22.06.2016, 12:50 Uhr

Zürcher Spitäler gehen sorglos mit ihren Daten um

Zürcher Spitäler scheinen grossen Aufholbedarf zu haben, wenn es um den Schutz von Patienten- und anderen Daten geht.
Der Datenschutzbeauftragte (DSB) des Kantons Zürich, Bruno Baeriswyl, hat im vergangenen Jahr die Informationssicherheit in Spitälern überprüft und dabei zahlreiche Schwachstellen festgestellt. Weil beim Umgang mit Gesundheitsdaten besondere Risiken für Persönlichkeitsverletzungen bestehen, sind umfangreiche Sicherheitsmassnahmen erforderlich. Bei den Kontrollen habe sich gezeigt, dass eine grosse Diskrepanz zwischen den erforderlichen und den umgesetzten Schutzmassnahmen besteht, heisst es im am Mittwoch veröffentlichten DSB-Ttigkeitsbericht 2015. Es wurden sowohl rechtliche als auch organisatorische und technische Aspekte unter die Lupe genommen. In den geprüften Spitälern waren viele der erforderlichen Massnahmen inexistent. So fehlten organisatorische Massnahmen, wie beispielsweise Informationssicherheits- (ISMS) respektive Datenschutzmanagmentsysteme (DSMS). Diese sind bei der Bearbeitung von Gesundheitsdaten unbedingt erforderlich, wie es im Bericht weiter heisst. Auch technische Massnahmen, wie Passwörter, Verschlüsselungen und Verwaltung mobiler Geräte wurden ungenügend umgesetzt. Um den Datenschutz zu verbessern, wird der DSB weitere Kontrollen und Beratungen durchführen.

Klinikinformationssystem kontrolliert

Erstmals genauer untersucht wurde ein Klinikinformationssystem (KIS) im Rahmen eines Pilotprojekts. Das KIS ist die zentrale Informationsplattform des Spitals. Darin wird ein Grossteil der Gesundheitsdaten abgelegt. Aus datenschutzrechtlicher Sicht ist das KIS laut Jahresbericht die sensitivste Applikation. In Zusammenarbeit mit einem grossen Spital wurden rechtliche Aspekte kontrolliert, wie beispielsweise die Verhältnismässigkeit der Zugriffe, die Umsetzung der Betroffenenrechte, die Archivierung und die Löschung von Personendaten sowie die rechtskonforme Auslagerung der Datenbearbeitungen. Ausserdem wurden organisatorische und technische Sicherheitsmassnahmen überprüft. Dabei fielen zahlreiche Schwachstellen auf. Beispielsweise wurden die Zugriffe zu wenig eingeschränkt, die Aufbewahrungsfristen nicht mit Blick auf die Gesetzgebung definiert und es fehlte eine detaillierte Risikoanalyse mit entsprechenden Massnahmenplänen. Um die Resultate breiter abzustützen und mit entsprechenden Massnahmen den Datenschutz in den Spitälern zu verbessern, wird der DSB weitere KIS-Kontrollen durchführen.



Das könnte Sie auch interessieren