hat andererseits auch ein Anrecht darauf, daß seine Daten zur rechten Zeit am rechten Ort verfügbar sind, insbesondere nicht gegen seinen Willen oder seine Interessen zurückgehalten oder außerhalb der gesetzlichen Pflichten vernichtet werden.

Daher ist es unverzichtbar, dass der Umgang mit Patientendaten genau geregelt ist. Mindestens für folgende wichtige Abläufe sollten eindeutige Bestimmungen existieren:

  •  Lauf eines Patienten von der Aufnahme bis zur Entlassung
  •  Neueinstellung von Mitarbeitern mit Einweisung in die IT, Schulung zur Datensicherheit und Verpflichtung auf das Datengeheimnis
  •  Beauftragung von Drittfirmen
  • Datenschutzkontrollen
  • Datenübermittlungsanforderungen von Dritten (zum Beispiel Versicherungen, Polizei)

Über ein Berechtigungskonzept kann gewährleistet werden, dass alle Mitarbeiter die für ihre Aufgabenwahrnehmung nötigen Daten zur Verfügung haben.

Zugriffsrechte werden in Form eines eines abteilungsspezifischen Regelwerkes festgelegt, das mit dem Datenschutzbeauftragten abzustimmen ist. Bei Bedarf wird für den einzelnen Patienten eine Rechteliste in der Patientenakte mitgeführt, z. B. wenn er von seinem Widerspruchsrecht gebrauch gemacht hat. Die Rechte werden je nach Anwendungsfall vergeben an:

  • Fachabteilungen
  • Rolleninhaber
  • Einzelpersonen

Im Krankenhausbetrieb sind hierarchisch geordnete, rollenbasierte Zugriffsrechte meistens angemessen. Den unterschiedlichen Aufgaben und Zielen entsprechend ist der Zugriff nach der Art der Daten und der Art des Zugriffs zu gewährleisten. Die Definition der Rollen und der ihnen zugeordneten Zugriffsrechte sollte durch durch den Kliniksvorstand vorgenommen und durch eine zentrale verfahrensbetreuende Stelle umgesetzt werden. Die Zuweisung von Rollen zu bestimmten Personen erfolgt durch die Fachabteilung. Soweit lediglich abteilungsinterne Zugriffsmöglichkeiten betroffen sind, können eigene Rollen auch durch die Fachabteilung definiert werden.
 
Artikelbild: Symbolbild (c) kokopinto

1 Antwort

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.