Von der nationalen Datenschutzbehörde des Vereinigten Königreichs, der Information Commissioner’s Office (ICO), flatterte dem NHS Surrey kürzlich eine Rechnung über 200.000 Pfund ins Haus. Auf einer verkauften Festplatte befanden sich rund 3.000 Patientendaten, die eigentlich vor dem Verkauf vernichtet werden sollten.

Der Skandal wurde öffentlich, als der Käufer eine Wiederherstellungssoftware über die bei eBay gekaufte Festplatte laufen ließ und Daten von 2.000 Kindern und rund 900 Erwachsenen vorfand. Die Untersuchung dieser Geschichte zeigt einen ganzen Katalog von unglaublichen Versäumnissen der NHS.

Alles beginnt mit einer ärmlichen Aufsichtsführung über die Prozesse der Datenvernichtung. Kein einziges Mitglieder IT-Abteilung überwachte die physikalische Zerstörung der Festplatte, um die Risiken der Weitergabe dieser sensiblen Daten zu minimieren.

Mit der Beseitigung von Datenabfall wurde eine neue und ungeprüfte Firma beauftragt, obwohl bereits eine Firma unter Vertrag stand, die sich um diese Angelegenheiten kümmern sollte. Zwischen Februar 2011 und Mai 2012 kümmerte sich der Anbieter um 1.570 Computer, die Festplatten mit zu beseitigenden Informationen enthielten.

Dazu Stephen Eckersley vom ICO:

„Die Fakten dieser Sicherheitslücke sind wirklich schockierend. NHS Surrey entschied sich, einen geprüften Anbieter zu wechseln, und händigte tausende von Informationen an ein Unternehmen aus, ohne zu überprüfen, dass die Informationen mit Sicherheit gelöscht wurden.

Das Ergebnis war, dass die Patienteninformationen über das Web verkauft wurden.“,

so der Sprecher des ICO weiter. Außerdem führt er aus:

„Wir sollten Organisationen nicht sagen müssen, dass sie zweimal nachdenken, bevor Serviceprozesse an eine Firma ausgegliedert werden, welche verspricht, gratis zu arbeiten.“

Und dabei ist dieses Thema des Auftauchens von sensiblen Patientendaten im öffentlichen Internet keineswegs neu. Im Jahr 2012 wurden die Ergebnisse veröffentlicht, die besagen, dass noch in jeder zehnten gebrauchten Festplatte persönliche Daten von Patienten gefunden werden konnten.

Siehe auch:

• Festplatte mit Alarmplänen der Polizei Brandenburg bei Ebay
• Vertrauliche Daten auf “gelöschter” Festplatte
• Polizei verlor USB-Stick
• Festplatte mit US-Veteranen abhanden gekommen
• Festplatte mit Patientendaten bei eBay verkauft
• Angebliche zerstörte Festplatte mit Daten wieder aufgetaucht
• Festplatte von Energieversorger bei eBay versteigert 

Artikel von techworld.com, 14.07.2013: Hospital fined £200,000 after hard drive full of patient data bought on eBay
Artikel von v3.co.uk, 12.07.2013: NHS Surrey hit by £200,000 fine after patient data found on computers sold at auction