Schutz vor krankhafter Neugierde

Feature | 8. November 2010 von Sibylle Hofmeyer 0

Gerade in Krankenhäusern muss Datenschutz groß geschrieben werden (Foto: fotolia)

Zugriff auf Patienten-Informationen: Datenschutz in Krankenhäusern (Foto: fotolia)

Um die persönlichen Daten der Patienten in Krankenhäusern zu schützen, ist der Zugriff auf ausgewählte Organisationseinheiten und Funktionen beschränkt. Wer mit SAP IS-H in der Aufnahme arbeitet, darf beispielsweise keine Patientendaten einsehen, die nähere Rückschlüsse auf bestehende Erkrankungen zulassen.

Zur Verbesserung des Datenschutzes führte das Evangelische Krankenhaus Königin Elisabeth Herzberge (KEH) in Berlin das Modul SAP BusinessObjects Access Control als Bestandteil der SAP-Lösungen für Governance, Risk & Compliance (GRC) ein. „Wir hatten das Ziel, die Berechtigungen und Zugriffe unserer Anwender, Profile und Rollen in SAP und Fremdsystemen einfacher darstellen und kontrollieren zu können“, begründet Ralf Korzendorfer, Leiter Informationstechnik des KEH, die Implementierung.

Transparentes Kontrollsystem

Darüber hinaus sollten die Anforderungen und Regelungen zum Deutschen Corporate Governance Kodex erfüllt und ein transparentes internes Kontrollsystem im Krankenhaus unterstützt werden. BusinessObjects Access Control bietet dem KEH die Möglichkeit, qualifizierte Aussagen über die Wirksamkeit seines internen Kontrollsystems zu treffen, wie sie beispielsweise die Wirtschaftsprüfer verlangen.

Die Lösung lässt sich problemlos an vorhandene SAP-Systeme koppeln und erlaubt ebenfalls die Anbindung von Systemen anderer Hersteller. So lassen sich mögliche Funktionstrennungskonflikte auch systemübergreifend identifizieren.

Lesen Sie auf der nächsten Seite: Risikoanalyse zeigt Zugriffskonflikte

Risikoanalyse zeigt Zugriffskonflikte

Zur Prüfung der vorhandenen Berechtigungen stellt BusinessObjects Access Control ein umfassendes Regelwerk bereit, welches Funktionstrennungskonflikte und kritische Berechtigungen sowie die entsprechenden Risiken enthält. Auf Basis dieses Regelwerkes werden die vorhandenen Nutzer, Rollen und Profile mitsamt ihren Berechtigungen einer Risikoanalyse unterzogen. Ergibt eine Analyse, dass ein Anwender unbefugt auf bestimmte Daten zugreifen könnte, werden von BusinessObjects Access Control die möglichen Zugriffskonflikte angezeigt.

Dies gilt sowohl für die initiale Prüfung von Nutzern als auch im Falle späterer Änderungen an den individuellen Berechtigungsprofilen. Braucht ein Anwender eine zusätzliche Zugriffsberechtigung, prüft der Systemadministrator mithilfe von BusinessObjects Access Control, ob diese neue Berechtigung mit den bereits vorhandenen zu Konflikten führt.

T-Systems schließt Lücke für Krankenhäuser

Während SAP für Industrieunternehmen die entsprechenden Regelwerke als Standard ausliefert, gab es bisher noch keine Vorlagen speziell für Krankenhäuser. T-Systems hat diese Lücke geschlossen und in einem Pilotprojekt ein Regelwerk für die Berechtigungen in SAP IS-H entwickelt, das auf den Einsatz in Krankenhäusern mittlerer Größe zugeschnitten ist. Dazu stellte T-Systems die Vorgaben für kritische Berechtigungen und Funktionstrennungskonflikte in SAP IS-H zusammen und spielte dieses Regelwerk in BusinessObjects Access Control ein.

T-Systems betreut das KEH seit der gemeinsamen SAP R/3-Einführung 1999. Darüber hinaus wurde der SAP-Komplettdienstleister dem KEH von SAP als Projektpartner für die Einführung von BusinessObjects Access Control empfohlen. SAP und T-Systems verbinden langjährige Partnerschaften, gerade auch im Bereich Governance, Risk und Compliance.

Die Einführung erfolgte beim KEH in mehreren Phasen, angefangen bei der Hardware-Beschaffung und Installation der neuen BusinessObjects GRC-Lösung über Erstellung und Anpassung des Regelwerks nach den Vorgaben der Fachverantwortlichen in Finanz- und Rechnungswesen, IS-H usw. bis hin zu Schulungen und gemeinsamen Tests. Darüber hinaus wurde die spätere Anbindung eines Fremdsystems vorbereitet.

Lesen Sie auf der nächsten Seite: Sichere Anlage neuer Zugriffsrechte

Sichere Anlage neuer Zugriffsrechte

Derzeit überarbeitet das KEH mit dem erweiterten Regelwerk von BusinessObjects Access Control die bestehenden Berechtigungen und Zugriffe in SAP IS-H und den anderen Modulen und führt über das gesamte System hinweg Risikoanalysen durch. „Die neue Lösung bietet uns den Vorteil, dass wir kritische Berechtigungen und Funktionstrennungskonflikte sehr viel schneller, einfacher und umfassender identifizieren und bereinigen können, auch bereits bei der Anlage neuer Zugriffsrechte“, unterstreicht Ralf Korzendorfer. Mit BusinessObjects Access Control ist es möglich, für vorhandene und neu eingerichtete Berechtigungen in SAP zeitnahe Berichte über bestehende Risiken zu erstellen.

Durch BusinessObjects Access Control ist die Kontroll- und Überprüfungspflicht, die das KEH wie jedes andere Krankenhaus im Umgang mit sensiblen Patientendaten hat, deutlich einfacher. Das KEH sieht sich so auch in Zukunft gewappnet, den steigenden gesetzlichen und regulatorischen Anforderungen zu genügen.

GRC-Outsourcing ab 2011 verfügbar

Aus den Erfahrungen des Pilotprojektes hat T-Systems gemeinsam mit SAP ein GRC-Outsourcing-Modell entwickelt, das ab 2011 angeboten werden soll. „Im Unterschied zum Pilotprojekt im KEH Berlin wird T-Systems dann eine zentrale GRC-Plattform in den eigenen Rechenzentren bereitstellen, auf die Kunden ohne eigene Installation remote zugreifen können“, schildert André Bennewitz, Servicemanager bei T-Systems, die Vorzüge des neuen Outsourcing-Modells. „Damit wird der Einsatz der SAP GRC-Lösung zur Risikoanalyse und -überwachung für mittelständische Krankenhäuser nochmals deutlich attraktiver.“

Tags: , ,

Leave a Reply