Luca Cremer
 - 29. Mai 2020

Berechtigungen in Krankenhäusern DSGVO-konform umsetzen

Berechtigungen in Krankenhäusern DSGVO-konform umsetzen

In Krankenhäusern sind passgenaue SAP Berechtigungen für Stationsmitarbeiter oft eine große Herausforderung. Die DSGVO schreibt vor, dass personenbezogene Daten nur sehr eingeschränkt einsehbar sein sollten und zwar so, wie es notwendig ist. In diesem Beitrag gehe ich einmal auf die Problematik und die Möglichkeiten der Umsetzung ein.

Die Herausforderung: Stationsberechtigungen in Krankenhäusern

Das Problem ergibt sich letztendlich aus der Beschaffenheit und der Arbeitsweise von Mitarbeitern in einem Krankenhaus. Nicht jeder Arzt oder jeder Pfleger kann eindeutig einer Station wie z. B. Psychiatrie, Chirurgie o.ä. zugewiesen werden. Oftmals wird hier mit „Springern“ gearbeitet. Zusätzlich gibt es eine ständige Vertretungskultur, sollte irgendwo akute Unterstützung benötigt werden.

Nun schreiben die DSGVO und weitere gesetzliche Richtlinien passgenaue Berechtigungen für Mitarbeiter mit personenbezogenen Daten vor. Das hieße im Fall eines Krankenhauses, dass jede Pflegerin und jeder Arzt lediglich auf die Patientendaten Zugriff haben soll für welche sie auch zuständig sind. Das ist in der Praxis eine Herausforderung.

Wenn ein Krankenhaus ohne passendes Berechtigungskonzept unterwegs ist, drohen hohe Bußgeldzahlungen. So wurde z. B. bereits das größte Krankenhaus in Den Haag mit einem Bußgeld von 460.000€ belegt. Mehr zu dem Problem finden Sie in folgendem Beitrag: https://www.datenschutz-notizen.de/fehlendes-berechtigungskonzept-im-krankenhaus-ein-bussgeldbewaehrtes-risiko-0823168/

Mögliche Lösung: Behandlungsauftrag nutzen

SAP hat die Problematik um die Stationsberechtigungen in Krankenhäusern auch schon erkannt und eine mögliche Lösung geschaffen.

Neben den statischen SAP Berechtigungen, die ein Mitarbeiter erhalten kann, können individuelle Berechtigungen dynamisch vergeben werden. Diese dynamische Vergabe von Berechtigungen läuft über einen zugeteilten „Behandlungsauftrag“ im SAP. Durch den Behandlungsauftrag können auch über die Stationsgrenzen hinaus passende Berechtigungen für den akuten Auftrag vergeben werden.

Durch diese Vorgehensweise ist sichergestellt, dass der Mitarbeiter lediglich für den spezifischen Behandlungsauftrag die notwendigen Rechte enthält und sich somit im Rahmen der DSGVO-Konformität bewegt.

Alternative Lösung: Vertretungskonzept nutzen

Neben den Möglichkeiten, die SAP im Standard anbietet, gibt es alternative Wege sich DSGVO-konform in Krankenhäusern zu bewegen.

Bei einem unserer Kunden haben wir das Problem mit den Stationsberechtigungen durch ein Vertretungskonzept mit temporärer Vergabe von Rechten gelöst.

Letztendlich können die „Springer“ beim Start der SAP GUI auswählen, für welche Station, welchen Bereich sie jetzt gerade tätig sind und auch, wie lange der Einsatz geplant ist. Nach der Auswahl werden durch technische Automatismen im Hintergrund die passenden Berechtigungen für den Bereich an den User provisioniert.

Nach Ablauf der angegebenen Zeit, oder der durch einen Administrator definierten maximalen Zeitspanne, werden die Berechtigungen automatisch wieder entzogen.

Durch diese temporäre Vergabe ist der Zugriff der Daten im Vergleich zu rein statischen Berechtigungen auf das wirklich Notwendige reduziert – die Mitarbeiter können arbeiten und bewegen sich im Rahmen der DSGVO-konformität.

Zusätzlich kann hierbei eine Protokollierung aktiviert werden – so ist im Nachgang jederzeit ersichtlich, welcher Mitarbeiter zu welchem Zeitpunkt für welchen Bereich zuständig war und die entsprechenden Berechtigungen angefordert hat.

Welche Lösung ist für mich die Richtige?

Wie gerne ich die Antwort auf diese Frage auch parat hätte – so leicht ist es leider nicht. Jede Vorgehensweise hat seine Vor- & Nachteile. So kann es z. B. sein, dass die Umsetzung mit dem Behandlungsauftrag sinnvoller ist – vor Allem wenn dies bereits von den Mitarbeitern verwendet wird.

Sollte das nicht der Fall sein, ist die erwähnte alternative Lösung per Vertreterkonzept evtl. passender – die Umstellung für Ihre Mitarbeiter ist hierbei nicht so groß und die technische Aufbereitung recht leicht zu handhaben.

Berechtigunslösung für Ihr Krankenhaus

Sie interessieren sich für Stationsberechtigungen durch ein Vertretungskonzept mit temporärer Vergabe von Rechten oder haben allgemein Fragen oder Anmerkungen zum Thema? Lassen Sie uns unverbindlich sprechen und die beste Lösung für Ihre Herausforderung erörtern.

Luca Cremer

Luca Cremer

Als Fachbereichsleiter für den Security-Bereich von RZ10 erarbeite ich mit meinen Kunden eine individuelle SAP Security Strategie und begleite diese auf dem Weg zu nachhaltigen und sauberen Berechtigungen mit einem konformen Berechtigungskonzept

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Schon in gewöhnlichen Zeiten leiden Krankenhäuser unter Hacker-Angriffen. Das Corona-Virus hat die Zahl der Cyber-Attacken nun erhöht. 

weiterlesen

Das deutsche Gesundheitssystem gilt im internationalen Vergleich als gut und fortschrittlich. In Sachen Digitalisierung allerdings lassen unsere Krankenhäuser zu wünschen übrig. Sie bleiben oft weit hinter dem theoretisch Machbaren zurück und vergeuden damit Potenziale in Bezug auf Effizienz, Behandlungsqualität und Entlastung der Mitarbeiter. 

weiterlesen

Chronisch kranke Menschen werden tagtäglich mit ihrer Krankheit konfrontiert. Für sie ist es wichtig, die Krankheit richtig zu verstehen, um die Diagnose in ihr Leben einbinden zu können.

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Expert Session
Support