Datatilsynet verhängt 73.221 Euro Bußgeld gegen St. Olavs Hospital
Norwegen: Das vorliegende Bußgeld steht mit drei Datenpannen im Zusammenhang, welche das Krankenhaus im März 2020 der norwegischen Datenschutzbehörde gem. Art. 33 DSGVO gemeldet hatte. Aufgrund unzureichender Zugangskontrollen konnten sämtliche Mitarbeiter der regionalen Gesundheitsbehörde für Zentralnorwegen (Helse Midt-Norge RHF) über die Krankenhaussysteme pauschal auf verschiedene Akten mit Patientendaten zugreifen.
Die erste Panne war zwischen dem 13. Januar 2011 und dem 27. Januar 2020 bei der kardiologischen Abteilung des Krankenhauses nach dem Upgrade von dessen Register aufgetreten. Während des Upgrades wurden 21.000 Behandlungsberichte vorübergehend auf einem Testserver zwischengespeichert und anschließend auf das neue System kopiert. Dabei war es versäumt worden, die Daten vom Testserver wieder zu entfernen, wodurch sie weiterhin über das System auffindbar blieben. Des Weiteren hatte man irrtümlich allen RHF-Mitarbeitern, die über das System registriert waren, Zugriff auf die Berichte gewährt. Bei der zweiten Panne waren zwischen dem 17. Mai 2015 und dem 28. Januar 2020 Berichte zu medizinischen Messungen (z.b. der Sauerstoffsättigung oder der Herzfrequenz) in einem Bereich gespeichert worden, welcher für alle RHF-Beschäftigten mit einem aktiven Account zugänglich war. Die dritte Panne hatte zwischen dem 1. Januar 2018 und dem 9. Dezember 2019 bestanden. Die Zugangsdaten für verschiedene Datenbanken des Krankenhauses waren in einer Datei im Klartext auf dessen Server gespeichert worden. Dabei konnten sich alle Nutzer des Systems über Remote-Desktop mit dem Server verbinden, auf diesem auf die Datei zugreifen und sich so Zugang zu den Datenbanken verschaffen. Diese enthielten under anderem Informationen zur Behandlung und Medikamentierung von Patienten der Kinder- und Jugendpsychiatrie.
Die Datenschutzbehörde wertete das Versäumnis des Krankenhauses, wirksame Zugangskontrollen zu etablieren, als eine Verletzung seiner Pflicht, technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau zu gewährleisten. .
Veröffentlicht am: 01-10-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.