© G+H Systems GmbH
Bild: © G+H Systems GmbH

Datenschutz: Daccord kontrolliert den Zugriff auf Patientendaten

Dieser Beitrag ist mehr als 3 Jahre alt.

Gesundheitsdaten gehören zu den persönlichsten der sogenannten personen­bezogenen Daten. Umso wichtiger ist ein zuverlässiger Schutz der Patienten­daten, speziell in Kranken­häusern. Dazu gehören nicht nur sichere IT-Systeme sondern auch ein sorg­fältiges Management der Zugriffsrechte.

Ein solches IAM (Identity and Access Management) tut sich jedoch immer dann schwer wenn – wie in Kliniken – unterschiedliche Systeme im Einsatz sind, für die an unterschied­lichen Stellen Rechte vergeben werden. Die Folge. Mangels Übersicht behalten Mitarbeiter ihre Rechte, auch wenn sich ihre Aufgaben ändern und sogar manchmal dann, wenn sie ausscheiden. So ist gegen ein Kranken­haus in Portugal bereits 2018 eine DSGVO-Geldbuße von 400.000 Euro verhängt worden, weil dort 985 registrierte Arzt­profile Zugriff auf Patienten­daten hatten – obwohl die Klinik nur 296 Ärzte hatte. Darüber hinaus hatten die Ärzte uneingeschränkten Zugang zu allen Patienten­akten, unabhängig von ihrem Fach­gebiet, auch das Nutzer­profil „Techniker“ durfte offenbar auf Patienten­daten zugreifen. Ähnliche Beispiele gibt es u.a. aus den Niederlanden.

In diese IAM-Transparenz­lücke ist die G+H Systems GmbH aus Offenbach am Main vorgestoßen und hat eine Art Zugriffs­rechte-Radar für den Einsatz in Kranken­häusern entwickelt, das unter dem Namen daccord läuft. Die Software ist in der Lage, über Konnektoren die tatsächlich vergebenen Berechtigungen auszulesen, und zwar quer über die einzelnen Systeme hinweg. Das Ergebnis ist ein übersichtliches Dashboard (Web-GUI), das Soll-Ist-Abweichungen deutlich macht. Im Einsatz ist das System u.a. an der Universitäts­klinik Jena, es hat sich aber auch in anderen Firmen, vor allem aus dem Banken- und Finanzsektor, bewährt.

In der Basisversion, der Access Governance Edition, beschränkt sich daccord im Wesentlichen auf diese Visibility-Funktion – sie ist nicht zuletzt dann hilfreich, wenn ein konkreter Compliance-Nachweis ansteht. Die Advanced Edition koppelt daran ein einsatzfertiges, umfassendes und skalierbares IAM, sodass sich die Rollen und Rechte auch aktiv festlegen, ändern und managen lassen. Speziell für Szenarien in Microsoft-Umgebungen, die mit Active Directory und NTFS arbeiten, gibt es außerdem eine eigene Microsoft Edition.