Die beiden New Yorker Krankenhäuser New York Presbyterian (NYP) Hospital und Columbia University (CU) Medical Center zahlen insgesamt 4,8 Millionen US-Dollar an das US Department of Health and Human Services (HSS) für einen Vorfall von 2010. Damals wurden unbeabsichtigt Patientendaten zugänglich gemacht, nachdem ein Arzt einen Server neu zu konfigurieren versuchte.

Die Krankenhäuser und das HSS gaben bekannt, die Untersuchung durch die freiwillige Vereinbarung zur Zahlung dieses Betrages beizulegen. Das NYP zahlt 3,3 Millionen Dollar, das CU 1,5 Millionen.

Außerdem stimmten beiden Krankenhäuser zu, grundlegende Maßnahmen zu ergreifen, um solche Vorfälle zukünftig zu vermeiden. Dies beinhaltet die Entwicklung eines neuen Risk Management Plans sowie neuer Vorschriften und Vorgehensweisen zum Umgang mit Patientendaten. Das HSS wird laut der Vereinbarung regelmäßige Updates über den Fortschritt erhalten.

„Gesundheitsorganisationen sollten sich dessen bewusst werden, dass Datensicherheit zentral für das Management ihrer Informationssysteme ist“, so das Statement. Die zu zahlende Strafe ist eine der höchsten, die das HSS je erhalten hat.

Der Vorfall selbst ereignete sich 2010, nachdem ein Arzt versucht hatte, einen persönlichen Computer vom NYP-Netzwerk zu trennen. Der Server enthielt auch empfindliche Patienteninformationen, so das HSS. Das NYP und das CU teilen sich ein gemeinsames Netzwerk, welches mit Patientendaten des NYP verbunden ist.

Es ist nicht klar, weshalb der betroffene Arzt ein persönliches System hatte, welches mit dem Netzwerk verbunden war. Ebenso unklar ist, weshalb er dieses „deaktivieren“ wollte.
In einem gemeinsamen Statement machen die beiden Krankenhäuser einen „falsch konfigurierten“ Server für das Datenleck verantwortlich. Der Fehler machte Patientenstatus, Vitaldaten, Laborergebnisse, Medikationsinformationen und andere sensible Daten von mehr als 6.800 Patienten frei im Web zugänglich.

Das Leck wurde entdeckt, nachdem die Krankenhäuser eine Beschwerde von einem Angehörigen erhalten hatten, weil er persönliche Gesundheitsdaten seines verstorbenen Partners im Internet entdeckte.

Eine Untersuchung des HSS ergab daraufhin, dass weder das CU noch das NYP angemessene Sicherheitsmaßnahmen implementiert hatten. Auch Risikoanalysen oder Prüfungen, wo sensible Patienteninformationen im Netzwerk gespeichert werden, fehlten. Auch unautorisierte Stellen hatten Zugriff zu Patientendaten.

NYP und CU geben nun zu Protokoll, in den letzten drei Jahren grundlegende Schritte unternommen zu haben, um Datensicherheit in Zukunft zu gewährleisten.

„Wir arbeiten mit dem HSS zusammen, indem wir freiwillig Information über den Vorfall zur Verfügung stellen. Wir haben außerdem unsere Schutzvorkehrungen gestärkt, um unsere Informationssysteme und -prozesse zu verbessern. Dies werden wir unter der neuen Vereinbarung mit dem HSS fortsetzen.“

Artikel von computerworld.com, 08.05.2014: IT malpractice: Doc operates on server, costs hospitals $4.8M