NHS gibt Patientendaten an Dritte weiter und schürt damit Datenschutz- und Sicherheitsbedenken

Cyber Security News

NHS-Patientendaten in England werden zu Forschungs- und Planungszwecken mit Dritten geteilt, was Bedenken über Datenschutz und Sicherheit schürt, wie heute berichtet wurde.

Die Financial Times enthüllte, dass NHS Digital, das die IT-Systeme des Gesundheitsdienstes betreibt, eine Datenbank erstellen wird, die die medizinischen Daten von rund 55 Millionen Patienten in England enthält, die bei einer Hausarztklinik registriert sind. Dazu gehören sensible Daten über psychische und sexuelle Gesundheit, Strafregister und Missbrauch.

Diese Informationen werden anschließend akademischen und kommerziellen Dritten, die an der Forschung und Planung beteiligt sind, zur Verfügung gestellt, obwohl keine Details über die Arten von Organisationen, die Zugang haben werden, bereitgestellt wurden.

Die Initiative folgt Andeutungen, dass die Reaktion des Vereinigten Königreichs auf die COVID-19-Pandemie durch mangelnden Datenaustausch und -zugang behindert wurde, unter anderem in einem Bericht, der in diesem Jahr vom House of Commons Science and Technology Committee veröffentlicht wurde.

Patienten müssen ein Formular ausfüllen und es zu ihrem Hausarzt bringen, um bis zum 23. Juni aus dem Schema auszusteigen, andernfalls werden ihre historischen Aufzeichnungen zu einem dauerhaften und unwiderruflichen Teil des neuen Datensatzes. Alle Patienten, die sich nach diesem Datum abmelden, werden verhindern, dass zukünftige Daten Teil des neuen Systems werden.

Die Idee für eine solche Datenbank wurde erstmals im April vom britischen Gesundheitsminister Matt Hancock dargelegt und in Blogs auf der NHS-Website erläutert. Dabei wurde betont, dass die Patienten in dem Datensatz nicht direkt identifiziert werden sollen.

Die Pläne haben erhebliche Kritik von Datenschutzaktivisten erhalten. Die Financial Times zitierte einen Brief von Foxglove, einer Kampagnengruppe für digitale Rechte, an das Department of Health and Social Care, in dem die Rechtmäßigkeit der Vorschläge unter der aktuellen Datenschutzgesetzgebung in Frage gestellt wird. Rosa Curling, eine Anwältin der Organisation, die den Brief verfasst hat, schrieb, dass “nur sehr wenige Mitglieder der Öffentlichkeit sich bewusst sein werden, dass die neue Verarbeitung bevorsteht und ihre persönlichen medizinischen Daten direkt betrifft.”

Cybersecurity-Experten haben auch gewarnt, dass die Datenbank ein verlockendes Ziel für Cyber-Kriminelle sein wird. George Papamargaritis, MSS-Direktor bei Obrela Security Industries, kommentierte: “Es ist nicht überraschend, dass der NHS als Reaktion auf diesen Schritt mit Gegenreaktionen konfrontiert wird. Die Weitergabe medizinischer Daten an Dritte ist sehr riskant, da man nicht sicher sein kann, dass diese über die richtigen Sicherheitstools verfügen, um die Daten zu schützen. Es sieht zwar so aus, als ob der NHS Pläne hat, Patientendaten zu anonymisieren, aber das ist keine 100-prozentige Garantie für den Sicherheitsschutz.”

David Sygula, Senior Cybersecurity-Analyst bei CybelAngel, sagte: “Dieser Schritt des NHS bietet einige starke Vorteile aus Sicht der akademischen Forschung. Eine Initiative wie diese hätte nützlich sein können, um das Ausmaß der Pandemie und alle damit verbundenen Forschungsarbeiten besser zu kontrollieren.

“Allerdings schafft die Datensammlung in diesem Ausmaß eine neue Reihe von Risiken für Einzelpersonen, bei denen ihre persönlichen Gesundheitsinformationen (PHI) Datenverletzungen durch Dritte ausgesetzt sind. Das Ausmaß des Problems der ungesicherten Datenbanken nimmt zu. Es ist nicht nur ein Problem des NHS, sondern auch der dritten, vierten oder weiter entfernten Parteien und wie diese sicherstellen, dass die Daten von allen beteiligten Lieferanten sicher behandelt werden. Diese Sicherheitsrichtlinien und -prozesse müssen unbedingt weit im Voraus geplant und Details sowohl mit Dritten als auch mit Einzelpersonen geteilt werden.

“Es müssen mehrere Mechanismen eingerichtet werden, beginnend mit der Anonymisierung von Daten, da Datenlecks unweigerlich auftreten werden. Sicherheitsforscher, Angreifer und Schurkenstaaten haben alle Verfahren zur Identifizierung ungesicherter Datenbanken eingeführt und werden durchgesickerte Informationen schnell finden. Das ist die Standardannahme, mit der wir beginnen sollten. Es geht darum, sicherzustellen, dass Patienten im Falle eines Verstoßes nicht persönlich gefährdet sind, und gleichzeitig die entsprechenden Überwachungswerkzeuge einzurichten, um in der Lieferkette nach gefährdeten Daten zu suchen.”

NHS England hat bereits 2013 versucht, alle hausärztlichen Patientendaten in einer zentralen Datenbank zu speichern, in einem Projekt namens Care.data, das dann 2016 aufgrund von Datenschutzbedenken aufgegeben wurde.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com