Sensitive Datenbearbeitungen im Gesundheitswesen noch mangelhaft

Ein wirkungsvoller Datenschutz setzt voraus, dass die öffentlichen Organe die rechtlichen und technischen Anforderungen von Anfang an berücksichtigen. Bruno Baeriswyl, der Datenschutzbeauftragte des Kantons Zürich, hat anlässlich einer Medienkonferenz zu seinem Tätigkeitsbericht 2015 die Bedeutung des präventiven Datenschutzes unterstrichen:

 

Bei Gesundheitsdaten bestehen besonders hohe Risiken für Persönlichkeitsverletzungen. Dies erfordert entsprechend umfangreiche Sicherheitsmassnahmen. Bei den 2015 in mehreren Spitälern im Kanton Zürich durchgeführten Kontrollen der Informationssicherheit musste der Datenschutzbeauftragte feststellen, dass teilweise grundlegende organisatorische und technische Massnahmen fehlten. Um einen angemessenen und nachhaltigen Schutz der bearbeiteten Gesundheitsdaten zu garantieren, ist ein Informationssicherheits- (ISMS) respektive Datenschutzmanagementsystem (DSMS) unabdingbar, da es die Grundlage bildet für die zu treffenden Massnahmen und ihre regelmässige Überprüfung. Auch technische Massnahmen in den Bereichen Passwörter, Verschlüsselung und Verwaltung mobiler Geräte waren nur lückenhaft umgesetzt.

Im vergangenen Jahr wurde auch ein Klinikinformationssystem (KIS), die zentrale Informationsplattform eines Spitals, geprüft. Das Spital hat die organisatorischen Aspekte des KIS mit den entsprechenden Zielsetzungen und Verantwortlichkeiten vorbildlich festgelegt. Schwachstellen bestanden beispielsweise bei zu weit gehenden Zugriffen auf die Daten sowie dem Fehlen von Aufbewahrungsfristen und einer detaillierten Risikoanalyse mit entsprechenden Massnahmenplänen.