Dänemark: Schwere Mängel im der Sicherheit von Gesundheits- und Behandlungsdaten festgestellt
Die nationale dänische Datenschutzaufsichtsbehörde Datatilsynet erhielt eine Beschwerde, wonach ausnahmslos alle Mitarbeiter*innen in Einrichtungen des regionalen Gesundheitswesens der Region Seeland über die Startseite der nationalen Gesundheitsplattform sundhed.dk Zugang zu Patientenlisten aller Krankenhäuser der Region Seeland hatten. Im Ergebnis ihrer Untersuchung der Beschwerde rügte Datatilsynet die Regionalverwaltung für diese Vorgehensweise. Den mehr als 16.000 Mitarbeiter*innen war es möglich, Zugang zu den Patient*innenendaten aller Krankenhäuser der Region Seeland zu erhalten und diese auszulesen, auch wenn kein substanziellen Zusammenhang zwischen ihren Aufgaben und den erlangten Informationen bestand. Das geht aus einer Stellungnahme hervor, die Datatilsynet am 13.09.2023 veröffentlichte.
Sundhet.dk ist nicht nur die staatliche Krankenversicherung aller Menschen, die sich dauerhaft in Dänemark aufhalten. Es ist auch eine nationale Datenplattform, in der die Gesundheits- und Behandlungsdaten aller Menschen in Dänemark erfasst werden.
In dem vom Bertelsmann-Konzern veröffentlichten Internet-Magazin Der digitale Patient dazu wie folgt berichtet: „Mit der Geburt erhält jeder Däne eine persönliche Identifikationsnummer. Über diese kann er sich in den Bereich ‚Mein Gesundheitszustand‘ bei sundhed.dk einloggen. Dort angemeldet, erhält er einen Überblick über seine komplette Krankengeschichte: Diagnosen, Behandlungsverläufe, Operationen, Entlassungsbriefe, Medikationspläne, Röntgenbefunde, Scans. Überweisungen an den Facharzt, Impfdaten, Laborwerte. Sämtliche Informationen aus elektronischen Krankenakten kann der Patient über das Portal zentral abrufen. Und nicht nur das: Über sundhed.dk kann sich der Patient auch zur Organspende registrieren, Arzttermine vereinbaren, ein neues Rezept beantragen, sich mit anderen Betroffenen austauschen, oder sich allgemein fundiert über Gesundheit, Krankheiten und deren Diagnose und Behandlung informieren – seit jüngstem auch in immer mehr Anwendungen via App direkt per Smartphone. Mit der Zustimmung des Patienten können auch der Hausarzt oder der Apotheker auf die dort gespeicherten Patientendaten zugreifen. Diese können sich im Portal auch mit anderen Gesundheitsversorgern austauschen und aktuelle, evidenzbasierte Fachinformationen einholen. Zudem nutzen sie das Portal für die Berechnung bzw. Abrechnung von Gesundheitsdienstleistungen.“
Die dänische Datenschutzaufsichtsbehörde stellte bei der Prüfung der Beschwerde gravierende datenschutzrechtliche Mängel fest. In der Stellungnahme vom 13.09.2023 werden u. a. benannt:
- „Die Patientenlisten enthalten u.a. Informationen über Sozialversicherungsnummern, Namen und Handlungs- oder Krankenhausdiagnosen von Patienten, mit denen die Mitarbeiter nicht unbedingt in einem Behandlungsverhältnis stehen.
- Die Region Seeland hat angegeben, dass die Patientenlisten über die Startseite von Sundhedsplatformen abgerufen werden können und dass die Funktion seit der Einführung des Systems im November 2017 besteht.
- Die Zahl der Nutzer lag zum angegebenen Zeitpunkt bei 16.322.
- Bei den Patientenlisten handelt es sich um Listen von Patienten, die in den Krankenhausabteilungen untergebracht sind.
- Die Patientenlisten sind so voreingestellt, dass sie den Namen, die Sozialversicherungsnummer und den Ort des Krankenhausaufenthalts enthalten, können aber bei Bedarf um weitere Informationen, z. B. Diagnosen oder andere Informationen, erweitert werden.
- Die Region betrachtet die Patientenlisten als interdisziplinäres Arbeitsinstrument für alle Mitarbeitergruppen, weshalb jeder, der ein Login zur Gesundheitsplattform hat, die Möglichkeit hat, auf die Patientenlisten zuzugreifen.“
Die Verwaltungsspitze der Region Seeland begründete – so die Information von Datatilsynet – diese Verfahrensweise damit, dass „die beschriebene Nutzung der Patientenlisten hilft, sowohl die lokalen klinischen Arbeitsabläufe, die interdisziplinäre Patientenbehandlung und damit auch die Sicherheit der Patientenbehandlung zu unterstützen. Im Rahmen der Funktion der Patientenlisten in Bezug auf die interdisziplinäre Patientenbehandlung und Arbeitsorganisation haben alle Mitarbeitergruppen in der Region Seeland mit einem Login zur Gesundheitsplattform die Möglichkeit, auf die Informationen zuzugreifen.“
Diesen umfangreichen Zugriffsrechten auf sensible Gesundheits- und Behandlungsdaten machte die dänische Datenschutzaufsichtsbehörde ein Ende. Sie stellte in ihrer Stellungnahme fest:
- „Der Zugang des Nutzers zu personenbezogenen Daten muss in einem notwendigen Zusammenhang mit der Verwirklichung des Zwecks stehen, für den die Daten rechtmäßig verarbeitet werden […] dass dieser Zusammenhang mit dem Zweck – bei angestellten Nutzern – als arbeitsbezogene Notwendigkeit bestehen muss, bevor der Zugang gewährt wird…
- Die dänische Datenschutzbehörde ist der Ansicht, dass das Erfordernis einer angemessenen Sicherheit in der Regel bedeutet, dass der für die Verarbeitung Verantwortliche regelmäßig überprüft, ob der Zugang der Nutzer zu den Systemen auf die personenbezogenen Daten beschränkt ist, die für den betreffenden Nutzer notwendig und relevant sind.
- Darüber hinaus ist die dänische Datenschutzbehörde der Ansicht, dass das Erfordernis einer angemessenen Sicherheit in der Regel bedeutet, dass der für die Verarbeitung Verantwortliche regelmäßig stichprobenartige Kontrollen des Protokolls durchführt, um zu überprüfen, dass die Benutzer nur auf Informationen zugreifen, die sie beruflich benötigen.
- Darüber hinaus ist die dänische Datenschutzbehörde der Ansicht, dass die Kontrolle der Zugriffsrechte in der Regel mindestens aus einer Überprüfung der arbeitsbezogenen Notwendigkeit zum Zeitpunkt der Gewährung, einer fortlaufenden Kontrolle auf der Grundlage der Überprüfung, ob diese Notwendigkeit noch besteht, und einer Art von Audit bestehen sollte. Wird die Kontrolle in Form von Stichproben durchgeführt, müssen Anzahl und Häufigkeit der Stichproben im Verhältnis zur Anzahl möglicher Vorfälle und zum Risiko für die Rechte der betroffenen Personen repräsentativ sein…
- Der unbefugte Zugriff auf personenbezogene Daten – durch befugte Nutzer – ist ein Bedrohungsszenario, das nicht nur potenziell, sondern real und relativ häufig zu Verstößen gegen den Schutz personenbezogener Daten führt. Dieses Szenario tritt immer wieder auf, obwohl die Nutzer im Allgemeinen umfassend über die Rechtmäßigkeit und die möglichen Strafen nach dem Strafgesetzbuch für die unbefugte Einstellung von Daten informiert werden.
- Die dänische Datenschutzbehörde stellt fest, dass die Region Seeland durch den Zugang von 16 322 Nutzern zu den Patientenlisten aller Krankenhäuser der Region Zugang zu personenbezogenen Daten hatte, die angesichts des spezifischen Risikos kein angemessenes Sicherheitsniveau darstellten. Darüber hinaus stellt die dänische Datenschutzbehörde fest, dass die Region Seeland nicht über geeignete technische und organisatorische Maßnahmen verfügte, um den Missbrauch des sehr weit gefassten Zugriffs der Nutzer auf personenbezogene Daten zu dokumentieren und zu verfolgen, da kein Protokoll darüber geführt wurde, welche personenbezogenen Daten ein bestimmter Nutzer eingesehen hatte…”
Die Zitate aus der Stellungnahme von Datatilsynet vom 13.09.2023 wurden übersetzt mit www.DeepL.com/Translator.