Patientendaten in der Cloud

Patientendaten in der Cloud

27. November 2021

Im Februar 2021 wurde Medienberichten in Frankreich zufolge bekannt, dass etwa 500.000 sensible Daten französischer Patienten von Hackern online veröffentlicht wurden. Entdeckt wurde das Datenleck vom französischen Journalisten Damien Bancal, der in seinem Cybersecurity-Blog „Zataz“ über seine Recherchen informiert.

Die gehackte Datenbank soll mehr als 491.000 Daten umfassen. Dabei werden neben dem Namen nicht nur die Anschrift, Telefonnummer, E-Mail-Accounts und Sozialversicherungsnummer aufgeführt, sondern auch Angaben zum Gesundheitszustand, Medikationen, Schwangerschaften und Krankheiten wie eine HIV-positiv-Diagnose gemacht.

Die französische Tageszeitung Liberation stellte Nachforschungen zu dieser Entdeckung an und fand heraus, dass sich die Daten auf etwa 30 medizinisch-biologische Labore im Nordwesten Frankreichs zurückführen lassen. Alle diese Labore verwenden höchstwahrscheinlich die gleiche Software zur medizinischen Datenverarbeitung. Die so gestohlenen Informationen sollen zwischen 2015 und 2020 erfasst worden sein.

Der Vorsitzende des Deutschen Psychotherapeuten Netzwerks (DPNW) Dieter Adler sieht die Digitalisierung von Patientendaten äußerst kritisch und ist der Meinung, dass „Patientendaten einfach nichts auf fremden Servern, in einer Cloud oder online zu suchen haben.“ Er fordert unsere Gesundheitspolitiker dazu auf, endlich zu der Einsicht zu gelangen, „die Finger weg von der cloudbasierten Digitalisierung sensibler Patientendaten“ zu lassen. „Das ist ein Irrweg, der uns alle ins medizinische Unglück stürzt“, so Dieter Adler.

Erst im Oktober 2020 verkündete die globale Nachrichtenagentur AFP sowie zahlreiche andere Medien, dass unbekannte Hacker auf vertrauliche Behandlungsunterlagen von Zehntausenden von Psychotherapie-Patienten in Finnland zugegriffen haben. Verzweifelte Patienten meldeten sich bei der finnischen Polizei und erzählten von E-Mails, in denen sie dazu aufgefordert wurden, 200 € in Bitcoins zu überweisen. Tun sie das nicht, würden die Inhalte ihrer therapeutischen Sitzungen publik gemacht.

Cloud-Computing

Prinzipiell müssen Patientenunterlagen 10 Jahre aufbewahrt werden. Je nach Art der Dokumente kann dieser Zeitraum auch kürzer oder länger ausfallen. Dabei ist es grundsätzlich egal, ob die Unterlagen in Papierform archiviert oder digital abgespeichert werden.

So wird auch im Gesundheitswesen das sog. Cloud-Computing (dt. Datenverarbeitung in der Wolke oder auch Datenwolke) immer beliebter, bietet es doch die Möglichkeit, zu jeder Zeit, an jedem Ort und mithilfe verschiedener Geräte auf Daten zugreifen zu können. Dementsprechend können sämtliche Informationen ortsunabhängig und kostengünstig gespeichert werden.

Die Datenablage in einer Cloud darf generell nur im Rahmen einer Auftragsverarbeitungsvereinbarung erfolgen. Besonders im Gesundheitsbereich handelt es sich normalerweise um hochsensible Daten, die keinesfalls für Unbefugte zugänglich sein sollen. Da sie zusätzlich der ärztlichen Schweigepflicht unterliegen, sind sie besonders schützenswert. Auch der Cloudbetreiber darf keine Einsicht erhalten.

Die Patientendaten müssen demnach ordnungsgemäß verschlüsselt sein. Dabei sollte die Verschlüsselung bereits in der jeweiligen Praxis stattfinden, bevor die Daten in der Cloud abgelegt werden. Schließlich darf auch nur befugtes Praxispersonal Zugang zum Passwort bzw. den Daten erhalten.

Laut der Kassenärztlichen Bundesvereinigung (KBV) sei der besondere Schutz der Patientendaten beim Cloud-Computing nicht wirklich sichergestellt. „Denn auf welchen Servern die Patientendaten lagern, weiß häufig nur der Anbieter des Dienstes. Lagern die Daten auf Servern im Ausland, gilt gegebenenfalls auch die dort gültige Rechtsprechung für Daten und Datenschutz.“

Aus Gründen des Datenschutzes spricht sich die KBV daher gegen die Datenspeicherung und -verarbeitung per Cloud-Computing außerhalb der Praxis aus. Wird beispielsweise das Praxisverwaltungssystem (PVS) zur Datenverarbeitung in der Cloud betrieben, könnte schließlich selbst der Dienstleister Zugriff auf diese Daten erhalten. Deswegen ist bereits bei der Auswahl des Cloudbetreibers darauf zu achten, dass dieser vertrauenswürdig und über ein IT-Sicherheitsmanagement verfügt.

 

 Meine Quellen:

https://www.openpr.de/news/1205844/Daten-von-500-000-Franzosen-geklaut-und-veroeffentlicht-Finger-weg-von-cloudbasierter-Digitalisierung.html

https://www.openpr.de/news/1105559/Deutsche-Psychotherapeuten-zeigen-sich-schockiert-ueber-Datenklau-psychotherapeutischer-Inhalte-in-Finnland.html

https://www.aerztezeitung.de/Wirtschaft/Deutsche-Psychotherapeuten-Keine-Daten-in-Clouds-speichern-417495.html

https://www.aerzteblatt.de/archiv/161854/Datenarchivierung-in-der-Cloud-birgt-Risiken

https://www.dgvt-bv.de/news-details/?tx_ttnews%5Btt_news%5D=5130&cHash=811cc0b11e067ec117bc0f8b12a30f77

 

 Autorin: Aline Neißner