Patientendaten bedürfen den höchsten Schutzmaßnahmen in Sachen Datenschutz. Dazu gehören neben der normalen Patientenakte auch Bilddateien, die aus Röntgen-, CT- oder MRT-Untersuchungen hervorgehen. In der Regel werden mit den Bildern mindestens der Name des Patienten gespeichert. Damit handelt es sich bei den Aufnahmen um personenbezogene Daten.
Speicherung von CT- und MRT-Aufnahmen
Pro Patient fallen Bilddaten von mehreren Gigabyte an. Um der Datenmenge Herr zu werden, speichern die Geräte die Aufnahmen auf sogenannten PACS-Servern (Picture Archiving and Communication System).
Untersuchungen des Bayerischen Rundfunks und der US-Rechercheplattform ProPublica haben im September 2019 ergeben, dass von 2.300 Servern fast 600 ohne Schutz im öffentlichen Internet zugänglich waren. Dadurch sind 24,5 Millionen Datensätze quasi frei im Netz verfügbar. Selbst einfachste Datenschutzeinstellungen wurden dabei missachtet, es wurde keine Verschlüsselung eingesetzt, nicht einmal Zugangsname und Passwort wurden abgefragt. In Deutschland sind 13.000 Patienten von der Datenpanne betroffen.
Vorsicht bei Praxis-PCs
Nicht nur die PACS-Server, auch die Praxis-PCs sind eine Fehlerquelle. Stimmen bei den Geräten die Datenschutzeinstellungen nicht, sind sie für Angriffe von außen leichte Opfer. Und medizinische Einrichtungen sind ein beliebtes Ziel von Cyberkriminellen. Die Virenschutz-Experten von Kaspersky gehen davon aus, dass 2018 28 Prozent der Geräte in Krankenhäusern angegriffen wurden. Daher müssen Ärzte darauf achten, dass die Sicherheitseinstellungen der PCs stimmen:
- Sind die Daten verschlüsselt?
- Wird ein Passwort abgefragt?
- Sind die Firewall und Virenschutz-Software aktiv und aktuell?
- Haben nur berechtigte Personen Zugriff auf den PC?
- Muss der PC mit den Patientendaten überhaupt an das Internet angebunden sein?
Professionelle Unterstützung ist ein Muss
Der aufgedeckte Fall zeigt: Datenschutz ist in Praxen ein komplexes Thema, besonders da es sehr stark mit dem Thema IT-Sicherheit zusammenhängt. Das gilt umso mehr, als dass die personenbezogenen Daten im Gesundheitssektor zu den Daten der besonderen Kategorie nach Art. 9 DSGVO zählen, die besonders hohe Anforderungen an den Datenschutz nach sich ziehen. Daher empfiehlt es sich für Arztpraxen aller Größen, sich durch externe Datenschutzbeauftragte beraten zu lassen. Dadurch minimiert sich nicht nur das Risiko einer Datenpanne mit der Folge eines hohen Bußgelds. Es schützt auch die Patienten vor dem Diebstahl von sehr sensiblen und persönlichen Daten.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: