Wirtschaft | Krankenhaus

Die 75.000-Euro-Strafe

Der staatliche Datenschutzbeauftragte hat wegen grober Verstöße beim Krankenhausinformationssystem IKIS den Sanitätsbetrieb sanktioniert. Was tut man jetzt?
von Christoph Franceschini
15.04.2024 11
EDV
Foto:  Ivan Samkov

  • Das Timing ist nicht das Beste.
    Seit Monaten machen Hausärzte im Puster- und Eisacktal mobil. Es geht um das in Brixen und Bruneck eingesetztes Krankenhausinformationssystem IKIS. Es ist eine Software und Netzwerklösung, die im Osten des Landes aufgebaut wurde und die man auf keinen Fall jetzt aufgeben will. Das IKIS vernetzt nicht nur die Krankenhäuser und Abteilungen, sie erlaubt auch den Hausärzten direkten Zugriff auf die Daten der Krankenhäuser und ihrer Patienten. 
    Das Programm ist äußerst benutzerfreundlich. Doch das Problem dabei: IKIS schert sich mehr oder weniger um die geltenden Datenschutzbestimmungen, die vor allem im Gesundheitsbereich äußerst streng sind. Auch deshalb hat es bereits vor Jahren Beanstandungen der staatlichen Datenschutzbehörde gegeben.
    Vor diesem Hintergrund sollte das IKIS Anfang des Jahres abgeschaltet werden und Südtirol weit durch das System der Elektronischen Gesundheitsakte (EGA) ersetzt werden.  Die Tochtergesellschaft des Südtiroler Sanitätsbetriebes, SAIM AG entwickelte in Anlehnung an die staatlichen Vorgaben dafür in den vergangenen Jahren die die Software New Generation Hospital“ (NGH). 
    Diese Software NGH soll die einzige Schnittstelle sein, die von den Krankenhäusern und den Basisärzten in Zukunft genutzt werden darf. Doch dagegen wehrt man sich in den Gesundheitsbezirken Bruneck und Brixen energisch. Die Argumentation: Warum soll man ein bestens funktionierendes System aufgeben, für eine Lösung, die noch mehrere Kinderkrankheiten hat. 
    Einige Pusterer Hausärzte haben deshalb vor Wochen eine Onlinepetition zur Beibehaltung von IKIS gestartet, die über 1.500 Unterzeichnerinnen gefunden hat.

  • Zusicherungen im Landtag

    Am vergangenen Mittwoch stand das Thema IKIS auch auf der Tagesordnung des Südtiroler Landtages. In der aktuellen Fragestunde im Landtag wollte Maria Elisabeth Rieder (Team K) wissen, ob das IKIS so wie angekündigt mit 1. Mai 2024 abgeschaltet werde. 
    Gesundheitslandesrat Hubert Messner erklärte in seiner Antwort, dass man derzeit dabei sei, die Elektronischen Gesundheitsakte (EGA) und des Krankenhausinformationssystem NGH zu verbessern. Die Abschaltung des IKIS werde aber nicht am 1. Mai erfolgen, sondern man wird das System noch weiterhin benutzen können. Die Einführung der neuen Lösung NGH werde im Osten des Landes deshalb vorerst verschoben. 

  • Gesundheitslandesrat Hubert Messner: IKIS-Abschaltung verschoben. Foto: Seehauserfoto

  • Es ist wichtig, dass IKIS weiterläuft, bis das neue System auf dem Stand ist, dass man damit gut arbeiten kann“, zeigt sich Maria Elisabeth Rieder über diese Entscheidung erfreut. Gleichzeitig aber übte die Team-K-Abgeordnete auch Kritik. „Über die Hausärzte schwebt weiterhin das Damoklesschwert der Strafen, da das System ja gegen Datenschutzrichtlinien verstößt“, erklärte Rieder.
    Wie treffend und aktuell diese Warnung allerdings ist, dürfte man an diesem Tag im Landtag noch nicht gewusst haben.
    Denn am Tag der aktuellen Fragestunde am 10. April 2024, veröffentlicht der staatliche Datenschutzbeauftragte, die Verfügung Nr. 97/2024. Es ist eine mehr als saftige Strafe für den Südtiroler Sanitätsbetrieb von 75.000 Euro. Der Grund: Die grobe Verletzung der Datenschutzbestimmungen gleich in mehreren Fällen durch das Krankenhausinformationssystem IKIS.

  • Drei verschiedene Verstöße

    Der Hintergrund der Strafmaßnahme sind mehrere konkrete Eingaben beim Garanten für die Privacy. Die Vorwürfe: Der Sanitätsbetrieb würde Personen Einblick in die Krankenakten erlauben, die dazu nicht berechtigt sind.
    In einem der dabei vorgebrachten Fälle, wird der Verstoß gegen die Datenschutzbestimmungen besonders augenscheinlich. Eine Ärztin hatte über das IKIS direkte Einsicht in die Ergebnisse der Laboruntersuchungen ihres Ex-Mannes, der davon nichts wusste und auch nicht bei seiner Ex-Frau in Behandlung war.
    Die Untersuchungen der Datenschutzbehörde haben zudem ergeben, dass im IKIS eine ganze Reihe von Personen Zugang zu den Daten und den Krankenhaus-Dossiers der Patienten haben, die dazu keineswegs berechtigt sind.

  • Die Strafverfügung: 75.000 Euro innerhalb 30 Tagen zahlen. Foto: Granate della Privacy

  • Außerdem beanstandet der staatliche Datenschutzbeauftrage, das Fehlen eines Allert-System im IKIS, das bei unbefugten Zugriffen, Alarm schlägt.
    Erschwerend hinzu kommt, dass der Garante für die Privacy bereits 2014 eine Untersuchung zum IKIS eingeleitet hatte und damals dem Sanitätsbetrieb zwar keine Strafe ausgestellt, aber genaue Vorgaben gemacht hat, was zu ändern sei. Diese Änderungen hat man in Südtirol aber auch zehn Jahre später nicht umgesetzt.

     

    „Eine Ärztin hatte über das IKIS direkte Einsicht in die Ergebnisse der Laboruntersuchungen ihres Ex-Mannes, der davon nichts wusste und auch nicht bei seiner Ex-Frau in Behandlung war.“

     

    Der Sanitätsbetrieb hat sich zwar mit der geplanten Umstellung auf das neue System NGH verteidigt, doch dieser Versuch ging ins Leere. Denn der staatliche Datenschutzbeauftragte hat den Südtiroler Sanitätsbetrieb in drei verschiedenen Fällen mit einer Geldstrafe von jeweils 25.000 Euro sanktioniert. Die Gesamtsumme: 75.000 Euro. 
    Zu dieser Geldstrafe hat der Garante den Sanitätsbetrieb aber auch angewiesen, unmittelbar alle technischen und organisatorischen Vorkehrungen zu treffen, um die Daten der Patienten zu schützen und unbefugte Zugriffe zu unterbinden.
    Damit aber wird eine weitere Verwendung des IKIS vom Sanitätsbetreibe kaum mehr möglich sein.

Bild
Profil für Benutzer Heinrich Tischler
Heinrich Tischler Mo., 15.04.2024 - 13:09

Ja wenn man bereits 2014 wusste, dass beim IKIS etwas zu ändern sei, es aber nicht getan hat, dann ist nicht das IKIS Schuld an den Strafen, sondern die Untätigkeit der damaligen Verantwortlichen. Von neutralen Informatikern, nicht von denen der SAIM Ag, hört man, es sein kein außerordentliches Problem das IKIS den privacy-Bestimmungen anzupassen, nur von alleine geht es halt nicht.

Mo., 15.04.2024 - 13:09 Permalink
Bild
Salto User
Oliver Hopfgartner Mo., 15.04.2024 - 13:13

Mein Eindruck ist, dass das Thema Datenschutz in der Medizin in Südtirol generell laxer gehandhabt wird als in Österreich. Befunde und Rezepte werden teils selbstverständlich herkömmlicher unverschlüsselter E-Mail versendet, auch whatsapp wird teilweise für solche Dinge verwendet.

Es fehlt meiner Meinung nach auch an der Sensibilisierung für die Wichtigkeit solcher Dinge.

Mo., 15.04.2024 - 13:13 Permalink
Bild
Profil für Benutzer Josef Ruffa
Josef Ruffa Mo., 15.04.2024 - 14:21

"Die Tochtergesellschaft des Südtiroler Sanitätsbetriebes, SAIM AG entwickelte in Anlehnung an die staatlichen Vorgaben dafür in den vergangenen Jahren die die Software „New Generation Hospital“ (NGH).
Diese Software NGH soll die einzige Schnittstelle sein, die von den Krankenhäusern und den Basisärzten in Zukunft genutzt werden darf. Doch dagegen wehrt man sich in den Gesundheitsbezirken Bruneck und Brixen energisch. "

... das stinkt gewaltig, aber ganz gewaltig ...

Mo., 15.04.2024 - 14:21 Permalink
Bild
Profil für Benutzer Hartmuth Staffler
Hartmuth Staffler Mo., 15.04.2024 - 14:38

Wenn man als normaler Patient meist vergeblich versucht, z. B, auf seine Untersuchungsergebnisse oder andere Daten eines öffentlichen Krankenhauses Zugriff zu erhalten, dann interessiert einen das ganze Theater um IKIS usw. nicht mehr. Das Land Südtirol ist nicht imstande, im digitalen Sanitätschaos zumindest ein wenig für Ordnung zu sorgen, und auch der vielgelobte Landesrat bringt, außer schönen Sprüchen, überhaupt nichts weiter. Wer Geld genug (oder eine gute Privatversicherung) hat, geht halt weiter in die privaten Einrichtungen und wird dort gut bedient. Die vielen Menschen, die nicht genug Geld haben, sind dem Chaos des Südtiroler Sanitätswesens vollkommen hilflos ausgeliefert. Fazit: Was analog nicht funktioniert, funktioniert digital nur noch schlechter.

Mo., 15.04.2024 - 14:38 Permalink
Bild
Profil für Benutzer Klemens Riegler
Klemens Riegler Mo., 15.04.2024 - 23:33

Dass IKIS Datenschutz-technisch nicht in Ordnung ist wissen wir ... schon lange. Selbst hier auf Salto wurde das Thema oft behandelt (einfach in der Suchmaske oben rechts IKIS eingeben). Irgendwie unverständlich war und ist deshalb das Beharren auf "Illegales" seitens der Landtagsabgeordneten Maria E. Rieder oder auch vieler Ärztinnen und Ärzte im Osten des Landes. Siehe auch: https://salto.bz/de/article/13032024/die-ikis-petition
Und auch Fachleute wie Oliver Hopfgartner haben sich dazu geäußert. Erst kürzlich: https://salto.bz/de/article/02042024/digitale-steinzeit ... wobei ich auch dort meinen Senf als Kommentar hinterlassen habe.
Sukkus:
- Der Datenschutz (Privacy) hat in Italien einen hoher Wert.
- IKIS wird diesen Vorgaben nicht gerecht. EGA + NGH hingegen anscheinend schon, sind aber leider noch nicht so "benützerfreundlich" ... da scheinen die Ossis Recht zu haben😅
ABER, und damit zurück zu diesem Beitrag; Warum muss der Sanitätsbetrieb, für ein Vergehen das er nicht begangen, hat eine Strafe zahlen? Im Sinne von: Nicht der Sanitätsbetrieb hat unerlaubt in den Patientendaten herumgestöbert sondern angeblich eine Ärztin. Damit hat eigentlich diese eine Straftat begangen und müsste dafür gerade stehen ... und zahlen. Der Hacken 2 ? Ja richtig, die Datenschutzbestimmungen sehen aufgrund solcher illegaler Einsichtnahmen vor, dass ein Gesundheitsbetrieb gar nicht ZULASSEN darf, dass sich Unbefugte "einloggen". Italia eben! Will heißen, hätten sich kein Arzt oder Ärztin (oder auch andere im Gesundheitsbetrieb tätige Menschen) jemals unerlaubt Zutritt verschafft, wäre das alles kein Thema. Kein Hahn hätte danach gekräht und niemand hätte Anzeige erstatten können. Und IKIS wäre dann wohl noch "fast" legal. Selber Schuld ... wäre man fast geneigt zu sagen.

Mo., 15.04.2024 - 23:33 Permalink
Bild
Salto User
Oliver Hopfgartner Di., 16.04.2024 - 09:16

Ich möchte hier einer Fehlinterpretation vorbeugen: In meinem Beitrag "Digitale Steinzeit?" (https://salto.bz/de/article/02042024/digitale-steinzeit) habe nicht für ein Festhalten an IKIS geworben, sondern eine den in Europa gängigen Datenschutzstandards entsprechende, benutzerfreundliche Alternative aufgezeigt, wie sie in Österreich täglich verwendet wird.

Mein Vorurteil ist, dass die Ärzte, die im Osten Südtirols an IKIS festhalten wollen, nur eine binäre Wahl sehen. Sie übersehen dabei, dass es neben der benutzerunfreundlichen EGA und dem offensichtlich illegalen IKIS auch Alternativen gibt, die legal UND benutzerfreundlich sind. Wenn es die IT des Sanitätsbetriebs selbst nicht hinbekommt, muss man vielleicht ein System zukaufen.

Di., 16.04.2024 - 09:16 Permalink
Bild
Salto User
wartl Di., 16.04.2024 - 17:47

Im Sinne eines verantwortlichen Qualitäts-/ Sicherheits- Managements sollte es so ablaufen: Die aufsichtführende Dienststelle erteilt einen Korrekturauftrag und stimmt mit der beauftragten Stelle in Abhängigkeit von Dringlichkeit (die ist bei rechtlichen Belangen hoch) und Möglichkeit der technischen und/ oder organisatorischen Umsetzung die Fristsetzung für die Erledigung ab. Innerhalb dieser Frist muss der aufsichtsführenden Dienststelle der Vollzug gemeldet oder bei unerwarteten Problemen um Fristerstreckung angesucht werden. Die Dienstaufsicht prüft dann, ob die getroffenen Maßnahmen den festgestellten Mangel beseitigt haben.

Di., 16.04.2024 - 17:47 Permalink
Bild
Salto User
Günther Alois … Di., 16.04.2024 - 07:05

In Sachen " Datenschutz " hat uns Zerzer und Co ein ordentliches CHAOS hinterlassen,und das als damaliger Generaldirektor der Sanität! Man merkt der Mann hatte nicht die Qualifikation für diesen Posten!

Di., 16.04.2024 - 07:05 Permalink