Berechtigungen in Krankenhäusern DSGVO-konform umsetzen
In Krankenhäusern sind passgenaue SAP Berechtigungen für Stationsmitarbeiter oft eine große Herausforderung. Die DSGVO schreibt vor, dass personenbezogene Daten nur sehr eingeschränkt einsehbar sein sollten und zwar so, wie es notwendig ist. In diesem Beitrag gehe ich einmal auf die Problematik und die Möglichkeiten der Umsetzung ein.
Die Herausforderung: Stationsberechtigungen in Krankenhäusern
Das Problem ergibt sich letztendlich aus der Beschaffenheit und der Arbeitsweise von Mitarbeitern in einem Krankenhaus. Nicht jeder Arzt oder jeder Pfleger kann eindeutig einer Station wie z. B. Psychiatrie, Chirurgie o.ä. zugewiesen werden. Oftmals wird hier mit „Springern“ gearbeitet. Zusätzlich gibt es eine ständige Vertretungskultur, sollte irgendwo akute Unterstützung benötigt werden.
Nun schreiben die DSGVO und weitere gesetzliche Richtlinien passgenaue Berechtigungen für Mitarbeiter mit personenbezogenen Daten vor. Das hieße im Fall eines Krankenhauses, dass jede Pflegerin und jeder Arzt lediglich auf die Patientendaten Zugriff haben soll für welche sie auch zuständig sind. Das ist in der Praxis eine Herausforderung.
Wenn ein Krankenhaus ohne passendes Berechtigungskonzept unterwegs ist, drohen hohe Bußgeldzahlungen. So wurde z. B. bereits das größte Krankenhaus in Den Haag mit einem Bußgeld von 460.000€ belegt. Mehr zu dem Problem finden Sie in folgendem Beitrag: https://www.datenschutz-notizen.de/fehlendes-berechtigungskonzept-im-krankenhaus-ein-bussgeldbewaehrtes-risiko-0823168/
Mögliche Lösung: Behandlungsauftrag nutzen
SAP hat die Problematik um die Stationsberechtigungen in Krankenhäusern auch schon erkannt und eine mögliche Lösung geschaffen.
Neben den statischen SAP Berechtigungen, die ein Mitarbeiter erhalten kann, können individuelle Berechtigungen dynamisch vergeben werden. Diese dynamische Vergabe von Berechtigungen läuft über einen zugeteilten „Behandlungsauftrag“ im SAP. Durch den Behandlungsauftrag können auch über die Stationsgrenzen hinaus passende Berechtigungen für den akuten Auftrag vergeben werden.
Durch diese Vorgehensweise ist sichergestellt, dass der Mitarbeiter lediglich für den spezifischen Behandlungsauftrag die notwendigen Rechte enthält und sich somit im Rahmen der DSGVO-Konformität bewegt.
Alternative Lösung: Vertretungskonzept nutzen
Neben den Möglichkeiten, die SAP im Standard anbietet, gibt es alternative Wege sich DSGVO-konform in Krankenhäusern zu bewegen.
Bei einem unserer Kunden haben wir das Problem mit den Stationsberechtigungen durch ein Vertretungskonzept mit temporärer Vergabe von Rechten gelöst.
Letztendlich können die „Springer“ beim Start der SAP GUI auswählen, für welche Station, welchen Bereich sie jetzt gerade tätig sind und auch, wie lange der Einsatz geplant ist. Nach der Auswahl werden durch technische Automatismen im Hintergrund die passenden Berechtigungen für den Bereich an den User provisioniert.
Nach Ablauf der angegebenen Zeit, oder der durch einen Administrator definierten maximalen Zeitspanne, werden die Berechtigungen automatisch wieder entzogen.
Durch diese temporäre Vergabe ist der Zugriff der Daten im Vergleich zu rein statischen Berechtigungen auf das wirklich Notwendige reduziert – die Mitarbeiter können arbeiten und bewegen sich im Rahmen der DSGVO-konformität.
Zusätzlich kann hierbei eine Protokollierung aktiviert werden – so ist im Nachgang jederzeit ersichtlich, welcher Mitarbeiter zu welchem Zeitpunkt für welchen Bereich zuständig war und die entsprechenden Berechtigungen angefordert hat.
Welche Lösung ist für mich die Richtige?
Wie gerne ich die Antwort auf diese Frage auch parat hätte – so leicht ist es leider nicht. Jede Vorgehensweise hat seine Vor- & Nachteile. So kann es z. B. sein, dass die Umsetzung mit dem Behandlungsauftrag sinnvoller ist – vor Allem wenn dies bereits von den Mitarbeitern verwendet wird.
Sollte das nicht der Fall sein, ist die erwähnte alternative Lösung per Vertreterkonzept evtl. passender – die Umstellung für Ihre Mitarbeiter ist hierbei nicht so groß und die technische Aufbereitung recht leicht zu handhaben.
Berechtigunslösung für Ihr Krankenhaus
Sie interessieren sich für Stationsberechtigungen durch ein Vertretungskonzept mit temporärer Vergabe von Rechten oder haben allgemein Fragen oder Anmerkungen zum Thema? Lassen Sie uns unverbindlich sprechen und die beste Lösung für Ihre Herausforderung erörtern.
