SORMAS-X Datenschutz: Die Dokumentation
Die SORMAS-X Datenschutz-Dokumentation besteht aus über 50 Dokumenten, die alle Datenschutz/Informationssicherheit Themen abdecken, die aus rechtlicher und technischer Sicht zu regeln waren. Diese Themen reichten von einer Datenschutz-Folgenabschätzung, einem umfassenden Sicherheitskonzept über eine Tabelle mit allen Datenfeldern, die in der Software vorhanden sind, bis zu einer Darstellung des Datenmodells und der Anforderungen an die sichere Gestaltung von Schnittstellen.
Unser Ziel war es dabei von Anfang an, die Dokumentation auch für die Gesundheitsämter nutzbar zu machen, die die SORMAS-X Software einsetzen.
Viele der Dokumente sind daher so gestaltet, dass sie von den Gesundheitsämtern als Vorlage genutzt und mit eigenen Inhalten ergänzt werden können, so zum Beispiel die Datenschutz-Folgenabschätzung und das Verzeichnis Verarbeitungstätigkeiten. Dies war insbesondere vor dem Hintergrund bestehender länderspezifischer Vorgaben in den einzelnen Bundesländern erforderlich.
Privacy by Design umsetzen
Ein weiteres Ziel, das wir im Verlauf der Arbeiten entwickelt haben, war die möglichst weitgehende Berücksichtigung und Umsetzung des Grundsatzes von Privacy by Design in der Software.
Aus unserer Sicht hat sich nicht nur dafür, aber generell ein dreistufiges Vorgehen als das Beste erwiesen. Pro Thema haben wir zunächst ein formales Konzept erstellt, das die formalen datenschutzrechtlichen Anforderungen (beispielsweise an das automatisierte Löschen von personenbezogenen Daten) beschreibt. Daneben haben wir dann ein technisches Umsetzungskonzept entwickelt, das die technischen Möglichkeiten der Umsetzung beschreibt, wie sie im formalen Konzept definiert sind. Um im obigen Beispiel des automatisierten Löschens von personenbezogenen Daten zu bleiben heißt das: im technischen Umsetzungskonzept ist beschrieben, wie das automatisierte Löschen von Daten aus der Software konzipiert und ermöglicht werden soll und kann. Als dritter Schritt war geplant, die Beschreibung der technischen Umsetzung zu dokumentieren, um den Nachweis führen zu können, dass die in den Konzepten niedergelegten Anforderungen eingehalten sind. Dieser dritte Schritt ist in Bezug auf einige Themen der SORMAS Software bis Projektende noch offengeblieben, was den begrenzten zeitlichen, personellen und auch finanziellen Ressourcen des Projektes geschuldet ist.
Im Ergebnis ist SORMAS-X am Ende des Projekts die Software, die von allen IfSG-Fachanwendungen am sorgfältigsten und gründlichsten im Hinblick auf Datenschutzfragen geprüft und dokumentiert ist.
Sie kann damit Vorbild für alle anderen IfSG-Fachanwendungen sein. Dies gilt unabhängig von der Tatsache, dass es weiterhin Bedarf für die Weiterentwicklung gibt. Der ist identifiziert, benannt und die nötigen Arbeiten für die Umsetzung von weiteren Privacy by Design Merkmalen durch Netzlink haben bereits begonnen.
Ausblick
In den nächsten Artikeln werden einzelne Dokumente zu Datenschutz- und Sicherheitsthemen, die im Verlauf des Projektes besonders wichtig waren, etwas weiter im Detail erläutert.
Den ersten Artikel aus der Reihe „SORMAS-X Datenschutz“ finden Sie hier.
Sie brauchen Unterstützung bei der Umsetzung von Datenschutz im Gesundheitswesen? Sprechen Sie uns gerne an und wir finden in einem kostenlosen Erstgespräch heraus, was wir für Sie tun können.