Mangelhaftes Rechtekonzept in KIS-Systemen führt zu hohen Bußgeldern
Die portugiesische Behörde für Datenschutzaufsicht hat gegen ein Krankenhaus ein Bußgeld in Höhe von 400.000 € erhoben. Die Ärztekammer hatte ein paar Monate zuvor ein Problem mit der Vertraulichkeit medizinischer Daten aufgezeigt. Dies gab den Anstoß für eine Datenschutzprüfung.
Im Rahmen dieser Prüfung wurde ein Testnutzer mit einem Profil für „Techniker“ angelegt. Es wurde festgestellt, dass dieses Profil einen uneingeschränkten Zugang zu Behandlungsdaten von Patienten ermöglichte. Zudem wurde festgestellt, dass fast 1.000 aktive Benutzer mit der Funktionsgruppe „Arzt“ im Krankenhaus angelegt waren, obwohl die Einsatzplanung für 2018 nur knapp 300 Ärzte im Dienst aufwies. Das Krankenhaus hatte dies mit der Notwendigkeit von ungenutzten bzw. temporären Profilen für Ärzte mit Dienstleistungsverträgen begründet.
Laut der Behörde bestand ein „wahlloser Zugang zu Datensätzen durch Fachleute, die nur in bestimmten Fällen darauf zugreifen sollten“. Zudem wurden offenbar keine Maßnahmen ergriffen, um diesen unbefugten Zugang zu verhindern. Die Behörde ging bei der Festlegung der Strafe davon aus, dass das Krankenhaus „frei, freiwillig, bewusst und in dem Bewusstsein, dass sein Verhalten verboten und strafbewehrt ist“ gehandelt hat. Für den Verstoß wurde ein Bußgeld von 300.000 € erhoben, ein weiterer Verstoß belegte laut der Behörde, dass das Krankenhaus die Vertraulichkeit, Integrität, Verfügbarkeit und dauerhafte Belastbarkeit von Behandlungssystemen und -diensten nicht gewährleisten konnte; dieser Verstoß wurde mit 100.000 € geahndet.
Das Krankenhaus will gegen die Strafe Berufung einlegen, da es nach seiner Ansicht die von der nationalen Gesundheitsbehörde vorgegebenen Profile eingerichtet hatte.
Bedeutung für Betreiber von Krankenhausinformationssystemen
Die Beschränkung von Zugriffsrechten ist eine Schutzmaßnahme, die dem aktuellen Stand der Technik entspricht. Dies wird auch in verschiedenen Publikationen der deutschen Aufsichtsbehörden vermerkt. Wie der vorliegende Fall zeigt, schützt eine Argumentation mit betrieblichen Notwendigkeiten nicht vor Strafen. Es ist davon auszugehen, dass eine zu großzügige Erteilung von Zugriffsrechten auf medizinische Daten auch durch die deutschen Aufsichtsbehörden geahndet würde.
Als Betreiber sollten Sie sicherstellen, dass in Ihrem KIS ein möglichst restriktives und wirksames Berechtigungskonzept eingerichtet ist. Hinweise dazu bietet die im Internet verfügbare „Orientierungshilfe KIS“, die von den deutschen Aufsichtsbehörden in Zusammenarbeit mit kirchlichen Datenschutzbeauftragten erstellt wurde.
Einige wichtige Punkte daraus:
• Das Krankenhaus muss Rollen definieren, welchen Rechte zugeordnet werden (unabhängig von den konkreten Personen).
• Diese Rechte müssen sich an den fachlichen Aufgaben und Tätigkeiten orientieren.
• Folgende Rollen sollten grundsätzlich vorgesehen werden: Ärztliche Beschäftigte, Nicht-ärztliches medizinisches Fachpersonal (z.B. Pflegekräfte), Verwaltungskräfte, Auszubildende, Externe Kräfte, Technische Administration.
• Der Umfang der Zugriffsberechtigungen einzelner Benutzer darf sich allein aus der Gesamtheit der ihnen zugeordneten Rollen ergeben.
• Die Einrichtung von gemeinsam genutzten Kennungen ist nur ausnahmsweise zulässig, z.B. für Pflegekräfte in Stationszimmern oder im OP-Bereich.
• Das Berechtigungskonzepts ist so zu dokumentieren, dass die Erforderlichkeit des Umfangs erteilter Rechte nachvollzogen werden kann. Beispielsweise muss dargestellt werden können, welche Nutzer eine bestimmte Berechtigung haben, oder welche Nutzer auf ein bestimmtes Datenschutzobjekt zugreifen können.
Die Zuordnung von Rechten zu Benutzern wird grundsätzlich statisch sein (gemäß der Zuordnung von Mitarbeitenden zu Abteilungen und/oder Funktionen sowie gemäß Dienst- bzw. Bereitschaftsplänen). Um dem Klinikalltag gerecht zu werden, sollte darüber hinaus eine dynamische Rechtevergabe bestehen, d.h. die Möglichkeit, Zugriffsbeschränkungen situationsbezogen aufzuheben bzw. Zugriffsrechte zu erweitern.
Die Datenschutzexperten von msecure empfehlen das Berechtigungskonzept in Ihrem KIS regelmäßig zu überprüfen. Dabei sollten zu umfangreiche Berechtigungen kritisch hinterfragt, und veraltete Berechtigungen entfernt werden. msecure unterstützt Sie gerne bei dieser Aufgabe und steht Ihnen mit Antworten und Tipps zur Seite. Mehr Informationen rund um das Thema Datenschutz und Informationssicherheit finden Sie hier.
Quelle Titelbild: iStock/ Garsya
