A1exR

Ohmannohmann: Revisionssichere Verfahren sind Readonly. Also spezielle Datenträger oder zertifizierte Archivsysteme

Was bleibt dann noch übrig?

Yeah .... Daten aus dem Krankenhaus, aber keine Patientendaten und absolut nix wichtiges .... was meinst Du welche Fragen der PA dann garantiert stellt auch wenn ich nicht dabei bin ??

also bekommt jeder Patient einen Account und muss seine Daten da hochladen?

Darauf war meine Fragestellung eigentlich bezogen. Der Arzt hat als Beispiel gedient. 

Funktioniert das auch alles, wenn Arzt XY Patientendaten von einem Dritten hochlädt?

Zu diesen Fragen kommt noch:
Was machst du bei einem Auskunftsersuchen nach Artikel 15?
Wie werden Zugriffe auf die Daten und das Löschen der Daten protokolliert?
Zugriffe auf das Backup müssen auch gesichert und protokolliert werden. 

Nackfotos von der Mutter ???? Wie bist Du denn drauf ?? 👹

Zuerst einmal: Wenn ich als Patient Wind davon bekommen würde, dass meine Patientendaten über irgendeine selbst gehostete ownCloud verschickt werden, würde ich da nicht sonderlich verständnisvoll drauf reagieren.
 
Generell:
Warum nur 34h? Projektdokumenation schaffst du nicht in 4h Deine Evaluationsphase ist viel zu knapp Gespräch mit dem Datenschutzbeauftragen und Härtung des Server ist zu knapp (siehe mein erster Satz). Das muss wirklich niet- und nagelfest sein Planungsphase ist auch etwas knapp finde ich  
Ich verstehe vollkommen, dass man als Unternehmen für solch eine Problematik eine Lösung haben möchte (das Problem hast du übrigens gut dargestellt/schafft nicht jeder hier), aber sowas im Rahmen eines Abschlussprojekts für die Ausbildung zu machen, halte ich nicht für wirklich clever.

Naja, um das mal in einen Kontext zu setzen:
Wenn eine CD versandt wird, ist im Zweifel diese eine CD durch Postboten (bzw. weitere Transporteure) kompromittiert. Wenn die CD an den Patienten ausgehändigt wird (so kenne ich das), kann diese CD "eigentlich" nicht kompromittiert werden (außer jemand hat einen gefälschten Ausweis, etc.). 
Wenn hingegen das komplette FileSharing-System gehackt wird, hat derjenige Zugriff auf unbekannt viele Patientendaten. 
 
Wie bereits gesagt: Ich verstehe, dass das sowohl aus betriebswirtschaftlichen Punkten, als auch aus IT-Architektur-Sicht, wesentlich schöner ist, aber in einem Abschlussprojekt ist das echt gefährlich. Vielleicht kann da ein Datenschutzmensch mal einen Blick drauf werfen @charmanta.
 
Ich finde immer noch, dass du zuviel installierst. Wieso benötigst du bspw. 2h um einen Server aufzusetzen oder 3h um Veeam anzubinden? Wenn du das erklären kannst, ist ja alles gut, aber das kommt mir unverhältnismäßig hoch vor.

Ihr habt gerufen.
Ich sags mal gaaanz vorsichtig: Hier reden wir über Patientendaten mit höchstem Schutzbedarf, das ist ein "angemessenes Datenschutzniveau" zu halten.
Das geht auch mit CD oder Cloud ... aber eben nur mit Zusatz ..

Da steht vorbestimmt drin dass Du eine Sharing Software einsetzen wirst ?

Kommt darauf an...
Würdest du auf einem so gesicherten Server Nacktfotos oder einschlägige Filmchen von und/oder mit dir, deiner Freundin, deiner Mutter... abgelegt wissen wollen? Würden die das wollen? Wenn du beide Fragen nicht spontan und vorbehaltlos mit "ja" beantworten kannst, würde ich sagen es reicht nicht.

ich sags mal ganz vorsichtig: Du muss in der DSGVO wirklich gut schwimmen können um das Thema hinreichend zu erschlagen.
 

Was mir gerade adhoc an der Zeitplanung auffällt: Die Systemtests machen keinen Sinn vor Härtung und Konfiguration des Backups.