Niederlande: Krankenhaus wegen unzureichender Sicherung von Krankenakten mit Bußgeld i. H. v. 440.000 € belegt

Gesunde_daten/ Februar 12, 2021/ alle Beiträge, EU-Datenschutz, Gesundheitsdatenschutz, Internationales/ 1Kommentare

Die niederländische Behörde für personenbezogene Daten (Autoriteit Persoonsgegevens – AP) verhängte ein Bußgeld in Höhe von 440.000 Euro gegen das Amsterdamer Krankenhaus OLVG. Das Krankenhaus hatte zwischen 2018 und 2020 zu wenige Maßnahmen ergriffen, um den Zugriff unberechtigter Mitarbeiter*innen auf medizinische Akten zu verhindern. Dies lag an der unzureichenden Kontrolle darüber, wer sich welche Datei ansah und an der unzureichenden Sicherheit der Computersysteme. Nach der Untersuchung des AP hat das OLVG die geforderten Verbesserungen umgesetzt.

Die Datenschutzaufsichtsbehörde AP begann die Ermittlungen nach einem Hinweis eines besorgten Bürgers, Signalen aus den Medien und zwei Datenpannen beim OLVG. Dabei hatten Werkstudent*innen und andere Mitarbeiter*innen auf Krankenakten zugegriffen haben, ohne dass dies für ihre Arbeit notwendig war.

Nach ihrer Untersuchung kam die AP zu dem Schluss, dass das OLVG den Zugang zu medizinischen Akten strukturell nicht richtig handhabt. Die Akten enthalten neben medizinischen Daten auch Informationen wie Bürgerdienstnummern, Adressen und Telefonnummern. Diese Daten müssen deshalb auch wegen der anderer Risiken, z. B. Identitätsbetrug und Phishing, angemessen geschützt werden.

Die AP fand zwei Verstöße:

  • Das Krankenhaus muss Aufzeichnungen darüber führen und regelmäßig überprüfen, wer welche Akte konsultiert. So kann das Krankenhaus rechtzeitig erkennen, wenn jemand eine Akte einsehen will, obwohl dies nicht erlaubt ist, und Maßnahmen dagegen ergreifen. Das OLVG hielt zwar automatisch fest, welcher Mitarbeiter wann welche Krankenakte eingesehen hat (Protokollierung), überprüfte die Protokollierung aber nicht oft genug auf unberechtigte Zugriffe.
  • Zu einer guten Sicherheit gehört die Authentifizierung mit mindestens zwei Faktoren. Das OLVG hat diese Zwei-Faktor-Authentifizierung im Krankenhaus nicht verwendet. Die Anmeldung außerhalb des Krankenhauses erfolgte jedoch über eine Zwei-Faktor-Authentifizierung.

Man muss darauf vertrauen können, dass das, was man mit seinem Arzt bespricht, im Sprechzimmer bleibt, sagt die Vizepräsidentin von Autoriteit Persoonsgegevens (AP), Monique Verdier. „Sie können sich nicht vorstellen, dass Leute, die dort nichts zu suchen haben, einfach in den Aufzeichnungen des Arztes über Sie und Ihre Krankheit herumwühlen können. Die Patienten sollten davon ausgehen können, dass das Personal nur dann Einsicht in die Krankenakten nimmt, wenn dies für ihre Behandlung notwendig ist. Das OLVG hat zu wenig Sicherheitsmaßnahmen getroffen, um dies zu gewährleisten. Das ist gravierend und deshalb verhängt die AP jetzt dieses Bußgeld gegen die OLVG.“

Wir sehen viele Datenlecks im Gesundheitswesen, wo die sensibelsten persönlichen Daten in den Systemen gespeichert sind: In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks, so die AP-Vizepräsidentin Verdier zur Situation in den Niederlanden.

Das betroffene Krankenhaus hat erklärt, dass es gegen das Bußgeld der Datenschutz-Aufsichtsbehörde AP weder Einspruch noch Berufung einlegen wird.

Quelle: Pressemitteilung von Autoriteit Persoonsgegevens – AP vom 11.02.2021. Übersetzt mit www.DeepL.com/Translator.

1 Kommentar

  1. Im Jahr 2020 wurde trotz angeblicher Überlastung des Gesundheitswesens mehr als 20 Krankenhäuser geschlossen!
    https://www.gemeingut.org/krankenhausschliessungen/

    Wo sind die entsprechenden Akten verblieben???????????

    ein Artikel dazu:
    Rastlose Patientenakten – Kuriositäten-Kabinett Teil 10 08:55

    Neben Gedankenspielen vom Kaffeetresen (wie zuletzt gesehen) wollen wir auch immer wieder skurrile Rechtsansichten aus diversen Himmelsrichtungen beleuchten; freilich nicht ohne einen Kleks aus dem eigenen Senfglas dazu. Gelegentlich kommt man sich auch als eine Art Geschichtenerzähler vor, was nicht zwingend das Schlechteste sein muss.
    Die Geschichte

    So begab es sich zu jüngerer Zeit – präzise gesagt am 15. Oktober 2020 – dass ein Beschluss vom Hamburgischen Oberverwaltungsgericht (OVG) verkündet wurde, der ganz hervorragend in unsere kleine, aber feine Kuriositäten-Reihe passt. Ausgangslage war folgende: Ein Krankenhaus hatte den Betrieb eingestellt und sein Gebäude an eine separate Gesellschaft abgegeben. Es lagerten aber nach wie vor Akten über zahlreiche Patienten darin.

    https://www.datenschutz-notizen.de/rastlose-patientenakten-kuriositaeten-kabinett-teil-10-5028957/

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*