Schlagwort-Archive: Datenpanne

Datenpannen und Datenlecks im Gesundheitswesen in Deutschland – eine (unvollständige) Übersicht

In der nachfolgenden Übersicht sind insgesamt 25 Fälle von Datenpannen, Datenlecks und Mal- bzw. Ransomware-Angriffen aufgelistet, die Krankenhäuser und Arztpraxen in Deutschland in den Jahren seit 2015 betrafen. Vermutlich ist diese Auflistung unvollständig. Hinweise auf weitere Vorfälle nimmt die Redaktion dieser Homepage gern entgegen. Nachricht bitte per Mail an kontakt [at] patientenrechte-datenschutz.de oder durch Nutzung der Kommentarfunktion.

Datenpannen und Datenlecks im Gesundheitswesen in Deutschland – eine (unvollständige) Übersicht weiterlesen

Schwerwiegende Datenpanne im Berufsgenossenschaftlichen Klinikum Boberg in Hamburg

Auch wenn es bisher nur von BILD Hamburg gemeldet wurde: Ein neuer Datenschutz-Skandal scheint sich im Berufsgenossenschaftlichen Klinikum Boberg in Hamburg ereignet zu haben.

Quelle: BILD 06.03.2021 Schwerwiegende Datenpanne im Berufsgenossenschaftlichen Klinikum Boberg in Hamburg weiterlesen

Frankreich: Vertraulichen Daten von 500.000 Patienten wurden aus Laboren gestohlen und online verbreitet

Das meldet die französische Zeitung Libération am 23.02.2021: Nach Angaben von Fachleuten handelt es sich um ein Leck in einem Ausmaß, wie es in Frankreich bei gesundheitsbezogenen Daten noch nie vorgekommen ist. Die fragliche Datei… enthält die vollständige Identität von fast einer halben Million Franzosen, oft zusammen mit kritischen Daten wie Informationen über ihren Gesundheitszustand oder sogar ihre Passwörter. Ursprünglich in Hacker-Foren geteilt, wird diese Datenbank zunehmend weiter verbreitet. Die Datei enthält 491.840 Zeilen. Für fast ebenso viele französische Patienten. In jeder Zeile bis zu 60 verschiedene Informationen über dieselbe Person: Sozialversicherungsnummer, Geburtsdatum, Blutgruppe, Adresse, Mobiltelefonnummer, verschreibender Arzt usw. Ein Kommentar gibt manchmal den Gesundheitszustand an. “Schwangerschaft” kommt oft vor. In einigen Fällen werden medikamentöse Behandlungen oder Pathologien angegeben: ‚Levothyrox‘, ‚Gehirntumor‘ ‚HIV-positiv‘ oder ‚tauber Patient‘. All diese persönlichen, intimen Informationen sind in einem Dokument gesammelt, das vor einigen Tagen in Kreisen von Hackern und Cybersecurity-Experten auftauchte. Und die immer mehr im Umlauf ist…“ Übersetzt mit www.DeepL.com/Translator.

Niederlande: Krankenhaus wegen unzureichender Sicherung von Krankenakten mit Bußgeld i. H. v. 440.000 € belegt

Die niederländische Behörde für personenbezogene Daten (Autoriteit Persoonsgegevens – AP) verhängte ein Bußgeld in Höhe von 440.000 Euro gegen das Amsterdamer Krankenhaus OLVG. Das Krankenhaus hatte zwischen 2018 und 2020 zu wenige Maßnahmen ergriffen, um den Zugriff unberechtigter Mitarbeiter*innen auf medizinische Akten zu verhindern. Dies lag an der unzureichenden Kontrolle darüber, wer sich welche Datei ansah und an der unzureichenden Sicherheit der Computersysteme. Nach der Untersuchung des AP hat das OLVG die geforderten Verbesserungen umgesetzt.

Die Datenschutzaufsichtsbehörde AP begann die Ermittlungen nach einem Hinweis eines besorgten Bürgers, Signalen aus den Medien und zwei Datenpannen beim OLVG. Dabei hatten Werkstudent*innen und andere Mitarbeiter*innen auf Krankenakten zugegriffen haben, ohne dass dies für ihre Arbeit notwendig war. Niederlande: Krankenhaus wegen unzureichender Sicherung von Krankenakten mit Bußgeld i. H. v. 440.000 € belegt weiterlesen

Ulm: Datenpanne an Uniklinik – bis zu 7.000 Patient*innen betroffen

Quelle: Pressemitteilung der Uniklinik Ulm vom 05.02.2021.

“Das Universitätsklinikum Ulm hat dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg am 19.01.2021 den Verlust und das Wiederauffinden eines unverschlüsselten USB-Sticks mit Patientendaten gemeldet. Der USB-Stick wurde an einer Klinik im Stuttgarter Raum entdeckt und an das UKU zurückgegeben. Bei dem darauf gespeicherten Material handelt es sich um Daten von bis zu 7.000 Parodontitis-Patient*innen der Klinik für Zahnerhaltungskunde und Parodontologie sowie niedergelassener Zahnarztpraxen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde. Die auf dem USB-Stick gespeicherten Daten aus den Jahren 2011 bis 2020 umfassen Anschriften von Zahnarztpraxen, Patientennamen, Geburtsdaten und Geschlecht sowie das Datum von Auswertungen und klinischen Diagnosen einer vorliegenden Parodontitis. Auf dem Datenträger waren außerdem weitere persönliche Angaben etwa zur Krankengeschichte der Patient*innen aufgeführt. Es sind ausschließlich Patient*innen mit einer schweren Parodontitis betroffen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde. Der verantwortliche Mitarbeiter hatte die Daten nach eigener Aussage sichten wollen, um zu klären, ob diese eventuell für eine Studie nutzbar sein könnten.” Ulm: Datenpanne an Uniklinik – bis zu 7.000 Patient*innen betroffen weiterlesen

Die zehn größten gemeldeten Datenschutzverletzungen im Gesundheitswesen der USA im Jahr 2020

Das Office of Civil Rights des U.S. Department of Health and Human Services ist gesetzlich verpflichtet, eine Liste von Verletzungen ungesicherter geschützter Gesundheitsdaten zu veröffentlichen, die 500 oder mehr Personen betreffen. Das australische Internet-Magazin HealthcareITNews veröffentlichte am 30.12.2020 eine Liste der größten Sicherheitsverstöße im Gesundheitswesen, die dem Office of Civil Rights in USA im Jahr 2020 gemeldet wurden (nachfolgend übersetzt mit www.DeepL.com/Translator): Die zehn größten gemeldeten Datenschutzverletzungen im Gesundheitswesen der USA im Jahr 2020 weiterlesen

Entsetzen in Büren (NRW): Youtuber finden tausende Krankenakten und Röntgenbilder im früheren Klinikum

Auf seinem Streifzug durch sogenannte “Lost Places” (Vergessene Orte) hat ein Youtuber im heruntergekommenen St. Nikolaus-Hospital in Büren tausende Krankenakten und Röntgenbilder gefunden. Alle Personendaten lagen dort offen und ganze Krankengeschichten waren nachzulesen. Das berichtet die Neue Westfälische am 30.05.2020. Das ehemalige Krankenhaus im Kreis Paderborn sei seit zehn Jahren geschlossen, habe mehrfach den Besitzer gewechselt und gammele langsam vor sich hin. Obwohl eigentlich ein Sicherheitsdienst für die Immobilie zuständig sei, seien die Türen nicht verschlossen und der Zutritt problemlos möglich. Mittlerweile sei das Gebäude nach Angaben der Stadt abgesperrt und ein Ermittlungsverfahren wurde eingeleitet.

Es ist nicht der erste Skandal im Umgang mit Patientenakten; sicher wird es auch nicht der letzte bleiben. Entsetzen in Büren (NRW): Youtuber finden tausende Krankenakten und Röntgenbilder im früheren Klinikum weiterlesen

Fresenius Medical Care bestätigt illegale Veröffentlichung von Patientendaten in Serbien in Folge von Hackerangriff

Fresenius Medical Care, ein weltweit führender Anbieter von Produkten und Dienstleistungen für Menschen mit Nierenerkrankungen, hat mitgeteilt, dass Patientendaten aus einigen seiner Dialysezentren in Serbien von unbefugten Dritten veröffentlicht worden sind. Das Unternehmen geht davon aus, dass ein Zusammenhang mit einem IT-Vorfall vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen hatte, und dass Hacker in der Lage waren, in diesem Zusammenhang Patienten- und Behandlungsdaten zu stehlen.

Quelle: Pressemitteilung von Fresenius Medical Care vom 21.05.2020.

Frankreich: Offene Datenbank mit intimen Patient*innendaten – 100.000 Profilbilder, fast 900.000 Dateien

Das israelische IT-Sicherheitsunternehmens vpnmentor überprüft das Internet regelmäßig und systematisch nach offenen Servern und nicht abgesicherten Datenbanken. In einem am 14.02.2020 auf der Homepage des Unternehmens veröffentlichten Bericht wird mitgeteilt, dass ein Sicherheitsteam am 24.01.2020 in der Amazon AWS-Cloud eine ungesicherte Datenbank fand. In der Datenbank waren um die 900.000 Dateien einsehbar, die offenbar aus Patientenakten stammten.

Hier ein Auszug aus dem Bericht (in Deutsch übersetzt mit https://www.deepl.com/translator):

„… entdeckte das Forschungsteam von vpnMentor vor kurzem eine beschädigte Datenbank des plastisch-chirurgischen Technologieunternehmens NextMotion. NextMotion stellt Kliniken, die in der Dermatologie, der kosmetischen und der plastischen Chirurgie arbeiten, digitale Foto- und Videogeräte für ihre Patienten zur Verfügung. Die kompromittierte Datenbank enthielt 100.000 Profilbilder von Patienten, die über die proprietäre Software von NextMotion hochgeladen wurden. Diese waren hochempfindlich, einschließlich Bilder von Gesichtern und bestimmten Körperbereichen der Patienten, die behandelt wurden… NextMotion mit Sitz in Frankreich wurde 2015 von einem Team von plastischen Chirurgen gegründet… Frankreich: Offene Datenbank mit intimen Patient*innendaten – 100.000 Profilbilder, fast 900.000 Dateien weiterlesen

Millionen Patientendaten im Netz – Risiken für uns alle

Wir haben bezugnehmend auf eine Sicherheitsanalyse von Greenbone über einen weltweiten Skandal berichtet, der die freie Verfügbarkeit von Millionen Patientendatensätzen im Internet betrifft. Diese sind ohne tiefere technische Kenntnisse für jedermann abrufbar. Was bedeutet das?

Zu Recht haben wir die ärztliche Verschwiegenheitspflicht, die Ärztinnen und Ärzte verpflichtet, über folgende Dinge (siehe https://www.anwalt.org/aerztliche-schweigepflicht/)
keine Auskunft zu geben:

  • Den Namen sowie anderweitige Daten des Patienten,
  • den Inhalt der Patientenakte,
  • die Tatsache, dass der Patient bei dem Arzt behandelt wurde,
  • jegliche Äußerungen oder Meinungen, die dem Arzt anvertraut wurden,
  • Informationen zu Verhältnissen beruflicher, finanzieller oder familiärer Natur
  • Dinge, die der Arzt unfreiwillig miterleben musste (zum Beispiel bei einem Hausbesuch oder einem Streit in seiner Praxis)
  • Angaben, die der Patient über einen Dritten gemacht hat (zum Beispiel über einen erkrankten Freund)

Diese Verpflichtungen bestehen aus guten Grund. Wenn jemand medizinische Hilfe in Anspruch nimmt, soll diese Person davon keinen Kollateralschaden davontragen, indem sie beispielsweise nicht versichert werden kann oder eine Arbeitsstelle nicht bekommt, weil die Versicherung oder der potentielle Arbeitgeber unzulässige Kenntnis über den Gesundheitszustand erlangt. Millionen Patientendaten im Netz – Risiken für uns alle weiterlesen