Ein Klinikinformationssystem mit digitaler Speicherung aller Patientandaten, Vorgänge und Diagnosen befindet sich zur Zeit in Deutschland in einer rechtlichen Grauzone. Es gibt keine bundesweiten Regelungen und die Ansprüche an ein System sind Sache des Landesdatenschutzbeauftragten. In dessen Ermessen liegen beispielsweise die Sicherheitsstufen beim Zugriff, bei der Übertragung und der Speicherung von Daten.
Erhebliche Sicherheitsprobleme ergeben sich immer durch die Benutzer des Systems. Eine Prozedur mit Anmeldung und Kennworteingabe vor jeder Operation im Klinikinformationssystem wird bereits als lästig empfunden. Gewohnheiten müssen geändert werden, Kennwörter dürfen nicht aufgeschrieben werden. Ein Arzt muß seine Diagnosen selbst in die Krankenakte eintragen, weil Schwestern oder Sekretärinnen sein Kennwort nicht wissen dürfen. Zumindest während der Umstellungszeit wird es immer wieder zu Problemen kommen. Eine Forderung des Datenschutzbeauftragten -- das Kennwort zur Systemwartung des Rechners mit der Patientendatenbank muß auf zwei Personen verteilt werden, die die Systemverwaltung nur gemeinsam durchführen können -- ist in der Praxis unhaltbar, weil sie nur mit doppeltem Personalaufwand durchführbar ist. Solche Aspekte sind zur Zeit ungelöst.