Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 800 000 euro mot Cedegim Santé för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Cedegim Santé är ett företag som tillhandahåller IT-produkter och tjänster för hälso- och sjukvårdspersonal, bland annat en programvara som gör det möjligt för läkare att hantera patientuppgifter som grundläggande identifieringsuppgifter, liksom hälsohistorik, diagnoser, ordinerade läkemedel eller procedurer samt uppgifter från tredje part. Användarna av programvaran erbjöds en möjlighet att anmäla sig till forskning som utfördes av Cedegim Santé och deras affärspartners. I utbyte mot tillgång till patientdata fick programvaruanvändarna en rabatt på licensen och tillgång till statistik som skapats av Cedegim Santé.
För att möjliggöra överföring av data från användarnas program krypterade Cedegim Santé patientdata och tilldelade varje patient en unik identifierare. Identifieraren informerade om vilken kategori av läkare som besökts, vilket möjliggjorde en läkarövergripande datagranskning varje gång patienten besökte samma typ av läkare, oavsett var den befann sig. De patientuppgifter som samlades in av Cedegim Santé lagrades i tre månader och överfördes därefter till Cedegim Santés affärspartners. Enligt Cedegim Santé var GDPR inte längre tillämplig på den aktuella behandlingen eftersom patientuppgifterna hade anonymiserats. CNIL inledde på eget initiativ en utredning för att undersöka Cedegim Santés rutiner.
CNIL avvisade Cedegim Santés tolkning att de behandlade anonymiserade uppgifter. Enligt CNIL var det tydligt att Cedegim Santé behandlade personuppgifter som endast var pseudonymiserade då de identifierare som tilldelats patientuppgifterna gjorde det möjligt för Cedegim Santé att identifiera varje patient. Som framgick av utredningen var det dessutom möjligt att återidentifiera en patient med rimliga medel och med hjälp av uppgifter som behandlades av Cedegim Santé, även utan tillgång till ytterligare information. Cedegim Santé underlät därför att bedöma risken för återidentifiering.
När det gäller Cedegim Santés affärsverksamhet konstaterade CNIL att det rörde sig om en hälsodatabas. Enligt CNIL var Cedegim Santés dessutom personuppgiftsansvarig då Cedegim Santé bestämde medlen för och ändamålen med behandlingen av uppgifterna, även när det gällde affärsrelationer med hälso- och sjukvårdspersonal. Detta ledde till att CNIL bekräftade att Cedegim Santé bröt mot artikel 66 GDPR. Cedegim Santé var skyldigt att inhämta förhandstillstånd från CNIL för att driva en hälsodatabas (datalager). Cedegim Santé var också skyldigt att inhämta patienternas samtycke till behandling av uppgifter, inklusive överföring och behandling i databasen. Cedegim Santé underlät emellertid att fullgöra båda skyldigheterna.
Cedegim Santé har vidare brutit mot principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR genom att samla in patientuppgifter från tredje part. Cedegim Santé får därför en sanktionsavgift på 800 000 euro.