Gegevensbeschermingsautoriteit (GBA) har bötfällt ett laboratorium för medicinsk analys med 20 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ett klagomål lämnats in till GBA om laboratoriet, där det påstods att laboratoriet underlåtit att genomföra en konsekvensbedömning avseende dataskydd, att informera de registrerade på ett korrekt sätt och att behandla medicinska uppgifter via en osäker webbsida.
GBA konstaterade att laboratoriet brutit mot principen om integritet och konfidentialitet i artikel 5.1 (f) GDPR och att laboratoriet inte vidtagit lämpliga säkerhetsåtgärder enligt artikel 32 GDPR, eftersom laboratoriets webbsida gjort det möjligt för läkare att konsultera patienters medicinska resultat på distans utan att använda någon kryptering.
GBA konstaterade dessutom att artiklarna 35.1 och 35.5 GDPR överträtts, eftersom laboratoriet underlåtit att genomföra en konsekvensbedömning avseende dataskydd av den storskaliga behandlingen av hälsouppgifter. Enligt GBA har laboratoriet, som menade att de inte behandlat hälsouppgifter i stor skala, inte klargjort vilka kriterier som använts för att fastställa denna ståndpunkt.
Därutöver konstaterade GBA att laboratoriet brutit mot artiklarna 12, 13 och 14 GDPR då laboratoriet inte inkluderat en integritetspolicy på sin webbplats. I detta avseende avvisade GBA argumentet att det inte krävdes någon integritetspolicy eftersom webbplatsen i fråga var ett rent kommersiellt skyltfönster.