Klinikinformationssysteme im Visier der Datenschützer
BERLIN (gvg). Die deutschen Datenschützer wollen sich intensiver mit Klinikinformationssystemen (KIS) auseinandersetzen. Kritik gibt es vor allem daran, dass oft nicht nachvollziehbar ist, wer wann auf Daten zugreift.
Veröffentlicht:Das Thema ist an sich nicht neu. Einige Entwicklungen der letzten Zeit haben ihm aber mehr Dringlichkeit gegeben. So war bei einer finnischen Krankenhausmitarbeiterin, bei der in der Klinik, in der sie arbeitete, eine HIV-Infektion diagnostiziert worden war, das Beschäftigungsverhältnis nicht verlängert worden. Verwiesen wurde dabei auf die HIV-Infektion.
Die Frau klagte, und im Prozess stellte sich heraus, dass nicht nachvollziehbar war, wer auf ihre Daten im KIS zugegriffen hatte. Die Sache ging bis zum Europäischen Gerichtshof für Menschenrechte. Der entschied im vergangenen Jahr, dass es eine Menschenrechtsverletzung sei, wenn KI-Systeme die Zugriffe durch Mitarbeiter der Einrichtung nicht protokollierten.
Im Gefolge haben sich unter anderem die Landesdatenschutzbeauftragten von Hamburg und Berlin mit dem Schutz von Daten im KIS befasst. Im Fachjargon redet man in diesem Zusammenhang von "Identity- und Access-Management". Die Ergebnisse waren ziemlich ernüchternd. In Hamburg waren die Zugriffsmodalitäten auf die KIS-Daten in den Asklepios-Kliniken und im Universitätsklinikum Hamburg-Eppendorf als überwiegend unzureichend eingestuft worden. In Berlin deutet sich Ähnliches an: "Wir stehen erst am Anfang. Aber wir sehen schon jetzt, dass es zum Teil Häuser ohne sinnvollen Datenschutz gibt", sagte Dr. Philip Scholz vom Büro des Berliner Datenschutzbeauftragten.
Um Abhilfe zu schaffen, haben die deutschen Landesdatenschutzbeauftragten jetzt beschlossen, eine Unterarbeitsgruppe zu gründen, die sich intensiv mit dem Thema KIS und Zugriffsregelungen auseinandersetzen soll. "Sie wird noch in diesem Jahr zum ersten Mal tagen", so Scholz zur "Ärzte Zeitung". Ziel sind konkrete Empfehlungen für ein datenschutzkonformes Identity- und Access-Management.
Der Hamburger Datenschutzbeauftragte hat dazu schon einige Grundgedanken entwickelt. So werde es vor allem darum gehen, die Logik der Zugriffsberechtigungskonzepte umzustellen auf eine stärkere Bindung an den konkreten Behandlungszusammenhang. Im Klartext: Nicht mehr jeder Klinikmitarbeiter soll auf KIS-Daten zugreifen dürfen, sondern nur noch jene, die auch wirklich an der Behandlung beteiligt sind. Mehr Transparenz, sprich eine sinnvolle Protokollierung, soll Zugriffe zudem nachvollziehbar machen, falls Missbrauch angenommen wird.
In der Pflicht sind in diesem Zusammenhang nicht nur die Krankenhäuser, sondern auch die Softwarehersteller. Nur wenige bieten bisher ausgefeilte rollenbasierte Zugriffskonzepte an.