Das Cambridge University Hospitals untersucht einen möglichen Datenschutzverstoß, nachdem rund 40 Mitarbeiter auf die Patientenakte eines dreijährigen Jungen zugegriffen hatten. Das Kind wurde nach einem aufsehenerregenden Vorfall in einem Zoo in Cambridgeshire behandelt. Der NHS-Verbund hat den Vorfall zudem dem britischen Datenschutzbeauftragten Information Commissioner’s Office (ICO) gemeldet und prüft nun, ob alle Mitarbeiter einen berechtigten Grund für den Zugriff auf die Patientenakte hatten.
Der Fall verdeutlicht das wachsende Risiko von Insider-Bedrohungen im Gesundheitswesen. Obwohl Krankenhäuser erhebliche Summen in Cybersicherheit investieren, zählt der unbefugte Zugriff durch Mitarbeiter weiterhin zu den größten Herausforderungen beim Schutz sensibler Patientendaten.
Datenschutzverstoß folgt auf aufsehenerregenden Krankenhausfall
Rettungskräfte brachten den dreijährigen Jungen in das Addenbrooke’s Hospital, nachdem ihn eine Person offenbar von einer erhöhten Aussichtsplattform in ein Krokodilgehege eines Zoos in Cambridgeshire gestoßen hatte.
Berichten zufolge stürzte das Kind rund 4,5 Meter in die Tiefe, bevor es von mindestens einem Krokodil angegriffen wurde. Kurz nach dem Vorfall nahm die Polizei einen 30-jährigen Mann wegen des Verdachts auf versuchten Mord fest. Später kam der Verdächtige gegen Kaution wieder auf freien Fuß, während die Ermittlungen fortgesetzt wurden.
Nachdem der Vorfall in Großbritannien und international große Aufmerksamkeit erregt hatte, stellte das Krankenhaus fest, dass etwa 40 Mitarbeiter die Patientenakte des Jungen geöffnet hatten.
Das Cambridge University Hospitals überprüft nun jeden einzelnen Zugriff, um festzustellen, ob die Einsicht aus legitimen medizinischen oder betrieblichen Gründen erfolgte.
Krankenhaus überprüft Zugriffe auf Patientenakten
Der NHS-Verbund erklärt, dass strenge Vorschriften zum Schutz vertraulicher Patientendaten gelten. Gleichzeitig betont die Einrichtung, dass der Schutz der Privatsphäre von Patienten zu den grundlegenden Pflichten aller Beschäftigten gehört.
Ein Sprecher des Krankenhauses erklärte, dass die meisten der rund 13.000 Mitarbeiter ihre Verantwortung kennen. Dennoch können disziplinarische Maßnahmen gegen Beschäftigte eingeleitet werden, die ohne berechtigten dienstlichen Grund auf Patientenakten zugreifen. In schwerwiegenden Fällen droht sogar die Entlassung.
Das Krankenhaus meldet mutmaßliche Datenschutzverstöße außerdem an das ICO und informiert betroffene Patienten oder deren Familien, sofern dies erforderlich ist.
ICO: Neugier ist kein berechtigter Grund
Die Untersuchung folgt auf einen weiteren aktuellen Datenschutzfall, bei dem Patientenakten der Prinzessin von Wales betroffen waren.
Anfang des Monats sprach das ICO eine formelle Verwarnung gegen einen Mitarbeiter des Gesundheitswesens aus, der versucht hatte, vertrauliche Patientendaten aus finanziellen Motiven zu verkaufen.
Seitdem erinnert die Behörde medizinisches Personal daran, dass der Zugang zu einem Krankenhaussystem nicht automatisch zum Einblick in Patientenakten berechtigt.
In einem Blogbeitrag mit dem Titel Curiosity is not an excuse warnte ICO-Ermittlungsleiter Paul Arnold davor, dass viel beachtete Nachrichtenereignisse Mitarbeiter häufig dazu verleiten, Patientenakten ohne berechtigten Anlass einzusehen.
Arnold betonte, dass Beschäftigte stets einen legitimen medizinischen oder betrieblichen Grund benötigen, bevor sie vertrauliche Patientenakten öffnen. Außerdem erinnerte er daran, dass unbefugter Zugriff auf personenbezogene Daten nach britischem Datenschutzrecht strafbar ist.
Insider-Bedrohungen bleiben ein Risiko für das Gesundheitswesen
Externe Hacker stellen nicht die einzige Gefahr für Krankenhäuser dar. Auch Mitarbeiter können sensible Patientendaten gefährden, wenn sie ihre legitimen Zugriffsrechte missbrauchen, ohne technische Sicherheitsmaßnahmen umgehen zu müssen.
Aus diesem Grund fordern Aufsichtsbehörden Gesundheitseinrichtungen weiterhin dazu auf, die Überwachung von Systemzugriffen auszubauen, Mitarbeiter besser zu schulen und verdächtige Aktivitäten frühzeitig zu erkennen, bevor daraus ein größerer Datenschutzverstoß entsteht.
Die Untersuchung am Cambridge University Hospitals zeigt erneut, dass der Schutz von Patientenakten sowohl leistungsfähige Cybersicherheitsmaßnahmen als auch einen verantwortungsvollen Umgang aller Beschäftigten mit sensiblen Patientendaten erfordert.


0 Kommentare zu „Krankenhaus untersucht Datenschutzverstoß nach unbefugtem Zugriff auf Patientenakte eines Kindes“