Zum Datenschutz im Zusammenhang mit der Speicherung von Patientendaten gelten vielfältige und komplizierte Regelungen. Es sind jedoch (Stand 2012) keinerlei Sanktionen bestimmt, die im Falle des Verstoßes gegen die Anforderungen greifen sollen. Zunächst wird für alle Daten auf die Regelungen des Bundesdatenschutzgesetzes zu mobilen personenbezogenen Speicher- und Verarbeitungsmedien verwiesen. Daraus ergeben sich:
- ein Auskunftsrecht über den Inhalt der gespeicherten Daten und ihre Herkunft
- ein Berichtigungsanspruch hinsichtlich falscher und ein Löschungsanspruch hinsichtlich unzulässig gespeicherter Daten
- jeweils gegenüber öffentlichen und nicht-öffentlichen Stellen.
Darüber hinaus schränkt § 291a Abs. 4 SGB V den Zugriff auf die Daten auf Zugriffsberechtigte ein. Auf die Daten nach Abs. 2 – insbesondere also ärztliche Verordnungen (eRezept) – dürfen außer dem Versicherten, der auch ein Zugriffsrecht hat, nur Ärzte, Zahnärzte, Apotheker, aber auch deren Gehilfen und sonstige Erbringer ärztlich verordneter Leistungen zugreifen; auf die Daten nach Abs. 3 außerdem Psychotherapeuten und auf die Notfalldaten nach Abs. 3 Satz 1 Nr. 1 in Notfällen auch Angehörige eines anderen Heilberufs.
Die Beschränkung des Zugriffs auf Zugriffsberechtigte muss durch technische Vorkehrungen abgesichert werden.
Hinsichtlich der Daten nach Abs. 3 (außer den Notfalldaten) ist dabei eine doppelte Autorisierung durch den Versicherten und den Zugriffsberechtigten (also zum Beispiel Arzt) durch den elektronischen Heilberufsausweis vorgesehen, der über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügen muss.
Hinsichtlich der Notfallversorgungsdaten reicht der elektronische Heilberufsausweis,
und hinsichtlich der Daten nach Abs. 2 Satz 1 Nr. 1 (eRezept) ein entsprechend gesicherter Berufsausweis oder ein vom Versicherten für den jeweiligen Zugriff autorisiertes geeignetes technisches Verfahren.
Weiter protokollieren wir alle Zugriffe für Zwecke der Datenschutzkontrolle. Eine Verwendung der Protokolldaten für andere Zwecke ist unzulässig. Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch geschützen. Ziel dieser Protokollierung ist es, dass „es dem user von 247med.de und nur ihm erlaubt ist Zugriffe zu seinen Daten zu verfolgen und retrospektiv Verletzungen von Datenschutz und Datensicherheitsvorschriften feststellen zu können.“