Es mache keinen Sinn, den IT-Leiter ein "Projekt Orientierungshilfe" aufsetzen zu lassen, betonte Marco Biewald, Datenschutzbeauftragter bei der Verdata Datenschutz GmbH. Zum einen sei der IT-Leiter für viele der in der Orientierungshilfe angelegten Bestimmungen gar nicht der richtige Ansprechpartner. Zum anderen würden viele Krankenhäuser schon heute wichtige Teilaspekte der Orientierungshilfe adäquat umsetzen, oft ohne sich darüber im Klaren zu sein. Biewald empfahl deswegen in einem ersten Schritt, einen Hauptverantwortlichen für das Thema Datenschutz zu benennen und diesen die über 200 Einzelanforderungen der Orientierungshilfe auflisten zu lassen. Darauf aufbauend können dann einige prioritäre und mit den zur Verfügung stehenden Mitteln umsetzbare Projekte definiert werden. Damit kann sich ein Krankenhaus den Anforderungen der Orientierungshilfe zumindest annähern und illustrieren, dass es handelt.

"Probleme sind bewältigbar"
Ein vergleichsweise klares Teilprojekt könnten beispielsweise die IT-Sicherheitsanforderungen sein, von der Firewall bis zur Verschlüsselung. Auch das Thema einer Protokollierung von Zugriffen, das immerhin rund ein Viertel aller Anforderungen in der Orientierungshilfe betrifft, hält Biewald für bewältigbar. Im Kern geht es darum, ein Protokollierungskonzept aufzubauen, das festlegt, welche Zugriffe nur in Sonderfällen möglich und deswegen protokollierungspflichtig sind. Wenn das dann auch noch angemessen kommuniziert werde, falle die Zahl der nicht statthaften "Datenzugriffe aus Neugier" durch unberechtigte Mitarbeiter fast von alleine ab, so Biewald.

Ebenfalls ein überschaubares Projekt, mit dem ein Krankenhaus einer Einhaltung der Orientierungshilfe näher kommen kann, ist die Etablierung einer verbindlichen Policy für die Beendigung von Zugriffsrechten nach Ende eines stationären Falls. Hier seien bestimmte Fristen festzulegen beziehungsweise Ereignisse zu definieren, die eine Sperre auslösen.

Es bedarf Klarheit bei den Zugriffen
Schließlich bringe eine krankenhausweite Aufstellung jener Personen und Situationen, die einen fachbereichsübergreifenden Datenzugriff benötigen beziehungsweise erfordern, mehr Klarheit in die Zugriffsproblematik. Diese Liste wird dann eine der Grundlagen für den eigentlich anspruchsvollen Teil, nämlich den Aufbau eines systematischen, rollenbasierten Zugriffsmanagements.