Debatte: Datenschutz in Kliniken
Pinnwand-Passwörter sind Usus
Die digital gespeicherten Informationen in verschiedenen Anwendungen, die vor allem in Krankenhäusern Anwendung finden, sind dagegen oft ein offenes Scheunentor. Nicht nur unbefugte Mitarbeiter, sondern auch Ärzte und Pflegepersonal bekommen nicht nur in bestimmten Notsituationen relativ leichten Zugang zu vielen Applikationen und gespeicherten Patientendaten
Balance zwischen Datenschutz, Usability und Patientensicherheit
Meierhofer spricht sich für eine "Balance zwischen Datenschutz, Usability und Patientensicherheit" aus: "Weil medizinische Daten besonders sensible Informationen sind, müssen IT-Anbieter im Gesundheitswesen ihren Kunden Berechtigungskonzepte bieten, die den sicheren Zugriff auf Patientendaten gewährleisten."
Und genau das habe man bereits in die eigenen Produkte eingebaut: Die Berechtigungsmechanismen des Informationssystems MCC ("Meierhofer Clinical Competence") erlauben, so der Hersteller, den "fallbezogenen Zugriff auf Patienten". Damit seien auch VIP-Patienten oder Klinik-Mitarbeiter geschützt. Die KIS-Programme von Meierhofer bieten laut Wache darüber hinaus Gruppen- und Benutzerrechte für die Organisation abgrenzbarer Benutzer-Einheiten. Anmeldungsmechanismen über LDA-Protokolle (LDAP) und eine zentrale Rechteverwaltung mittels Active-Directory würden Single Sign On, Transparenz über die Berechtigungen und die zentrale Benutzersperrung über sämtliche Systeme hinweg erlauben.
Datenschutz per Software oder per Organisation?
Doch das beste Datenschutzkonzept in einem KIS sei nutzlos, "wenn Datenschutz nicht auch konsequent organisatorisch gelebt wird". Oft seien es nicht die technischen Voraussetzungen, die einem datenschutzkonformen Umgang mit Informationen im Wege stehen, "sondern Gewohnheiten wie die, dass sich eine ganze Station über den Account eines einzelnen Mitarbeiters einloggt oder über Passwörter, die deutlich sichtbar an der Wand hängen".
Foto: Meierhofer
Laut Wache ist es Aufgabe der Kliniken, den Umgang mit Patientendaten verbindlich zu definieren und in einer Richtlinie festzuschreiben. Ob man mit solchen allgemein gehaltenen Appellen an die Adresse der Krankenhäuser allerdings die Aufforderungen der Datenschützer nach besser abgesicherten Zugangsberechtigungen erfüllen kann, ist keineswegs ausgemacht.
Vor allem hatten die Datenschützer die Einführung verbindlicher Standards auf Seiten der KIS-Hersteller gefordert. Das sei aber gar nicht nötig, meint man offenbar bei Meierhofer.