rating service  security service privacy service
Datensicherheitsmaßnahmen bei der elektronischen Patientendokumentation
Philipp Hochstöger
Zugriff durch nicht-ärztliches Personal auf gesamte Krankenakte des Patienten in den meisten Fällen nicht notwendig und erforderlich - Dienstanweisungen und stichprobenartige Kontrolle allein nicht ausreichend - Zugriffsberechtigungen sind nach entsprechender Rollenverteilung technisch einzurichten

Elektronische Patientendokumentationen spielen nicht nur im Dienstbetrieb von Krankenanstalten eine wichtige Rolle, sondern sind auch für den täglichen Betrieb von Arztpraxen und anderen medizinischen und therapeutischen Einrichtungen unerlässlich. Gerade weil es sich um sensible Daten im Sinne des § 4 Z 2 DSG 2000 handelt, die in einer Patientendokumentation verarbeitet werden, kommt dem Grundrecht auf Datenschutz besondere Bedeutung zu. Dabei stellt sich die Frage inwieweit dem Personal Zugriff auf die Patientendokumentation zu gewähren ist und wie, dem DSG 2000 entsprechende Zugriffsbeschränkungen einzurichten sind. Eine Empfehlung der Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) sorgt für Abhilfe (K213.220/0009-DSK/2013).

In der Empfehlung verweist die Datenschutzkommission auf Datensicherheitsmaßnahmen, die jeder Auftraggeber zu treffen hat: „§ 14 Abs. 1 DSG 2000 verlangt insbesondere, dass Daten unbefugten Personen nicht zugänglich sind, wobei § 14 Abs. 1 leg. cit. auch berücksichtigt, dass Datensicherheitsmaßnahmen von jedem Auftraggeber oder Dienstleister individuell angepasst zu ergreifen sind, nämlich in Relation zur Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit.“

In Bezug auf die Patientenverwaltung eines Krankenhauses sprach die Datenschutzkommission aus: "Während es nach Ansicht der Datenschutzkommission für ärztliches Personal sowie u.a auch für das Pflegepersonal durchaus relevant und zweckmäßig sein kann, die gesamte Krankengeschichte eines Patienten zu kennen, kann derselbe Bedarf für das übrige (nichtärztliche) Personal (bspw. Therapeuten) nicht in jedem Fall als notwendig und erforderlich angesehen werden." Jedem Benutzer der Patientenverwaltung soll nach Ansicht der DSK eine eigene Rolle mit unterschiedlichen Zugriffsberechtigungen zugeordnet werden. Das geht soweit, dass nicht alle Ärzte einer Einrichtung Zugriff auf die Daten aller Patienten haben dürfen. Vielmehr muss der Zugriff so eingeschränkt sein, dass nur der behandelnde Arzt Zugriff auf Daten des ihm/ihr zugewiesenen Patienten haben darf. Die DSK weiter: "Es wird daher empfohlen, die Zugriffsberechtigungen technisch so zu gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind, sodass ein unbefugter und grundloser Zugriff auf Patientendaten nicht möglich ist."

Die Datenschutzkommission betont in der Empfehlung, dass eine Dienstanweisung bei grundsätzlich gleichen Zugriffsmöglichkeiten des gesamten Personals nicht ausreichend ist. Vielmehr hat der Auftraggeber durch technische Ausgestaltung der Zugriffsberechtigungen für eine Einhaltung der Datensicherheitsmaßnahmen Sorge zu tragen.

mehr --> http://ftp.freenet.at/beh/K213.220_0009-DSK_2013.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster