Jonas Krueger
 - 22. April 2020

SAP Security im medizinischen Bereich – Was ist zu beachten?

Die Digitalisierung im klinischen und medizinischen Bereich bringt wertvolle Fortschritte, aber im Hinblick auf die Absicherung der IT-Systeme auch besondere Herausforderungen mit sich. Wenn Sie im SAP-System Patientendaten, Diagnosen oder Behandlungsdokumentationen verwalten oder es als Krankenhausinformationssystem (KIS) einsetzen, gibt es besondere Sicherheitsanforderungen.

Es gibt wohl wenige Daten, die so sensibel zu schützen sind wie Patienten- und Behandlungsdaten im medizinischen Bereich. Trotzdem ist auch bei Kliniken, Krankenkassen oder Pharmaunternehmen die Digitalisierung ein großer Fortschritt und ermöglicht wertvolle Verbesserungen.

In den letzten Jahren haben wir verschiedene Unternehmen aus dem medizinischen Bereich, vom Krankenhaus bis zum Pharmazulieferer, bei der Absicherung ihrer SAP-Systeme unterstützt. Neben den gesetzlichen und buchhalterischen Anforderungen, die für diese Unternehmen genauso wie in anderen Branchen gelten, gibt es im medizinischen Bereich auch spezielle Bestimmungen, die zu beachten sind. Im Folgenden stelle ich einige konkrete Anwendungsfälle vor.

VIP-Patienten

Grundsätzlich unterliegen die Daten aller Patienten der ärztlichen Schweigepflicht. Darunter fallen nicht nur persönliche Daten, Vorerkrankungen oder Diagnosen, sondern auch schon die Tatsache, dass jemand überhaupt in Behandlung ist oder war. Mitarbeiter müssen selbstverständlich auf diese Daten zugreifen können, um beispielsweise die Behandlung oder Abrechnung zu ermöglichen. Die Daten dürfen jedoch nur von Mitarbeitern eingesehen werden, die am jeweiligen Fall beteiligt sind oder aus anderen Gründen ein berechtigtes Interesse haben, beispielsweise zur Forschung oder Qualitätssicherung.

Dennoch kann bei einigen Patienten ein erhöhtes Risiko dafür vorliegen, dass Daten ohne berechtigten Grund, sondern beispielsweise aus Neugierde eingesehen werden. Solche Patienten könnten eigene Mitarbeiter der betroffenen Gesundheitseinrichtung sein oder auch Personen des öffentlichen Lebens wie z. B. Politiker.

Um diese Daten besonders zu schützen, sollte eine Definition von VIP-Patienten genutzt werden, auf die nur ein eingeschränkter Personenkreis zugreifen darf. Dies muss auch auf Seiten der SAP Berechtigungen bzw. Rollen entsprechend umgesetzt werden.

SAP Security im medizinischen Bereich – Was ist zu beachten?
Jetzt Ihre individuelle SAP Berechtigungsstrategie festlegen
Fachbereichsleiter SAP Berechtigungen Luca Cremer
Sprechen Sie mit mir in unserem Strategieworkshop für SAP Berechtigungen über Ihre Berechtigungsstrategie.
Mehr Infos zum Strategieworkshop SAP Berechtigungen

Computer System Validierung (Pharmatechnik)

„Durch die Validierung wird der dokumentierte Beweis erbracht, dass ein Prozess oder ein System die vorher spezifizierten Anforderungen (Akzeptanzkriterien) reproduzierbar im praktischen Einsatz erfüllt“ (Quelle). Auch ERP-Systeme wie das SAP müssen dazu validiert werden. Während dieses Thema besonders bei Eigenentwicklungen im SAP zu beachten ist, wirkt es sich selbstverständlich auch auf die Absicherung der Systeme aus.

Ein unerwünschter Eingriff oder eine fehlerhafte Bedienung der IT-Systeme kann die Verlässlichkeit der gespeicherten oder errechneten Informationen stören und so unter Umständen zu lebensgefährlichen Situationen führen.

Aus diesem Grund darf die Bedienung bestimmter Funktionen nur nach einer vorherigen Schulung erfolgen. Das kann zur Folge haben, dass bestimmte Transaktionen und damit auch die entsprechenden Rollen, die diese Transaktionen enthalten, nur an Personen mit entsprechendem Schulungsnachweis vergeben werden dürfen.

Notfallzugriff und Logging

Grundsätzlich sollte der Zugriff auf die Patienten- und Behandlungsdaten nur für Personen möglich sein, die an der Behandlung beteiligt sind. Dies kann im SAP-System beispielsweise mit einem „Behandlungsauftrag“ umgesetzt werden. Durch diesen erhalten alle an der Behandlung eines Patienten Beteiligten Zugriff auf die Daten, auch wenn der Patient nicht auf der eigenen Station liegt, sondern zum Beispiel im Rahmen eines Konsils vorstellig wird.

Dennoch ist es bei Notfällen erforderlich, jederzeit auf die Daten des betroffenen Patienten zuzugreifen. Das ist besonders wichtig, wenn man ihn nicht persönlich kennt, weil er möglicherweise auf einer anderen Station liegt. Hierbei kann auf eine Notfall-Zugriffsregelung zurückgegriffen werden, über die nach Eingabe einer kurzen Begründung und unter Logging des Zugriffs die Daten freigegeben werden.

Welche Besonderheiten im klinischen Bereich sind Ihnen bereits begegnet? Teilen Sie gerne Ihre Fragen, Herausforderungen oder Lösungsvorschläge mit allen Lesern in den Kommentaren oder melden Sie sich bei uns. Wir unterstützen Sie gerne bei der Lösung und Umsetzung!

Jonas Krueger

Jonas Krueger

Mein Name ist Jonas Krueger und ich bin SAP Security Consultant bei mindsquare. Mein Spezialgebiet ist sicheres Benutzer- und Berechtigungsmanagement im SAP sowie die Prüfung und Absicherung von SAP Systemen.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Expert Session
Support