Auch in diesem Jahr standen Krankenhäuser durch Datenschutzvorfälle und Cyberattacken in den Schlagzeilen. Jüngst machten mehrere Kliniken des Deutschen Roten Kreuzes auf sich aufmerksam, welche von einem Online-Angriff Krimineller betroffen waren. Eine Schadsoftware (Ransomware) hatte das Netzwerk befallen und die Verfügbarkeit von Daten durch Verschlüsselung von Servern und Datenbanken eingeschränkt.
Aber auch Datenschutzvorfälle in Krankenhäusern wurden bekannt, welche auf organisatorische und/oder technische Mängel zurückzuführen sind. Dass die Datenschutzbehörden diese Fälle genau prüfen und sanktionieren, wird am Beispiel des Haga-Hospitals in Den Haag deutlich. (Quelle: Niederländische Datenschutzbehörde) Hier hat die niederländische Aufsichtsbehörde nicht ausreichend umgesetzte technische und organisatorische Maßnahme zum Schutz der Patientendaten mehrfach bemängelt und aufgrund einer Verletzung nach Art. 32 DSGVO ein Bußgeld verhängt: Mitarbeiter des Haga-Hospitals konnten Informationen aus Patientenakten einsehen, obwohl diese nicht in der Behandlungsverantwortung des Patienten standen. Dies wurde publik, als eine Person des öffentlichen Interesses im Krankenhaus behandelt worden ist und Informationen darüber der Presse zugänglich gemacht worden sind. Gesundheitsdaten aber unterliegen einem besonders hohen Schutz nach Art. 9 Abs. 1 DSGVO. Hier hat die Verantwortliche Stelle ein angemessenes Schutzniveau in Form von technischen und organisatorischen Maßnahmen sicherzustellen. Entsprechend dürfen ausschließlich berechtigte Personen Zugriff auf diese Daten haben und diese verarbeiten. Weiter bemängelte die niederländische Aufsichtsbehörde, dass eine Zwei-Faktor-Authentifizierung und die regelmäßige Prüfung von Protokolldateien zum Aufdecken unbefugter Zugriffe nicht ausreichend umgesetzt worden sind.
Kein Einzelfall, denn bereits 2018 hat die örtliche Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) in Portugal gegenüber dem Krankenhaus Barreiro Montijo ein Bußgeld aufgrund eines ähnlichen Datenschutzverstoßes verhängt. Auch hier bemängelte die Datenschutzbehörde, dass Mitarbeiter unberechtigten Zugriff auf Patienteninformationen hatten.
In diesem Zusammenhang fordert auch Rudolf Henke, 1. Vorsitzender des Marburger Bundes: „Es spielt keine Rolle, in welchem Krankenhaus Patienten behandelt werden – ihre hochsensiblen krankheitsbezogenen Daten sind überall gleichermaßen gut vor Fremdzugriffen zu schützen“ (Quelle: Marburger Bund). Henke macht damit auf die Verantwortung der Länder aufmerksam, welche die finanziellen Mittel zur Realisierung der IT-Sicherheit bereitstellen müssen: „Hier sind vor allem die Länder gefordert, ihren Investitionsverpflichtungen in vollem Umfang nachzukommen“.
Synagon begleitet die Digitalisierung in Krankenhäusern aktiv im Rahmen verschiedener laufender Projekte. An dessen Ende soll die Krankenversorgung sowie Forschung und Lehre durch IT-Systeme nachhaltig unterstützt und der Patienten mit seinen Daten besser in die Krankenhausversorgung integriert werden – mit Fokus auf Datenschutz und Datensicherheit.
Quellen: