Grundsätzlich sind die Anforderungen an die Verarbeitung personenbezogener Daten im Gesundheitswesen hoch und eher unübersichtlich. Diese Unübersichtlichkeit führt in der Praxis häufig zu einer komplizierten und höchst restriktiven Informationspolitik, da Klinikverwaltung und IT-Abteilung "lieber auf Nummer sicher gehen" ohne die klinischen Arbeitsabläufe verinnerlicht zu haben. 

Interessanterweise können solche höchst restriktiven Arbeitsumgebungen die Datensicherheit im Alltag sogar senken, wenn essentielle, aber schlecht nachvollziehbare Mechanismen dafür in den Hintergrund rücken.

Die rechtlichen und technischen Anforderungen für die Software zur Verarbeitung personenbezogener Daten aus dem medizinischen Umfeld finden sich in verschiedenen Gesetzen und Verordnungen. Beispielsweise müssen Softwarelösungen die datenschutzrechtlichen Grundprinzipien (Art. 5 und 25 DSGVO) beachten und Nutzer einen Auftragsverarbeitung Vertrag (AVV) gemäß Art. 28 DSGVO abschließen.