Zürich
Die Informationssicherheit an Zürcher Spitälern hat Schwachstellen

Der Umgang mit Gesundheitsdaten birgt hohe Risiken für Persönlichkeitsverletzungen, weshalb umfangreiche Sicherheitsmassnahmen notwendig sind. Der Datenschutzbeauftragte (DSB) des Kanton Zürich überprüfte letztes Jahr die Informationssicherheit in Spitälern und entdeckte zahlreiche Schwachstellen.

Merken
Drucken
Teilen
Datenschutz im Spital verletzt

Datenschutz im Spital verletzt

Keystone

Bei den Kontrollen habe sich gezeigt, dass eine grosse Diskrepanz zwischen den erforderlichen und den umgesetzten Schutzmassnahmen besteht, heisst es im am Mittwoch veröffentlichten DSB-Tätigkeitsbericht 2015. Es wurden sowohl rechtliche als auch organisatorische und technische Aspekte unter die Lupe genommen.

Viele notwendige Massnahmen inexistent

In den geprüften Spitälern waren viele der erforderlichen Massnahmen inexistent. So fehlten organisatorische Massnahmen, wie beispielsweise Informationssicherheits- (ISMS) respektive Datenschutzmanagmentsysteme (DSMS). Diese sind bei der Bearbeitung von Gesundheitsdaten unbedingt erforderlich, wie es im Bericht weiter heisst.

Auch technische Massnahmen, wie Passwörter, Verschlüsselungen und Verwaltung mobiler Geräte wurden ungenügend umgesetzt. Um den Datenschutz zu verbessern, wird der DSB weitere Kontrollen und Beratungen durchführen.

Erstmals Klinikinformationssystem kontrolliert

Erstmals genauer untersucht wurde ein Klinikinformationssystem (KIS) im Rahmen eines Pilotprojekts. Das KIS ist die zentrale Informationsplattform des Spitals. Darin wird ein Grossteil der Gesundheitsdaten abgelegt. Aus datenschutzrechtlicher Sicht ist das KIS laut Jahresbericht die sensitivste Applikation.

Dabei fielen zahlreiche Schwachstellen auf. Beispielsweise wurden die Zugriffe zu wenig eingeschränkt, die Aufbewahrungsfristen nicht mit Blick auf die Gesetzgebung definiert und es fehlte eine detaillierte Risikoanalyse mit entsprechenden Massnahmenplänen.

Weitere Kontrollen geplant

Um die Resultate breiter abzustützen und mit entsprechenden Massnahmen den Datenschutz in den Spitälern zu verbessern, wird der DSB weitere KIS-Kontrollen durchführen.