Protokollierung erhöht Datenschutz

Die AOK Systems stellt als erster kassenartenübergreifender Anbieter einer Softwarelösung die gesetzlichen Anforderungen nach § 78a SGB X zu den lesenden Zugriffen sicher. Dadurch wird der Datenschutz der GKV-Branchenlösung oscare® weiter erhöht. Die Auslieferung der Funktionalität an alle Kunden erfolgte im aktuellen Release 4.03.

SAP RAL protokolliert datenschutzkonform

In Zusammenarbeit mit den Datenschutzbeauftragten aller Gesundheitskassen ist ein fachliches Verfahren entstanden, mit dem lesende Zugriffe in oscare®-Anwendungen datenschutzkonform protokolliert werden können. Technisch wird die Funktionalität durch das im SAP NetWeaver 7.40 integrierte Produkt „SAP RAL“ (Read Access Logging) ermöglicht.

Eine Protokollierung der lesenden Zugriffe ist aus Sicht der datenschutzkonformen Nutzung grundsätzlich erforderlich. Sie kann z. B. Auskunft über die datenschutzgerechte Nutzung der Versichertendaten im System geben und entlastend in der Beweisführung im sachgerechten Umgang wirken. Einblick in die Protokolldaten können mit Hilfe entsprechender Rollen und Berechtigungen nur Personen erhalten, die für die Datenschutzkontrolle beauftragt wurden. Die im Verfahren bereits gestellten Einzelrollen lassen die Einrichtung von Zugriffsberechtigungen in dem für die jeweilige Aufgabenerfüllung erforderlichen Umfang zu.

Erste Recherchen können auf einer Rohdatenbank erfolgen, in der die Daten der jeweils protokollierten Anwendungen in komprimierter Form geschrieben werden. In einer erweiterten Datenbank sind die Protokolldaten aller Anwendungen unkomprimiert abgelegt. Sie erlaubt zusätzlich weitere Suchparameter.

„Wir stellen damit als erster kassenartenübergreifender Anbieter einer Softwarelösung die gesetzlichen Anforderungen nach § 78a SGB X zu den lesenden Zugriffen sicher.

§ 78a SGB X definiert die gesetzlichen Anforderungen an die Software

Der Paragraph schreibt vor, dass im Rahmen der Zugriffskontrolle zu gewährleisten ist, dass Sozialdaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“, so Rüdiger Bräuling, Geschäftsführer der AOK Systems. Die Protokollierung schreibender Zugriffe gehört schon seit 2003 zum oscare®-Standardfunktionsumfang.

„Die AOK Systems hat die Funktionalität bereits in ihrem aktuellen oscare® Software-Release 4.03 an alle Kunden ausgeliefert. Die AOK Hessen hat die Software als Pilotkasse im Sommer 2015 erprobt“, berichtet Tanja Willeke, Leiterin Quality Assurance. „Nach einem reibungslosen, mehrwöchigen Testbetrieb haben die Datenschützer das Produkt abgenommen. Wir können allen Kunden die Inbetriebnahme der Funktionalität empfehlen“, erläutert Andreas Wutke, Sprecher der AOK-Arbeitsgruppe oscare®-Datenschutz.

Mit der Freigabe durch die Datenschützer endet das im Sommer 2014 gestartete Projekt, an dem neben der hessischen Gesundheitskasse auch die AOK Rheinland-Pfalz/Saarland und der gemeinsame IT-Dienstleister ITSCare beteiligt waren.

Im Kundenportal der AOK Systems sind u. a. die Verfahrensbeschreibung und Hinweise zur Protokollierung lesender Zugriffe abrufbar. Für Datenschützer bietet die Trainingsakademie ein Lernmodul zur Protokollauswertung an.