Gegevensbeschermingsautoriteit (GBA) utfärdar en reprimand mot en vårdgivare för bristande efterlevnad av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade besökt och behandlats av vårdgivaren “Centre Z” efter ett sexuellt övergrepp. Flera månader senare besökte den registrerade en psykolog som var anställd av den vårdgivare som driver Centre Z. Under den psykologiska konsultationen fick den registrerade frågor som rörde hennes sexuella övergrepp, trots att besöket inte hade något samband med händelsen, vilket för henne tydde på att psykologen hade tillgång till hennes medicinska uppgifter som innehades av Centre Z, trots att psykologen inte arbetade vid Centre Z.
Den registrerade kontaktade Centre Z angående deras interna policy för tillgång till uppgifter. Hon informerades om att alla anställda inom sjukhusgruppen kunde få tillgång till hennes journaler, oavsett om de arbetade på Centre Z eller inte. Hon begärde att Centre Z skulle begränsa åtkomsten till hennes uppgifter till endast personal som arbetade vid Centre Z. Centre Z svarade att detta inte var möjligt, men noterade att sjukhusgruppen höll på att uppdatera sin policy i denna fråga.
GBA konstaterade efter en genomgång av ärendet att Centre Z, genom att tillåta alla sina anställda att få tillgång till patientuppgifter, inte genomfört lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 GDPR och artikel 24 GDPR. Eftersom Centre Z höll på att uppdatera sin policy och praxis i frågan utfärdade GBA endast en reprimand.