Gesundheitswesen

Aargauer Spitäler haben beim Datenschutz Nachholbedarf

Die Aargauer Spitäler müssen beim Datenschutz und der IT-Sicherheit nachbessern.

Die Aargauer Spitäler müssen beim Datenschutz und der IT-Sicherheit nachbessern.

Die Geschäftsprüfungskommission des Grossen Rates sieht Optimierungspotenzial und fordert den Regierungsrat zum Handeln auf. Auch die kantonale Datenschutzbeauftragte kommt zum Schluss, dass bei einer Mehrheit der Spitäler deutlicher Handlungsbedarf bestehe.

Spitäler und Kliniken arbeiten mit sensiblen Daten. Als Patientin oder Patient will man sich darauf verlassen können, dass der Datenschutz gewährleistet ist. Die Spitäler sind verpflichtet, Personendaten gegen unbefugten Zugriff zu schützen. Die ­Geschäftsprüfungskommission (GPK) des Grossen Rates hat abgeklärt, ob die Aargauer Spitäler und Kliniken dieser Pflicht nachkommen.

Anlass für die Abklärung sei kein konkreter Schadenfall gewesen, sagt Kommissionspräsident Marco Hardmeier. «Die GPK befasste sich schon länger mit dem Thema Datenschutz und hat zum Beispiel festgestellt, dass bei der Kantonspolizei teilweise auch mit privaten Handys gearbeitet wurde.» So hätten gewisse dienstliche Daten auf privaten Telefonen landen können.

Datenschutz soll bei der Vergabe der Leistungsaufträge eine Rolle spielen

Diese Erkenntnis habe die Kommission dazu veranlasst, auch bei den Spitälern genauer hinzuschauen. Zu Recht: Die GPK stellt Optimierungspotenzial beim Datenschutz der Spitäler fest. Sie nimmt den Regierungsrat in die Pflicht und schlägt vor, Leistungsaufträge an Kliniken und Spitäler künftig an Anforderungen bezüglich IT-Sicherheit und Datenschutz zu knüpfen. Dadurch wäre sichergestellt, dass nur noch Spitäler auf die Spitalliste kommen, welche die Vorgaben erfüllen.

Das Departement Gesundheit und Soziales teilt mit, es werde die Empfehlung prüfen und sie gegebenenfalls in die Anforderungen bei der Spitalliste oder in die nächste Spitalgesetzrevision miteinbeziehen.

Nur wenige Spitäler haben ein Datenschutzmanagementsystem

Handlungsbedarf beim Datenschutz sieht nicht nur die Kommission. Gunhilt Kersten, die kantonale Datenschutzbeauftragte, kommt in ihrem Untersuchungsbericht zum gleichen Schluss. Sie stellt fest, dass es bei einer Mehrheit der untersuchten Spitäler «einen deutlichen Handlungsbedarf» gebe.

Kersten hat unter anderem festgestellt, dass nur bei wenigen Spitälern ein Datenschutzmanagementsystem mit einer konsequenten Strategie der Geschäftsleitung bestand. Oder, dass die meisten Spitäler zwar ausweisen können, mit wem sie Personendaten austauschen, die Prozesse sich aber noch besser standardisieren lassen. Positiv sei, dass die meisten Spitäler eine Person mit dem Datenschutz beauftragt hätten. Aber es bleibe fraglich, ob genügend Ressourcen investiert würden und die Personen genug unabhängig seien.

Ziel: Spitäler an ihre Eigenverantwortung erinnern

Kersten sagt, Ziel des Audits sei nicht gewesen, die einzelnen Massnahmen zu prüfen und beispielsweise zu untersuchen, in welcher Form der Schutz vor ­Cyberangriffen gewährleistet wird. «Die Spitäler sollten an ihre Eigenverantwortung erinnert und über ihre gesetzlichen Pflichten informiert werden», sagt die Datenschutzbeauftragte.

Spitäler haben ein Jahr, um Massnahmen umzusetzen

Welche Spitäler beim Datenschutz gut oder schlecht abschneiden, geht aus dem Bericht nicht hervor. Kersten hat aber für alle Spitäler einzelne Untersuchungsberichte mit Empfehlungen erstellt. Die Spitäler müssen nun innerhalb von drei Monaten mitteilen, ob sie die Massnahmen, die in erster Linie «die Entwicklung oder Verbesserung von Prozessen zur Gewährleistung der Datensicherheit betreffen», umsetzen können. Nach einem Jahr müssen sie berichten, wie die Massnahmen konkret umgesetzt wurden.

Kersten sagt, die meisten Spitäler hätten schon im Verlauf des Sensibilisierungsreviews positiv reagiert und die Verstärkung der Datensicherheit in die Wege geleitet. Sollte ein Spital die Empfehlungen nicht befolgen, kann die Datenschutzbeauftragte die Empfehlung als verbindliche Verfügung erlassen. «Im heutigen Zeitpunkt ist nicht zu erwarten, dass der Erlass von Verfügungen notwendig werden wird», sagt Gunhilt Kersten.

Den Untersuchungsbericht finden Sie hier.

Meistgesehen

Artboard 1