400.000 Euro Strafe für Krankenhaus wegen DSGVO-Verstoß

2018 wurde das Krankenhaus Barreiro Montijo in Portugal wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) zu einem enormen Bußgeld verurteilt. Die örtliche Datenschutzbehörde CNPD setzte die Strafe für fehlerhaftes Berechtigungsmanagement auf 400.000 Euro fest. Ein zusätzlicher Verstoß kostete das Krankenhaus weitere 100.000 Euro.

Unbefugter Zugriff auf personenbezogene Daten

Der Grund für den Verstoß und das enorme Bußgeld lässt sich in zwei Wörtern zusammenfassen: fehlerhaftes Berechtigungsmanagement. Das Krankenhaus hatte zugelassen, dass Techniker im IT-System sensible Patientendaten einsehen können, die nur für Ärzte zugänglich sein sollten. Darüber hinaus waren im System insgesamt 985 aktive Benutzer als „Arzt“ registriert, obwohl 2018 nur 296 Mediziner in dem Krankenhaus gearbeitet haben.

DSGVO-regelkonformes Berechtigungsmanagement

Ohne strukturiertes Berechtigungsmanagement sind die Anforderungen der DSGVO an den Datenschutz im Krankenhaus nicht erfüllbar. Wir empfehlen Ihnen daher folgende Maßnahmen:

  • 1

    Wildwuchs vermeiden: Setzen Sie ein Berechtigungskonzept für interne und externe User auf! Definieren Sie alle relevanten Systeme, Benutzergruppen und Berechtigungsstufen! Stellen Sie sich die Frage: Hat jeder Benutzer nur die Berechtigungen, die er tatsächlich benötigt?

  • 2

    Etablieren Sie Prozesse, um das Berechtigungskonzept im Alltag kontinuierlich umzusetzen (z.B. einen kontrollierten Prozess zur Schließung von Berechtigungen bei einem Abteilungswechsel oder Firmen-Austritt)

  • 3

    Dokumentieren Sie alle Berechtigungen, um auch nach Jahren nachvollziehen zu können, wer Zugriff auf personenbezogene Daten hatte.

DSGVO Anforderungen erfüllen mit tenfold

Mit tenfold stellen Sie sicher, dass persönliche Daten durch entsprechende Zugriffsberechtigungen vor unrechtmäßiger Verwendung geschützt werden. Reduzieren Sie die Berechtigungen auf das betrieblich notwendige Ausmaß. Riskieren Sie keinen Datenmissbrauch oder Datendiebstahl durch Mitarbeiter aufgrund falsch zugeordneter Rechte.

tenfold Produkt-Demo

Erleben Sie tenfold in Aktion: Unser Produkt-Demo zeigt alle Funktionen!

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.