Wieder mal zwei Datenschutzskandale im Gesundheitswesen – aber: „Die elektronische Gesundheitskarte ist sicher!“ Hermann Gröhe, Gesundheitsminister

Datenschutzrheinmain/ Februar 12, 2016/ alle Beiträge, Gesundheitsdatenschutz, Telematik-Infrastruktur/ 4Kommentare

Am 11.02.2016 wurden zeitgleich zwei Datenschutz-Skandale in zwei vd. Krankenhäusern bekannt:

  • Der Westdeutsche Rundfunk (WDR) meldet: „Das Lukaskrankenhaus in Neuss kann wegen eines Cyberangriffs derzeit nur eingeschränkt arbeiten. Unbekannte hatten das IT-System gestern mit einer Schadsoftware infiziert… Durch das Virus seien zwar alle Daten verschlüsselt und somit unbrauchbar. Da das Krankenhaus aber regelmäßige Back-ups seiner Systeme erstellt, seien alle gespeicherten Patientendaten gesichert und das Krankenhaus könne bald wieder darauf zurückgreifen… Die Angreifer könnten aber mit den Daten ohnehin nichts anfangen, das diese verschlüsselt seien…“ Die Botschaft der Meldung, insbesondere der Stellungnahme der Krankenhausleitung: Menschliches Versagen eines einzelnen Mitarbeiters, alles nicht so schlimm, wir kriegen das in den Griff…
  • Der Mitteldeutsche Rundfunk (MDR) meldet: „In Dermbach im Wartburgkreis wurden während der närrischen Tage Patientenakten als Konfetti verwendet. Patientennummern und Diagnosen waren auf den Papierstreifen zu lesen…“ lt. MDR erklärte Thüringens Datenschutzbeauftragter Lutz Hasse: „Die Akten seien nicht ganz harmlos gewesen, die Menge aber überschaubar. Er gehe davon aus, dass Gedankenlosigkeit im Spiel gewesen sei, aber keine Absicht. Die Akten seien bei der Straßenreinigung sichergestellt worden und würden jetzt verbrannt.“ Der nachdenkliche Leser fragt sich: Wird der Vorfall etwa dadurch weniger problematisch, weil die Menge des Patientendaten-Konfettis gering und von der Straßenreinigung inzwischen zu Asche gemacht wurde?

In beiden bekannt gewordenen Fällen das gleiche Spiel: Verharmlosung, verschieben der Schuld auf einzelne Mitarbeiter/innen. Dass hier Organisationsverschulden vorliegt, dass hier Sicherheitsregelungen nicht vorhanden oder ihre Wirksamkeit durch die betroffenen Krankenhausleitungen nicht ausreichend sichergestellt wurde, darf bis zum Beweis des Gegenteils unterstellt werden.

Update 15.02.2016

Spiegel-Online meldet: „Ein Computervirus hat die digitale Kommunikation eines Krankenhauses in Nordrhein-Westfalen unterbrochen. Das Klinikum Arnsberg habe am Freitag auf einem Computersystem eine Schadsoftware entdeckt, sagte ein Sprecher des Klinikums am Montag… Laut weiteren Medienberichten waren zuvor auch Krankenhäuser in Mönchengladbach, Essen, Kleve und Köln von ähnlichen IT-Schädlingen betroffen.“

Auf Twitter wurde alles Notwendige dazu gesagt:

twitter 2015.02.15

Update 16.02.2016

Los Angeles (USA): Krankenhaus-IT gehackt und gekidnappt. Lösegeldforderung: 3,6 Mio. Dollar; danach werden die Daten wieder freigegeben.

cyberattack on Hollywood Presbyterian Medical Center

Quelle

Inzwischen hat auch heise.de einen Bericht zu dieser Meldung veröffentlicht.

4 Kommentare

  1. Heise.de meldet heute:
    Das Krankenhaus ist derzeit nur eingeschränkt funktionsfähig, weil viele Systeme heruntergefahren wurden. Der Schädling verschlüsselt alle erreichbaren Daten und ist eine Ransomware wie TeslaCrypt 2.0… Noch zwei Kliniken betroffen? Auch zwei andere Krankenhäuser in Nordrhein-Westfalen sollen sich den Virus eingefangen, den Vorfall aber nicht öffentlich gemacht haben.
    http://www.heise.de/newsticker/meldung/Ransomware-Virus-legt-Krankenhaus-lahm-3100418.html

  2. Krankenhäuser & Arztpraxen haben sich in der Vergangenheit wegen ökonomischer und organisatorischer Gegebenheiten bereits mehr oder minder weitgehend „digitalisiert“. Mängel in der lokalen Datenschutzstruktur wirken sich dann entsprechend aus.
    EDV-Firmen bieten als Dienstleister oft in Kooperation mit Herstellern für Software für Arztpraxen und Apotheken Programme unter Nutzung von Daten aus dem Patienteninformationssystem an. Diese Anwendungen zeigen nach den Untersuchungen des ULD SLH jedoch noch eine Vielzahl datenschutzrechtlicher Mängel http://www.datenschutzzentrum.de/artikel/43-Verordnungsmonitoring-fuer-ambulante-Arztpraxen-durch-externe-Dienstleister.html .

  3. “ Eine Ausstellung eines Anspruchsnachweises anstelle einer eGK ist ab 1. Januar 2015 ausgeschlossen.“
    Ist diese Aussage vom KBV nun tatsächlich richtig?
    Was tun??

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*