Zürcher Alters- und Pflegeheime haben Mängel beim Datenschutz

5. Juni 2024 um 13:31
image
Foto: Getty / Unsplash+

Viele Heime halten sich nicht an die Vorgaben, kritisiert die kantonale Datenschützerin. Mancherorts erfolgt der Zugriff auf sensible Daten mit dem Passwort "Welcome".

Die kantonale Datenschutzbeauftragte Dominika Blonski hat im vergangenen Jahr Zürcher Alters- und Pflegeheime unter die Lupe genommen. Die Kontrollen zeigten, dass sich viele dieser Institutionen bei den Gesundheitsdaten nicht an die Vorgaben halten. Es hätten sich Mängel gezeigt, die von fehlenden Plänen zur Abwehr von Hackerangriffen bis hin zu Servern reichten, die öffentlich erreichbar waren.
Die Datenschutzbeauftragte kontrollierte grosse und kleine Zentren, die als Gemeindeorgane, Stiftungen oder auch Aktiengesellschaften organisiert sind. Gemeinsam haben viele dieser Institutionen, dass sie es beim Schutz der Personen- und Gesundheitsdaten nicht so genau nehmen.
"Die Zugriffe auf die Daten erfolgen häufig über unpersönliche Accounts", sagte Blonski bei der Präsentation des Tätigkeitsberichtes 2023. Die Passwörter sind entweder allgemein bekannte Standardpasswörter wie "Welcome" oder irgendwo auf dem Computer gespeichert. "So kann sich natürlich jeder einloggen."

"Unkontrollierter Zugriff" auf Gesundheitsdaten

Auch besondere Authentifizierungsmassnahmen, die bei heiklen Personendaten eigentlich Pflicht sind, fehlen in vielen Heimen. "Mitarbeitende sind zudem häufig schlecht geschult. Auf den Computern fehlen Backups und Updates", sagte Blonski weiter.
Das Resultat sei, dass ein "unkontrollierter Zugriff" auf die Daten möglich sei. Dies bringe ein hohes Missbrauchspotenzial mit sich, weil die Personen- und Gesundheitsdaten zweckwidrig verwendet werden könnten. Es fehle auch vielerorts an einem Vulnerability-Management. "Mit einem Scanner können Konfigurationsfehler aufgedeckt und Schwachstellen identifiziert werden. Bei zwei Dritteln aller Zentren war kein solcher Scanner im Einsatz."

M365 und Cloud-Anwendungen an Spitälern

In ihrem Jahresbericht befasst sich die Datenschützerin auch mit dem Einsatz von Microsoft 365 und anderen Cloud-Anwendungen an Spitälern. Deren Verbreitung habe stark zugenommen. "Diese Öffnung der Spitalumgebung für Dritte führt zu hohen datenschutzrechtlichen Risiken", schreibt Blonski.
Das Spital bleibe in jedem Fall verantwortlich für seine Daten. "Die datenschutzkonforme Auslagerung in die Cloud gestaltet sich deshalb schwierig. Informationen, die der gesetzlichen Schweigepflicht unterstehen, und besondere Personendaten können ohne zusätzliche Massnahmen nicht datenschutzkonform in eine Cloud eines US-Unternehmens ausgelagert werden", hält die Datenschützerin fest.
Selbst in die Cloud eines europäischen Unternehmens könnten Informationen, die der beruflichen Schweigepflicht unterstehen, nicht einfach so ausgelagert werden. Denn die Offenbarung der Informationen an Dritte stelle eine Straftat dar.
(Mit Material von Keystone-SDA)

Loading

Mehr erfahren

Mehr zum Thema

image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024
image

Zürich will Steuererklärungen für Firmen digitalisieren

Beim kantonalen Steueramt soll dank einer digitalen Deklaration für juristische Personen weniger Papier anfallen. Der traditionelle Weg bleibt aber erhalten.

publiziert am 2.7.2024
image

Luzern schickt E-Gov-Projekt "Objekt.lu" in die Vernehmlassung

Die Regierung des Kantons will eine zentrale Datendrehscheibe für das Objektwesen schaffen.

publiziert am 2.7.2024
image

Citysoftnet will Rechte an Software behalten

Mit dem Verkauf der Rechte wollten die an Citysoftnet beteiligten Städte einen Teil der Entwicklungskosten decken. Aus dieser Idee wird aber offenbar nichts.

publiziert am 2.7.2024