Die größten Datenschutzverletzungen im Gesundheitswesen im Jahr 2022

Was ist die Wall of Shame?

Der Schutz personenbezogener Gesundheitsdaten (PHI) wird durch das amerikanische Bundesgesetz HIPAA (Health Insurance Portability and Accountability Act) geregelt. Sobald Ihr Unternehmen Gesundheitsdaten von US-Bürger*innen verarbeitet und Sie Gesundheitsdienstleister, Clearingstelle oder Organisation eines Gesundheitsplans sind, müssen Sie Richtlinien der HIPAA einhalten.

Verstöße gegen die strengen HIPAA Vorschriften kann zu Geldstrafen von bis zu 1,5 Millionen US-Dollar pro Jahr oder gar Gefängnisstrafen führen. Gemäß dem HITECH Act von HIPAA muss das US-Gesundheitsministerium (US Department of Health and Human Services (HHS)) eine Liste mit Datenschutzverletzungen veröffentlichen, sobald 500 oder mehr Personen betroffen sind. Offiziell lautet der Name dieser HIPAA-Verstoßliste Breach Notification Portal. Mit Augenzwinkern wird jedoch von der HIPAA-Wall of Shame gesprochen.

Der Eintrag in der HIPAA-Wall of Shame bleibt Ihrem Unternehmen oder Ihrer Institution für die nächsten 24 Monate sicher. Ältere Verstöße sind aber immer noch über das Archiv zugänglich. Das kann dazu führen, dass Ihre Kunden das Vertrauen in Ihre Leistungen verlieren. Überdies wird Ihre Gesundheitsinstitution gegebenenfalls für ein bis drei Jahre der OCR-Aufsicht unterliegen.

Warum gibt es die Wall of Shame?

Ziel der Liste von Verstößen ist in erster Linie eben nicht, „Schande“ über vermeintliche Datensünder zu bringen, sondern Forscher*innen Informationen zur Bekämpfung von Datenschutzverletzungen in der sensiblen Gesundheitsbranche zu geben. Denn je besser etwas erforscht ist, umso einfacher fällt die Fehleranalyse und zukünftige -vermeidung.

Eine reine Auflistung der HIPAA-Verstöße müssen wir Ihnen nicht liefern. Diese finden Sie direkt auf der Wall of Shame:

Wir hingegen möchten gemeinsam mit Ihnen die Datenschutzverletzungen im Gesundheitswesen von 2022 analysieren und Lösungen finden, wie Sie vermeiden können, auch auf der Wall of Shame zu landen.

HIPAA-Verstöße in 2022

Im Jahr 2022 wurden 600 Datenschutzverletzungen im Gesundheitswesen durch das HHS Office of Civil Rights gemeldet. Unter die häufigsten HIPAA-Verstöße fallen:

• Hacking und Viren

• Gestohlene elektronische Geräte

• Unsichere digitale oder Papieraufzeichnungen

Ein Verstoß gegen die Richtlinien des Schutzes von Gesundheitsdaten (HIPAA) ist mehr als kostspielig. Oft kommt auch die Sorge um die Patientensicherheit hinzu. Schließlich führen Cyberangriffe häufig zu Ausfällen von IT-Systemen. Undenkbar, eine Praxis oder Klinik zu leiten, wenn Diagnose- und Behandlungsdaten nicht verfügbar sind.

Daher soll die folgende Auflistung uns ein Wegweiser sein, die bedeutsamen Gesundheitssysteme sicherer zu machen.

OneTouchPoint: 4,1 Millionen betroffene Patienten

OneTouchPoint ist ein in Wisconsin ansässiges Unternehmen, das Gesundheitsorganisationen Mailing-, Marketing- und weitere Dienstleistungen anbietet. Im April 2022 kam es zu unberechtigtem Zugriff einer nicht autorisierten Datei auf bestimmte Server. Sensible Gesundheitsdaten (PHI) wie Namen, Patientenakten, ID-Nummern, Patientendemografien oder Leistungsbeschreibungen waren offengelegt.

Viele der 35 Gesundheitsorganisationen, die OneTouchPoint nutzen, werfen dem Unternehmen vor, die Sicherheitslücke zu spät gemeldet zu haben.

Lehren aus diesem Verstoß

• Überprüfen Sie Ihre Sicherheitsvorkehrungen regelmäßig

• Stellen Sie sicher, dass Ihre Programme HIPAA-konform sind

• Verstöße gegen HIPAA rechtzeitig (innerhalb von 60 Tagen) melden

Advocate Aurora Health: 3 Millionen betroffene Patienten

Advocate Aurora Health ist eine der größten Gesundheitsdienstleister Chicagos, welcher 27 Krankenhäuser betreibt. Bei diesem HIPAA-Verstoß führten bestimmte Internet-Tracking-Technologien von Google und Facebook zum Durchsickern einiger Gesundheitsdaten (PHI). Diese Codeschnipsel, sogenannte Pixel, wurden benutzt, um die Interaktionen auf Patientenportalen zu tracken. Um weiteren Schaden zu vermeiden, wurden sie nun entfernt oder deaktiviert.

Lehren aus diesem Verstoß

• Für das Gesundheitswesen: Stellen Sie Ihren Patienten HIPAA-konforme Kommunikationsmittel zur Verfügung

• Für Patient*innen: Nutzen Sie Browser-Tracker-Blockierungsfunktionen oder den Inkognito-Modus, wenn Sie sich bei medizinischen Portalen anmelden

Shields Healthcare Group: 2 Millionen betroffene Patienten

Die Shields Healtcare Group wurde vom 7. bis zum 21. März 2022 Opfer eines Cyberangriffs. Bei diesem Unternehmen handelt es sich um einen Drittanbieter, welcher MRT und ambulantische chirurgische Dienstleistungen bereitstellt. Die sensiblen Gesundheitsdaten von mehr als 2 Millionen Patient*innen wurde während dieses Zeitraums kompromittiert. Die Datenschutzverletzung gegen HIPAA wurde jedoch erst am 28. März entdeckt. Patienten-IDs, Behandlungsinformationen, Versicherungsdetails und weitere Daten wurden gestohlen.

Lehren aus diesem Verstoß

• Verfolgen Sie einen Zero-Trust Ansatz bei möglichen Cyber-Bedrohungen

• Bedenken Sie die Meldefrist für Verstöße von 60 Tagen

Broward Health: 1,35 Millionen betroffene Patienten

Im Januar 2022 erlitt Broward Health durch den Hack eines verbundenen Drittanbieters Datendiebstahl von 1,34 Millionen Patient*innen und Mitarbeitenden. Auch in diesem Fall wurden betroffene Personen nach der 60-Tage-Frist informiert. Sozialversicherungsnummern, Versicherungsinformationen, Kontonummern und medizinische Informationen wurden offengelegt. Ursache für die HIPAA-Verletzung bestand mutmaßlich in einer fehlenden Multi-Faktor-Authentifizierung, wodurch eine nicht autorisierte Partei über das Büro eines Drittanbieters Zugang zum Broward Health Netzwerk erhielt.

Lehren aus diesem Verstoß

• Implementieren Sie Multi-Faktor-Authentifizierungen (MFA)

• Überwachen Sie, welche User auf vertrauliche Ressourcen zugreifen können

Datenschutzverletzungen im Gesundheitswesen vermeiden

Nach den exemplarischen HIPAA-Verstößen aus dem Jahr 2022 ist nun klar, dass jedes Gesundheitsunternehmen Sicherheitsmaßnahmen ergreifen muss, um die sensiblen Gesundheitsdaten (PHI) zu schützen.

So vermeiden Sie HIPAA-Verstöße

• Sensibilisieren und schulen Sie Ihre Mitarbeitenden

  • Fast die Hälfte aller Datenschutzverletzungen lassen sich auf Phishing-Mails zurückführen. Schulen Sie Ihre Mitarbeitenden, wie seriöse E-Mails aussehen, damit niemand aus Ihrer Organisation auf einen gefährlichen Link klickt, der Schadsoftware enthalten kann.

• Gefahr menschlicher Fehler minimieren

  • Unbefugte Personen sollten keinen Zugriff auf wichtige Gesundheitsdaten haben. Berechtigungsschemata für Ihre Software kann Einsicht und Bearbeitung von Daten für bestimmte Rollen einschränken und somit absichern.

  • Bedenken Sie auch den Fall von Broward Health: Eine Person spaziert in ein Büro und verschafft sich vor Ort Zugriff zum Server. Achten Sie daher peinlichst genau auch auf physikalische Zugänge zu sensiblen Daten.

• Zwei-Faktor-Authentifizierung (2FA) einrichten

  • Wenn Sie für die Anmeldung die Zwei-Faktor-Authentifizierung aktiviert haben, wird Hackern das Leben schwer gemacht. Das erhöhte Sicherheitsniveau für Kundendaten ist schnell und einfach einzurichten. Atlassian beispielsweise bietet für seine Kunden einen Guide zur Erstellung von 2FA an.

• Mit richtigen Tools Wall of Shame vermeiden

  • Um Gesundheitsdaten, Aufgaben und Projekte zu verwalten und Patient*innen ein Anmeldeportal zur Verfügung zu stellen, gibt es verschiedene Softwareanbieter. Wählen Sie weise und entscheiden Sie sich für Systeme, wie Jira und Confluence, die völlig HIPAA-konform sind.

Fazit: So bleibt Ihnen die Wall of Shame erspart

Organisationen im Gesundheitswesen werden täglich mit immensen Mengen sensibler Daten überschwemmt. Damit Sie trotz der Datenmenge HIPAA-konform arbeiten können, sollten Sie zuerst sicherstellen, dass alle Mitarbeitenden die Wichtigkeit von Datenschutz verstehen. Hier bieten sich Schulungen und Beratungen wie durch den Datenschutz-Compliance-Service von Actonic an.

Die Verwendung von Projektmanagementanwendungen im Gesundheitssektor, die HIPAA-konforme Tätigkeiten gewährleisten, ist bei der Vermeidung der Wall of Shame essenziell. Viele Krankenhäuser und Gesundheitsorganisationen benutzen bereits die Software Confluence und Jira, um Patientendaten zu verwalten. In unserem Guide zur HIPAA-Konformität in Jira und Confluence finden Sie die besten Tipps, wie Sie risikofrei Datenschutz in der Gesundheitsbranche einhalten können.