Da ich (noch) Administrator in einer größeren medizinischen Einrichtung bin und bis vor der EU-DSGVO auch der Datenschutzbeauftragte war, kann ich dazu was sagen.
Wenn es bisher ein kleines Netzwerk ohne zentralem Server nur mit Netzwerkfreigaben von Arbeitsplatz-PCs ist (kenne ich so vom Phsychoterapeuten als Mieter bei uns in der Firma), dann stimmt es, dass die PC-Benutzer keine Administrator-Rechte auf ihren PCs mehr haben dürfen!!!
Backups können auf
NAS liegen, aber diese müssen räumlich an anderem Ort und in einem Raum mit gesichertem Zugang stehen!!!
E-Mail Verkehr mit Patientendaten ist nicht mehr zulässig, wie auch Fax u.a.!!! Ob dazu schon der Patientenname u.ä. wie Termine ohne medizinischen Bezug gehören ist ungeklärt/umstritten. Es ist in der gegenwärtigen Situation davon auszugehen, dass es nicht erlaubt ist!!!
WLAN-Zugang zum Netzwerk ist ungeklärt/umstritten. Aber bei entsprechender Rechtevergabe mit Hilfe van Radius-Servern sollte es unproblematisch sein. Gäste-WLAN ist nur möglich, wenn es vom Netzwerk durch verschiedene VLANs o.ä. untereinander vollkommen getrennt und managebar ist. Da kommt man an semiprofessionellen Routern/WLAN-Accesspoints z.B. von Lancom kaum vorbei!!!
Internetverbindung des Netzwerkes mit den Patientendaten ist erstmal nicht zulässig, wird aber allgemein für Fernwartungszwecke der Software erwartet. Wenigstens ist dafür ein der EU-DSGVO entsprechender Vertrag der beteiligten Firmen nötig, wird aber in der gegenwärtigen Situation wohl auch nicht ausreichend sein, weil es einen aktuellen Fall gibt, wo die Internetverbindung einer medizinischen Einrichtung zu ernsthaften Problemen geführt hat. Hatte deshalb gerade erst vergangene Woche einen Anruf von unserem jetzt extern Datenschutzbeauftragten!!!