RefCare erfüllt alle Datenschutzanforderungen eines medizinischen Informationssystems. Das Universitätsklinikum Heidelberg als Entwickler und Anbieter von RefCare stellt sicher, dass die Software dem Stand der Technik entspricht, insbesondere auch unter dem Gesichtspunkt des Datenschutzes und der Datensicherheit.

Alle Behandlungsdaten werden ausschließlich auf lokalen Servern in den Einrichtungen selbst gespeichert. Zugriff haben ausschließlich an der medizinischen Behandlung beteiligte Personen. 

Eine Datenweitergabe zum Zwecke der medizinischen Mit- und Weiterbehandlung ist nur bei vorliegender Einwilligung und Schweigepflichtsentbindung seitens des oder der betreffenden Patient*in möglich.

Die in der Aufnahmeeinrichtung tätigen Leistungserbringer und/oder die zuständigen Behörden sind die datenschutzrechtlich verantwortliche Instanz. Das bedeutet, dass sie für alle aus der DSGVO entstehenden Rechte und Pflichten in Zusammenhang mit der Erhebung, Verarbeitung, und Speicherung personenbezogener Daten in Zusammenhang mit der Gesundheitsversorgung zuständig sind. Das Universitätsklinikum Heidelberg als Anbieter der Software RefCare ist dafür zuständig, dass die Datenverarbeitung innerhalb der Software RefCare datenschutzkonform erfolgt.

Zu Forschungs- und Surveillancezwecken können anonymisierte Ergebnisse lokaler Auswertungen (Surveillanceergebnisse) verschlüsselt an das Universitätsklinikum Heidelberg exportiert werden, um einrichtungsübergreifend analysiert und anschließend im Sinne einer regionalen Berichterstattung zusammengefasst zu werden.