Des données de santé très sensibles de patients ouvertement accessibles sur l'internet : une nouvelle qui a récemment fait les gros titres en Europe.
Cependant, les experts du domaine de la protection des données sont également inquiets pour d'autres raisons. Après l'incident sans conséquence qui a touché des données de patients très sensibles dans un cabinet médical d'Ingolstadt, les experts en protection des données mettent en garde contre les risques de sécurité dans les hôpitaux.
La fuite de données de santé
En Bavière, certains hôpitaux sont totalement sous-équipés en matière de sécurité informatique, a déclaré le commissaire bavarois à la protection des données, Thomas Petri, devant la commission juridique du parlement du Land. Certains hôpitaux ne reçoivent tout simplement pas assez d'argent de la part des responsables des coûts, comme les municipalités. Parfois, il y a un réel besoin. Andreas Sachs, de l'Office national de supervision de la protection des données, a également mis en garde contre le manque d'organisation de la sécurité informatique dans les différents hôpitaux. Selon Sachs et Petri, la violation de données au cabinet du médecin, qui a fait les gros titres l'automne dernier, n'a pas eu de conséquences. Les données de santé sensibles d'environ 7 200 personnes - y compris des images radiologiques - étaient stockées sur un serveur accessible de l'extérieur. Mais M. Sachs a souligné qu'aucune donnée n'avait été transférée sur Internet, et qu'aucune donnée ne pouvait être trouvée via Google. "L'utilisateur normal ne sait même pas comment on peut accéder à ces données", a-t-il souligné. Il n'y avait aucune preuve que quelqu'un en dehors du réseau de recherche avait accédé aux données ou les avait téléchargées. "Ils ne sont apparus nulle part sur Internet."
Excellente couverture dans la plupart des cabinets et des hôpitaux
Sachs et Petri ne voient pas de défaut structurel grave dans cette affaire. "C'était un oubli de la part du médecin en question", a déclaré Sachs.
"Le médecin a été pris au dépourvu." Le médecin a probablement "appuyé sur le mauvais bouton pendant la configuration". L'écart a ensuite été comblé très rapidement, a-t-il déclaré. Selon le ministère de l'Intérieur, le parquet responsable n'a vu aucune infraction pénale et, selon M. Petri, aucune amende n'a été infligée au médecin.
Les sanctions ne seraient imposées qu'en cas de déficiences systémiques graves. Sachs et Petri soulignent que dans la grande majorité des cabinets médicaux, ces serveurs ne posent aucun problème car ils sont parfaitement sécurisés. Il en va de même pour la plupart des hôpitaux. Dans un cas, il s'agissait bien d'une étude médicale qui utilisait un serveur accessible sur Internet, a indiqué M. Petri. Mais ici aussi, il n'y avait aucune preuve que des tiers avaient accédé aux données.
Trop peu de spécialistes en informatique dans certaines cliniques
Mais M. Petri a surtout mis en évidence des lacunes en matière de protection des données dans les différentes cliniques, auxquelles il convient de remédier rapidement.
Dans le cas de deux hôpitaux, M. Petri a dû donner des ordres précis - ce qui est inhabituel - sur la manière dont ils doivent améliorer leur sécurité informatique. Interrogé, M. Petri n'a pas voulu dire quelles cliniques étaient spécifiquement concernées. En gros, M. Petri a critiqué le fait qu'il y a des cliniques dans l'État libre qui ont plusieurs milliers d'employés, mais seulement trois ou quatre personnes dans l'administration informatique. "Il y a un besoin, ça ne peut pas marcher à long terme, ils conduisent vraiment là à vue." La présidente de la commission juridique, Petra Guttenberger (CSU), a déclaré qu'il fallait réfléchir lorsque les conseils municipaux ou les conseils locaux ne fournissent pas assez d'argent aux hôpitaux individuels.