DSGVO Busse für ein niederländisches Spital wegen ungenügenden TOM’s
Mangelhafte Zugriffskontrolle
Ein niederländisches Krankenhaus wurde gebüsst, weil mehrere unbefugte Spitalmitarbeiter die elektronische Patientenakte einer prominenten Person eingesehen haben (Kurzinformation in Englisch sowie Originalmeldung auf Holländisch).
Solche Vorfälle sind leider keine Einzelfälle. In der Schweiz beispielsweise hat der Verkaufsversuch von Michael Schumachers Patientenakte für Aufsehen gesorgt, und in Deutschland hat sich beim Tugce-Fall herausgestellt, dass trotz interner Richtlinie eine überdurchschnittliche Anzahl von Krankenhausmitarbeitenden die Patientenakte von Frau Tugce gelesen haben.
Das niederländische Spital ist denn auch nicht das erste, welches unter der Datenschutzgrundverordnung (DSGVO) gebüsst wurde. Einem portugiesischen Krankenhaus erging es aus vergleichbaren Gründen ähnlich.
Die niederländische Aufsichtsbehörde hat im aktuellen Fall die technischen und organisatorischen Massnahmen (TOM) als unzureichend erachtet und eine entsprechende Geldstrafe verhängt. Zusätzlich wurde dem Krankenhaus eine Frist bis zum 2. Oktober 2019 gesetzt, um entsprechende Massnahmen umzusetzen. Sollte das Krankenhaus dem nicht nachkommen, wird alle zwei Wochen eine Strafzahlung von € 100'000.00 fällig. Damit soll eine schnelle Verbesserung gewährleistet werden. Je nach Klinikinformationssystem (KIS) wird eine kurzfristige Anpassung und Verbesserungen der Zugriffsrechte allerdings nur schwierig umsetzbar sein.
Die Aufsichtsbehörde hat dabei vor allem die Zugriffsrechte als unzureichend bzw. zu weitgehend bemängelt, da zu viele Personen auf die elektronische Patientenakte zugreifen konnten. Daneben wurde das Spital aufgefordert, die Authentifizierung auf mindestens ein Zwei-Faktoren-System zu erweitern, um die Zugriffssicherheit allgemein zu erhöhen.
Zugriffsrechte stellen in einem Spital immer einen Zielkonflikt dar, denn ein interner wie externer Austausch von (Patienten-)informationen ist für das Funktionieren eines solchen Betriebs heutzutage schliesslich unabdingbar. Dies bringt hohe Anforderungen an das Management der diversen Schnittstellen mit sich. Die Gefahr eines Missbrauchs von Patientendaten bzw. einer Verletzung von Persönlichkeitsrechten ist leider immer vorhanden. Dadurch, dass viele Personen in die Betreuung eines einzelnen Patienten involviert sind, wird das Management der Zugriffskontrolle immer eine komplexe Aufgabe bleiben. Beim Spitalbetreiber und Gesundheitspersonal steht die Betreuung des Patienten an erster Stelle, datenschutzkonformer Umgang mit den sensiblen Daten ist zweitranging. Dies kann schnell dazu führen, dass die Zugriffsrechte zu weitgehend ausgestaltet werden.
Es ist daher nicht verwunderlich, dass die Zugriffsrechte von der Aufsichtsbehörde bemängelt wurden.
Im Gegensatz zur DSGVO sieht das Schweizer Danteschutzgesetz (DSG) keine Bussen vor. Die Datensicherheit (Art. 7 DSG) muss aber trotzdem eingehalten werden. Die Pflicht zur Schaffung von ausreichenden TOM’s sehen ebenfalls beide Gesetze vor (Art. 8f VDSG). Selbst wenn keine Bussen drohen, kann eine Persönlichkeitsverletzung aber auch in der Schweiz zu einem Zivilprozess führen, sowie strafrechtliche Konsequenzen haben. Das Thema darf unter dem Schweizer Recht ebenfalls nicht vernachlässigt werden.
Technische und organisatorische Massnahmen
Die Einhaltung des Datenschutzes und des Patientengeheimnisses bilden Teil eines ganzheitlichen Datenschutzmanagementsystems (DSMS). Es ist deshalb wichtig, dass diese beiden Komponenten in die Gesamtstrategie integriert und die einzelnen Teile aufeinander abgestimmt werden.
Ein sinnvolles Datenschutzkonzept hat die internen Prozesse, die Mitarbeiter und auch die Sicherheitssysteme zu berücksichtigen. Ein Datenschutzkonzept, das nur auf dem Papier existiert, aber mit der vorhandenen IT-Infrastruktur nicht korreliert, ist wertlos. Ebenso eine für den Endnutzer zu komplizierter und umständlicher Anwendung, welche die Integration in die Arbeitsprozesse unnötig erschwert. Regelmässige Schulungen und Instruktionen sind deshalb unabdingbar.
Das Spital hat technische und organisatorische Massnahmen zu treffen, damit die Patientendaten nicht ohne weiteres weitergeben werden können oder darauf zugegriffen werden kann. Der Zugriff ist ausserdem auch intern auf das Notwendige zu beschränken.
Technisch steht hier das Klinikinformationssystem (KIS) eines Spitals im Vordergrund. Gerade ein moderndes KIS ermöglicht heute eine umfassende Verknüpfung mit der gesamten IT-Infrastruktur des gesamten Spitals. So können beispielsweise Laboranalysen oder CT-Aufnahmen direkt ins KIS übermittelt werden. Dieser schnelle und umfassende Austausch von Daten reduziert zwar auf der einen Seite das Risiko, dass Information zu langsam oder unvollständig an den behandelnden Arzt gelangen, erhöht aber auf der anderen Seite die Missbrauchsgefahr, da über die vielen Schnittstellen potenziell mehr Personen Zugriff auf die Patientendaten haben. Zu offene und breite Zugriffsrechte stellen daher oft eine Schwachstelle in Spitälern dar. Mit der Begründung, dies sei zur guten Behandlung der Patientinnen und Patienten nötig, lässt sich ein weitgehender Zugriff heutzutage allerdings nicht mehr rechtfertigen.
Als erstes gilt es, ein Berechtigungskonzept zu erstellen, um die Zugriffsrechte zu regeln. Wie der niederländische Fall gezeigt hat, sind aber sowohl organisatorische wie auch technische Massnahmen zu ergreifen.
Insbesondere müssen technische Möglichkeiten implementiert werden, damit eine wirksame Kontrolle der organisatorischen Massnahmen möglich ist. Um die Einhaltung überhaupt überwachen und einen allfälligen Missbrauch nachvollziehen zu können, wird eine Protokollierung notwendig. Diese wirkt meist präventiv, sodass beispielweise Zugriffe aus reiner Neugier verhindert werden können.
Jede Datenbearbeitung, wie auch Systemadministrationstätigkeiten (z.B. Wartungsvorgänge) sowie den Export von Daten müssen protokolliert werden. Was allerdings voraussetzt, dass einerseits alle Beteiligten über den Protokollierungsvorgang in Kenntnisgesetzt werden und andererseits ausgewählte Zugriffsberechtigungen vergeben werden, so dass ausschliesslichen autorisierte Personen die Protokolle einsehen können.
Durch technische Massnahmen können gewisse Verstösse bereits pro aktiv verhindert werden. Allerdings lässt sich bei älteren Systemen ein feingliederiges Zugriffssystem gar nicht vollständig umsetzen, da bei der Beschaffung des KIS, der Datenschutz noch kein so grosses Thema war und eine nachträgliche Softwareanpassung zu teuer wäre. In diesen Fällen bleibt die Überwachung oft die einzig sinnvolle Massnahme. Bei der Beschaffung eines neuen KIS ist es deshalb wichtig, einen Privacy by Design Ansatz zu verfolgen und den Datenschutz bereits mitzudenken. Am wichtigsten ist, dass ein Zugriff auf Patientendaten grundsätzlich nur denjenigen Personen möglich sein darf, die an der medizinischen, pflegerischen oder verwaltungsmässigen Abwicklung der Behandlung beteiligt sind.
Für einen datenschutzkonformen Betrieb sind folgende Funktionen notwendig:
Rollenbasierte Zugriffsvergabe,
Automatische Einschränkung auf alte Falldaten,
Automatische Einschränkung des Zugriffs auf Daten von Mitarbeitenden,
Protokollierung des Notfallzugriffs einschliesslich des Zugriffgrunds,
Zeitliche Sperrung von Benutzerkonten,
Sperrung bei wiederholt fehlerhafter Passworteingabe,
Automatische Erkennung unbenutzter Benutzerkonten,
Möglichkeit einer starken Authentifizierung (Zwei-Faktor-Authentifizierung) und eine automatische Überprüfung der Passwortstärke.
Weitere Ausführungen zum Datenschutz in Spitälern können im Fachartikel von Yves Gogniat – Datenschutz in Spitälern nachgelesen werden.
Dieser Beitrag wurde von RA Yves Gogniat verfasst.
Haben Sie weitere Fragen zur Sicherstellung des Datenschutzes im Gesundheitsbereich, dann steht Ihnen Balthasar Wicki gerne zur Verfügung.