Die niederländische Behörde für personenbezogene Daten (Autoriteit Persoonsgegevens – AP) verhängte ein Bußgeld in Höhe von 440.000 Euro gegen das Amsterdamer Krankenhaus OLVG. Das Krankenhaus hatte zwischen 2018 und 2020 zu wenige Maßnahmen ergriffen, um den Zugriff unberechtigter Mitarbeiter*innen auf medizinische Akten zu verhindern. Dies lag an der unzureichenden Kontrolle darüber, wer sich welche Datei ansah und an der unzureichenden Sicherheit der Computersysteme. Nach der Untersuchung des AP hat das OLVG die geforderten Verbesserungen umgesetzt.
Die Datenschutzaufsichtsbehörde AP begann die Ermittlungen nach einem Hinweis eines besorgten Bürgers, Signalen aus den Medien und zwei Datenpannen beim OLVG. Dabei hatten Werkstudent*innen und andere Mitarbeiter*innen auf Krankenakten zugegriffen haben, ohne dass dies für ihre Arbeit notwendig war.
Nach ihrer Untersuchung kam die AP zu dem Schluss, dass das OLVG den Zugang zu medizinischen Akten strukturell nicht richtig handhabt. Die Akten enthalten neben medizinischen Daten auch Informationen wie Bürgerdienstnummern, Adressen und Telefonnummern. Diese Daten müssen deshalb auch wegen der anderer Risiken, z. B. Identitätsbetrug und Phishing, angemessen geschützt werden.
Die AP fand zwei Verstöße:
- Das Krankenhaus muss Aufzeichnungen darüber führen und regelmäßig überprüfen, wer welche Akte konsultiert. So kann das Krankenhaus rechtzeitig erkennen, wenn jemand eine Akte einsehen will, obwohl dies nicht erlaubt ist, und Maßnahmen dagegen ergreifen. Das OLVG hielt zwar automatisch fest, welcher Mitarbeiter wann welche Krankenakte eingesehen hat (Protokollierung), überprüfte die Protokollierung aber nicht oft genug auf unberechtigte Zugriffe.
- Zu einer guten Sicherheit gehört die Authentifizierung mit mindestens zwei Faktoren. Das OLVG hat diese Zwei-Faktor-Authentifizierung im Krankenhaus nicht verwendet. Die Anmeldung außerhalb des Krankenhauses erfolgte jedoch über eine Zwei-Faktor-Authentifizierung.
„Man muss darauf vertrauen können, dass das, was man mit seinem Arzt bespricht, im Sprechzimmer bleibt„, sagt die Vizepräsidentin von Autoriteit Persoonsgegevens (AP), Monique Verdier. „Sie können sich nicht vorstellen, dass Leute, die dort nichts zu suchen haben, einfach in den Aufzeichnungen des Arztes über Sie und Ihre Krankheit herumwühlen können. Die Patienten sollten davon ausgehen können, dass das Personal nur dann Einsicht in die Krankenakten nimmt, wenn dies für ihre Behandlung notwendig ist. Das OLVG hat zu wenig Sicherheitsmaßnahmen getroffen, um dies zu gewährleisten. Das ist gravierend und deshalb verhängt die AP jetzt dieses Bußgeld gegen die OLVG.“
„Wir sehen viele Datenlecks im Gesundheitswesen, wo die sensibelsten persönlichen Daten in den Systemen gespeichert sind: In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks„, so die AP-Vizepräsidentin Verdier zur Situation in den Niederlanden.
Das betroffene Krankenhaus hat erklärt, dass es gegen das Bußgeld der Datenschutz-Aufsichtsbehörde AP weder Einspruch noch Berufung einlegen wird.
Quelle: Pressemitteilung von Autoriteit Persoonsgegevens – AP vom 11.02.2021. Übersetzt mit www.DeepL.com/Translator.