In den Krankenhäusern, bei Ärzten und bei den Organisationen des Gesundheitswesens werden jede Menge Patientendaten gesammelt. Diese unterliegen prinzipiell dem Schutz der Privatsphäre, und Ärzte können zum Beispiel rechtmäßig auch gegenüber Strafverfolgungsbehörden die Auskunft verweigern (berufliche Schweigepflicht, § 203 des Strafgesetzbuches). Die digital gespeicherten Informationen in verschiedenen Anwendungen, die vor allem in Krankenhäusern Anwendung finden, sind dagegen oft ein offenes Scheunentor. Vor allem unbefugte Mitarbeiter finden leichten Zugang zu vielen Applikationen.

Im Frühjahr haben sich die bundesdeutschen Datenschützer der Problematik angenommen und auf einer Konferenz der Datenschutzbeauftragten des Bundes und der Länder dazu eine "Orientierungshilfe Krankenhaus-Informationssysteme (KIS)“ verabschiedet. Darin werden die weitreichenden datenschutzrechtlichen Anforderungen für den Betrieb von IT-Systemen in Einrichtungen der Gesundheitsversorgung zusammengefasst. Die zusätzlich enthaltenen Empfehlungen richten sich vor allem an die Krankenhäuser und an die zahlreichen KIS-Hersteller.

In der Orientierungshilfe heißt es u.a.:

"Nach Abschluss des Behandlungsfalles – d.h. nach Abwicklung der medizinischen und verwaltungsmäßigen Routinevorgänge – (oder nach Verlegung in ein anderes Krankenhaus) ist die elektronische Patientenakte im Sinne der jeweils geltenden rechtlichen Regelungen zu sperren. Dies kann auch im Zuge einer Überführung in ein Patientendokumentationsarchiv geschehen. Notwendig ist es, für die Sperrung eine feste Frist nach Entlassung des Patienten festzulegen. Diese Frist ist abhängig von den jeweiligen organisatorischen Abläufen im Krankenhaus (Fallabschluss durch medizinisches Controlling / Abrechnung / Qualitätssicherung). Von der Sperrung ausgenommen sind lediglich die zum Auffinden der gesperrten Patientendaten erforderlichen Identifikationsdaten.

Auf gesperrte Daten darf nur ein eingeschränkter Personenkreis Zugriff erhalten, um festgelegte Aufgaben erfüllen zu können (Zugriff durch ehemals behandelnde Ärzte; externe Ärzte oder Patienten; Qualitätssicherung u.a.). Die zum Zugriff berechtigen Personen können unter Beachtung der bestehenden gesetzlichen Vorgaben die Berechtigung im Einzelfall delegieren. Der Zugriff ist auf diejenigen Daten zu beschränken, die zur jeweiligen Aufgabenerfüllung regelmäßig erforderlich sind.“