Herausforderung 5: Es gibt keine gesetzliche Verpflichtung für ein klar geregeltes System von Zugriffs- und Nutzungsrechten bei der Datenverarbeitung.

Jeder Leistungserbringer sollte dazu verpflichtet werden, mindestens ein klar definiertes System von Zugriffs- und Nutzungsrechten zu erstellen. Idealerweise wird dieses Rechtemanagement mit „log + control“-Prozessen sowie einer permanenten Überwachung der Datenflüsse ergänzt. Ungewöhnliche oder nicht autorisierte Zugriffe auf Daten müssen Alarm auslösen und gemeldet werden.