Aktuelles

Unzureichende Sicherung von Krankenakten

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.

Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.

Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.

So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.

Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.

„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.

ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Thomas Spaeing

Gründer und Geschäftsführer der ds²-Unternehmensberatung für Integrierten Datenschutz, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD), Vorstandsmitglied BFB, Gründungspräsident EFDPO, Brüssel.
magnifiercrossmenu