Frage stellen

Schutz der Privatsphäre von Patienten in medizinischen Datenbanken und Sammlungen medizinischer Fotos

Robert Bateman
13.5.2024

Gesundheitsdaten sind wohl die sensibelste Art von Informationen. Wenn die Privatsphäre des Patienten nicht geschützt wird, kann dies zu Betrug führen, große Belastungen hervorrufen und sogar Leben gefährden .

Doch Gesundheitsdaten und medizinische Bilder gewinnen in der Behandlung und Forschung zunehmend an Bedeutung. Datenbanken werden immer größer und Gesundheitsdaten vielfältiger. Der Bedarf an starken Sicherheits- und Datenschutzmaßnahmen war noch nie so wichtig.

Dieser Artikel befasst sich mit dem rechtlichen Rahmen für den Schutz medizinischer Datenbanken und Sammlungen medizinischer Fotos, mit den Methoden zur Sicherung von Gesundheitsdaten und mit den schwerwiegenden Folgen, wenn die Privatsphäre der Patienten nicht geschützt wird .

Einführung in die Datenschutzbedenken von Patienten in medizinischen Datenbanken und Sammlungen medizinischer Fotos

Im Gesundheitswesen steht der Patient im Mittelpunkt der Behandlung . Die Aufrechterhaltung des Vertrauens zwischen Patienten, Ärzten und Gesundheitseinrichtungen ist von entscheidender Bedeutung.

Seit den alten Griechen haben Ärzte im Rahmen des hippokratischen Eides geschworen, die „heiligen Geheimnisse“ ihrer Patienten zu bewahren. Doch die Geheimhaltung medizinischer Informationen ist heute viel schwieriger als vor zwei Jahrtausenden.

Fallstudie: Medizinische Fotos eines Krebspatienten im Internet aufgetaucht

Im Februar 2023 erhielten Mitarbeiter des Leigh Valley Health Network (LVHN) eine E-Mail von einer Ransomware-Gruppe namens BlackCat (oder ALPHV), in der es hieß:

„Wir verfügen über die Daten Ihres Patientenstamms, nämlich Reisepässe, Personaldaten, Fragebögen, Nacktfotos und dergleichen.“

BlackCat drohte damit, die Informationen online zu veröffentlichen, wenn LVHN kein Lösegeld zahlte. Der Gesundheitsdienstleister weigerte sich zu zahlen, und BlackCat begann, Fotos zu leaken , die es während des Angriffs erhalten hatte – darunter auch identifizierbare Fotos von Patienten mit nacktem Oberkörper .

Einer der Krebspatienten von LVHN hörte in den Medien von dem Angriff. Sie schickte eine E-Mail an ihre Ärzte und fragte, ob ihre Krankenakten betroffen seien. Über einen Monat später rief LVHN die Patientin an und teilte ihr mit, dass ihre „ Nacktfotos “, die sowohl ihr Gesicht als auch ihre Brust zeigten , manipuliert worden seien.

LVHN bot dem Patienten eine Entschuldigung und zwei Jahre Kreditüberwachung als Entschädigung für den Vorfall an. Verständlicherweise war der Patient mit der Reaktion des Gesundheitsdienstleisters nicht zufrieden.

Die Patientin kämpft derzeit mit einer Klage gegen LVHN und fordert „tatsächlichen, Folge- und Nominalschaden“ – sowohl für sich selbst als auch für „Hunderte, wenn nicht Tausende“ anderer von dem Verstoß betroffener Personen .

Warum sind Verstöße gegen medizinische Daten so teuer?

Seit 13 Jahren in Folge stellt IBM fest, dass Verstöße gegen den Schutz von Gesundheitsinformationen die teuersten Datenschutzverletzungen sind. Und die Kosten für Verstöße gegen Gesundheitsdaten sind zwischen 2020 und 2023 um 53,3 % gestiegen und liegen im Durchschnitt bei fast 11 Millionen US-Dollar pro Vorfall .

Warum sind Datenschutzverletzungen bei Gesundheitsdaten so kostspielig?

●      Das Gesundheitswesen ist eine streng regulierte Branche , und die Regulierungsbehörden können empfindliche Strafen verhängen. Selbst Länder mit allgemein schwachen Datenschutzgesetzen schützen Krankenakten streng.

●      Gesundheitsdaten sind komplex und umfassen viele Arten von Informationen. Diese Vielfalt und Komplexität können dazu führen, dass Verstöße gegen den Gesundheitsdatenschutz schwerer zu erkennen, zu verhindern und einzudämmen sind .

●      Wenn Krankengeschichten ans Licht kommen, kann dies zu Stress, Verlegenheit und Reputationsschäden führen . Die Wahrscheinlichkeit, dass Opfer von Gesundheitsdatenverstößen vor Gericht Erfolg haben, ist daher deutlich größer.

●      Verstöße gegen Gesundheitsdaten können zu Versicherungsbetrug führen . Wenn Ressourcen falsch verteilt werden oder Menschen unangemessen behandelt werden, kann Betrug nicht nur Geld, sondern auch Leben kosten.

Medizinische Bilder wie Röntgenaufnahmen, MRTs und pathologische Dias sind für die meisten Krankenakten unerlässlich. Wie wir oben im LVHN-Fall gesehen haben, kann der Schaden besonders schwerwiegend sein , wenn medizinische Fotos verletzt werden.

Gesetze zum Datenschutz und zu Gesundheitsdaten von Patienten

Wie bereits erwähnt, unterliegen Krankenakten und medizinische Fotos besonders strengen Regeln. Hier finden Sie einen Überblick über einige gesetzliche Anforderungen für medizinische Daten in Europa und den USA.

Europa

gemäß der Datenschutz-Grundverordnung (DSGVO) , die im Vereinigten Königreich und im gesamten Europäischen Wirtschaftsraum (EWR) gilt, eine Art „ besonderer Kategoriedaten “.

Einige der DSGVO- Grundsätze zur Datenverarbeitung können beispielsweise auf Gesundheitsinformationen angewendet werden:

●      Datenminimierung : Gesundheitsinformationen nur dann verarbeiten, wenn dies für einen bestimmten Zweck erforderlich ist. Entfernen Sie nach Möglichkeit Identifikatoren aus den Krankenakten. Wenn das Gesicht einer Person auf einem medizinischen Foto oder Scan erscheint, verwischen Sie das Gesicht, um die Identität der Person zu verbergen.

●      Speicherbeschränkung : Speichern Sie Gesundheitsinformationen nicht länger als nötig „in einer Form, die eine Identifizierung ermöglicht“. Löschen oder anonymisieren Sie Gesundheitsdaten, sobald Sie sie nicht mehr benötigen (es sei denn, Sie sind gesetzlich dazu verpflichtet, sie für einen bestimmten Zeitraum aufzubewahren).

●      Sicherheit : Schützen Sie Gesundheitsinformationen durch „geeignete technische oder organisatorische Maßnahmen“, wie z. B. die Einschränkung des Zugriffs auf medizinische Informationen oder die Unkenntlichmachung von Identifikatoren auf medizinischen Fotos.

Mehrere EU-Länder haben ihre höchsten DSGVO-Bußgelder gegen Organisationen verhängt, die die Regeln und Grundsätze für die Verarbeitung von Gesundheitsdaten nicht eingehalten haben. Zum Beispiel:

●      Kroatien : 5,8 Millionen Euro an ein Inkassounternehmen ausgezahlt , das seine „Rechtsgrundlage“ für die Verarbeitung von Gesundheitsdaten nicht nachweisen konnte.

●      Portugal : 4,3 Millionen Euro gegen die nationale Statistikbehörde wegen unrechtmäßiger Übermittlung von Volkszählungsdaten (einschließlich Gesundheitsinformationen) in die USA.

●      Niederlande : 3,7 Millionen Euro gegen die Steuerbehörden, teilweise aufgrund der Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage.

Dabei handelte es sich allesamt um komplexe Fälle mit mehreren Verstößen gegen die DSGVO – die Strafen fielen jedoch in jedem Fall härter aus , da es sich bei den Verstößen um Gesundheitsdaten handelte.

Vereinigte Staaten

In den USA unterliegen Gesundheitsdienstleister und ihre „Geschäftspartner“ dem Health Insurance Portability and Accountability Act (HIPAA) , der „geschützte Gesundheitsinformationen“ (PHI) und elektronische PHI (ePHI) schützt .

HIPAA kontrolliert streng, wie Gesundheitsdienstleister Gesundheitsinformationen speichern und verwenden . Das Gesetz sieht lockerere Regeln für „ begrenzte Datensätze “ vor, aus denen Informationen wie Namen, biometrische Identifikatoren und „ vollflächige fotografische Bilder “ entfernt wurden.

Hier sind einige der höchsten Strafen gemäß HIPAA :

●      Anthem Inc. zahlte eine HIPAA-Strafe von 16 Millionen US-Dollar, nachdem Angreifer die medizinischen Daten von fast 80 Millionen Menschen gestohlen hatten. Zusätzlich zur Strafe einigte sich das Unternehmen mit einer Klage auf Vergleichsbasis in Höhe von 115 Millionen US-Dollar.

●      Premera Blue Cross zahlte eine Strafe von 6,85 Millionen Dollar, nachdem durch einen Hackerangriff die PHI von über 10 Millionen Menschen kompromittiert worden war. Das Unternehmen einigte sich erneut mit einer Sammelklage , diesmal in Höhe von 74 Millionen Dollar.

●      Advocate Health Care bezahlt 5,5 Millionen Dollar, nachdem vier Computer aus seinen Büros gestohlen wurden, was über 4 Millionen Patienten betraf.

Da HIPAA jedoch nicht für alle Unternehmen gilt, die Gesundheitsdaten verarbeiten, haben einzelne Bundesstaaten Datenschutzgesetze erlassen, um die Lücken des HIPAA zu schließen .

●      In den letzten Jahren haben rund 16 Bundesstaaten , darunter Kalifornien, Texas und Washington, neue Datenschutzgesetze verabschiedet.

●      Diese neuen Gesetze sind von der DSGVO der EU inspiriert und betreffen Unternehmen in nahezu allen Branchen.

●      Fast alle dieser neuen Gesetze kategorisieren gesundheitsbezogene Informationen als eine Art „ sensibler Daten “ und verlangen von Unternehmen, „ angemessene Sicherheitsmaßnahmen “ zu ergreifen, um die Sicherheit solcher Daten zu gewährleisten.

Nutzung medizinischer Datenbanken und Fotosammlungen im Gesundheitswesen

Es gibt unzählige Verwendungsmöglichkeiten für medizinische Daten, darunter:

●      Diagnose

●      Behandlungsplanung

●      Forschung

●      Ausbildung

Zunehmend werden Gesundheitsdaten für KI-gestützte Forschung genutzt .

Im November 2023 zeigten Forscher des Imperial College London, wie ein KI-Modell, das auf „ mehr als 1 Million Bildern aus realen Screening-Programmen“ trainiert wurde, dazu beitragen könnte, die Erkennung von Brustkrebs zu verbessern.

Doch während KI-gestützte Gesundheitsforschung erhebliche Vorteile bringen kann, können große Sammlungen medizinischer Fotos auch große Risiken für die Privatsphäre und die Sicherheit mit sich bringen .

Sicherheitsprobleme in medizinischen Datenbanken und Sammlungen medizinischer Fotos

Untersuchungen zum Stand der Sicherheit medizinischer Bilder haben einige schockierende Erkenntnisse zutage gefördert.

●      Im Jahr 2019 entdeckten Forscher von Greenbone Networks 5 Millionen Patientenbilder, die „ ungeschützt im Internet lagen “.

●      Eine Folgestudie aus dem Jahr 2020 stellte einen enormen Anstieg der Menge online verfügbarer Untersuchungsfotos fest – über eine Milliarde medizinische Bilder und Patientenakten.

●      Eine weitere Untersuchung fast vier Jahre später ergab, dass das Problem noch immer nicht gelöst ist .

Die Gründe für diese mangelhafte Sicherheitslage sind komplex: Hunderte von Gesundheitsdienstleistern speichern medizinische Bilder auf Tausenden von schlecht gesicherten Servern .

Um sicherzustellen, dass identifizierbare Fotos nicht in die falschen Hände geraten, gibt es jedoch noch eine andere Möglichkeit: die Anonymisierung .

Anonymisierung medizinischer Daten und Schutz der Privatsphäre der Patienten

Wenn medizinische Daten wirklich anonym sind , können sie nicht zur Identifizierung eines Patienten verwendet werden. Selbst wenn anonyme Daten kompromittiert werden, hat dies keine Auswirkungen auf die ärztliche Schweigepflicht eines Patienten.

Aber was macht medizinische Daten „anonym“?

Der Anonymisierungsstandard der EU ist besonders streng . Datenschutzbehörden empfehlen den folgenden dreiteiligen Test, um festzustellen, ob ein bestimmtes Datenelement anonym ist.

●      Ist es überhaupt noch möglich, einzelne Personen hervorzuheben ?

●      Ist es weiterhin möglich, Datensätze zu einer Person zu verknüpfen?

●      Können Rückschlüsse auf eine Person gezogen werden?

Datengeneralisierungs- und Randomisierungstechniken können – wenn sie richtig durchgeführt werden – einen hohen Anonymisierungsstandard in aggregierten Datensätzen erreichen.

Natürlich können oder sollten nicht alle medizinischen Daten anonymisiert werden . In den meisten Fällen müssen Krankenakten mit einem bestimmten Patienten verknüpft werden.

jedoch möglich ist, Teile einer Krankenakte zu anonymisieren und die Daten dennoch für den vorgesehenen Zweck zu verwenden, erfordert der Grundsatz der Datenminimierung, dass Sie dies tun .

Medizinische Fotos anonymisieren

Während medizinische Fotos möglicherweise in einer größeren, identifizierbaren Krankenakte gespeichert werden müssen, müssen sie selten selbst identifizierbare Informationen enthalten .

Wir haben uns zuvor mit einer Fallstudie befasst, in der es um eine Brustkrebspatientin ging, deren medizinische Bilder online durchgesickert waren. Dieser Vorfall hätte viel weniger schwerwiegend sein können, wenn der Arzt das Gesicht der Patientin unkenntlich gemacht hätte, sodass sie nicht identifizierbar gewesen wäre .

Das Verwischen von Gesichtern und anderen Identifikatoren kann ein Bild anonymisieren. Der Europäische Datenschutzausschuss (EDSA) erklärt :

„… durch das Unkenntlichmachen eines Bildes, ohne dass die zuvor auf dem Bild enthaltenen personenbezogenen Daten nachträglich wiederhergestellt werden können, gelten die personenbezogenen Daten gemäß der DSGVO als gelöscht.

Mit anderen Worten: Wenn Sie alle Kennungen auf einem medizinischen Foto unkenntlich machen, enthält das Foto keine personenbezogenen Daten mehr . Aus Sicht der DSGVO werden durch das Unkenntlichmachen von Fotos die personenbezogenen Daten „gelöscht“ .

Ganzgesichtsfotos gemäß HIPAA

In den USA beinhaltet HIPAA ein ähnliches Prinzip. Das Gesetz erlaubt es Gesundheitsdienstleistern, Gesundheitsinformationen „ nicht individuell identifizierbar “ zu machen, indem sie bestimmte Arten von Daten aus einer Krankenakte entfernen, darunter „ Fotos des gesamten Gesichts “.

Durch das Unkenntlichmachen von Gesichtern kann das Foto für eine größere Bandbreite von Zwecken verwendet werden – auch ohne die Zustimmung des Patienten (solange das Foto nicht mit anderen Informationen verknüpft ist, die den Patienten identifizieren könnten).

Auch Organisationen, die nicht dem HIPAA unterliegen, sollten medizinische Daten und Fotos nach Möglichkeit anonymisieren.

Neue Datenschutzgesetze der US-Bundesstaaten, wie der California Consumer Privacy Act (CCPA) und der Colorado Privacy Act (CPA), schließen nicht identifizierte und anonyme Informationen von den Regeln aus . Dazu könnten medizinische Fotos gehören, auf denen die Gesichter von Personen unscharf sind.

Biometrische Datenschutz- und Sicherheitsmaßnahmen für die Privatsphäre der Patienten

Wir haben untersucht, wie durch die Unkenntlichmachung von Gesichtern und anderen Identifikatoren personenbezogene Daten (Bilder identifizierbarer Personen) in anonyme Daten umgewandelt werden.

Dennoch gibt es auch während des Anonymisierungsprozesses Datenschutzbedenken .

Biometrische Tools vs. Gallio PRO

Gesundheitsdienstleister und andere Organisationen tragen die direkte Verantwortung für die von ihnen verwendete Software von Drittanbietern und müssen bei der Auswahl eines Anbieters sorgfältig vorgehen.

Einige Anonymisierungssoftware verwendet biometrische Identifizierung, um das Gesicht einer Person zu analysieren und zu erkennen, wann diese Person auf einem Foto erscheint. Biometrische Daten, die zu Identifikationszwecken verwendet werden, sind gemäß der DSGVO „Daten besonderer Kategorien“ und gemäß vielen anderen Datenschutzgesetzen „sensible Daten“.

Die Verwendung biometrischer Daten zur Identifizierung einer Person gilt als risikoreiche Datenverarbeitung , die strengen Kontrollen unterliegt und bei unsachgemäßer Durchführung mit der Gefahr schwerer Strafen verbunden ist.

Gesichtsanonymisierung für medizinische Fotos

Die Verwendung der Anonymisierungssoftware Gallio PRO ist weniger riskant als die Verwendung einer Anonymisierung auf Basis biometrischer Techniken.

●      Das Anonymisierungsmodell Gallio PRO nutzt Computer-Vision-Techniken, um Muster in riesigen Datensätzen zu erkennen.

●      Ein aus echten Fotos abgeleiteter Datensatz wird zum Trainieren des Modells verwendet, das lernt, Gesichter bei verschiedenen Lichtverhältnissen, Bildauflösungen und Umgebungen zu erkennen .

●      Diese Trainingsmethode führt zu höheren Genauigkeitsraten und verringert das Risiko , dass bei der Anonymisierung von Fotos Gesichter von Personen übersehen werden.

●      Gesichtsbilder werden während des Trainingsprozesses in nicht identifizierbare Daten umgewandelt. Im KI-System verbleiben keine identifizierbaren Bilder von Gesichtern von Personen. Diese Methode trägt dazu bei, die Privatsphäre aller Personen zu schützen, deren Gesicht auf den Trainingsfotos zu sehen ist.

Die Gallio PRO-Software lernt nie, Individuen zu erkennen – sie lernt nur, wie „ein menschliches Gesicht“ aussieht. Datenschutzschützende Trainingstechniken bedeuten, dass die Software hohe Genauigkeitsraten erreichen kann, ohne dass für Individuen ein erhebliches Risiko besteht.

Schutz der Patientendaten in medizinischen Datenbanken und auf medizinischen Fotos

●      Gesundheitsdaten und medizinische Bilder zählen zu den sensibelsten personenbezogenen Daten .

●      Cyberangriffe auf Gesundheitsdienstleister sind extrem kostspielig und können Patienten erheblichen Schaden zufügen.

●      Forscher haben wiederholt nachgewiesen, dass viele medizinische Daten schlecht geschützt sind. Bei vielen spektakulären Cybersicherheitsvorfällen wurden medizinische Bilder und Gesundheitsdaten durchgesickert.

●      Wenn medizinische Fotos von Personen durchsickern, können die Aufsichtsbehörden hohe Geldstrafen verhängen und Gerichte können den betroffenen Patienten erheblichen Schadenersatz zusprechen.

●      Die Anonymisierung von Patientenfotos ist ein wichtiges Mittel zum Schutz der Privatsphäre der Patienten und zur Erfüllung gesetzlicher Verpflichtungen.

●      Um Risiken für Privatsphäre und Datenschutz zu minimieren, verwenden Sie Anonymisierungssoftware, die hohe Genauigkeitsraten erzielen kann , ohne auf biometrische Identifizierung angewiesen zu sein.

Robert Bateman

Robert Bateman

Robert Bateman ist ein renommierter Experte für Privatsphäre und Datenschutz sowie ein erfahrener Autor, Trainer und Berater. Er ist Autor zahlreicher Artikel, Forschungsprojekte und Berichte zu diesen Themen. Als Moderator des Privacy Corner-Videocasts hat er eine weltweite Fangemeinde von Tausenden von Fachleuten angezogen.