Die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) gab bekannt, dass gegenüber dem Krankenhaus Barreiro Montijo eine Geldstrafe in Höhe von 400.000 Euro verhängt wurde. Grund hierfür ist ein Verstoß gegen die EU-Datenschutzgrundverordnung (EU-DSGVO) – Patientendaten wurden nicht ausreichend gegen Zugriff geschützt.
Patientendaten gehören zu den besonderen Arten von personenbezogener Daten und sind als solche durch den Datenschutz besonders geschützt. Darüber hinaus unterliegen diese Daten auch dem Arztgeheimnis und dürfen nur unter engen Voraussetzungen erhoben, gespeichert, genutzt, verarbeitet oder eingesehen werden. Grundsätzlich darf der Zugriff auf Patientendaten nur dem behandelnden Arzt bzw. Personal erfolgen.
Das Berechtigungskonzept vom portugiesischen Krankenhaus Barreiro Montijo erlaubte aber auch einer Berechtigungsgruppe „Techniker“ den Zugriff auf diese sensiblen Daten. Darüber hinaus wurde bei weiteren Prüfungen durch die Datenschutzbehörde festgestellt, dass insgesamt 985 aktive Nutzer mit dem Profil „Arzt“ im Berechtigungssystem hinterlegt sind und damit Zugriff auf diese sensiblen Patientendaten haben. Allerdings waren in Wirklichkeit 2018 nur lediglich 296 Personen als Ärzte eingeteilt.
Grundsätzlich muss das Berechtigungskonzept in einem Krankenhaus sicherstellen, dass Patientendaten nach DSGVO geschützt werden und ausschließlich berechtigtes Personal Zugriff auf solche personenbezogenen Daten hat. Ein solches Konzept muss aber auch sicherstellen, dass in regelmäßigen Abständen die Rechte geprüft und verifiziert werden – also auch der Zugriff von ausscheidendem Mitarbeitern gelöscht wird und auch die Rechte von Mitarbeitern angepasst werden, welche intern die Fachabteilung im Krankenhaus wechseln.
Quelle und weitere Informationen: Link