Datenschutz im Krankenhaus

Schwer kalkulierbares Minenfeld

19.04.2010

Von

Alexander Freimark wechselte 2009 von der Redaktion der Computerwoche in die Freiberuflichkeit. Er schreibt für Medien und Unternehmen, sein Auftragsschwerpunkt liegt im Corporate Publishing. Dabei stehen technologische Innovationen im Fokus, aber auch der Wandel von Organisationen, Märkten und Menschen.

Weitere Artikel des Autors

„Wenn Daten verloren gehen, werden die Menschen im Krankenhaus an den Pranger gestellt und nicht die politischen Entscheidungen oder der permanente Kostendruck“, sagt Gartner-Analyst Carsten Casper.

Das darf nicht aufs Spiel gesetzt werden: Für IT-Leiter, Ärzte und Klinikverwaltungen bedeutet das dennoch: Die Manager bewegen sich permanent auf einem Minenfeld von unzähligen Verordnungen - auch und vor allem IT-Manager. "IT-Mitarbeiter und -Manager sind die direkt durchführende Instanz der IT-Versorgung und tragen primär die Verantwortung für die datenschutzkonforme Nutzung der IT-Systeme", sagt dazu der IT-Manager einer Klinikkette, der nicht namentlich genannt werden möchte. Auf den Datenschutzbeauftragten des Hauses lasse sich die Verantwortung nicht abwälzen: "Ich muss technisch und organisatorisch den DatenschutzDatenschutz sicherstellen und auch Initiativen des Unternehmens diesbezüglich kommentieren, um meine fachliche Verantwortung nicht zu verletzen." Dazu zählt beispielsweise, Benutzerrechte einzusetzen, zu überwachen und zu dokumentieren. Alles zu Datenschutz auf CIO.de

Verantwortung lässt sich nicht auf Datenschutzbeauftragten abwälzen

Probleme würden vor allem in zwei Bereichen entstehen: Einerseits durch die "latente Konfliktlage zwischen dem maximalen Nutzungsinteresse von IT und dem Datenschutz", andererseits durch die "ungeschützte Übermittlung von sensiblen Informationen in das Krankenhaus hinein". Ein Beispiel für den ersten Fall wäre die weitergegebene Information von der psychischen Erkrankung eines Patienten an den Chirurgen, der diese Information gerne hätte, aber sie nicht bekommen darf, weil sie für seine Behandlung nicht relevant ist. Im zweiten Fall werden Befunddokumente als E-Mail-Anhang unverschlüsselt und nicht authentisiert in das Krankenhaus geschickt, weil etwa die Zeit drängt. "Das müssen wir unterbinden, auch wenn es mit den Systemen manchmal schwer fällt." Was fehlt, sind etablierte Standards - nicht nur in der komplexen Technologie, sondern auch bei Konzepten und Vorgehensweisen.

Hinzu kommt noch ein Punkt, der zumeist stiefmütterlich behandelt wird - die allgemeine IT-Sicherheit. Firewalls, Virenschutz und Systeme für die Einbruchserkennung sind nur eine Facette: "Jede größere Einrichtung, die Daten austauscht, sollte mit dem Aufbau eines Sicherheits-Managements beginnen", rät Jochen Kaiser, IT-Sicherheitsbeauftragter am Universitätsklinikum Erlangen. So regelt die Norm ISO 27001 beispielsweise die Sicherheit aller Ein- und Ausgänge aus dem Netz einer Organisation.