IAM und CRM im Pharma-Umfeld – Wie Sie Identitäten und Berechtigungen compliant in HCP-Portale integrieren

von Irving Tschepke
Warum IAM die Basis jedes Pharma-Kundenportals ist

Digitale Services für Ärzte und Apotheker sind heute ein zentraler Bestandteil der Omnichannel-Strategie vieler Pharmaunternehmen. Damit HCP-Portale sicher, personalisiert und compliant funktionieren, müssen Identity & Access Management (IAM) und Customer Relationship Management (CRM) eng zusammenarbeiten. Erst eine saubere Integration sorgt für Compliance, Datenkonsistenz und gute User Experience.

Was sind die Kernaufgaben von IAM und CRM im HCP-Kontext?

Das CRM ist gewöhnlich das führende System zur Verwaltung der Stammdaten der HCPs sowie die Sammelstelle für alle Interaktionen:

  • Stammdaten umfassen neben Titel und Name auch die beruflichen Adressdaten, die Institution / die Praxis sowie die Fachrichtung und die fachliche Rolle (Arzt, Apotheker, etc.).
  • Anhand des Status ist erkennbar, ob der HCP verifiziert und aktiv ist.
  • Für die Omnichannel Kommunikation sind insbesondere die Einwilligungen / Consents wichtig, die Grundlage für die digitale Kommunikation sind. Hierbei sollte zwischen den verschiedenen Kanälen und Inhalten (Marketing, Medizinisch-Wissenschaftlich) differenziert werden.
  • Das CRM sollte die zentrale Sicht auf einen HCP bieten - insofern wird hier die Interaktionshistorie vorgehalten, die neben klassischen Außendienstkontakten auch alle digitalen Interaktionen umfasst.

Das IAM ist das führende System für Identität und Zugriff:

  • Hauptzweck ist die Authentifizierung eines HCPs, der sich an einem Portal mittels Username und Passwort anmeldet. Aspekte wie Single-Sign-On oder Multi-Faktor Authentifizierung fallen auch in diesen Bereich.
  • Für die Autorisierung werden lediglich Informationen wie die Rolle oder der Mandant geliefert. Die Steuerung, welche Rechte damit verbunden sind, muss im eigentlichen Zielsystem wie einem Portal definiert werden.
  • Mit der Nutzung von Technologien wie OIDC oder OAuth 2.0 wird eine Token-basierte Zugriffskontrolle umgesetzt.
  • Das IAM kann damit ein zentrales Audit-Log zur Verfügung stellen, in dem alle Authentifizierungsaktionen und Accountänderungen zentral protokolliert sind.

Zusammenfassend kann man festhalten, dass fachliche Attribute aus dem CRM kommen und das IAM lediglich den Zugriff umsetzt.

Integrationsanforderungen aus Compliance-Sicht

HCP-Legitimation und Zugangsbeschränkung

  • Auf in HCP Portalen angebotene Fachkreisinhalte dürfen nur verifizierte HCPs zugreifen. Für Pharma Unternehmen ist es daher verpflichtend, die Legitimation eines Benutzers zu überprüfen. Zugriff darf erst gewährt werden, wenn der HCP verifiziert wurde.
  • Die Überprüfung und Dokumentation der Legitimation passiert meist über das CRM. Eine erfolgreiche Verifikation muss entsprechend vom CRM in das IAM synchronisiert werden, damit der zugehörige Account im IAM den Status eines verifizierten HCPs erhält und auf die Fachkreisinhalte zugreifen kann.
  • Ebenso ist vorzusehen, dass eine Änderung des Verifikationsstatus an das IAM übertragen wird und ggf. zu einer notwendigen Sperrung eines Accounts führt.

Dokumentations- und Auditpflichten

  • Erstellung und Änderung eines Accounts, Rollenvergabe und Änderungen an Einwilligungen sollten stets nachvollziehbar dokumentiert werden.
  • Ebenso sollte die technische Synchronisation der Systeme sichergestellt und nachvollziehbar sein. Generell unterstützt eine Protokollierung auch die Durchführung interner Audits und unterstützt die Transparenzpflichten im Umgang mit HCPs.

Datenschutz (DSGVO)

  • Das Prinzip der Datenminimierung betrifft insbesondere das IAM, in dem nur die für Authentifizierungs- und Autorisierungszwecke notwendigen Daten vorgehalten werden. Fachliche HCP Daten verbleiben exklusiv im CRM System.
  • Lösch- und Sperrprozesse können von verschiedenen System aus initiiert werden, wie beispielsweise eine Löschung über ein Portal oder der Entzug eines Consents über das Service Center und das CRM. In allen Fällen müssen die Prozesse konsistent über beide Systeme ausgeführt werden.

Typische Integrationsmuster für HCP-Portale

Event-getriebene Workflows

  • Der klassische Registrierungsprozess startet im Portal und wird auf das Registrierungsformular geleitet, das durch das IAM bereitgestellt wird. Das Registrierungsformular fordert nur Informationen, die zur Prüfung der Legitimation und Bereitstellung des Accounts notwendig sind. Auf Basis dieser Daten wird ein Account im IAM angelegt, der jedoch zunächst inaktiv ist. Die Daten werden an das CRM weitergegeben: hier kann entweder ein bereits existierender HCP Datensatz zugeordnet oder ein entsprechender Prozess zur Anlage und Verifikation initiiert werden.
    Viele große Unternehmen haben Verträge mit Daten-Dienstleistern, von denen Sie Arzt-Stammdaten erhalten. Kann eine neue Registrierung nicht zugeordnet werden, wird beim Dienstleister ein Rechercheprozess gestartet, der neben den Daten auch gleich die Legitimation prüft.
  • Anpassungen im CRM - wie beispielsweise auch die zeitversetzte Legitimationsprüfung durch einen Dienstleister - triggern entsprechende Anpassungen im IAM. Häufig betreffen diese den Status eines Accounts (wie eine Deaktivierung) oder Rollenzuordnungen.

Rollenmodell und Rechte

Rollen bestimmen die Zugriffssteuerung in einem Portal. Im CRM sind dabei die fachlichen Attribute enthalten, anhand derer sich technische Rollen für das Portal ableiten lassen, wie beispielsweise die Fachrichtung, die Organisation oder die Rolle in der Organisation. Das IAM setzt diese Informationen in technische Rollen oder Claims um, die dann für die Steuerung von angebotenen Inhalten, Funktionen oder Services verwendet werden.

Durch die Kopplung von CRM und IAM kann sichergestellt werden, dass Änderungen an den fachlichen Attributen sich auch auf die Rollen und damit verbundenen möglichen Zugriffen auswirken.

Gleiches gilt auch für die Einwilligungen / Consents, die im CRM verwaltet werden. Der Entzug einer Einwilligung muss eine direkte Auswirkung haben und beeinflusst den Zugang zu Inhalten und Services.

Personalisierung & Omnichannel – compliant umgesetzt

Personalisierung in HCP-Portalen verfolgt das Ziel, dem medizinischen Fachpersonal relevante und kontextbezogene Inhalte bereitzustellen. Hierzu ist es notwendig, alle Informationen zu einem HCP über alle Kanäle in einem zentralen Profil zusammenzuführen. Erst dadurch entsteht eine konsistente Datenbasis, die Grundlage für alle Formen der Personalisierung ist.

Technisch gesehen müssen daher alle Informationen aus den unterschiedlichen Quellen miteinander verknüpft werden. Die Nutzung eines Portals, die Interaktionen ausgelöst durch E-Mail Kampagnen oder die direkten Kontakte mit dem Außendienst gehören alle zum Profil des HCPs mit seinen Interessen und Bedürfnissen. Die Zusammenführung dieser Informationen zu einem Profil geschieht häufig im CRM System.

Nun kommt noch der Compliance Aspekt hinzu: Eine Personalisierung darf nur vorgenommen werden, wenn der User auch zuvor zugestimmt hat. Dies trifft auch zu, wenn beispielsweise nur allgemein bekannte Informationen wie die Fachrichtung verwendet wird und ist erst recht erforderlich, wenn Nutzungsdaten erfasst werden ("Tracking"), um daraus spezifische Interessen / Profile abzuleiten.

Im Zusammenspiel zwischen CRM und IAM verwaltet das CRM entsprechend die Einwilligungen und stellt diese dem IAM zur Verfügung. Das IAM wiederum sorgt für die Durchsetzung beim Zugriff, beispielsweise durch die Abbildung in entsprechende technische Rollen.

Fazit – IAM und CRM als Compliance-Basis für HCP-Portale

HCP-Portale sind zentrale Kanäle für die Kommunikation mit medizinischem Fachpersonal und erfordern eine technisch saubere Umsetzung von Compliance Anforderungen. Risiken bei der Umsetzung gibt es zur Genüge:

  • Verifikation nur bei der Registrierung ohne laufende Statusprüfung und automatische Aktualisierung
  • Manuelle Prozesse bei Änderungen / Löschanforderungen
  • Fehlende Dokumentation der Berechtigungslogik abgeleitet aus Attributen des CRMs
  • Dubletten zwischen CRM und IAM Identitäten

Daher helfen einige Best Practices, um eine Compliance-konforme Zielarchitektur umzusetzen:

  • Klare Abgrenzung zwischen CRM und IAM: CRM als fachliche "Wahrheit", IAM als technsiche Zugriffskontrolle
  • Automatisierte Prozesse und API-basierte Integration
  • Versionierung im Rollen- und Rechtekonzept
  • Regelmässige Prüfung und Aktualisierung von zugriffsrelevanten Attributen
  • Dokumentation der End-to-End Prozesse

Die strategische Verzahnung von CRM und IAM sorgt damit für saubere Zugriffsprozesse, konsistente HCP-Profile und skalierbare Omnichannel-Strategien und wird zur strukturellen Grundlage eines modernen, regulatorisch belastbaren HCP-Portals.

Weiterführende Einblicke: IAM, HCP-Portale, Omnichannel

Wer sich weiter mit Themenstellungen rund um IAM im Pharma-Kontext, HCP-Portale oder Omnichannel beschäftigen möchte, findet hier weitere Blogposts von exensio:

Zurück

© 2006-2026 exensio GmbH
ImpressumDatenschutz
Einstellungen gespeichert
Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

Sie können Ihre Einwilligung jederzeit ändern oder widerrufen, indem Sie auf den Link in der Datenschutzerklärung klicken.

Datenschutz Impressum Weitere Informationen

Zu den gesetzlichen Rechenschaftspflichten gehört die Einwilligung (Opt-In) zu protokollieren und archivieren. Aus diesem Grund wird Ihre Opt-In Entscheidung in eine LOG-Datei geschrieben. In dieser Datei werden folgende Daten gespeichert:

 

  • IP-Adresse des Besuchers
  • Vom Besucher gewählte Datenschutzeinstellung (Privacy Level)
  • Datum und Zeit des Speicherns
  • Domain
Schließen
×
Irving Tschepke
Irving Tschepke
Dipl.-Wirtsch.-Ing.
Peter Soth
Peter Soth
Dipl.-Inform. (FH)
Jetzt Kontakt aufnehmen
Wir antworten in wenigen Stunden.
Oder rufen Sie einfach an:
Bitte JavaScript aktivieren
×
Irving Tschepke
Irving Tschepke
Dipl.-Wirtsch.-Ing.
Peter Soth
Peter Soth
Dipl.-Inform. (FH)
Jetzt Kontakt aufnehmen
Wir antworten in wenigen Stunden.
Oder rufen Sie einfach an:
Bitte JavaScript aktivieren
You are using an outdated browser. The website may not be displayed correctly. Close