Auch in diesem Jahr standen Krankenhäuser durch Datenschutzvorfälle und Cyberattacken in den Schlagzeilen. Jüngst machten mehrere Kliniken des Deutschen Roten Kreuzes auf sich aufmerksam, welche von einem Online-Angriff Krimineller betroffen waren. Eine Schadsoftware (Ransomware) hatte das Netzwerk befallen und die Verfügbarkeit von Daten durch Verschlüsselung von Servern und Datenbanken eingeschränkt.
Aber auch Datenschutzvorfälle in Krankenhäusern wurden bekannt, welche auf organisatorische und/oder technische Mängel zurückzuführen sind. Dass die Datenschutzbehörden diese Fälle genau prüfen und sanktionieren, wird am Beispiel des Haga-Hospitals in Den Haag deutlich. (Quelle: Niederländische Datenschutzbehörde) Hier hat die niederländische Aufsichtsbehörde nicht ausreichend umgesetzte technische und organisatorische Maßnahme zum Schutz der Patientendaten mehrfach bemängelt und aufgrund einer Verletzung nach Art. 32 DSGVO ein Bußgeld verhängt: Mitarbeiter des Haga-Hospitals konnten Informationen aus Patientenakten einsehen, obwohl diese nicht in der Behandlungsverantwortung des Patienten standen. Dies wurde publik, als eine Person des öffentlichen Interesses im Krankenhaus behandelt worden ist und Informationen darüber der Presse zugänglich gemacht worden sind. Gesundheitsdaten aber unterliegen einem besonders hohen Schutz nach Art. 9 Abs. 1 DSGVO. Hier hat die Verantwortliche Stelle ein angemessenes Schutzniveau in Form von technischen und organisatorischen Maßnahmen sicherzustellen. Entsprechend dürfen ausschließlich berechtigte Personen Zugriff auf diese Daten haben und diese verarbeiten. Weiter bemängelte die niederländische Aufsichtsbehörde, dass eine Zwei-Faktor-Authentifizierung und die regelmäßige Prüfung von Protokolldateien zum Aufdecken unbefugter Zugriffe nicht ausreichend umgesetzt worden sind. Weiterlesen →