Pfuschige NHS-Mitarbeiter haben in den letzten zwei Jahren hunderte Male vertrauliche Daten fälschlicherweise offengelegt.
Noch nie dagewesene Daten von MailOnline zeigen, dass seit 2021 im gesamten Vereinigten Königreich 1.600 Datenschutzverstöße im Gesundheitswesen protokolliert wurden.
Zu den Verstößen gehört, dass Mitarbeiter vertrauliche Daten per Fax oder E-Mail an die falsche Person senden und Dokumente herumliegen lassen.
Auch Cyber-Angriffe und unbefugter Zugriff auf potenziell sensible Daten wurden vorgeworfen.
Die Zahlen stammen aus einer Anfrage zur Informationsfreiheit (Freedom of Information, FOI) und betrachten Verstöße nur nach Vorfällen, nicht nach der Anzahl der betroffenen Personen.
Seit 2021 hat das ICO 75 NHS-Einrichtungen wegen Datenschutzverstößen untersucht. Solche Untersuchungen bedeuten nicht zwangsläufig, dass personenbezogene Daten offengelegt wurden oder dass die NHS-Organisationen ein Verschulden begangen haben, wobei viele Untersuchungen zu dem Schluss kamen, dass „keine weiteren Maßnahmen“ erforderlich waren oder so es erfolgte lediglich eine Beratung durch ICO. Als Ergebnis der Ermittlungen wurden jedoch fünf NHS-Behörden formelle Verweise erteilt
Die Untersuchung von MailOnline – die bis Januar 2023 läuft – ergab, dass der häufigste Verstoß darin bestand, dass sich jemand unbefugten Zugriff auf die persönlichen Daten anderer Personen verschaffte (335 Vorfälle). Bei mehr als 250 der erfassten Vorfälle ging es darum, dass Mitarbeiter Daten an den falschen Empfänger faxten oder verschickten. Weitere 174 Verstöße betrafen die Versendung von Dokumenten per E-Mail an die falsche Person
Das bedeutet, dass theoretisch Tausende mehr Patienten betroffen sein könnten, als die Zahlen des Information Commissioner’s Office (ICO) vermuten lassen.
Die Enthüllung dieser Website erfolgt nur wenige Tage, nachdem bekannt wurde, dass bei der größten Datenschutzverletzung in der Geschichte Großbritanniens möglicherweise die Daten von mehr als 40 Millionen Wählern gestohlen wurden.
Die Wahlkommission gab am Dienstag bekannt, dass „feindliche Akteure“ 14 Monate lang unbemerkt Zugang zu ihren Systemen hatten.
Die Polizei in Nordirland gab am selben Tag zu, dass sie auch im Mittelpunkt eines Datenverstoßes „monumentalen Ausmaßes“ stand.
Als Reaktion auf eine FOI-Anfrage wurden fälschlicherweise Daten über Tausende von Beamten und Zivilpersonal preisgegeben.
In der Zwischenzeit, NHS Lanarkshire in Schottland wurde letzte Woche offiziell von ICO-Chefs gerügt, nachdem Mitarbeiter Patientendaten in einem ungesicherten WhatsApp-Chat ausgetauscht hatten.
Anfang des Jahres wurde eine andere NHS-Stelle wegen versehentlicher Weitergabe des HIV-Status von Patienten verurteilt, während eine Londoner Stiftung wegen eines riesigen E-Mail-Puschs mit einer Geldstrafe von fast 80.000 Pfund belegt wurde.
Die Untersuchung von MailOnline – die bis Januar 2023 läuft – ergab, dass der häufigste Verstoß darin bestand, dass sich jemand unbefugten Zugriff auf die persönlichen Daten anderer Personen verschaffte (335 Vorfälle).
Bei mehr als 250 der erfassten Vorfälle ging es darum, dass Mitarbeiter Daten an den falschen Empfänger faxten oder verschickten. Weitere 174 Verstöße betrafen die Versendung von Dokumenten per E-Mail an die falsche Person.
Außerdem wurden fünf Ransomware-Angriffe und neun Phishing-Betrügereien aufgedeckt.
Phil Booth, Koordinator von medConfidential, das sich für die Vertraulichkeit von Patienten einsetzt, sagte, die Zahlen zeigten eine „schockierende Reihe von Fehlern und vermeidbaren Schäden“.
Er sagte: „Wir können nicht wissen, ob jeder betroffene Patient wirklich darüber informiert wurde, da das ICO nicht sicherstellt, dass dies auf sinnvolle Weise geschieht.“
Der Mangel an Datensicherheit innerhalb des NHS hat in der Vergangenheit zu hohen Strafen geführt. Trusts wurden mit Geldstrafen belegt, weil sie Patientenakten verloren hatten, Mitarbeiter Patienteninformationen auf WhatsApp weitergaben und nicht dafür gesorgt hatten, dass die Daten passwortgeschützt waren.
Die FOI-Daten zeigen auch, dass NHS-Mitarbeiter 224 Mal Geräte/Papiere verloren oder gestohlen wurden, wobei es sich bei einem Vorfall im Jahr 2022 um „brute Gewalt“ handelte.
Darüber hinaus gaben die Mitarbeiter 101 Mal mündlich private Informationen preis – etwa bei der Besprechung privater medizinischer Informationen eines Patienten auf einer öffentlichen Station.
Die Änderung personenbezogener Daten gehörte mit nur 11 Fällen in drei Jahren zu den seltensten Vorfällen, obwohl in den ICO-Zahlen nicht erfasst wurde, ob die vorgenommenen Änderungen versehentlich oder absichtlich erfolgten.
Bei 36 Verstößen ging es darum, dass NHS-Mitarbeiter es versäumten, die einzelnen E-Mails der Empfänger zu verbergen.
Der Tavistock and Portman NHS Foundation Trust – bekannt dafür, den Gender Identity Development Service des Gesundheitswesens zu betreiben, den einzigen Transgender-Dienst für Kinder im Vereinigten Königreich – wurde im Juli letzten Jahres für einen solchen Vorfall mit einer Geldstrafe von 78.400 £ belegt.
Der Trust schickte eine E-Mail an 5.000 Patienten über einen Kunstwettbewerb. Obwohl die Personen der Zusendung von E-Mails zugestimmt hatten, versäumten es die Mitarbeiter, ihre Informationen korrekt zu verbergen, was dazu führte, dass die E-Mail-Adressen von etwa 1.780 Personen anderen Empfängern zugänglich gemacht wurden.
Der Trust gehörte zu den 75 NHS-Einrichtungen, die seit 2021 vom ICO wegen Datenschutzverstößen untersucht wurden.
Solche Untersuchungen bedeuten nicht zwangsläufig, dass personenbezogene Daten offengelegt wurden oder dass die NHS-Organisation ein Verschulden trifft.
Der Mangel an Datensicherheit innerhalb des NHS hat in der Vergangenheit zu hohen Strafen geführt. Trusts wurden mit Geldstrafen belegt, weil sie Patientenakten verloren hatten, Mitarbeiter Patienteninformationen auf WhatsApp weitergaben und nicht dafür gesorgt hatten, dass die Daten passwortgeschützt waren
Viele Untersuchungen kamen zu dem Schluss, dass „keine weiteren Maßnahmen“ erforderlich seien.
Allerdings wurden fünf NHS-Behörden aufgrund der ICO-Ermittlungen formelle Verweise erteilt.
Der Epsom and St Helier University Hospitals NHS Trust erhielt zwei Auszeichnungen.
Einer bezog sich auf einen Vorfall während der Pandemie, bei dem ein Dateneingabefehler dazu führte, dass Mitarbeiter fälschlicherweise als mit dem Virus infiziert gekennzeichnet wurden. Infolgedessen forderte NHS Test and Trace sie und ihre engen Kontaktpersonen auf, sich selbst zu isolieren.
Dies führte dazu, dass mehrere chirurgische Eingriffe abgesagt und mehrere Schulen und Kindergärten in der Umgebung geschlossen wurden.
Einer der schockierendsten Verweise wurde dieses Jahr gegen NHS Highland in Schottland ausgesprochen.
Es handelte sich um einen Vorfall im Jahr 2019, bei dem der Trust 37 Personen, die kürzlich auf seine HIV-Dienste zugegriffen hatten, massenhaft E-Mails schickte, die E-Mail-Adressen jedoch nicht korrekt verbarg.
Mindestens einem Patienten gelang es, vier weitere Personen anhand ihrer E-Mail-Adressen zu erkennen, darunter eine frühere Sexualpartnerin.
Weitere NHS-Einrichtungen, die in den letzten Jahren Verweise ausgesprochen haben, sind der Bridgewater Community Healthcare NHS Foundation Trust im Nordwesten Englands, der Warrington and Halton Hospitals NHS Foundation Trust in Warrington und die nationale Gesundheitseinrichtung NHS Blood and Transplant.
Der Trust mit den meisten ICO-Untersuchungen war Homerton Healthcare NHS Foundation Trust, mit insgesamt sieben seit 2021.
Dabei handelte es sich allesamt um Cyber-Vorfälle, wobei ein Vertrauenssprecher MailOnline mitteilte, dass sie alle mit Phishing durch Hacker in Zusammenhang standen.
Ein Trust-Sprecher sagte jedoch, dass man nun Maßnahmen zur Verbesserung der Datensicherheit ergriffen habe.
„Anfang dieses Jahres haben wir unsere Widerstandsfähigkeit gegenüber diesen Vorfällen erhöht, indem wir die Multi-Faktor-Authentifizierung auf allen NHSmail-Konten implementiert haben“, sagten sie.
Ein NHS England-Sprecher sagte: „Organisationen, die Zugriff auf NHS-Patientendaten und -Systeme haben, müssen eine gute Datensicherheit praktizieren und nachweisen, damit personenbezogene Daten korrekt gehandhabt werden.“
„Es ist von entscheidender Bedeutung, dass Gesundheits- und Pflegeorganisationen alles tun, was sie können, um ihren gesetzlichen Verpflichtungen und Datensicherheitsstandards nachzukommen und alle Verstöße zu melden, um sicherzustellen, dass Lehren gezogen und Verbesserungen vorgenommen werden können.“