Vor einer Woche meldete die in Luxemburg angesiedelte Ketterhill (Labor, Coronatests) einen Sicherheitsvorfall, bei dem Patientendaten von Laboruntersuchungen bei einem Dienstleister möglicherweise durch unbefugte Dritte erbeutet wurden. Der Dienstleister ist der französische Anbieter Cerba, wo durch einen falsche konfigurierten Server die Patientendaten im Internet standen. Die Frage, die sich mir stellt: Inwieweit auch Labors aus Deutschland und Österreich Analysen bei Cerba ausführen ließen.
Anzeige
Datenschutzvorfall bei Ketterhill
Es war ein kurzer Tweet, der mich auf das Thema aufmerksam machte. Ketterthill ist ein im Großherzogtum Luxemburg ansässiges Labor, welches vom Allergietest bis hin zu Coronatests viele Untersuchungen für Ärzte durchführt. Das Labor hat kürzlich einen Datenschutzvorfall eingestanden, wie das Luxemburger Wort oder das Luxemburger Tagblatt meldeten.
Ich habe die Meldung von Ketterhill nicht finden können, in den Medien wird das Labor aber mit folgenden Aussagen zitiert:
Im Interesse der Transparenz gegenüber unseren Patienten haben wir beschlossen, diese Informationen weiterzugeben. […] Ketterthill gibt einige Analysen an spezialisierte Labore als Subunternehmer ab – wie beispielsweise Cerba. Bestimmte biologische Verfahren, die von Ketterthill zwischen dem 1. Januar 2017 und dem 24. Juni 2021 an Cerba vergeben wurden, können von diesem Vorfall betroffen sein. Wir wissen nicht, was gestohlen wurde.
Die oben zitierten Medien schreiben, dass Ketterthill-Labor laut dessen Sprecherin regelmäßig Untersuchungen auf exotische Reisekrankheiten wie Infektionen mit dem Zika-Virus oder dem Denguefieber dem französischen Cerba-Labor zur Analyse überlässt. Auch Allergietests, Tests auf Milchsäure oder die Untersuchung der Gerinnungsfaktoren würden bei dem Unternehmen im Nordwesten von Paris in Auftrag gegeben.
Der Sicherheitsvorfall bei Cerba
Das französische Labor Cerba ist bezüglich des Sicherheitsvorfalls da auskunftsfreudiger. In einem öffentlichen Statement schreibt der Anbieter (ich kopiere es mal hier rein, falls der Original-Text gelöscht wird):
IT Security Incident
Saint-Ouen-L'Aumône, July 5th, 2021
Dear Business Partners,
We would like to inform you that our Laboratory has been the victim of a data theft following a failure of one of our service providers, in charge of hosting one of our databases.
This database containing patients' information was momentarily exposed on the Internet. The investigations we immediately conducted enabled us to conclude that unauthorised persons accessed this database and that a certain volume of data, including personal data, had been exfiltrated.
The remedial measures that we implemented
The safeguard of data is our core priority. Hence, as soon as this incident was identified:
- We immediately carried out the necessary remedial measures to isolate the exposed database and make it inaccessible;
- We set up a continuous watch to identify any possible use of the data on the Internet – which is not the case to date.
We also provided, in our capacity as data controller, the competent supervisory authorities (i.e. the French Data Protection Authority (CNIL) and the Regional Health Authority) with all the information in our possession concerning this incident and filed a complaint to the police services.
What information is concerned?
The following categories of personal data, which were included in the database, might have been exfiltrated:
- The surname, first name, birth date and gender of the patients whose files were put online from January 1st, 2017 to June 24st, 2021
- The nature of the examination carried out by our Laboratory
- The result of the examination
The database did not contain any information relating to social security numbers (NIR), bank details or postal, electronic or telephone contact details.
Am 5. Juli 2021 hat Cerba einen Datendiebstahl bekannt gegeben, der Patientendaten, die zwischen dem 1. Januar 2017 und dem 24. Juni 2021 erfasst wurden, betrifft. Ein für das Hosting der Datenbank des Labors zuständiger Dienstleiste hat einen Fehler gemacht. Die Datenbank mit Patienteninformationen war kurzzeitig im Internet zu finden. Die sofort eingeleiteten Untersuchungen haben ergeben, dass Unbefugte auf diese Datenbank zugegriffen haben und dass eine gewisse Menge an Daten, einschließlich personenbezogener Daten, exfiltriert wurde. Dazu gehören folgende personenbezogenen Daten, die in der Datenbank enthalten waren:
- Name, Vorname, Geburtsdatum und Geschlecht der Patienten, deren Ergebnisse in der Zeit vom 1. Januar 2017 bis zum 24. Juni 2021 online (in die Datenbank) gestellt wurden
- Die Art der Untersuchung, die von dem Labor durchgeführt wurde
- Das Ergebnis der Untersuchung
Laut Anbieter enthielt die Datenbank keine Informationen über Sozialversicherungsnummern (NIR), Bankdaten oder postalische, elektronische oder telefonische Kontaktangaben. Nachdem der Vorfall bemerkt wurde, wurde die Datenbank zwar gesichert, aber die Daten sind ja abgeflossen. Das Labor hat zwar einen Dienst eingerichtet, um jede mögliche Nutzung der Daten im Internet zu ermitteln – was bis heute nicht der Fall ist. Auch wurden die zuständigen Aufsichtsbehörden (d.h. der französischen Datenschutzbehörde (CNIL) und der regionalen Gesundheitsbehörde) informiert – es ist ja ein gravierender DSGVO-Vorfall.
Sind auch deutsche/österreichische Patienten betroffen?
Was mich jetzt umtreibt, ist die Frage, ob das Labor auch von Ärzten in Deutschland und Österreich mit der Analyse von Patientenproben beauftragt wurde? Bei einer Recherche konnte ich dort nichts finden – der Fall ist in Deutschland quasi nicht in den Medien existent. Aber für Österreich bin ich hier und hier darauf gestoßen, dass der französische Diagnostik-Spezialist Cerba Healthcare Wiener Lifebrain-Labor übernommen hat. Der Deal ist erst Ende Juli 2021 bekannt geworden, so dass es keinen Einfluss auf den obigen Vorfall haben konnte. Aber in den verlinkten Beiträgen lese ich, dass die in Frankreich angesiedelte Cerba HealthCare auch größere Präsenzen in Afrika und anderen Ländern Europas habe. Zudem ist Cerba HealtCare auch global mit der Geschäftseinheit für klinische Studien zur Validierung von neuen Komponenten und Impfstoffen aktiv. Cerba HealthCare zählt zu den größten Playern auf dem europäischen Diagnostikmarkt. Irgend jemand unter der Blog-Leserschaft, der weiß, ob auch deutsche Ärzte und Kliniken dieses französische Labor beauftragt haben und vom Datenschutzvorfall betroffen sind?
Anzeige
2015
