Welche Mitarbeiter dürfen im Alltag eigentlich auf welche Daten zugreifen? Diese Frage muss sich jedes Unternehmen stellen, das personenbezogene Daten verarbeitet. Etwas technischer ausgedrückt lautet die Frage in Bezug auf die eingesetzte Software in der Praxis häufig:
Welches Rechte- und Rollenkonzept wird für ein bestimmtes Softwareverfahren benötigt?
Die Antwort hierauf ist auf den ersten Blick relativ simpel:
Jeder Mitarbeiter darf die Daten einsehen, die zur Erfüllung der zugewiesenen Aufgabe erforderlich sind – „Need to know“.
Bei genauerer Betrachtung bedeutet dies aber auch, dass Daten, die Mitarbeiter für ihre Arbeit nicht benötigen, nicht eingesehen werden dürfen. Spätestens jetzt kann man das erste Mal ahnen, dass die Umsetzung in der Praxis durchaus komplizierter werden kann. Noch komplizierter wird es, wenn Mitarbeiter Arbeitsplätze in verschiedenen Abteilungen und mit unterschiedlichen Aufgaben haben. Gesteigerte Anforderungen bestehen darüber hinaus insbesondere dann, wenn neben datenschutzrechtlichen Bestimmungen zusätzlich spezielle Verschwiegenheitsregelungen, beispielsweise die ärztliche Schweigeplicht, zu beachten sind.
Für den medizinischen Bereich haben die Datenschutzbeauftragten des Bundes und der Länder mit der Orientierungshilfe zu Krankenhausinformationssystemen (OH-KIS) daher umfangreiche Vorgaben definiert, die bei der Erstellung eines Rechte- und Rollenkonzept zu beachten sind. In der aktuellen Ergänzungslieferung des Praxishandbuches „Datenschutz im Gesundheitswesen“ des AOK-Verlages kommentieren unsere Mitarbeiter Sebastian Ertel und Sven Venzke-Caprarese den ersten Teil der OH-KIS, um die Vorgaben für den Datenschutzbeauftragten verständlicher und umsetzbarer zu machen. Die Kommentierung des von der OH-KIS vorgesehenen Aufnahmeprozesses können Sie kostenlos online auf unserem Blog herunterladen.